Používání pracovního prostoru s vlastním serverem DNS
Při použití pracovního prostoru Azure Machine Learning (včetně center Azure AI) s privátním koncovým bodem existuje několik způsobů, jak zpracovat překlad názvů DNS. Azure ve výchozím nastavení automaticky zpracovává překlad názvů pro váš pracovní prostor a privátní koncový bod. Pokud místo toho používáte vlastní server DNS, musíte pro pracovní prostor ručně vytvořit položky DNS nebo použít podmíněné předávání.
Důležité
Tento článek popisuje, jak najít plně kvalifikované názvy domén (FQDN) a IP adresy pro tyto položky, pokud chcete ručně zaregistrovat záznamy DNS v řešení DNS. Kromě toho tento článek obsahuje doporučení pro architekturu, jak nakonfigurovat vlastní řešení DNS tak, aby automaticky přeložila plně kvalifikované názvy domén na správné IP adresy. Tento článek neposkytuje informace o konfiguraci záznamů DNS pro tyto položky. Informace o tom, jak přidat záznamy, najdete v dokumentaci k softwaru DNS.
Požadavky
- Virtuální síť Azure, která používá vlastní server DNS.
Pracovní prostor Azure Machine Learning s privátním koncovým bodem, včetně pracovních prostorů centra, jako jsou pracovní prostory používané službou Azure AI Studio. Další informace najdete v tématu Vytvoření pracovního prostoru Azure Machine Learning.
Pokud jsou prostředky závislostí pracovního prostoru zabezpečené pomocí virtuální sítě Azure, znalost izolace sítě během trénování a odvozování článku.
- Pracovní prostor Azure Machine Learning s privátním koncovým bodem. Další informace najdete v tématu Vytvoření pracovního prostoru Azure Machine Learning.
- Znalost používání izolace sítě během trénování a odvozování
Znalost konfigurace zóny DNS privátního koncového bodu Azure
Volitelně můžete použít Azure CLI nebo Azure PowerShell.
Automatizovaná integrace serveru DNS
Úvod
Existují dvě běžné architektury pro použití automatizované integrace serveru DNS se službou Azure Machine Learning:
- Vlastní server DNS hostovaný ve službě Azure Virtual Network
- Vlastní server DNS hostovaný místně, připojený ke službě Azure Machine Learning prostřednictvím ExpressRoute.
I když se vaše architektura může od těchto příkladů lišit, můžete je použít jako referenční bod. Obě ukázkové architektury poskytují kroky pro řešení potíží, které vám můžou pomoct identifikovat komponenty, které mohou být chybně nakonfigurované.
Další možností je upravit hosts
soubor v klientovi, který se připojuje k virtuální síti Azure, která obsahuje váš pracovní prostor. Další informace najdete v části Soubor hostitele .
Cesta překladu DNS pracovního prostoru
Přístup k danému pracovnímu prostoru Azure Machine Learning prostřednictvím služby Private Link se provádí komunikací s následujícími plně kvalifikovanými doménami (označovanými jako plně kvalifikované názvy domén pracovního prostoru), které jsou uvedené níže:
Důležité
Pokud používáte pracovní prostor centra (včetně centra Azure AI Studio), budete mít další položky pro každý pracovní prostor projektu vytvořený z centra.
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
<compute instance name>.<region the workspace was created in>.instances.azureml.ms
<compute instance name>-22.<region the workspace was created in>.instances.azureml.ms
– Používá se příkazemaz ml compute connect-ssh
pro připojení k výpočetním prostředkům ve spravované virtuální síti.ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Tip
Pokud používáte pracovní prostor centra, existují také následující plně kvalifikované názvy domén pro každý pracovní prostor projektu vytvořený z pracovního prostoru centra:
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
ml-<project workspacename, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.azure.net
Microsoft Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
<compute instance name>.<region the workspace was created in>.instances.azureml.cn
<compute instance name>-22.<region the workspace was created in>.instances.azureml.cn
– Používá se příkazemaz ml compute connect-ssh
pro připojení k výpočetním prostředkům ve spravované virtuální síti.ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Tip
Pokud používáte pracovní prostor centra, existují také následující plně kvalifikované názvy domén pro každý pracovní prostor projektu vytvořený z pracovního prostoru centra:
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
<compute instance name>.<region the workspace was created in>.instances.azureml.us
<compute instance name>-22.<region the workspace was created in>.instances.azureml.us
– Používá se příkazemaz ml compute connect-ssh
pro připojení k výpočetním prostředkům ve spravované virtuální síti.ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Tip
Pokud používáte pracovní prostor centra, existují také následující plně kvalifikované názvy domén pro každý pracovní prostor projektu vytvořený z pracovního prostoru centra:
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
Plně kvalifikované domény se přeloží na následující kanonické názvy (CNAMEs) označované jako plně kvalifikované názvy domén služby Private Link pracovního prostoru:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
– Používá se spravovanými online koncovými body.
Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us
– Používá se spravovanými online koncovými body.
Plně kvalifikované názvy domén se přeloží na IP adresy pracovního prostoru služby Azure Machine Learning v této oblasti. Překlad plně kvalifikovaných názvů domén privátního propojení pracovního prostoru je však možné přepsat pomocí vlastního serveru DNS hostovaného ve virtuální síti. Příklad této architektury najdete na vlastním serveru DNS hostovaného v příkladu virtuální sítě . V případě pracovních prostorů centra a projektu se plně kvalifikované názvy domén všech pracovních prostorů projektu přeloží na IP adresu pracovního prostoru centra.
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.
Ruční integrace serveru DNS
Tato část popisuje, na které plně kvalifikované domény se mají vytvořit záznamy A pro server DNS a na jakou IP adresu se má nastavit hodnota záznamu A.
Načtení plně kvalifikovaných názvů privátních koncových bodů
Veřejná oblast Azure
Následující seznam obsahuje plně kvalifikované názvy domén (FQDN), které váš pracovní prostor používá, pokud se nachází ve veřejném cloudu Azure:
<workspace-GUID>.workspace.<region>.cert.api.azureml.ms
<workspace-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net
Poznámka:
Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo
ml-<workspace-name, truncated>-<region>-<workspace-guid>
o 63 znaků nebo méně.<instance-name>.<region>.instances.azureml.ms
Poznámka:
- K výpočetním instancím je možné přistupovat pouze z virtuální sítě.
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
*.api.azureml.ms
položek).)
<instance-name>-22.<region>.instances.azureml.ms
– Slouží pouze kaz ml compute connect-ssh
připojení k výpočetním prostředkům ve spravované virtuální síti. Není potřeba, pokud nepoužíváte spravovaná připojení nebo připojení SSH.<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Tip
Pokud používáte pracovní prostory centra a projektu, každý pracovní prostor projektu má vlastní sadu dalších plně kvalifikovaných názvů domén. Další informace najdete v části překladu DNS pracovního prostoru.
Microsoft Azure provozovaný oblastí 21Vianet
Následující plně kvalifikované názvy domén jsou určené pro Microsoft Azure provozované oblastmi 21Vianet:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn
<workspace-GUID>.workspace.<region>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn
Poznámka:
Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo
ml-<workspace-name, truncated>-<region>-<workspace-guid>
o 63 znaků nebo méně.<instance-name>.<region>.instances.azureml.cn
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
*.api.azureml.ms
položek).)
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
<instance-name>-22.<region>.instances.azureml.cn
– Slouží pouze kaz ml compute connect-ssh
připojení k výpočetním prostředkům ve spravované virtuální síti. Není potřeba, pokud nepoužíváte spravovaná připojení nebo připojení SSH.<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Tip
Pokud používáte pracovní prostory centra a projektu, každý pracovní prostor projektu má vlastní sadu dalších plně kvalifikovaných názvů domén. Další informace najdete v části překladu DNS pracovního prostoru.
Azure pro vládu USA
Následující plně kvalifikované názvy domén jsou určené pro oblasti Azure US Government:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.us
<workspace-GUID>.workspace.<region>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net
Poznámka:
Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo
ml-<workspace-name, truncated>-<region>-<workspace-guid>
o 63 znaků nebo méně.<instance-name>.<region>.instances.azureml.us
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
*.api.azureml.ms
položek).)
