Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При использовании рабочей области машинного обучения Azure (включая центры ИИ Azure) с частной конечной точкой существует несколько способов обработки разрешения DNS-имен. По умолчанию Azure автоматически управляет разрешением имен для вашей рабочей области и частной конечной точки. Если вы используете собственный пользовательский DNS-сервер, необходимо вручную создать записи DNS или использовать условные серверы пересылки для рабочей области.
Внимание
В этой статье объясняется, как найти полные доменные имена (FQDN) и IP-адреса для этих записей, если вы хотите вручную зарегистрировать записи DNS в решении DNS. Кроме того, в этой статье содержатся рекомендации архитектуры для настройки пользовательского решения DNS, чтобы автоматически разрешать полные доменные имена (FQDN) на правильные IP-адреса. В этой статье не содержатся сведения о настройке записей DNS для этих элементов. Сведения о добавлении записей см. в документации по программному обеспечению DNS.
Требования
- Виртуальная сеть Azure, использующая собственный DNS-сервер.
Рабочая область Машинное обучение Azure с частной конечной точкой, включая центральные рабочие области, такие как те, которые используются в Microsoft Foundry. Дополнительные сведения см. в разделе Создание рабочей области Машинного обучения Azure.
Если вы защищаете ресурсы зависимостей рабочей области с помощью виртуальной сети Azure, рекомендуется ознакомиться со статьей о сетевой изоляции во время обучения и вывода результатов.
- Рабочая область Машинного обучения Azure с частной конечной точкой. Дополнительные сведения см. в разделе Создание рабочей области Машинного обучения Azure.
- Знакомство с использованием сетевой изоляции во время обучения и вывода.
Знакомство с конфигурацией зоны DNS в частной конечной точке Azure
Знакомство с Частной зоной DNS Azure
Интерфейс командной строки Azure или Azure PowerShell (необязательно).
Автоматическая интеграция DNS-сервера
Введение
Две распространенные архитектуры используют автоматическую интеграцию DNS-сервера с Машинным обучением Azure:
- Пользовательский DNS-сервер, размещенный в виртуальной сети Azure.
- Пользовательский DNS-сервер, размещенный в локальной среде, подключенный к Машинному обучению Azure через ExpressRoute.
Архитектура может отличаться от этих примеров, но их можно использовать в качестве эталонных точек. Оба примера архитектуры предоставляют действия по устранению неполадок, которые помогают определить неправильно настроенные компоненты.
Вы также можете изменить hosts файл на клиенте, который подключается к виртуальной сети Azure (виртуальной сети), содержащей рабочую область. Для получения дополнительной информации см. раздел файл hosts.
Путь разрешения DNS рабочей области
Доступ к определенной рабочей области Azure Машинное обучение через частное соединение осуществляется путем связи со следующими полными квалифицированными доменами (называемыми полными квалифицированными доменами рабочей области):
Общедоступные регионы Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms<compute instance name>.<region the workspace was created in>.instances.azureml.ms-
<compute instance name>-22.<region the workspace was created in>.instances.azureml.ms— используется командойaz ml compute connect-sshдля подключения к вычислениям в частной виртуальной сети. ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net-
<managed online endpoint name>.<region>.inference.ml.azure.com— используется управляемыми подключенными конечными точками
Microsoft Azure, управляемый регионами 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn<compute instance name>.<region the workspace was created in>.instances.azureml.ms-
<compute instance name>-22.<region the workspace was created in>.instances.azureml.ms— используется командойaz ml compute connect-sshдля подключения к вычислениям в частной виртуальной сети. ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn-
<managed online endpoint name>.<region>.inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us<compute instance name>.<region the workspace was created in>.instances.azureml.us-
<compute instance name>-22.<region the workspace was created in>.instances.azureml.us— используется командойaz ml compute connect-sshдля подключения к вычислениям в частной виртуальной сети. ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net-
<managed online endpoint name>.<region>.inference.ml.azure.us— используется управляемыми подключенными конечными точками
Полные доменные имена разрешаются в следующие канонические имена (записи CNAME), называемые именами FQDN Приватного канала рабочей области.
