كيفية استخدام مساحة العمل الخاصة بك مع خادم DNS مخصص

عند استخدام مساحة عمل التعلم الآلي من Azure مع نقطة نهاية خاصة، هناك عدة طرق للتعامل مع تحليل اسم DNS. بشكل افتراضي، يعالج Azure تحليل الاسم لمساحة العمل ونقطة النهاية الخاصة تلقائيًا. إذا كنت تستخدم خادم DNS المخصص الخاص بك، فيجب عليك إنشاء إدخالات DNS يدويًا أو استخدام معيدات التوجيه الشرطية لمساحة العمل.

هام

تتناول هذه المقالة كيفية العثور على أسماء المجالات المؤهلة بالكامل (FQDN) وعناوين IP لهذه الإدخالات إذا كنت ترغب في تسجيل سجلات DNS يدويًا في حل DNS خاصتك. بالإضافة إلى ذلك، توفر هذه المقالة توصيات هيكلية لكيفية تكوين حل DNS المخصص لحل أسماء FQDN تلقائيًا إلى عناوين IP الصحيحة. لا توفر هذه المقالة معلومات حول تكوين سجلات DNS لهذه العناصر. راجع وثائق برنامج DNS للحصول على معلومات حول كيفية إضافة سجلات.

تلميح

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة:

• Virtual network overview

• تأمين موارد مساحة العمل
• تأمين بيئة التدريب
• تأمين بيئة الاستدلال

• تمكين وظيفة الاستوديو
• استخدام جدار حماية

المتطلبات الأساسية

• شبكة Azure الظاهرية التي تستخدم خادم DNS خاصتك.

• مساحة عمل التعلم الآلي من Azure بنقطة نهاية خاصة. لمزيد من المعلومات، راجع إنشاء مساحة عمل التعلم الآلي من Azure.

• الإلمام باستخدام عزل الشبكة أثناء التدريب والاستدلال.

• الإلمام بتكوين المنطقة لنظام Azure Private Endpoint DNS

• الإلمام بنظام Azure Private DNS

• تثبيت Azure CLI أو Azure PowerShell.

تكامل خادم DNS التلقائي

مقدمة

هناك بنيتان شائعتان لاستخدام تكامل خادم DNS التلقائي مع التعلم الآلي من Azure:

• خادم DNS مخصص مستضاف في شبكة ظاهرية من Azure.
• خادم DNS مخصص مستضاف محليًا، متصل بالتعلم الآلي من Azure من خلال ExpressRoute.

بينما قد تختلف بنيتك عن هذه الأمثلة، يمكنك استخدامها كنقطة مرجعية. يوفر كلا المثالين من البنيات خطوات لاستكشاف الأخطاء وإصلاحها يمكن أن تساعدك على تحديد المكونات التي قد يتم تكوينها بشكل خاطئ.

هناك خيار آخر وهو تعديل ملف hosts على العميل المتصل بشبكة Azure الظاهرية (VNet) التي تحتوي على مساحة العمل خاصتك. لمزيد من المعلومات، راجع قسم ملف المضيف.

مسار تحليل DNS لمساحة العمل

يتم الوصول إلى مساحة عمل التعلم الآلي من Azure عبر الرابط الخاص من خلال التواصل مع المجالات المؤهلة بالكامل التالية (تسمى مجالات FQDN لمساحة العمل) المدرجة أدناه:

مناطق Azure العامة:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

Microsoft Azure المشغل بواسطة 21Vianet regions:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

مناطق Azure US Government:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

يتم حل المجالات المؤهلة بالكامل إلى الأسماء المتعارف عليها التالية (CNAME) والتي تسمى أسماء Private Link FQDN لمساحة العمل:

مناطق Azure العامة:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

Azure التي تديرها 21 منطقةVianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

مناطق Azure US Government:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

يتم حل FQDNs إلى عناوين IP لمساحة عمل التعلم الآلي من Azure في تلك المنطقة. ومع ذلك، يمكن تجاوز تحليل أسماء Private Link FQDN لمساحة العمل باستخدام خادم DNS مخصص مستضاف في الشبكة الظاهرية. للحصول على مثال لهذه البنية، راجع المثال خادم DNS المخصص المستضاف في شبكة ظاهرية.