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
<instance-name>-22.<region>.instances.azureml.us
– Slouží pouze kaz ml compute connect-ssh
připojení k výpočetním prostředkům ve spravované virtuální síti. Není potřeba, pokud nepoužíváte spravovaná připojení nebo připojení SSH.<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Tip
Pokud používáte pracovní prostory centra a projektu, každý pracovní prostor projektu má vlastní sadu dalších plně kvalifikovaných názvů domén. Další informace najdete v části překladu DNS pracovního prostoru.
Vyhledání IP adres
Pokud chcete najít interní IP adresy pro plně kvalifikované názvy domén ve virtuální síti, použijte jednu z následujících metod:
Poznámka:
Plně kvalifikované názvy domén a IP adresy se budou lišit podle vaší konfigurace. Například hodnota GUID v názvu domény bude specifická pro váš pracovní prostor.
K získání ID síťového rozhraní privátního koncového bodu použijte následující příkaz:
az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
Pokud chcete získat IP adresu a informace o plně kvalifikovaném názvu domény pro pracovní prostor nebo pracovní prostor centra, použijte následující příkaz. Nahraďte
<resource-id>
ID z předchozího kroku:az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
Výstup se bude podobat tomuto textu:
[ { "FQDNs": [ "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms", "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms" ], "IPAddress": "10.1.0.5" }, { "FQDNs": [ "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net" ], "IPAddress": "10.1.0.6" }, { "FQDNs": [ "*.eastus.inference.ml.azure.com" ], "IPAddress": "10.1.0.7" } ]
Pokud používáte pracovní prostor centra, použijte následující postup pro každý pracovní prostor projektu vytvořený z centra:
Id pracovního prostoru projektu získáte pomocí následujícího příkazu:
az ml workspace show --name <project-workspace-name> --resource-group <resource-group> --query 'discovery_url'
Vrácená hodnota bude následovat ve formátu
https://<project-workspace-id>.workspace.<region>.api.azureml.ms/mlflow/<version>/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<project-workspace-name>
.Vezměte plně kvalifikované názvy domén vrácené z pracovního prostoru centra, který končí a
workspace.<region>.api.azureml.ms
workspace.<region>.cert.api.azureml.ms
. Nahraďte hodnotu GUID na začátku těchto plně kvalifikovaných názvů domén ID pracovního prostoru projektu. Tyto plně kvalifikované názvy domén jsou kromě plně kvalifikovaných názvů domén pracovního prostoru centra.Vezměte plně kvalifikovaný název domény vrácený z pracovního prostoru centra, který se řídí formátem v
<workspace-name>-<region>-<GUID>.<region>.notebooks.azure.net
. Nahraďte hodnotu GUID ID pracovního prostoru projektu. Nahraďte název pracovního prostoru centra názvem pracovního prostoru projektu. Možná budete muset zkrátit název pracovního prostoru, aby byla tato položka maximálně 63 znaků. Tento plně kvalifikovaný název domény je kromě plně kvalifikovaného názvu domény pracovního prostoru centra.
Informace vrácené ze všech metod jsou stejné; seznam plně kvalifikovaných názvů domén a privátníCH IP adres pro prostředky. Následující příklad pochází z veřejného cloudu Azure:
FQDN | IP adresa |
---|---|
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms |
10.1.0.5 |
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms |
10.1.0.5 |
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net |
10.1.0.6 |
*.eastus.inference.ml.azure.com |
10.1.0.7 |
Následující tabulka ukazuje ukázkové IP adresy z Microsoft Azure provozované oblastmi 21Vianet:
FQDN | IP adresa |
---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn |
10.1.0.5 |
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn |
10.1.0.6 |
*.chinaeast2.inference.ml.azure.cn |
10.1.0.7 |
Následující tabulka ukazuje ukázkové IP adresy z oblastí Azure US Government:
FQDN | IP adresa |
---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us |
10.1.0.5 |
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net |
10.1.0.6 |
*.usgovvirginia.inference.ml.azure.us |
10.1.0.7 |
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.