Общедоступные регионы Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.msml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net-
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms— используется управляемыми подключенными конечными точками
Azure, управляемый компанией 21Vianet в регионах:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cnml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn-
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.usml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net-
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us— используется управляемыми подключенными конечными точками
Полные доменные имена (FQDN) разрешаются в IP-адреса рабочей области Машинного обучения Azure в этом регионе. Тем не менее разрешение полных доменных имен (FQDN) для Приватный канал рабочей области можно переопределить с помощью пользовательского DNS-сервера, размещенного в виртуальной сети. Пример этой архитектуры см. в примере пользовательского DNS-сервера, размещенного в виртуальной сети. Для центральных и проектных рабочих областей рабочие области проектов наследуют полные доменные имена из центральной рабочей области.
Примечание.
Управляемые сетевые конечные точки используют частную конечную точку рабочей области. Если вы вручную добавляете записи DNS в частную зону DNS privatelink.api.azureml.ms, необходимо добавить A-запись с подстановочным знаком *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms для маршрутизации всех конечных точек рабочего пространства на частную конечную точку.
Интеграция DNS-сервера вручную
В этом разделе рассматриваются полностью квалифицированные доменные имена для создания A-записей на DNS-сервере, а также IP-адрес, на который должна указывать A-запись.
Получение FQDN частной конечной точки
Общедоступный регион Azure
В следующем списке представлены имена FQDN, используемые рабочей областью, если она находится в общедоступном облаке Azure:
<workspace-GUID>.workspace.<region>.cert.api.azureml.ms<workspace-GUID>.workspace.<region>.api.azureml.msml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.netПримечание.
Название рабочей области для этого FQDN может быть обрезано. Усечение выполняется для того, чтобы длина
ml-<workspace-name, truncated>-<region>-<workspace-guid>не превышала 63 символа.<instance-name>.<region>.instances.azureml.msПримечание.
- Доступ к вычислительным экземплярам можно получить только в пределах виртуальной сети.
- IP-адрес для этого полного доменного имени не является IP-адресом экземпляра вычислительных ресурсов. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
*.api.azureml.ms).
<instance-name>-22.<region>.instances.azureml.ms— Используется только командойaz ml compute connect-sshдля подключения к вычислениям в частной виртуальной сети. Не требуется, если вы не используете управляемую сеть или подключения SSH.<managed online endpoint name>.<region>.inference.ml.azure.com— используется управляемыми подключенными конечными точкамиmodels.ai.azure.com— используется для развертываний бессерверных API
Microsoft Azure, управляемый регионом 21Vianet
Для Microsoft Azure используются следующие полные доменные имена, управляемые регионами 21Vianet:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn<workspace-GUID>.workspace.<region>.api.ml.azure.cnml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cnПримечание.
Название рабочей области для этого FQDN может быть обрезано. Усечение выполняется для того, чтобы длина
ml-<workspace-name, truncated>-<region>-<workspace-guid>не превышала 63 символа.<instance-name>.<region>.instances.azureml.ms- IP-адрес для этого полного доменного имени не является IP-адресом экземпляра вычислительных ресурсов. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
*.api.azureml.ms).
- IP-адрес для этого полного доменного имени не является IP-адресом экземпляра вычислительных ресурсов. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
<instance-name>-22.<region>.instances.azureml.ms— Используется только командойaz ml compute connect-sshдля подключения к вычислениям в частной виртуальной сети. Не требуется, если вы не используете управляемую сеть или подключения SSH.<managed online endpoint name>.<region>.inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Azure – Правительство США
Следующие полные доменные имена (FQDN) относятся к регионам Azure для правительств США.
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.us<workspace-GUID>.workspace.<region>.api.ml.azure.usml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.netПримечание.
Название рабочей области для этого FQDN может быть обрезано. Усечение выполняется для того, чтобы длина
ml-<workspace-name, truncated>-<region>-<workspace-guid>не превышала 63 символа.<instance-name>.<region>.instances.azureml.us- IP-адрес для этого полного доменного имени не является IP-адресом экземпляра вычислительных ресурсов. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
*.api.azureml.ms).
- IP-адрес для этого полного доменного имени не является IP-адресом экземпляра вычислительных ресурсов. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
<instance-name>-22.<region>.instances.azureml.us— Используется только командойaz ml compute connect-sshдля подключения к вычислениям в частной виртуальной сети. Не требуется, если вы не используете управляемую сеть или подключения SSH.<managed online endpoint name>.<region>.inference.ml.azure.us— используется управляемыми подключенными конечными точками
Поиск IP-адресов
Чтобы найти внутренние IP-адреса для полных имен доменов (FQDN) в виртуальной сети, используйте один из следующих методов:
Примечание.
