Поделиться через


Устранение неполадок подключений к проекту с частной конечной точкой

Внимание

Элементы, обозначенные в этой статье как (предварительная версия), сейчас предлагаются в общедоступной предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.

При подключении к проекту, настроенному с помощью частной конечной точки, может возникнуть ошибка 403 или сообщение о том, что доступ запрещен. Используйте сведения, приведенные в этой статье, чтобы проверить наличие распространенных проблем с конфигурацией, которые могут вызвать эту ошибку.

Безопасное подключение к проекту

Чтобы подключиться к проекту, защищенному виртуальной сетью, используйте один из следующих методов:

  • VPN-шлюз Azure подключает локальные сети к виртуальной сети через частное подключение. Подключение осуществляется через общедоступный Интернет. Доступно два типа VPN-шлюзов.

    • "точка — сеть": каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети;
    • "сеть — сеть": VPN-устройство подключает виртуальную сеть к локальной сети.
  • ExpressRoute. Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.

  • Бастион Azure. В этом сценарии вы создаете виртуальную машину Azure (иногда называемую блоком перехода) в виртуальной сети. Затем вы подключаетесь к виртуальной машине с помощью Бастиона Azure. Бастион позволяет подключаться к виртуальной машине с помощью сеанса RDP или SSH из локального веб-браузера. Затем вы используете блок перехода в качестве среды разработки. Так как он находится внутри виртуальной сети, он имеет прямой доступ к рабочей области.

DNS configuration (Настройка DNS)

Действия по устранению неполадок для конфигурации DNS будут отличаться в зависимости от того, используете ли вы Azure DNS или пользовательскую службу DNS. Чтобы определить, какой из этих вариантов вы используете, сделайте следующее:

  1. В портал Azure выберите ресурс частной конечной точки для Azure AI Studio. Если вы не помните имя, выберите ресурс Azure AI Studio, сеть, подключения к частной конечной точке и выберите ссылку "Частная конечная точка ".

    Снимок экрана: подключения частной конечной точки для ресурса.

  2. На странице Обзор выберите ссылку Сетевой интерфейс.

    Снимок экрана: обзор частной конечной точки с выделенной ссылкой сетевого интерфейса.

  3. В разделе Параметры выберите IP-конфигурации и щелкните ссылку Виртуальная сеть.

    Снимок экрана: конфигурация IP с выделенной ссылкой виртуальной сети.

  4. В разделе Параметры в левой части страницы выберите запись DNS-серверы.

    Снимок экрана: конфигурация DNS-серверов.

Устранение неполадок с пользовательской службой DNS

Выполните следующие действия, чтобы убедиться, что пользовательское решение DNS правильно разрешает имена в IP-адреса:

  1. На виртуальной машине, ноутбуке, настольном компьютере или другом вычислительном ресурсе с рабочим подключением к частной конечной точке откройте веб-браузер. В браузере введите URL-адрес своего региона Azure:

    Регион Azure URL-адрес
    Azure для государственных организаций https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure под управлением 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Все другие регионы https://portal.azure.com/?feature.privateendpointmanagedns=false
  2. На портале выберите частную конечную точку проекта. В разделе конфигурации DNS сделайте список полных доменных имен, перечисленных для частной конечной точки.

    Снимок экрана: частная конечная точка с выделенными пользовательскими параметрами DNS.

  3. Откройте командную строку, PowerShell или другую командную строку и выполните следующую команду для каждого полного доменного имени, возвращенного на предыдущем шаге. При каждом выполнении команды убедитесь, что возвращенный IP-адрес соответствует IP-адресу, указанному на портале для полного доменного имени:

    nslookup <fqdn>

    Например, при выполнении команды nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms возвращается значение, аналогичное следующему тексту:

    Server: yourdnsserver
    Address: yourdnsserver-IP-address
    
    Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
    Address: 10.0.0.4
    
  4. nslookup Если команда возвращает ошибку или возвращает другой IP-адрес, отличный от отображаемого на портале, настраиваемое решение DNS не настроено правильно.