Vytvoření záznamů na vlastním serveru DNS
Jakmile se shromáždí seznam plně kvalifikovaných názvů domén a odpovídajícíCH IP adres, pokračujte vytvořením záznamů A na konfigurovaném serveru DNS. Informace o tom, jak vytvořit záznamy A, najdete v dokumentaci k serveru DNS. Všimněte si, že doporučujeme vytvořit jedinečnou zónu pro celý plně kvalifikovaný název domény a vytvořit záznam A v kořenovém adresáři zóny.
Příklad: Vlastní server DNS hostovaný ve virtuální síti
Tato architektura používá společnou topologii virtuální sítě hvězdicové architektury. Jedna virtuální síť obsahuje server DNS a jeden obsahuje privátní koncový bod pro pracovní prostor Služby Azure Machine Learning a přidružené prostředky. Mezi oběma virtuálními sítěmi musí existovat platná trasa. Například prostřednictvím řady partnerských virtuálních sítí.
Následující kroky popisují, jak tato topologie funguje:
Vytvoření zóny Privátní DNS a propojení s virtuální sítí serveru DNS:
Prvním krokem při zajištění fungování vlastního řešení DNS s pracovním prostorem Služby Azure Machine Learning je vytvoření dvou Privátní DNS zón rootovaných v následujících doménách:
Veřejné oblasti Azure:
privatelink.api.azureml.ms
privatelink.notebooks.azure.net
Microsoft Azure provozované oblastmi 21Vianet:
privatelink.api.ml.azure.cn
privatelink.notebooks.chinacloudapi.cn
Oblasti Azure US Government:
privatelink.api.ml.azure.us
privatelink.notebooks.usgovcloudapi.net
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny
privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.Po vytvoření zóny Privátní DNS je potřeba ji propojit s virtuální sítí serveru DNS. Virtuální síť, která obsahuje server DNS.
Privátní DNS Zóna přepíše překlad názvů pro všechny názvy v rámci oboru kořenového adresáře zóny. Toto přepsání platí pro všechny virtuální sítě, ke které je zóna Privátní DNS propojená. Pokud je například kořenová zóna Privátní DNS propojená
privatelink.api.azureml.ms
s foo virtuální sítě, obdrží všechny prostředky ve službě Virtual Network, které se pokusí přeložitbar.workspace.westus2.privatelink.api.azureml.ms
, všechny záznamy uvedené vprivatelink.api.azureml.ms
zóně.Záznamy uvedené v Privátní DNS Zónách se ale vrátí jenom do zařízení, která překládají domény pomocí výchozí IP adresy virtuálního serveru Azure DNS. Takže vlastní server DNS přeloží domény pro zařízení rozložená v rámci vaší síťové topologie. Vlastní server DNS ale bude muset přeložit domény související se službou Azure Machine Learning na IP adresu virtuálního serveru Azure DNS.
Vytvoření privátního koncového bodu s cílem integrace privátního DNS Privátní DNS zóny propojené s virtuální sítí serveru DNS:
Dalším krokem je vytvoření privátního koncového bodu pro pracovní prostor Služby Azure Machine Learning. Privátní koncový bod cílí na obě Privátní DNS zóny vytvořené v kroku 1. Tím se zajistí veškerá komunikace s pracovním prostorem prostřednictvím privátního koncového bodu ve virtuální síti Azure Machine Learning.
Důležité
Aby tento příklad fungoval správně, musí mít privátní koncový bod povolenou integraci Privátní DNS.
Vytvořte podmíněný předávač na serveru DNS pro předávání do Azure DNS:
Dále vytvořte podmíněný předávač na virtuální server Azure DNS. Podmíněný předávací nástroj zajišťuje, aby server DNS vždy dotazoval IP adresu virtuálního serveru Azure DNS na plně kvalifikované názvy domén související s vaším pracovním prostorem. To znamená, že server DNS vrátí odpovídající záznam ze zóny Privátní DNS.
Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresa virtuálního serveru Azure DNS je 168.63.129.16:
Veřejné oblasti Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
aznbcontent.net
inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
aznbcontent.net
inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Důležité
Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.
Řešení domény pracovního prostoru:
V tuto chvíli se dokončí všechna nastavení. Teď může každý klient, který k překladu názvů používá server DNS a má trasu k privátnímu koncovému bodu služby Azure Machine Learning, přejít k pracovnímu prostoru. Nejprve se klient začne dotazováním serveru DNS na adresu následujících plně kvalifikovaných názvů domén:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Azure DNS rekurzivně překládá doménu pracovního prostoru na CNAME:
Server DNS přeloží plně kvalifikované názvy domén z kroku 4 z Azure DNS. Azure DNS odpoví jednou z domén uvedených v kroku 1.