Полные доменные имена и IP-адреса отличаются в зависимости от конфигурации. Например, значение GUID в доменном имени зависит от рабочей области.
Получить идентификатор сетевого интерфейса частной конечной точки можно с помощью следующей команды:
az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output tableЧтобы получить сведения об IP-адресе и полном доменном имени рабочей области или рабочей области концентратора, выполните следующую команду. Замените
<resource-id>идентификатором из предыдущего шага.az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIPAddress, FQDNs: privateLinkConnectionProperties.fqdns}'Результат будет аналогичен приведенному ниже:
[ { "FQDNs": [ "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms", "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms" ], "IPAddress": "10.1.0.5" }, { "FQDNs": [ "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net" ], "IPAddress": "10.1.0.6" }, { "FQDNs": [ "*.eastus.inference.ml.azure.com" ], "IPAddress": "10.1.0.7" } ]
Сведения, возвращаемые из всех методов, одинаковы. Список полных доменных имен и частных IP-адресов для ресурсов. Ниже приведен пример из общедоступного облака Azure:
| Полное доменное имя | IP-адрес |
|---|---|
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms |
10.1.0.5 |
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms |
10.1.0.5 |
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net |
10.1.0.6 |
*.eastus.inference.ml.azure.com |
10.1.0.7 |
В следующей таблице показаны примеры IP-адресов из Microsoft Azure, управляемых регионами 21Vianet:
| Полное доменное имя | IP-адрес |
|---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn |
10.1.0.5 |
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn |
10.1.0.6 |
*.chinaeast2.inference.ml.azure.cn |
10.1.0.7 |
В следующей таблице приведены примеры IP-адресов из регионов Azure для государственных организаций США:
| Полное доменное имя | IP-адрес |
|---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.usgovvirginia.api.ml.azure.us |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.usgovvirginia.cert.api.ml.azure.us |
10.1.0.5 |
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net |
10.1.0.6 |
*.usgovvirginia.inference.ml.azure.us |
10.1.0.7 |
Примечание.
Управляемые сетевые конечные точки используют частную конечную точку рабочей области. Если вы вручную добавляете записи DNS в частную зону DNS privatelink.api.azureml.ms, необходимо добавить A-запись с подстановочным знаком *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms для маршрутизации всех конечных точек рабочего пространства на частную конечную точку.
Создание записей A на пользовательском DNS-сервере
После получения списка имен FQDN и соответствующих IP-адресов перейдите к созданию записей на настроенном DNS-сервере. Чтобы определить, как создавать A-записи, обратитесь к документации вашего DNS-сервера. Рекомендуется создать уникальную зону для всего полного доменного имени и создать запись A в корне зоны.
Пример. Пользовательский DNS-сервер, размещенный в виртуальной сети
Эта архитектура использует обычную топологию виртуальной сети Hub and Spoke. Одна виртуальная сеть содержит DNS-сервер, а другая — частную конечную точку для рабочей области Машинного обучения Azure и связанных ресурсов. Между обеими виртуальными сетями должен быть допустимый маршрут. Например, с помощью ряда одноранговых виртуальных сетей.
На следующих шагах описывается, как работает эта топология:
Создайте Частную зону DNS и ссылку на виртуальную сеть DNS-сервера:
Первым шагом в обеспечении работы пользовательского решения DNS с рабочей областью Машинного обучения Azure является создание двух корневых Частных зон DNS в следующих доменах:
Общедоступные регионы Azure:
privatelink.api.azureml.msprivatelink.notebooks.azure.net
Microsoft Azure, управляемый регионами 21Vianet:
privatelink.api.ml.azure.cnprivatelink.notebooks.chinacloudapi.cn
Регионы Azure для государственных организаций США:
privatelink.api.ml.azure.usprivatelink.notebooks.usgovcloudapi.net
Примечание.
Управляемые сетевые конечные точки используют частную конечную точку рабочей области. Если вы вручную добавляете записи DNS в частную зону DNS
privatelink.api.azureml.ms, необходимо добавить A-запись с подстановочным знаком*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.msдля маршрутизации всех конечных точек рабочего пространства на частную конечную точку.После создания Частную зону DNS необходимо связать с виртуальной сетью DNS-сервера. Виртуальная сеть, содержащая DNS-сервер.
