針對具有私人端點的專案連線進行疑難排解
重要
本文中標示為 (預覽) 的項目目前處於公開預覽狀態。 此預覽版本沒有服務等級協定,不建議將其用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
連線到已使用私人端點設定的專案時,您可能會遇到 403 或表示禁止存取的訊息。 請使用本文中的資訊,來檢查可能造成此錯誤的常見設定問題。
安全地連線到專案
若要連線到在 VNet 後方受保護的專案,請使用下列其中一種方法:
Azure VPN 閘道 - 透過私人連線將內部部署網路連線到 VNet。 連線是透過公用網際網路所建立。 您可能會使用兩種類型的 VPN 閘道:
ExpressRoute - 透過私人連線將內部部署網路連線到雲端。 連線是透過連線提供者所建立。
Azure Bastion - 在此案例中,您會在 VNet 內建立 Azure 虛擬機器 (有時稱為跳板機)。 然後,您可以使用 Azure Bastion 連線到 VM。 Bastion 可讓您從本機網頁瀏覽器使用 RDP 或 SSH 工作階段連線到 VM。 然後,您可以使用跳板機作為開發環境。 由於其位於 VNet 內,因此可以直接存取工作區。
DNS 組態
DNS 設定的疑難排解步驟會根據您使用的是 Azure DNS 或自訂 DNS 而有所不同。 使用下列步驟來判斷您使用哪一個:
在 Azure 入口網站 中,選取 Azure AI Foundry 的私人端點資源。 如果您不記得名稱,請選取您的 Azure AI Foundry 資源、 網路、 私人端點連線,然後選取 [私人端點 ] 連結。
從 [概觀] 頁面中,選取 [網路介面] 連結。
在 [設定] 底下,選取 [IP 組態],然後選取 [虛擬網路] 連結。
從頁面左側的 [設定] 區段,選取 [DNS 伺服器] 項目。
自訂 DNS 疑難排解
使用下列步驟來確認您的自訂 DNS 解決方案是否已正確解析 IP 位址的名稱:
從具有運作中私人端點連線的虛擬機器、膝上型電腦、桌上型電腦或其他計算資源,開啟網頁瀏覽器。 在瀏覽器中,使用 Azure 區域的 URL:
Azure 區域 URL Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false 由 21Vianet 營運的 Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false 所有其他區域 https://portal.azure.com/?feature.privateendpointmanagedns=false 在入口網站中,選取專案的私人端點。 從 [DNS 設定] 區段中,列出私人端點的 FQDN 清單。
開啟命令提示字元、PowerShell 或其他命令列,並針對上一個步驟傳回的每個 FQDN 執行下列命令。 每次執行命令時,請確認傳回的 IP 位址符合 FQDN 入口網站中列出的 IP 位址:
nslookup <fqdn>
例如,執行 命令
nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
會傳回類似下列文字的值:Server: yourdnsserver Address: yourdnsserver-IP-address Name: df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms Address: 10.0.0.4
如果
nslookup
命令傳回錯誤,或傳回在入口網站中顯示的不同 IP 位址,則表示未正確設定自訂 DNS 解決方案。
Azure DNS 疑難排解
使用 Azure DNS 進行名稱解析時,請使用下列步驟來確認已正確設定私人 DNS 整合:
在 [私人端點] 上,選取 [DNS 組態]。 對於 [私人 DNS 區域]資料行中的每個項目,也應該在 [DNS 區域群組] 資料行中有一個項目。
對其餘私人 DNS 區域項目重複上述步驟。
瀏覽器設定 (DNS over HTTPS)
檢查網頁瀏覽器中是否已啟用 [DNS over HTTPS]。 [DNS over HTTPS] 會阻止 Azure DNS 以私人端點的 IP 位址回應。
- Mozilla Firefox:如需詳細資訊,請參閱在 Firefox 中停用 DNS over HTTPS。
- Microsoft Edge:
Proxy 組態
如果您使用 Proxy,則其可能會使您無法與受保護的專案通訊。 若要進行測試,請改為使用下列其中一個選項:
- 暫時停用 Proxy 設定,並查看您是否可連線。
- 建立 Proxy 自動設定 (PAC) 檔案,以允許直接存取私人端點上所列的 FQDN。 該檔案也應會允許直接存取任何計算執行個體的 FQDN。
- 設定您的 Proxy 伺服器,將 DNS 要求轉送至 Azure DNS。
- 確定 Proxy 允許連線到 AML API,例如 ".<region>.api.azureml.ms" and ".instances.azureml.ms"
針對連線到記憶體的設定進行疑難解答
建立專案時,系統會針對資料上傳案例和提示流程等成品儲存體,自動建立數個與 Azure 儲存體的連線。 當中樞相關聯的 Azure 儲存體帳戶將公用網路存取設定為「已停用」時,要建立的這些儲存體連線可能會發生延遲。
請嘗試下列步驟以進行疑難排解:
- 在 Azure 入口網站中,檢查與您的中樞相關聯的儲存體帳戶網路設定。
- 如果公用網路存取設定為 [從選取的虛擬網络和IP位址啟用],請確定已新增正確的IP位址範圍來存取您的記憶體帳戶。
- 如果公用網路存取設定為 [已停用],請確定您已將私人端點從 Azure 虛擬網络設定到記憶體帳戶,並將 [目標子資源] 設定為 Blob。 此外,您必須將記憶體帳戶私人端點的讀取者角色授與受控識別。
- 在 Azure 入口網站中,流覽至您的 AI Foundry 中樞。 請確定已布建受控虛擬網路,且 Blob 記憶體的輸出私人端點為作用中。 如需布建受控虛擬網路的詳細資訊,請參閱 如何為 Azure AI Foundry 中樞設定受控網路。
- 流覽至您的項目設定>的 AI Foundry>。
- 重新整理頁面。 應該建立許多連線,包括 'workspaceblobstore'。