Server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru z Azure DNS:
Server DNS bude pokračovat k rekurzivnímu překladu CNAME přijatého v kroku 5. Vzhledem k tomu, že v kroku 3 došlo k nastavení podmíněného předávání, server DNS odešle požadavek na IP adresu virtuálního serveru Azure DNS pro překlad.
Azure DNS vrací záznamy z Privátní DNS zóny:
Odpovídající záznamy uložené v zónách Privátní DNS se vrátí na server DNS, což znamená, že virtuální server Azure DNS vrátí IP adresy privátního koncového bodu.
Vlastní server DNS přeloží název domény pracovního prostoru na adresu privátního koncového bodu:
V konečném důsledku vlastní server DNS nyní vrátí IP adresy privátního koncového bodu klientovi z kroku 4. Tím se zajistí, že veškerý provoz do pracovního prostoru Azure Machine Learning bude přes privátní koncový bod.
Řešení problému
Pokud nemůžete získat přístup k pracovnímu prostoru z virtuálního počítače nebo selhání úloh na výpočetních prostředcích ve virtuální síti, identifikujte příčinu pomocí následujících kroků:
Vyhledejte plně kvalifikované názvy domén pracovního prostoru v privátním koncovém bodu:
Přejděte na web Azure Portal pomocí jednoho z následujících odkazů:
Přejděte do privátního koncového bodu do pracovního prostoru Azure Machine Learning. Plně kvalifikované názvy domén pracovního prostoru budou uvedené na kartě Přehled.
Přístup k výpočetnímu prostředku v topologii virtuální sítě:
Pokračujte přístupem k výpočetnímu prostředku v topologii služby Azure Virtual Network. To bude pravděpodobně vyžadovat přístup k virtuálnímu počítači ve virtuální síti, která je v partnerském vztahu s virtuální sítí centra.
Řešení plně kvalifikovaných názvů domén pracovního prostoru:
Otevřete příkazový řádek, prostředí nebo PowerShell. Pak pro jednotlivé plně kvalifikované názvy domény pracovního prostoru spusťte následující příkaz:
nslookup <workspace FQDN>
Výsledek každého nástroje nslookup by měl vrátit jednu ze dvou privátních IP adres v privátním koncovém bodu do pracovního prostoru Azure Machine Learning. Pokud ne, znamená to, že vlastní řešení DNS obsahuje chybnou konfiguraci.
Možné příčiny:
- Výpočetní prostředek, na kterém se spouští příkazy pro řešení potíží, k překladu názvů DNS nepoužívá server DNS.
- Zóny privátního DNS zvolené při vytváření privátního koncového bodu nejsou propojené s virtuální sítí serveru DNS.
- Zásady podmíněného předávání na IP adresu virtuálního serveru Azure DNS nebyly správně nakonfigurované.
Příklad: Vlastní server DNS hostovaný místně
Tato architektura používá společnou topologii virtuální sítě hvězdicové architektury. ExpressRoute se používá k připojení z místní sítě k virtuální síti centra. Vlastní server DNS je hostovaný místně. Samostatná virtuální síť obsahuje privátní koncový bod pro pracovní prostor Služby Azure Machine Learning a přidružené prostředky. S touto topologií musí existovat jiná virtuální síť hostující server DNS, který může odesílat požadavky na IP adresu virtuálního serveru Azure DNS.
Následující kroky popisují, jak tato topologie funguje:
Vytvoření zóny Privátní DNS a propojení s virtuální sítí serveru DNS:
Prvním krokem při zajištění fungování vlastního řešení DNS s pracovním prostorem Služby Azure Machine Learning je vytvoření dvou Privátní DNS zón rootovaných v následujících doménách:
Veřejné oblasti Azure:
privatelink.api.azureml.ms
privatelink.notebooks.azure.net
Microsoft Azure provozované oblastmi 21Vianet:
privatelink.api.ml.azure.cn
privatelink.notebooks.chinacloudapi.cn
Oblasti Azure US Government:
privatelink.api.ml.azure.us
privatelink.notebooks.usgovcloudapi.net
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny
privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.Po vytvoření zóny Privátní DNS musí být propojená s virtuální sítí serveru DNS – virtuální sítí, která obsahuje server DNS.