إشعار

تشترك نقاط النهاية المدارة عبر الإنترنت في نقطة النهاية الخاصة بمساحة العمل. إذا كنت تضيف سجلات DNS يدويا إلى منطقة privatelink.api.azureml.msDNS الخاصة ، فيجب إضافة سجل مع حرف بدل *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms لتوجيه جميع نقاط النهاية ضمن مساحة العمل إلى نقطة النهاية الخاصة.

تكامل خادم DNS اليدوي

يناقش هذا القسم المجالات المؤهلة بالكامل لإنشاء سجلات A في خادم DNS، وأي عنوان IP لتعيين قيمة السجل A.

استرداد أسماء FQDN لنقطة النهاية الخاصة

المناطق العامة في Azure

تحتوي القائمة التالية على أسماء المجالات المؤهلة بالكامل (FQDN) المستخدمة بواسطة مساحة العمل الخاصة بك إذا كانت موجودة في Azure Public Cloud:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  إشعار

  قد يتم اقتطاع اسم مساحة العمل لاسم FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> عند 63 حرفًا أو أقل.

• <instance-name>.<region>.instances.azureml.ms

  إشعار

  • لا يمكن الوصول إلى مثيلات الحوسبة إلا من داخل الشبكة الظاهرية.
  • عنوان IP لاسم FQDN هذا ليس هو عنوان IP لمثيل الحوسبة. بدلاً من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP لإدخالات *.api.azureml.ms.)

• <managed online endpoint name>.<region>.inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

Microsoft Azure المشغل بواسطة منطقة 21Vianet

FQDNs التالية مخصصة ل Microsoft Azure التي تديرها مناطق 21Vianet:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  إشعار

  قد يتم اقتطاع اسم مساحة العمل لاسم FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> عند 63 حرفًا أو أقل.

• <instance-name>.<region>.instances.azureml.cn

  • عنوان IP لاسم FQDN هذا ليس هو عنوان IP لمثيل الحوسبة. بدلاً من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP لإدخالات *.api.azureml.ms.)

• <managed online endpoint name>.<region>.inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

Azure حكومة الولايات المتحدة

أسماء FQDN التالية مخصصة لمناطق Azure US Government:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  إشعار

  قد يتم اقتطاع اسم مساحة العمل لاسم FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> عند 63 حرفًا أو أقل.

• <instance-name>.<region>.instances.azureml.us

  • عنوان IP لاسم FQDN هذا ليس هو عنوان IP لمثيل الحوسبة. بدلاً من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP لإدخالات *.api.azureml.ms.)

• <managed online endpoint name>.<region>.inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

البحث عن عناوين IP

للعثور على عناوين IP الداخلية لأسماء FQDN في الشبكة الظاهرية، استخدم إحدى الطرق التالية:

إشعار

ستكون أسماء المجالات المؤهلة بالكامل وعناوين IP مختلفة بناء على التكوين خاصك. على سبيل المثال، ستكون قيمة GUID في اسم المجال خاصة بمساحة العمل خاصتك.

Azure CLI

1. للحصول على معرف واجهة شبكة نقطة النهاية الخاصة، استخدم الأمر التالي:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. للحصول على عنوان IP ومعلومات FQDN، استخدم الأمر التالي. استبدل <resource-id> بالمعرف من الخطوة السابقة:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   سيكون المُخرج مشابهًا للنص التالي:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

مدخل Microsoft Azure

1. من خلال مدخل Azure، حدد مساحة عمل التعلم الآلي من Azure.

2. من قسم الإعدادات، حدد اتصالات نقطة النهاية الخاصة.

3. حدد الارتباط في عمود نقطة النهاية الخاصة الذي يتم عرضه.

4. توجد قائمة بأسماء المجالات المؤهلة بالكامل (FQDN) وعناوين IP لنقطة النهاية الخاصة بمساحة العمل في أسفل الصفحة.

   

   تلميح

   إذا لم تظهر إعدادات DNS في أسفل الصفحة، فاستخدم ارتباط تكوين DNS من الجانب الأيسر من الصفحة لعرض أسماء FQDN.