Частная зона DNS переопределяет разрешение имен для всех имен в корневой области зоны. Это переопределение применяется ко всем виртуальным сетям, с которыми связана Частная зона DNS. Например, если Частная зона DNS с корнем
privatelink.api.azureml.msсвязана с виртуальной сетью foo, все ресурсы в виртуальной сети foo, которые пытаются разрешитьbar.workspace.westus2.privatelink.api.azureml.ms, получают все записи, перечисленные в зонеprivatelink.api.azureml.ms.Однако записи, перечисленные в Частных зонах DNS, возвращаются только на устройства, которые обрабатывают доменные запросы с использованием IP-адреса виртуального сервера Azure DNS по умолчанию. Поэтому пользовательский DNS-сервер разрешает домены для устройств, распределенных по топологии сети. Но пользовательский DNS-сервер должен разрешать домены, связанные с Машинное обучение Azure, по IP-адресу виртуального сервера Azure DNS.
Создайте частную конечную точку с интеграцией частной DNS, нацеленной на Частную зону DNS, связанную с виртуальной сетью DNS-сервера:
Следующим шагом является создание частной конечной точки для рабочей области Машинного обучения Azure. Чaстная конечная точка нацелена на частные зоны DNS, созданные на шаге 1. Этот шаг обеспечивает, что все взаимодействие с рабочей областью происходит через приватную конечную точку в виртуальной сети Azure Машинного Обучения.
Внимание
Для правильной работы этого примера в частной конечной точке должна быть включена интеграция с Частной зоной DNS.
Создайте сервер условной пересылки на DNS-сервере для пересылки в Azure DNS:
Затем создайте сервер условной пересылки для виртуального сервера Azure DNS. Сервер условной пересылки гарантирует, что DNS-сервер всегда запрашивает IP-адрес виртуального сервера Azure DNS для получения имен FQDN, связанных с рабочей областью. Это означает, что DNS-сервер возвращает соответствующую запись из зоны Частная зона DNS.
Следующий список состоит из зон для условной пересылки. IP-адрес виртуального сервера Azure DNS — 168.63.129.16:
Общедоступные регионы Azure:
api.azureml.msnotebooks.azure.netinstances.azureml.msaznbcontent.net-
inference.ml.azure.com— используется управляемыми подключенными конечными точками
Microsoft Azure, управляемый регионами 21Vianet:
api.ml.azure.cnnotebooks.chinacloudapi.cninstances.azureml.msaznbcontent.net-
inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
api.ml.azure.usnotebooks.usgovcloudapi.netinstances.azureml.usaznbcontent.net-
inference.ml.azure.us— используется управляемыми подключенными конечными точками
Внимание
Действия по настройке DNS-сервера не включены здесь, так как здесь доступно множество решений DNS, которые можно использовать в качестве настраиваемого DNS-сервера. Сведения о том, как соответствующим образом настроить условную пересылку, см. в документации по вашему решению DNS.
Разрешение домена рабочей области:
На этом этапе все настройки завершены. Теперь любой клиент, использующий DNS-сервер для разрешения имен и имеющий маршрут к частной конечной точке Машинного обучения Azure, может получить доступ к рабочей области. Клиент сначала запрашивает у DNS-сервера адрес следующих FQDN:
Общедоступные регионы Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.msml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net-
<managed online endpoint name>.<region>.inference.ml.azure.com— используется управляемыми подключенными конечными точками
Microsoft Azure, управляемый регионами 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cnml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn-
<managed online endpoint name>.<region>.inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.usml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net-
<managed online endpoint name>.<region>.inference.ml.azure.us— используется управляемыми подключенными конечными точками
Azure DNS рекурсивно сопоставляет домен рабочей области с записью CNAME.
DNS-сервер разрешает FQDN в шаге 4 от Azure DNS. Azure DNS отвечает на один из доменов, перечисленных на шаге 1.
DNS-сервер рекурсивно разрешает запись CNAME домена рабочей области из Azure DNS:
DNS-сервер продолжает рекурсивно разрешать CNAME, полученный на шаге 5. Так как на шаге 3 была настроена условная пересылка, DNS-сервер отправляет запрос на IP-адрес виртуального сервера Azure DNS для разрешения.
