共用方式為


針對具有私人端點的專案連線進行疑難排解

重要

本文中標示為 (預覽) 的項目目前處於公開預覽狀態。 此預覽版本沒有服務等級協定,不建議將其用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

連線到已使用私人端點設定的專案時,您可能會遇到 403 或表示禁止存取的訊息。 請使用本文中的資訊,來檢查可能造成此錯誤的常見設定問題。

安全地連線到專案

若要連線到在 VNet 後方受保護的專案,請使用下列其中一種方法:

  • Azure VPN 閘道 - 透過私人連線將內部部署網路連線到 VNet。 連線是透過公用網際網路所建立。 您可能會使用兩種類型的 VPN 閘道:

    • 點對站:每部用戶端電腦都會使用 VPN 用戶端連線到 VNet。
    • 站對站:VPN 裝置會將 VNet 連線到您的內部部署網路。
  • ExpressRoute - 透過私人連線將內部部署網路連線到雲端。 連線是透過連線提供者所建立。

  • Azure Bastion - 在此案例中,您會在 VNet 內建立 Azure 虛擬機器 (有時稱為跳板機)。 然後,您可以使用 Azure Bastion 連線到 VM。 Bastion 可讓您從本機網頁瀏覽器使用 RDP 或 SSH 工作階段連線到 VM。 然後,您可以使用跳板機作為開發環境。 由於其位於 VNet 內,因此可以直接存取工作區。

DNS 組態

DNS 設定的疑難排解步驟會根據您使用的是 Azure DNS 或自訂 DNS 而有所不同。 使用下列步驟來判斷您使用哪一個:

  1. Azure 入口網站 中,選取 Azure AI Foundry 的私人端點資源。 如果您不記得名稱,請選取您的 Azure AI Foundry 資源、 網路私人端點連線,然後選取 [私人端點 ] 連結。

    資源的私人端點連線之螢幕擷取畫面。

  2. 從 [概觀] 頁面中,選取 [網路介面] 連結。

    私人端點概觀的螢幕擷取畫面,顯目提示網路介面連結。

  3. 在 [設定] 底下,選取 [IP 組態],然後選取 [虛擬網路] 連結。

    IP 組態的螢幕擷取畫面,醒目提示虛擬網路連結。

  4. 從頁面左側的 [設定] 區段,選取 [DNS 伺服器] 項目。

    DNS 伺服器組態的螢幕擷取畫面。

    • 如果此值為 [預設 (由 Azure 提供)],則 VNet 會使用 Azure DNS。 跳至 [Azure DNS 疑難排解] 區段。
    • 如果列出不同的 IP 位址,則 VNet 會使用自訂 DNS 解決方案。 跳至 [自訂 DNS 疑難排解] 區段。

自訂 DNS 疑難排解

使用下列步驟來確認您的自訂 DNS 解決方案是否已正確解析 IP 位址的名稱:

  1. 從具有運作中私人端點連線的虛擬機器、膝上型電腦、桌上型電腦或其他計算資源,開啟網頁瀏覽器。 在瀏覽器中,使用 Azure 區域的 URL:

    Azure 區域 URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    由 21Vianet 營運的 Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false
    所有其他區域 https://portal.azure.com/?feature.privateendpointmanagedns=false
  2. 在入口網站中,選取專案的私人端點。 從 [DNS 設定] 區段中,列出私人端點的 FQDN 清單。

    私人端點的螢幕擷取畫面,醒目提示自訂 DNS 設定。

  3. 開啟命令提示字元、PowerShell 或其他命令列,並針對上一個步驟傳回的每個 FQDN 執行下列命令。 每次執行命令時,請確認傳回的 IP 位址符合 FQDN 入口網站中列出的 IP 位址:

    nslookup <fqdn>

    例如,執行 命令 nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms 會傳回類似下列文字的值:

    Server: yourdnsserver
    Address: yourdnsserver-IP-address
    
    Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
    Address: 10.0.0.4
    
  4. 如果 nslookup 命令傳回錯誤,或傳回在入口網站中顯示的不同 IP 位址,則表示未正確設定自訂 DNS 解決方案。

Azure DNS 疑難排解

使用 Azure DNS 進行名稱解析時,請使用下列步驟來確認已正確設定私人 DNS 整合:

  1. 在 [私人端點] 上,選取 [DNS 組態]。 對於 [私人 DNS 區域]資料行中的每個項目,也應該在 [DNS 區域群組] 資料行中有一個項目。

    DNS 組態的螢幕擷取畫面,醒目提示私人 DNS 區域和群組。

    • 如果有私人 DNS 區域項目,但沒有 DNS 區域群組項目,請刪除並重新建立私人端點。 重新建立私人端點時,請啟用私人 DNS 區域整合

    • 如果 [DNS 區域群組] 非空白,請選取 [私人 DNS 區域] 項目的連結。

      從私人 DNS 區域中,選取 [虛擬網路連結]。 VNet 應該有連結。 如果沒有,請刪除並重新建立私人端點。 重新建立時,請選取連結至 VNet 的私人 DNS 區域,或建立與其連結的新區域。

      私人 DNS 區域虛擬網路連結的螢幕擷取畫面。

  2. 對其餘私人 DNS 區域項目重複上述步驟。

瀏覽器設定 (DNS over HTTPS)

檢查網頁瀏覽器中是否已啟用 [DNS over HTTPS]。 [DNS over HTTPS] 會阻止 Azure DNS 以私人端點的 IP 位址回應。

  • Mozilla Firefox:如需詳細資訊,請參閱在 Firefox 中停用 DNS over HTTPS
  • Microsoft Edge:
    1. 在 [Edge] 中,選取 [...],然後選取 [設定]

    2. 從設定中搜尋 DNS,然後停用 [使用安全 DNS 指定如何查閱網站的網路位址]

      Microsoft Edge 中使用安全 DNS 設定的螢幕擷取畫面。

Proxy 組態

如果您使用 Proxy,則其可能會使您無法與受保護的專案通訊。 若要進行測試,請改為使用下列其中一個選項:

  • 暫時停用 Proxy 設定,並查看您是否可連線。
  • 建立 Proxy 自動設定 (PAC) 檔案,以允許直接存取私人端點上所列的 FQDN。 該檔案也應會允許直接存取任何計算執行個體的 FQDN。
  • 設定您的 Proxy 伺服器,將 DNS 要求轉送至 Azure DNS。
  • 確定 Proxy 允許連線到 AML API,例如 ".<region>.api.azureml.ms" and ".instances.azureml.ms"

針對連線到記憶體的設定進行疑難解答

建立專案時,系統會針對資料上傳案例和提示流程等成品儲存體,自動建立數個與 Azure 儲存體的連線。 當中樞相關聯的 Azure 儲存體帳戶將公用網路存取設定為「已停用」時,要建立的這些儲存體連線可能會發生延遲。

請嘗試下列步驟以進行疑難排解:

  1. 在 Azure 入口網站中,檢查與您的中樞相關聯的儲存體帳戶網路設定。
  • 如果公用網路存取設定為 [從選取的虛擬網络和IP位址啟用],請確定已新增正確的IP位址範圍來存取您的記憶體帳戶。
  • 如果公用網路存取設定為 [已停用],請確定您已將私人端點從 Azure 虛擬網络設定到記憶體帳戶,並將 [目標子資源] 設定為 Blob。 此外,您必須將記憶體帳戶私人端點的讀取者角色授與受控識別。
  1. 在 Azure 入口網站中,流覽至您的 AI Foundry 中樞。 請確定已布建受控虛擬網路,且 Blob 記憶體的輸出私人端點為作用中。 如需布建受控虛擬網路的詳細資訊,請參閱 如何為 Azure AI Foundry 中樞設定受控網路。
  2. 流覽至您的項目設定>的 AI Foundry>。
  3. 重新整理頁面。 應該建立許多連線,包括 'workspaceblobstore'。