المعلومات التي يتم إرجاعها من جميع الأساليب هي نفسها؛ قائمة FQDN وعنوان IP الخاص للموارد. المثال التالي من Azure Public Cloud:

FQDN	عنوان IP
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

يعرض الجدول التالي أمثلة على عناوين IP من Microsoft Azure التي تديرها مناطق 21Vianet:

FQDN	عنوان IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

يعرض الجدول التالي أمثلة على عناوين IP من مناطق Azure China:

FQDN	عنوان IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

إشعار

تشترك نقاط النهاية المدارة عبر الإنترنت في نقطة النهاية الخاصة لمساحة العمل. إذا كنت تضيف سجلات DNS يدويا إلى منطقة privatelink.api.azureml.msDNS الخاصة ، فيجب إضافة سجل مع حرف بدل *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms لتوجيه جميع نقاط النهاية ضمن مساحة العمل إلى نقطة النهاية الخاصة.

إنشاء سجلات A في خادم DNS المخصص

بمجرد جمع قائمة أسماء FQDN وعناوين IP المقابلة، تابع لإنشاء سجلات A في خادم DNS المكوَّن. راجع الوثائق الخاصة بخادم DNS لتحديد كيفية إنشاء سجلات A. لاحظ أنه من المستحسن إنشاء منطقة فريدة لاسم FQDN بأكمله، وإنشاء سجل A في جذر المنطقة.

مثال: خادم DNS مخصص مستضاف في الشبكة الظاهرية

تستخدم هذه البنية مخطط النظام المحوري الشائع استخدامه في الشبكة الظاهرية. تحتوي شبكة ظاهرية واحدة على خادم DNS وتحتوي أخرى على نقطة النهاية الخاصة لمساحة عمل التعلم الآلي من Azure والموارد المقترنة. يجب أن يكون هناك مسار صالح بين كلتا الشبكتين الظاهريتين. على سبيل المثال، من خلال سلسلة من الشبكات الظاهرية النظيرة.

تصف الخطوات التالية كيفية عمل هذا المخطط:

1. إنشاء منطقة DNS خاصة والارتباط بالشبكة الظاهرية لخادم DNS:

   الخطوة الأولى في ضمان عمل حل DNS مخصص مع مساحة عمل التعلم الآلي من Azure هي إنشاء منطقتي DNS خاصتين متجذرة في المجالات التالية:

   مناطق Azure العامة:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   مناطق Azure US Government:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   إشعار

   تشترك نقاط النهاية المدارة عبر الإنترنت في نقطة النهاية الخاصة لمساحة العمل. إذا كنت تضيف سجلات DNS يدويا إلى منطقة privatelink.api.azureml.msDNS الخاصة ، فيجب إضافة سجل مع حرف بدل *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms لتوجيه جميع نقاط النهاية ضمن مساحة العمل إلى نقطة النهاية الخاصة.

   بعد إنشاء منطقة DNS الخاصة، يجب ربطها بالشبكة الظاهرية لخادم DNS. الشبكة الظاهرية التي تحتوي على خادم DNS.

   تتجاوز منطقة DNS الخاصة تحليل الاسم لجميع الأسماء الموجودة ضمن نطاق جذر المنطقة. ينطبق هذا التجاوز على كافة الشبكات الظاهرية التي ترتبط بها منطقة DNS الخاصة. على سبيل المثال، إذا كانت منطقة DNS الخاصة المتجذرة في privatelink.api.azureml.ms مرتبطة بشبكة ظاهرية، فإن جميع الموارد في الشبكة الظاهرية التي تحاول حل bar.workspace.westus2.privatelink.api.azureml.ms ستتلقى أي سجل مدرج في منطقة privatelink.api.azureml.ms.

   ومع ذلك، لا يتم إرجاع السجلات المدرجة في مناطق DNS الخاصة إلا إلى الأجهزة التي تعمل على حل المجالات باستخدام عنوان IP الافتراضي لخادم Azure DNS الظاهري. لذلك، سيقوم خادم DNS المخصص بحل المجالات للأجهزة المنتشرة في مخطط شبكتك. ولكن سيحتاج خادم DNS المخصص إلى حل المجالات المتعلقة بالتعلم الآلي من Azure مقابل عنوان IP لخادم Azure DNS الظاهري.

2. إنشاء نقطة نهاية خاصة مع تكامل DNS الخاص الذي يستهدف منطقة DNS الخاصة المرتبطة بالشبكة الظاهرية لخادم DNS:

   تتمثل الخطوة التالية في إنشاء نقطة نهاية خاصة لمساحة عمل التعلم الآلي في Azure. تستهدف نقطة النهاية الخاصة كلا من مناطق DNS الخاصة التي تم إنشاؤها في الخطوة 1. يضمن ذلك إجراء جميع الاتصالات مع مساحة العمل عبر نقطة النهاية الخاصة في الشبكة الظاهرية للتعلم الآلي من Azure.