Azure DNS возвращает записи из Частной зоны DNS:
Соответствующие записи, хранящиеся в зонах Частная зона DNS, возвращаются DNS-серверу, что означает, что виртуальный сервер Azure DNS возвращает IP-адреса частной конечной точки.
Пользовательский DNS-сервер сопоставляет имя домена рабочей области с частным адресом конечной точки:
В итоге пользовательский DNS-сервер возвращает IP-адреса частной конечной точки клиенту из шага 4. Это гарантирует, что весь трафик к рабочей области Машинного обучения Azure будет осуществляться через частную конечную точку.
Устранение неполадок
Если вы не можете получить доступ к рабочей области из виртуальной машины или происходят сбои выполнения заданий на вычислительных ресурсах в виртуальной сети, выполните следующие действия, чтобы определить причину.
Найдите FQDN рабочей области на частной конечной точке:
Перейдите на портал Azure с помощью одной из следующих ссылок:
- Общедоступные регионы Azure
- Microsoft Azure, управляемый регионами 21Vianet
- Регионы Azure для государственных организаций США
Перейдите к частной конечной точке рабочей области Машинного обучения Azure. Полное доменное имя рабочей области отображается на вкладке "Обзор".
Доступ к ресурсам вычислений в топологии виртуальной сети:
Перейдите к вычислительному ресурсу в топологии виртуальной сети Azure. Для этого, скорее всего, требуется доступ к виртуальной машине в виртуальной сети, которая подключена к центральной виртуальной сети.
Разрешение FQDN рабочей области:
Откройте командную строку, оболочку или PowerShell. Затем для каждого FQDN рабочей области выполните следующую команду:
nslookup <workspace FQDN>Результат каждого запуска программы nslookup должен возвращать один из двух частных IP-адресов в частной конечной точке в рабочую область Машинного обучения Azure. Если это не так, то в пользовательском решении DNS что-то неверно настроено.
Возможные причины:
- Вычислительный ресурс, выполняющий команды устранения неполадок, не использует DNS-сервер для разрешения DNS
- Выбранные при создании частной конечной точки частные зоны DNS не подключены к виртуальной сети DNS-сервера.
- Условные DNS пересылатели для IP-адреса виртуального сервера Azure DNS не настроены правильно.
Пример. Пользовательский DNS-сервер, размещенный в локальной среде
Эта архитектура использует обычную топологию виртуальной сети Hub and Spoke. ExpressRoute используется для подключения из локальной сети к виртуальной сети концентратора. Специальный DNS-сервер, размещён локально. Отдельная виртуальная сеть содержит закрытую конечную точку для рабочей области Машинного обучения Azure и связанных ресурсов. В этой топологии должна быть другая виртуальная сеть, в которой размещен DNS-сервер, который может отсылать запросы на IP-адрес виртуального сервера Azure DNS.
На следующих шагах описывается, как работает эта топология:
Создайте Частную зону DNS и ссылку на виртуальную сеть DNS-сервера:
Первым шагом в обеспечении работы пользовательского решения DNS с рабочей областью Машинного обучения Azure является создание двух корневых Частных зон DNS в следующих доменах:
Общедоступные регионы Azure:
privatelink.api.azureml.msprivatelink.notebooks.azure.net
Microsoft Azure, управляемый регионами 21Vianet:
privatelink.api.ml.azure.cnprivatelink.notebooks.chinacloudapi.cn
Регионы Azure для государственных организаций США:
privatelink.api.ml.azure.usprivatelink.notebooks.usgovcloudapi.net
Примечание.
Управляемые сетевые конечные точки используют частную конечную точку рабочей области. Если вы вручную добавляете записи DNS в частную зону DNS
privatelink.api.azureml.ms, необходимо добавить A-запись с подстановочным знаком*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.msдля маршрутизации всех конечных точек рабочего пространства на частную конечную точку.После создания частной зоны DNS необходимо связать её с виртуальной сетью DNS-сервера, которая содержит DNS-сервер.
Примечание.
DNS-сервер в виртуальной сети отделен от локального DNS-сервера.
