Устранение неполадок подключений к проекту с частной конечной точкой
Внимание
Элементы, обозначенные в этой статье как (предварительная версия), сейчас предлагаются в общедоступной предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
При подключении к проекту, настроенному с помощью частной конечной точки, может возникнуть ошибка 403 или сообщение о том, что доступ запрещен. Используйте сведения, приведенные в этой статье, чтобы проверить наличие распространенных проблем с конфигурацией, которые могут вызвать эту ошибку.
Безопасное подключение к проекту
Чтобы подключиться к проекту, защищенному виртуальной сетью, используйте один из следующих методов:
VPN-шлюз Azure подключает локальные сети к виртуальной сети через частное подключение. Подключение осуществляется через общедоступный Интернет. Доступно два типа VPN-шлюзов.
- "точка — сеть": каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети;
- "сеть — сеть": VPN-устройство подключает виртуальную сеть к локальной сети.
ExpressRoute. Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.
Бастион Azure. В этом сценарии вы создаете виртуальную машину Azure (иногда называемую блоком перехода) в виртуальной сети. Затем вы подключаетесь к виртуальной машине с помощью Бастиона Azure. Бастион позволяет подключаться к виртуальной машине с помощью сеанса RDP или SSH из локального веб-браузера. Затем вы используете блок перехода в качестве среды разработки. Так как он находится внутри виртуальной сети, он имеет прямой доступ к рабочей области.
DNS configuration (Настройка DNS)
Действия по устранению неполадок для конфигурации DNS будут отличаться в зависимости от того, используете ли вы Azure DNS или пользовательскую службу DNS. Чтобы определить, какой из этих вариантов вы используете, сделайте следующее:
В портал Azure выберите ресурс частной конечной точки для Azure AI Studio. Если вы не помните имя, выберите ресурс Azure AI Studio, сеть, подключения к частной конечной точке и выберите ссылку "Частная конечная точка ".
На странице Обзор выберите ссылку Сетевой интерфейс.
В разделе Параметры выберите IP-конфигурации и щелкните ссылку Виртуальная сеть.
В разделе Параметры в левой части страницы выберите запись DNS-серверы.
- Если это значение имеет значение Default (предоставлено Azure), виртуальная сеть использует Azure DNS. Перейдите к разделу Устранение неполадок с Azure DNS.
- Если указан другой IP-адрес, виртуальная сеть использует пользовательское решение DNS. Перейдите к разделу Устранение неполадок с пользовательской службой DNS.
Устранение неполадок с пользовательской службой DNS
Выполните следующие действия, чтобы убедиться, что пользовательское решение DNS правильно разрешает имена в IP-адреса:
На виртуальной машине, ноутбуке, настольном компьютере или другом вычислительном ресурсе с рабочим подключением к частной конечной точке откройте веб-браузер. В браузере введите URL-адрес своего региона Azure:
Регион Azure URL-адрес Azure для государственных организаций https://portal.azure.us/?feature.privateendpointmanagedns=false Microsoft Azure под управлением 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false Все другие регионы https://portal.azure.com/?feature.privateendpointmanagedns=false На портале выберите частную конечную точку проекта. В разделе конфигурации DNS сделайте список полных доменных имен, перечисленных для частной конечной точки.
Откройте командную строку, PowerShell или другую командную строку и выполните следующую команду для каждого полного доменного имени, возвращенного на предыдущем шаге. При каждом выполнении команды убедитесь, что возвращенный IP-адрес соответствует IP-адресу, указанному на портале для полного доменного имени:
nslookup <fqdn>
Например, при выполнении команды
nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
возвращается значение, аналогичное следующему тексту:Server: yourdnsserver Address: yourdnsserver-IP-address Name: df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms Address: 10.0.0.4
nslookup
Если команда возвращает ошибку или возвращает другой IP-адрес, отличный от отображаемого на портале, настраиваемое решение DNS не настроено правильно.
Руководство по устранению неполадок с Azure DNS
При использовании Azure DNS для разрешения имен выполните следующие действия, чтобы убедиться, что интеграция Частной зоны DNS настроена правильно:
В частной конечной точке выберите Конфигурация DNS. Для каждой записи в столбце Частная зона DNS также должна присутствовать запись в столбце Группа зон DNS.
Если запись Частной зоны DNS присутствует, но отсутствует запись группы зон DNS, удалите и повторно создайте частную конечную точку. При повторном создании частной конечной точки включите интеграцию с Частной зоной DNS.
Если группа зон DNS не пуста, выберите ссылку для записи Частная зона DNS.
В Частной зоне DNS выберите Связи виртуальных сетей. Вы должны увидеть связь с виртуальной сетью. Если ее нет, удалите и повторно создайте частную конечную точку. При повторном создании выберите Частную зону DNS, связанную с виртуальной сетью, или создайте новую, связанную с ней.
Повторите предыдущие шаги для остальных записей Частной зоны DNS.
Конфигурация браузера (DNS по протоколу HTTPS)
Проверьте, включена ли служба DNS по протоколу HTTP в веб-браузере. DNS через HTTP может блокировать передачу IP-адреса частной конечной точки от Azure DNS.
- Mozilla Firefox: дополнительные сведения см. на странице об отключении DNS по протоколу HTTPS в Firefox.
- Microsoft Edge:
настройки прокси-сервера;
Если вы используете прокси-сервер, он может предотвратить взаимодействие с защищенным проектом. Чтобы протестировать это, воспользуйтесь одним из следующих вариантов:
- Временно отключите параметр прокси-сервера и убедитесь, что вы можете подключиться.
- Создайте файл автоматической настройки прокси-сервера (PAC), который разрешает прямой доступ к полным доменным именам, указанным в частной конечной точке. Он также должен разрешать прямой доступ к полному доменному имени для любых вычислительных экземпляров.
- Настройте прокси-сервер для переадресации DNS-запросов в Azure DNS.
- Убедитесь, что прокси-сервер разрешает подключения к API AML, например ".<region.api.azureml.ms> и ".instances.azureml.ms"
Устранение неполадок конфигураций при подключении к хранилищу
При создании проекта ряд подключений к хранилищу Azure автоматически создаются для сценариев отправки данных и хранилища артефактов, включая поток запроса. Если у связанной служба хранилища Azure учетной записи центра установлено значение "Отключено", может возникнуть задержка в этих подключениях к хранилищу.
Чтобы устранить неполадки, выполните следующие действия.
- На портале Azure проверьте параметры сети учетной записи хранения, связанной с центром.
- Если для доступа к общедоступной сети задано значение "Включено" из выбранных виртуальных сетей и IP-адресов, убедитесь, что для доступа к учетной записи хранения добавляются правильные диапазоны IP-адресов.
- Если для общедоступного сетевого доступа задано значение "Отключено", убедитесь, что у вас есть частная конечная точка, настроенная из виртуальной сети Azure в учетную запись хранения с целевым подресурсом в качестве большого двоичного объекта. Кроме того, необходимо предоставить роль читателя для частной конечной точки учетной записи хранения управляемому удостоверению.
- На портале Azure перейдите к центру AI Studio. Убедитесь, что управляемая виртуальная сеть подготовлена, а исходящая частная конечная точка в хранилище BLOB-объектов активна. Дополнительные сведения о подготовке управляемой виртуальной сети см. в статье "Настройка управляемой сети для центров Azure AI Studio".
- Перейдите в ai Studio > для параметров проекта > .
- Обновите страницу. Необходимо создать ряд подключений, включая workspaceblobstore.