   هام

   يجب أن تحتوي نقطة النهاية الخاصة على تكامل DNS الخاص ممكّنًا لهذا المثال لكي يعمل بشكل صحيح.

3. إنشاء معيد توجيه شرطي في خادم DNS لإعادة التوجيه إلى Azure DNS:

   بعد ذلك، قم بإنشاء معيد توجيه شرطي إلى خادم Azure DNS الظاهري. يضمن معيد التوجيه الشرطي أن خادم DNS يستعلم دائمًا عن عنوان IP لخادم Azure DNS الظاهري لأسماء FQDN المتعلقة بمساحة العمل الخاصة بك. وهذا يعني أن خادم DNS سيعيد السجل المقابل من منطقة DNS الخاصة.

   يتم سرد المناطق المراد إعادة توجيهها بشكل مشروط أدناه. عنوان IP لخادم Azure DNS الظاهري هو 168.63.129.16:

   مناطق Azure العامة:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   مناطق Azure US Government:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   هام

   لا يتم تضمين خطوات التكوين لخادم DNS هنا، حيث هناك العديد من حلول DNS المتوفرة التي يمكن استخدامها كخادم DNS مخصص. راجع الوثائق الخاصة بحل DNS الخاص بك لمعرفة كيفية تكوين إعادة التوجيه الشرطي بشكل مناسب.

4. حل مجال مساحة العمل:

   في هذه المرحلة، يتم تنفيذ جميع الإعدادات. الآن يمكن لأي عميل يستخدم خادم DNS لتحليل الاسم ولديه مسار إلى نقطة النهاية الخاصة للتعلم الآلي من Azure المتابعة للوصول إلى مساحة العمل. سيبدأ العميل أولا بالاستعلام عن خادم DNS لأسماء FQDN التالية:

   مناطق Azure العامة:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   مناطق Azure US Government:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

5. يقوم Azure DNS بتحليل مجال مساحة العمل بشكل متكرر إلى CNAME:

   سيقوم خادم DNS بحل أسماء FQDN من الخطوة 4 من Azure DNS. سيستجيب Azure DNS بأحد المجالات المدرجة في الخطوة 1.

6. يحل خادم DNS سجل CNAME لمجال مساحة العمل بشكل متكرر من Azure DNS:

   سيستمر خادم DNS في حل CNAME الذي تم تلقيه في الخطوة 5 بشكل متكرر. نظرا لوجود إعداد معيد توجيه شرطي في الخطوة 3، سيرسل خادم DNS الطلب إلى عنوان IP لخادم Azure DNS الظاهري للتحليل.

7. يقوم Azure DNS بإرجاع السجلات من منطقة DNS الخاصة:

   سيتم إرجاع السجلات المقابلة المخزنة في مناطق DNS الخاصة إلى خادم DNS، مما يعني أن خادم Azure DNS الظاهري يرجع عناوين IP لنقطة النهاية الخاصة.

8. يقوم خادم DNS المخصص بحل اسم مجال مساحة العمل إلى عنوان نقطة النهاية الخاصة:

   في نهاية المطاف، يقوم خادم DNS المخصص الآن بإرجاع عناوين IP لنقطة النهاية الخاصة إلى العميل من الخطوة 4. وهذا يضمن أن جميع حركة البيانات إلى مساحة عمل التعلم الآلي من Azure عبر نقطة النهاية الخاصة.

استكشاف الأخطاء وإصلاحها

إذا لم تتمكن من الوصول إلى مساحة العمل من جهاز ظاهري أو فشل المهام على موارد الحوسبة في الشبكة الظاهرية، فاستخدم الخطوات التالية لتحديد السبب:

1. تحديد موقع أسماء FQDN مساحة العمل على نقطة النهاية الخاصة:

   انتقل إلى مدخل Azure باستخدام أحد الارتباطات التالية:

   • مناطق Azure العامة
   • Microsoft Azure المشغل بواسطة 21Vianet regions
   • مناطق Azure US Government

   انتقل إلى نقطة النهاية الخاصة إلى مساحة عمل التعلم الآلي من Azure. سيتم إدراج FQDNs مساحة العمل في علامة التبويب "نظرة عامة".