Частная зона DNS переопределяет разрешение имен для всех имен в корневой области зоны. Это переопределение применяется ко всем виртуальным сетям, с которыми связана Частная зона DNS. Например, если частная зона DNS с корнем в
privatelink.api.azureml.msсвязана с виртуальной сетью foo, то все ресурсы в виртуальной сети foo, которые пытаются разрешитьbar.workspace.westus2.privatelink.api.azureml.ms, получают любые записи, перечисленные в зоне privatelink.api.azureml.ms.Однако записи, перечисленные в Частных зонах DNS, возвращаются только на устройства, которые обрабатывают доменные запросы с использованием IP-адреса виртуального сервера Azure DNS по умолчанию. IP-адрес виртуального сервера Azure DNS действителен только в контексте виртуальной сети. При использовании локального DNS-сервера не удается запросить IP-адрес виртуального сервера Azure DNS для получения записей.
Чтобы решить эту проблему, создайте промежуточный DNS-сервер в виртуальной сети. Этот DNS-сервер может запросить IP-адрес виртуального сервера Azure DNS, чтобы получить записи для любой Частной зоны DNS, связанной с виртуальной сетью.
Хотя локальный DNS-сервер разрешает домены для устройств, распределённых по всей топологии сети, он разрешает домены, связанные с Машинное обучение Azure, с DNS-сервером. DNS-сервер разрешает эти домены, используя IP-адрес виртуального сервера Azure DNS.
Создайте частную конечную точку с интеграцией частной DNS, нацеленной на Частную зону DNS, связанную с виртуальной сетью DNS-сервера:
Следующим шагом является создание частной конечной точки для рабочей области Машинного обучения Azure. Чaстная конечная точка нацелена на частные зоны DNS, созданные на шаге 1. Это гарантирует, что все взаимодействие с рабочей областью выполняется через частную конечную точку в виртуальной сети Машинного обучения Azure.
Внимание
Для правильной работы этого примера в частной конечной точке должна быть включена интеграция с Частной зоной DNS.
Создайте сервер условной пересылки на DNS-сервере для пересылки в Azure DNS:
Затем создайте сервер условной пересылки для виртуального сервера Azure DNS. Сервер условной пересылки гарантирует, что DNS-сервер всегда запрашивает IP-адрес виртуального сервера Azure DNS для получения имен FQDN, связанных с рабочей областью. Это означает, что DNS-сервер возвращает соответствующую запись из зоны Частная зона DNS.
Следующий список состоит из зон для условной пересылки. IP-адрес виртуального сервера Azure DNS — 168.63.129.16.
Общедоступные регионы Azure:
api.azureml.msnotebooks.azure.netinstances.azureml.msaznbcontent.net-
inference.ml.azure.com— используется управляемыми подключенными конечными точками
Microsoft Azure, управляемый регионами 21Vianet:
api.ml.azure.cnnotebooks.chinacloudapi.cninstances.azureml.msaznbcontent.net-
inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
api.ml.azure.usnotebooks.usgovcloudapi.netinstances.azureml.usaznbcontent.net-
inference.ml.azure.us— используется управляемыми подключенными конечными точками
Внимание
Действия по настройке DNS-сервера не включены здесь, так как здесь доступно множество решений DNS, которые можно использовать в качестве настраиваемого DNS-сервера. Сведения о том, как соответствующим образом настроить условную пересылку, см. в документации по вашему решению DNS.
Создайте сервер условной пересылки на локальном DNS-сервере для пересылки на DNS-сервер:
Затем создайте сервер условной пересылки для DNS-сервера в виртуальной сети DNS-сервера. Этот пересылщик предназначен для зон, перечисленных на шаге 1. Это похоже на шаг 3, но вместо перенаправления на IP-адрес виртуального сервера Azure DNS локальный DNS-сервер предназначен для IP-адреса DNS-сервера. Так как локальный DNS-сервер не расположен в Azure, он не может напрямую разрешать записи в частных DNS-зонах. В этом случае DNS-сервер действует как прокси-сервер, передавая запросы с локального DNS-сервера на IP-адрес виртуального сервера Azure DNS. Это позволяет локальному DNS-серверу получать записи в Частных зонах DNS, связанных с виртуальной сетью DNS-сервера.