Poznámka:
Server DNS ve virtuální síti je oddělený od místního serveru DNS.
Privátní DNS Zóna přepíše překlad názvů pro všechny názvy v rámci oboru kořenového adresáře zóny. Toto přepsání platí pro všechny virtuální sítě, ke které je zóna Privátní DNS propojená. Pokud je například kořenová zóna Privátní DNS propojená
privatelink.api.azureml.ms
s foo virtuální sítě, obdrží všechny prostředky ve službě Virtual Network, které se pokusí přeložitbar.workspace.westus2.privatelink.api.azureml.ms
, všechny záznamy uvedené v privatelink.api.azureml.ms zóně.Záznamy uvedené v Privátní DNS Zónách se ale vrátí jenom do zařízení, která překládají domény pomocí výchozí IP adresy virtuálního serveru Azure DNS. IP adresa virtuálního serveru Azure DNS je platná pouze v kontextu virtuální sítě. Pokud používáte místní server DNS, nemůže dotazovat IP adresu virtuálního serveru Azure DNS k načtení záznamů.
Chcete-li toto chování obejít, vytvořte zprostředkující server DNS ve virtuální síti. Tento server DNS může zadat dotaz na IP adresu virtuálního serveru Azure DNS, aby načetl záznamy pro libovolnou zónu Privátní DNS propojenou s virtuální sítí.
I když místní server DNS přeloží domény pro zařízení rozložená v rámci vaší síťové topologie, přeloží domény související se službou Azure Machine Learning na server DNS. Server DNS tyto domény přeloží z IP adresy virtuálního serveru Azure DNS.
Vytvoření privátního koncového bodu s cílem integrace privátního DNS Privátní DNS zóny propojené s virtuální sítí serveru DNS:
Dalším krokem je vytvoření privátního koncového bodu pro pracovní prostor Služby Azure Machine Learning. Privátní koncový bod cílí na obě Privátní DNS zóny vytvořené v kroku 1. Tím se zajistí veškerá komunikace s pracovním prostorem prostřednictvím privátního koncového bodu ve virtuální síti Azure Machine Learning.
Důležité
Aby tento příklad fungoval správně, musí mít privátní koncový bod povolenou integraci Privátní DNS.
Vytvořte podmíněný předávač na serveru DNS pro předávání do Azure DNS:
Dále vytvořte podmíněný předávač na virtuální server Azure DNS. Podmíněný předávací nástroj zajišťuje, aby server DNS vždy dotazoval IP adresu virtuálního serveru Azure DNS na plně kvalifikované názvy domén související s vaším pracovním prostorem. To znamená, že server DNS vrátí odpovídající záznam ze zóny Privátní DNS.
Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresa virtuálního serveru Azure DNS je 168.63.129.16.
Veřejné oblasti Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
aznbcontent.net
inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
aznbcontent.net
inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Důležité
Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.
Vytvořte podmíněný předávací nástroj v místním serveru DNS pro předávání na server DNS:
Dále vytvořte podmíněný předávač na server DNS ve virtuální síti serveru DNS. Tento předávač je určený pro zóny uvedené v kroku 1. To se podobá kroku 3, ale místo předávání na IP adresu virtuálního serveru Azure DNS bude místní server DNS cílit na IP adresu serveru DNS. Vzhledem k tomu, že místní server DNS není v Azure, nemůže přímo překládat záznamy v Privátní DNS zónách. V takovém případě proxy server DNS požadavky z místního serveru DNS na IP adresu virtuálního serveru Azure DNS. To umožňuje místnímu serveru DNS načíst záznamy v zónách Privátní DNS propojených s virtuální sítí serveru DNS.
Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresy, na které se mají předávat, jsou IP adresy serverů DNS:
Veřejné oblasti Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Důležité
Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.