2. الوصول إلى مورد الحوسبة في مخطط الشبكة الظاهرية:

   تابع للوصول إلى مورد حوسبة في مخطط شبكة Azure الظاهرية. من المحتمل أن يتطلب ذلك الوصول إلى جهاز ظاهري في شبكة ظاهرية نظيرة مع شبكة Hub Virtual Network.

3. حل أسماء FQDN لمساحة العمل:

   افتح موجه أوامر أو shell أو PowerShell. ثم لكل من أسماء FQDN لمساحة العمل، قم بتشغيل الأمر التالي:

   nslookup <workspace FQDN>

   يجب أن تُرجع نتيجة كل nslookup أحد عنواني IP الخاصين الموجودين على نقطة النهاية الخاصة إلى مساحة عمل التعلم الآلي من Azure. إذا لم يحدث ذلك، فهناك خطأ ما تم تكوينه في تحليل DNS المخصص.

   الأسباب المحتملة:

   • لا يستخدم مورد الحوسبة الذي يقوم بتشغيل أوامر استكشاف الأخطاء وإصلاحها خادم DNS لتحليل DNS
   • لا ترتبط مناطق DNS الخاصة التي تم اختيارها عند إنشاء نقطة النهاية الخاصة بشبكة خادم DNS الظاهرية
   • لم يتم تكوين معيد التوجيه الشرطي إلى عنوان IP لخادم Azure DNS الظاهري بشكل صحيح

مثال: خادم DNS المخصص مستضاف محليًا

تستخدم هذه البنية مخطط النظام المحوري الشائع استخدامه في الشبكة الظاهرية. يتم استخدام ExpressRoute للاتصال من شبكتك المحلية بشبكة المحور الظاهرية. خادم DNS المخصص مستضاف محليًا. تحتوي الشبكة الظاهرية المنفصلة على نقطة النهاية الخاصة بمساحة عمل التعلم الآلي من Azure والموارد المرتبطة بها. باستخدام هذا المخطط، يجب أن تكون هناك شبكة ظاهرية أخرى تستضيف خادم DNS يمكنه إرسال الطلبات إلى عنوان IP لخادم Azure DNS الظاهري.

تصف الخطوات التالية كيفية عمل هذا المخطط:

1. إنشاء منطقة DNS خاصة والارتباط بالشبكة الظاهرية لخادم DNS:

   الخطوة الأولى في ضمان عمل حل DNS مخصص مع مساحة عمل التعلم الآلي من Azure هي إنشاء منطقتي DNS خاصتين متجذرة في المجالات التالية:

   مناطق Azure العامة:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   مناطق Azure US Government:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   إشعار

   تشترك نقاط النهاية المدارة عبر الإنترنت في نقطة النهاية الخاصة لمساحة العمل. إذا كنت تضيف سجلات DNS يدويا إلى منطقة privatelink.api.azureml.msDNS الخاصة ، فيجب إضافة سجل مع حرف بدل *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms لتوجيه جميع نقاط النهاية ضمن مساحة العمل إلى نقطة النهاية الخاصة.

   بعد إنشاء منطقة DNS الخاصة، يجب ربطها بشبكة DNS Server الظاهرية - الشبكة الظاهرية التي تحتوي على خادم DNS.

   إشعار

   خادم DNS في الشبكة الظاهرية منفصل عن خادم DNS المحلي.

   تتجاوز منطقة DNS الخاصة تحليل الاسم لجميع الأسماء الموجودة ضمن نطاق جذر المنطقة. ينطبق هذا التجاوز على كافة الشبكات الظاهرية التي ترتبط بها منطقة DNS الخاصة. على سبيل المثال، إذا كانت منطقة DNS الخاصة المتجذرة في privatelink.api.azureml.ms مرتبطة بشبكة ظاهرية، فإن جميع الموارد في الشبكة الظاهرية التي تحاول حل bar.workspace.westus2.privatelink.api.azureml.ms ستتلقى أي سجل مدرج في منطقة privatelink.api.azureml.ms.

   ومع ذلك، لا يتم إرجاع السجلات المدرجة في مناطق DNS الخاصة إلا إلى الأجهزة التي تعمل على حل المجالات باستخدام عنوان IP الافتراضي لخادم Azure DNS الظاهري. عنوان IP لخادم Azure DNS الظاهري صالح فقط في سياق شبكة ظاهرية. عند استخدام خادم DNS محلي، لا يمكنه الاستعلام عن عنوان IP لخادم Azure DNS الظاهري لاسترداد السجلات.