Следующий список — это зоны для условной пересылки. IP-адреса, на которые выполняется пересылка, — это IP-адреса DNS-серверов:
Общедоступные регионы Azure:
api.azureml.msnotebooks.azure.netinstances.azureml.ms-
inference.ml.azure.com— используется управляемыми подключенными конечными точками
Microsoft Azure, управляемый регионами 21Vianet:
api.ml.azure.cnnotebooks.chinacloudapi.cninstances.azureml.ms-
inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
api.ml.azure.usnotebooks.usgovcloudapi.netinstances.azureml.us-
inference.ml.azure.us— используется управляемыми подключенными конечными точками
Внимание
Действия по настройке DNS-сервера не включены здесь, так как здесь доступно множество решений DNS, которые можно использовать в качестве настраиваемого DNS-сервера. Сведения о том, как соответствующим образом настроить условную пересылку, см. в документации по вашему решению DNS.
Разрешение домена рабочей области:
На этом этапе все настройки завершены. Любой клиент, использующий локальный DNS-сервер для разрешения имен и имеющий маршрут к частной конечной точке Машинного обучения Azure, может получить доступ к рабочей области.
Клиент начинает с запроса внутреннего DNS-сервера об адресе следующих полных доменных имен:
Общедоступные регионы Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.msml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net-
<managed online endpoint name>.<region>.inference.ml.azure.com— используется управляемыми подключенными конечными точками
Microsoft Azure, управляемый регионами 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cnml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn-
<managed online endpoint name>.<region>.inference.ml.azure.cn— используется управляемыми подключенными конечными точками
Регионы Azure для государственных организаций США:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.usml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net-
<managed online endpoint name>.<region>.inference.ml.azure.us— используется управляемыми подключенными конечными точками
Локальный DNS-сервер рекурсивно сопоставляет домен рабочей области.
Локальный DNS-сервер разрешает полное доменное имя из шага 5 с помощью DNS-сервера. Так как есть условный сервер пересылки (шаг 4), локальный DNS-сервер отправляет запрос DNS-серверу для разрешения.
DNS-сервер сопоставляет домен рабочей области с записью CNAME из Azure DNS.
DNS-сервер разрешает полные доменные имена на шаге 5 с использованием Azure DNS. Azure DNS отвечает на один из доменов, перечисленных на шаге 1.
Локальный DNS-сервер рекурсивно разрешает CNAME-запись домена рабочей области с DNS-сервера
Локальный DNS-сервер продолжает рекурсивно разрешать CNAME, полученный на шаге 7. Так как на шаге 4 был настроен условный сервер пересылки, локальный DNS-сервер отправляет запрос DNS-серверу для разрешения.
DNS-сервер рекурсивно разрешает запись CNAME домена рабочей области из Azure DNS:
DNS-сервер продолжает рекурсивно разрешать CNAME, полученное на шаге 7. Так как на шаге 3 была настроена условная пересылка, DNS-сервер отправляет запрос на IP-адрес виртуального сервера Azure DNS для разрешения.
Azure DNS возвращает записи из Частной зоны DNS:
Соответствующие записи, хранящиеся в зонах Частная зона DNS, возвращаются DNS-серверу, что означает, что виртуальный сервер Azure DNS возвращает IP-адреса частной конечной точки.
Локальный DNS-сервер сопоставляет имя домена рабочей области с частным адресом конечной точки:
Запрос от локального DNS-сервера к DNS-серверу на шаге 8 в конечном итоге возвращает IP-адреса, связанные с частной конечной точкой, в рабочую область Машинного обучения Azure. Эти IP-адреса возвращаются исходному клиенту, который теперь взаимодействует с рабочей областью Машинное обучение Azure через частную конечную точку, настроенную на шаге 1.
Внимание
Если VPN-шлюз используется в этой настройке, а также пользовательские IP-адреса DNS-сервера в виртуальной сети, то IP-адрес Azure DNS (168.63.129.16) должен быть добавлен в список, а также для поддержания неразрывной связи.
Пример: файл Hosts
Файл hosts представляет собой текстовый документ, который ОС Linux, macOS и Windows используют при переопределении сопоставления имен для локального компьютера. Этот файл содержит список IP-адресов и соответствующих имен узлов. Если локальный компьютер пытается сопоставить имя узла и это имя узла указано в файле hosts, оно будет сопоставлено с соответствующим IP-адресом.
Внимание
Файл hosts переопределяет разрешение имен только для локального компьютера. Если нужно использовать файл hosts для нескольких компьютеров, необходимо изменить его отдельно на каждом компьютере.