Руководство по устранению неполадок с Azure DNS

При использовании Azure DNS для разрешения имен выполните следующие действия, чтобы убедиться, что интеграция Частной зоны DNS настроена правильно:

  1. В частной конечной точке выберите Конфигурация DNS. Для каждой записи в столбце Частная зона DNS также должна присутствовать запись в столбце Группа зон DNS.

    Снимок экрана: конфигурация DNS с выделенной зоной и группой Частная зона DNS.

    • Если запись Частной зоны DNS присутствует, но отсутствует запись группы зон DNS, удалите и повторно создайте частную конечную точку. При повторном создании частной конечной точки включите интеграцию с Частной зоной DNS.

    • Если группа зон DNS не пуста, выберите ссылку для записи Частная зона DNS.

      В Частной зоне DNS выберите Связи виртуальных сетей. Вы должны увидеть связь с виртуальной сетью. Если ее нет, удалите и повторно создайте частную конечную точку. При повторном создании выберите Частную зону DNS, связанную с виртуальной сетью, или создайте новую, связанную с ней.

      Снимок экрана: ссылки виртуальной сети для зоны Частная зона DNS.

  2. Повторите предыдущие шаги для остальных записей Частной зоны DNS.

Конфигурация браузера (DNS по протоколу HTTPS)

Проверьте, включена ли служба DNS по протоколу HTTP в веб-браузере. DNS через HTTP может блокировать передачу IP-адреса частной конечной точки от Azure DNS.

  • Mozilla Firefox: дополнительные сведения см. на странице об отключении DNS по протоколу HTTPS в Firefox.
  • Microsoft Edge:
    1. В Edge выберите ..., а затем выберите "Параметры".

    2. В параметрах найдите DNS и отключите безопасный DNS, чтобы указать способ поиска сетевого адреса для веб-сайтов.

      Снимок экрана: использование безопасного параметра DNS в Microsoft Edge.

настройки прокси-сервера;

Если вы используете прокси-сервер, он может предотвратить взаимодействие с защищенным проектом. Чтобы протестировать это, воспользуйтесь одним из следующих вариантов:

  • Временно отключите параметр прокси-сервера и убедитесь, что вы можете подключиться.
  • Создайте файл автоматической настройки прокси-сервера (PAC), который разрешает прямой доступ к полным доменным именам, указанным в частной конечной точке. Он также должен разрешать прямой доступ к полному доменному имени для любых вычислительных экземпляров.
  • Настройте прокси-сервер для переадресации DNS-запросов в Azure DNS.
  • Убедитесь, что прокси-сервер разрешает подключения к API AML, например ".<region.api.azureml.ms> и ".instances.azureml.ms"

Устранение неполадок конфигураций при подключении к хранилищу

При создании проекта ряд подключений к хранилищу Azure автоматически создаются для сценариев отправки данных и хранилища артефактов, включая поток запроса. Если у связанной служба хранилища Azure учетной записи центра установлено значение "Отключено", может возникнуть задержка в этих подключениях к хранилищу.

Чтобы устранить неполадки, выполните следующие действия.

  1. На портале Azure проверьте параметры сети учетной записи хранения, связанной с центром.
  • Если для доступа к общедоступной сети задано значение "Включено" из выбранных виртуальных сетей и IP-адресов, убедитесь, что для доступа к учетной записи хранения добавляются правильные диапазоны IP-адресов.
  • Если для общедоступного сетевого доступа задано значение "Отключено", убедитесь, что у вас есть частная конечная точка, настроенная из виртуальной сети Azure в учетную запись хранения с целевым подресурсом в качестве большого двоичного объекта. Кроме того, необходимо предоставить роль читателя для частной конечной точки учетной записи хранения управляемому удостоверению.
  1. На портале Azure перейдите к центру AI Studio. Убедитесь, что управляемая виртуальная сеть подготовлена, а исходящая частная конечная точка в хранилище BLOB-объектов активна. Дополнительные сведения о подготовке управляемой виртуальной сети см. в статье "Настройка управляемой сети для центров Azure AI Studio".
  2. Перейдите в ai Studio > для параметров проекта > .
  3. Обновите страницу. Необходимо создать ряд подключений, включая workspaceblobstore.