   للتغلب على هذا السلوك، قم بإنشاء خادم DNS وسيط في شبكة ظاهرية. يمكن لخادم DNS هذا الاستعلام عن عنوان IP لخادم Azure DNS الظاهري لاسترداد سجلات أي منطقة DNS خاصة مرتبطة بالشبكة الظاهرية.

   بينما سيقوم خادم DNS المحلي بحل المجالات للأجهزة المنتشرة في جميع أنحاء مخطط الشبكة، فإنه سيحل المجالات المتعلقة بالتعلم الآلي من Azure مقابل خادم DNS. سيقوم خادم DNS بحل هذه المجالات من عنوان IP لخادم Azure DNS الظاهري.

2. إنشاء نقطة نهاية خاصة مع تكامل DNS الخاص الذي يستهدف منطقة DNS الخاصة المرتبطة بالشبكة الظاهرية لخادم DNS:

   تتمثل الخطوة التالية في إنشاء نقطة نهاية خاصة لمساحة عمل التعلم الآلي في Azure. تستهدف نقطة النهاية الخاصة كلا من مناطق DNS الخاصة التي تم إنشاؤها في الخطوة 1. يضمن ذلك إجراء جميع الاتصالات مع مساحة العمل عبر نقطة النهاية الخاصة في الشبكة الظاهرية للتعلم الآلي من Azure.

   هام

   يجب أن تحتوي نقطة النهاية الخاصة على تكامل DNS الخاص ممكّنًا لهذا المثال لكي يعمل بشكل صحيح.

3. إنشاء معيد توجيه شرطي في خادم DNS لإعادة التوجيه إلى Azure DNS:

   بعد ذلك، قم بإنشاء معيد توجيه شرطي إلى خادم Azure DNS الظاهري. يضمن معيد التوجيه الشرطي أن خادم DNS يستعلم دائمًا عن عنوان IP لخادم Azure DNS الظاهري لأسماء FQDN المتعلقة بمساحة العمل الخاصة بك. وهذا يعني أن خادم DNS سيعيد السجل المقابل من منطقة DNS الخاصة.

   يتم سرد المناطق المراد إعادة توجيهها بشكل مشروط أدناه. عنوان IP لخادم Azure DNS الظاهري هو 168.63.129.16.

   مناطق Azure العامة:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   مناطق Azure US Government:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   هام

   لا يتم تضمين خطوات التكوين لخادم DNS هنا، حيث هناك العديد من حلول DNS المتوفرة التي يمكن استخدامها كخادم DNS مخصص. راجع الوثائق الخاصة بحل DNS الخاص بك لمعرفة كيفية تكوين إعادة التوجيه الشرطي بشكل مناسب.

4. إنشاء معيد توجيه شرطي في خادم DNS المحلي لإعادة التوجيه إلى خادم DNS:

   بعد ذلك، قم بإنشاء معيد توجيه شرطي إلى خادم DNS في الشبكة الظاهرية لخادم DNS. معيد التوجيه هذا للمناطق المدرجة في الخطوة 1. هذا مشابه للخطوة 3، ولكن بدلا من إعادة التوجيه إلى عنوان IP لخادم Azure DNS الظاهري، سيستهدف خادم DNS المحلي عنوان IP لخادم DNS. نظرا لأن خادم DNS المحلي غير موجود في Azure، فإنه غير قادر على حل السجلات مباشرة في مناطق DNS الخاصة. في هذه الحالة، يطلب وكلاء خادم DNS من خادم DNS المحلي إلى عنوان IP لخادم Azure DNS الظاهري. يسمح هذا لخادم DNS المحلي باسترداد السجلات في مناطق DNS الخاصة المرتبطة بشبكة خادم DNS الظاهرية.

   يتم سرد المناطق المراد إعادة توجيهها بشكل مشروط أدناه. عناوين IP المراد إعادة التوجيه إليها هي عناوين IP لخوادم DNS الخاصة بك:

   مناطق Azure العامة:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   مناطق Azure US Government:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   هام

   لا يتم تضمين خطوات التكوين لخادم DNS هنا، حيث هناك العديد من حلول DNS المتوفرة التي يمكن استخدامها كخادم DNS مخصص. راجع الوثائق الخاصة بحل DNS الخاص بك لمعرفة كيفية تكوين إعادة التوجيه الشرطي بشكل مناسب.