В приведенной ниже таблице указаны расположения файла hosts.
| Операционная система | Расположение |
|---|---|
| Линукс | /etc/hosts |
| macOS | /etc/hosts |
| Виндоус | %SystemRoot%\System32\drivers\etc\hosts |
Совет
Файл имеет имя hosts без расширения. При редактировании файла используйте права доступа администратора. Например, в ОС Linux или macOS можно использовать команду sudo vi. В ОС Windows запустите блокнот от имени администратора.
Следующий текст является примером hosts записей файлов для Машинное обучение Azure:
# For core Azure Machine Learning hosts
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6 ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net
# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7 mymanagedendpoint.eastus.inference.ml.azure.com
# For a compute instance named 'mycomputeinstance'
10.1.0.5 mycomputeinstance.eastus.instances.azureml.ms
Дополнительные сведения о файле hosts см. в разделе https://wikipedia.org/wiki/Hosts_(file).
Разрешение DNS для служб зависимостей
Службы, от которых зависит рабочая область, также могут быть защищены с помощью частной конечной точки. В этом случае может потребоваться создать пользовательскую запись DNS, если необходимо напрямую взаимодействовать со службой. Например, если вы хотите напрямую работать с данными в учетной записи хранения Azure, используемой рабочей областью.
Примечание.
Некоторые службы имеют несколько частных конечных точек для вложенных служб или функций. Например, учетная запись хранения в Azure может иметь отдельные частные конечные точки для Blob, File и DFS. Если вам нужен доступ как к хранилищу BLOB-объектов, так и к хранилищу файлов, необходимо включить разрешение для каждой конкретной частной конечной точки.
Примечание.
Если рабочая область интегрирована с Microsoft Foundry или использует ресурсы служб ИИ Azure, эти ресурсы требуют трех частных зон DNS и соответствующих условных серверов пересылки: cognitiveservices.azure.comи openai.azure.comservices.ai.azure.com. Для каждой из них создайте частную зону DNS с помощью privatelink.* префикса (например, privatelink.services.ai.azure.com) и настройте условный переадресатор, указывающий на IP-адрес виртуального сервера Azure DNS (168.63.129.16).
Дополнительные сведения о службах и разрешении DNS см. в разделе Конфигурация DNS частной конечной точки Azure.
Устранение неполадок
Если после выполнения описанных выше действий не удается получить доступ к рабочей области из виртуальной машины или задания завершаются сбоем на вычислительных ресурсах в виртуальной сети, содержащей частную конечную точку в рабочую область Машинное обучение Azure, выполните следующие действия, чтобы попытаться определить причину.
Найдите FQDN рабочей области на частной конечной точке:
Перейдите на портал Azure с помощью одной из следующих ссылок:
- Общедоступные регионы Azure
- Microsoft Azure, управляемый регионами 21Vianet
- Регионы Azure для государственных организаций США
Перейдите к частной конечной точке рабочей области Машинного обучения Azure. Полное доменное имя рабочей области отображается на вкладке "Обзор".
Доступ к ресурсам вычислений в топологии виртуальной сети:
Перейдите к вычислительному ресурсу в топологии виртуальной сети Azure. Для этого, скорее всего, требуется доступ к виртуальной машине в виртуальной сети, которая подключена к центральной виртуальной сети.
Разрешение FQDN рабочей области:
Откройте командную строку, оболочку или PowerShell. Затем для каждого FQDN рабочей области выполните следующую команду:
nslookup <workspace FQDN>Результат каждого запуска программы nslookup должен возвращать один из двух частных IP-адресов в частной конечной точке в рабочую область Машинного обучения Azure. Если это не так, то в пользовательском решении DNS что-то неверно настроено.
Возможные причины:
- Вычислительный ресурс, выполняющий команды устранения неполадок, не использует DNS-сервер для разрешения DNS
- Выбранные при создании частной конечной точки частные зоны DNS не подключены к виртуальной сети DNS-сервера.
- Условные перенаправления с DNS-сервера на IP-адрес виртуального сервера Azure DNS не настроены правильно
- Условные пересылатели с локального DNS-сервера на удалённый DNS-сервер настроены неправильно.
Связанный контент
Сведения об интеграции частных конечных точек в конфигурацию DNS см. в статье Конфигурация DNS частной конечной точки Azure.