5. حل مجال مساحة العمل:

   في هذه المرحلة، يتم تنفيذ جميع الإعدادات. يمكن لأي عميل يستخدم خادم DNS محلي لتحليل الاسم ولديه مسار إلى نقطة النهاية الخاصة للتعلم الآلي من Azure المتابعة للوصول إلى مساحة العمل.

   سيبدأ العميل أولا بالاستعلام عن خادم DNS المحلي لأسماء FQDN التالية:

   مناطق Azure العامة:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   Microsoft Azure المشغل بواسطة 21Vianet regions:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

   مناطق Azure US Government:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

6. يحل خادم DNS المحلي بشكل متكرر مجال مساحة العمل:

   سيقوم خادم DNS المحلي بحل أسماء FQDN من الخطوة 5 من خادم DNS. نظرا لوجود معيد توجيه شرطي (الخطوة 4)، سيرسل خادم DNS المحلي الطلب إلى خادم DNS للتحليل.

7. يحل خادم DNS مجال مساحة العمل إلى CNAME من Azure DNS:

   سيقوم خادم DNS بحل أسماء FQDN من الخطوة 5 من Azure DNS. سيستجيب Azure DNS بأحد المجالات المدرجة في الخطوة 1.

8. يحل خادم DNS المحلي سجل CNAME لمجال مساحة العمل بشكل متكرر من خادم Azure:

   سيستمر خادم DNS المحلي في حل CNAME الذي تم تلقيه في الخطوة 7 بشكل متكرر. نظرًا لوجود إعداد معيد توجيه مشروط في الخطوة 4، سيرسل خادم DNS المحلي الطلب إلى خادم DNS لحل المشكلة.

9. يحل خادم DNS سجل CNAME لمجال مساحة العمل بشكل متكرر من Azure DNS:

   سيستمر خادم DNS في حل CNAME الذي تم تلقيه في الخطوة 7 بشكل متكرر. نظرا لوجود إعداد معيد توجيه شرطي في الخطوة 3، سيرسل خادم DNS الطلب إلى عنوان IP لخادم Azure DNS الظاهري للتحليل.

10. يقوم Azure DNS بإرجاع السجلات من منطقة DNS الخاصة:

    سيتم إرجاع السجلات المقابلة المخزنة في مناطق DNS الخاصة إلى خادم DNS، مما يعني أن خادم Azure DNS الظاهري يرجع عناوين IP لنقطة النهاية الخاصة.

11. يقوم خادم DNS المحلي بحل اسم مجال مساحة العمل إلى عنوان نقطة النهاية الخاصة:

    يقوم الاستعلام من خادم DNS المحلي إلى خادم DNS في الخطوة 8 في النهاية بإرجاع عناوين IP المقترنة بنقطة النهاية الخاصة إلى مساحة عمل التعلم الآلي من Azure. يتم إرجاع عناوين IP هذه إلى العميل الأصلي، والذي سيتصل الآن بمساحة عمل التعلم الآلي من Azure عبر نقطة النهاية الخاصة المكونة في الخطوة 1.

    هام

    إذا كان يتم استخدام بوابة VPN في هذا الإعداد جنبا إلى جنب مع عنوان IP المخصص لخادم DNS على VNet، فيجب إضافة AZURE DNS IP (168.63.129.16) في القائمة أيضا للحفاظ على الاتصال غير الممزق.

مثال: ملف المضيفين

الملف hosts هو مستند نصي يستخدمه Linux وmacOS وWindows لتجاوز تحليل الاسم للكمبيوتر المحلي. يحتوي الملف على قائمة بعناوين IP واسم المضيف المقابل. عندما يحاول الكمبيوتر المحلي حل اسم مضيف، إذا كان اسم المضيف مدرجا في ملف hosts، يتم حل الاسم إلى عنوان IP المقابل.

هام

يتجاوز ملف hosts تحليل الاسم للكمبيوتر المحلي فقط. إذا كنت تريد استخدام ملف hosts مع أجهزة كمبيوتر متعددة، يجب تعديله بشكل فردي على كل كمبيوتر.

يسرد الجدول التالي موقع ملف hosts:

نظام التشغيل	الموقع
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

تلميح

اسم الملف هو hosts بدون امتداد. عند تحرير الملف، استخدم وصول المسؤول. على سبيل المثال، على Linux أو macOS قد تستخدم sudo vi. في Windows، قم بتشغيل المفكرة كمسؤول.

فيما يلي مثال على إدخالات ملف hosts في التعلم الآلي من Azure:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

لمزيد من المعلومات حول ملف hosts، راجع https://wikipedia.org/wiki/Hosts_(file).

تحليل DNS لخدمات التبعية

قد يتم أيضا تأمين الخدمات التي تعتمد عليها مساحة العمل باستخدام نقطة نهاية خاصة. إذا كان الأمر كذلك، فقد تحتاج إلى إنشاء سجل DNS مخصص إذا كنت بحاجة إلى الاتصال مباشرة بالخدمة. على سبيل المثال، إذا كنت تريد العمل مباشرة مع البيانات في حساب تخزين Azure الذي تستخدمه مساحة العمل الخاصة بك.

إشعار

تحتوي بعض الخدمات على نقاط نهاية خاصة متعددة للخدمات الفرعية أو الميزات. على سبيل المثال، قد يحتوي حساب تخزين Azure على نقاط نهاية خاصة فردية للكائن الثنائي كبير الحجم والملف وDFS. إذا كنت بحاجة إلى الوصول إلى كل من تخزين Blob وFile، فيجب عليك تمكين التحليل لكل نقطة نهاية خاصة محددة.

لمزيد من المعلومات حول الخدمات وتحليل DNS، راجع تكوين DNS لنقطة النهاية الخاصة في Azure.

استكشاف الأخطاء وإصلاحها

إذا لم تتمكن من الوصول إلى مساحة العمل من جهاز ظاهري أو مهام بعد تشغيلها عبر الخطوات المذكورة أعلاه، ففشلت في حساب الموارد في الشبكة الظاهرية التي تحتوي على نقطة النهاية الخاصة إلى مساحة عمل Azure التعلم الآلي، فاتبع الخطوات التالية لمحاولة تحديد السبب.

1. تحديد موقع أسماء FQDN مساحة العمل على نقطة النهاية الخاصة:

   انتقل إلى مدخل Azure باستخدام أحد الارتباطات التالية:

   • مناطق Azure العامة
   • Microsoft Azure المشغل بواسطة 21Vianet regions
   • مناطق Azure US Government

   انتقل إلى نقطة النهاية الخاصة إلى مساحة عمل التعلم الآلي من Azure. سيتم إدراج FQDNs مساحة العمل في علامة التبويب "نظرة عامة".

2. الوصول إلى مورد الحوسبة في مخطط الشبكة الظاهرية:

   تابع للوصول إلى مورد حوسبة في مخطط شبكة Azure الظاهرية. من المحتمل أن يتطلب ذلك الوصول إلى جهاز ظاهري في شبكة ظاهرية نظيرة مع شبكة Hub Virtual Network.

3. حل أسماء FQDN لمساحة العمل:

   افتح موجه أوامر أو shell أو PowerShell. ثم لكل من أسماء FQDN لمساحة العمل، قم بتشغيل الأمر التالي:

   nslookup <workspace FQDN>

   يجب أن تُرجع نتيجة كل nslookup أحد عنواني IP الخاصين الموجودين على نقطة النهاية الخاصة إلى مساحة عمل التعلم الآلي من Azure. إذا لم يحدث ذلك، فهناك خطأ ما تم تكوينه في تحليل DNS المخصص.

   الأسباب المحتملة:

   • لا يستخدم مورد الحوسبة الذي يقوم بتشغيل أوامر استكشاف الأخطاء وإصلاحها خادم DNS لتحليل DNS
   • لا ترتبط مناطق DNS الخاصة التي تم اختيارها عند إنشاء نقطة النهاية الخاصة بشبكة خادم DNS الظاهرية
   • لم يتم تكوين معيدي التوجيه الشرطي من خادم DNS إلى عنوان IP لخادم Azure DNS الظاهري بشكل صحيح
   • لم يتم تكوين معيدي التوجيه الشرطي من خادم DNS المحلي إلى خادم DNS بشكل صحيح

الخطوات التالية

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة:

• Virtual network overview

• تأمين موارد مساحة العمل
• تأمين بيئة التدريب
• تأمين بيئة الاستدلال

• تمكين وظيفة الاستوديو
• استخدام جدار حماية

للحصول على معلومات حول دمج نقاط النهاية الخاصة في تكوين DNS خاصتك، راجع تكوين DNS لنقطة النهاية الخاصة في Azure.