Řešení domény pracovního prostoru:
V tuto chvíli se dokončí všechna nastavení. Každý klient, který pro překlad názvů používá místní server DNS a má trasu k privátnímu koncovému bodu služby Azure Machine Learning, může přejít k pracovnímu prostoru.
Nejprve se klient spustí dotazem místního serveru DNS na adresu následujících plně kvalifikovaných názvů domén:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Místní server DNS rekurzivně překládá doménu pracovního prostoru:
Místní server DNS přeloží plně kvalifikované názvy domén z kroku 5 ze serveru DNS. Vzhledem k tomu, že existuje podmíněný předávací nástroj (krok 4), místní server DNS odešle požadavek na server DNS pro překlad.
Server DNS přeloží doménu pracovního prostoru na CNAME z Azure DNS:
Server DNS přeloží plně kvalifikované názvy domén z kroku 5 z Azure DNS. Azure DNS odpoví jednou z domén uvedených v kroku 1.
Místní server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru ze serveru DNS:
Místní server DNS bude pokračovat rekurzivně přeložit CNAME přijatý v kroku 7. Vzhledem k tomu, že v kroku 4 došlo k nastavení podmíněného předávání, místní server DNS odešle požadavek na server DNS pro překlad.
Server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru z Azure DNS:
Server DNS bude pokračovat rekurzivně přeložit CNAME přijatý v kroku 7. Vzhledem k tomu, že v kroku 3 došlo k nastavení podmíněného předávání, server DNS odešle požadavek na IP adresu virtuálního serveru Azure DNS pro překlad.
Azure DNS vrací záznamy z Privátní DNS zóny:
Odpovídající záznamy uložené v zónách Privátní DNS se vrátí na server DNS, což znamená, že virtuální server Azure DNS vrátí IP adresy privátního koncového bodu.
Místní server DNS přeloží název domény pracovního prostoru na adresu privátního koncového bodu:
Dotaz z místního serveru DNS na server DNS v kroku 8 nakonec vrátí IP adresy přidružené k privátnímu koncovému bodu do pracovního prostoru Azure Machine Learning. Tyto IP adresy se vrátí do původního klienta, který teď bude komunikovat s pracovním prostorem Azure Machine Learning přes privátní koncový bod nakonfigurovaný v kroku 1.
Důležité
Pokud se služba VPN Gateway používá v této sadě společně s vlastní IP adresou serveru DNS ve virtuální síti, je potřeba do seznamu přidat i IP adresu AZURE DNS (168.63.129.16), aby se zachovala nerušovaná komunikace.
Příklad: Soubor Hosts
Soubor hosts
je textový dokument, který všechny systémy Linux, macOS a Windows používají k přepsání překladu názvů místního počítače. Soubor obsahuje seznam IP adres a odpovídající název hostitele. Když se místní počítač pokusí přeložit název hostitele, pokud je v souboru uvedený hosts
název hostitele, název se přeloží na odpovídající IP adresu.
Důležité
Soubor hosts
přepíše pouze překlad názvů místního počítače. Pokud chcete soubor použít hosts
s více počítači, musíte ho upravit jednotlivě na každém počítači.
Následující tabulka uvádí umístění hosts
souboru:
Operační systém | Umístění |
---|---|
Linux | /etc/hosts |
macOS | /etc/hosts |
Windows | %SystemRoot%\System32\drivers\etc\hosts |
Tip
Název souboru nemá hosts
příponu. Při úpravách souboru použijte přístup správce. Například v Linuxu nebo macOS můžete použít sudo vi
. Ve Windows spusťte poznámkový blok jako správce.
Tady je příklad hosts
položek souboru pro Azure Machine Learning:
# For core Azure Machine Learning hosts
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6 ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net
# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7 mymanagedendpoint.eastus.inference.ml.azure.com
# For a compute instance named 'mycomputeinstance'
10.1.0.5 mycomputeinstance.eastus.instances.azureml.ms
Další informace o hosts
souboru naleznete v tématu https://wikipedia.org/wiki/Hosts_(file).
Překlad DNS služeb závislostí
Služby, na které váš pracovní prostor spoléhá, můžou být také zabezpečené pomocí privátního koncového bodu. Pokud ano, možná budete muset vytvořit vlastní záznam DNS, pokud potřebujete přímo komunikovat se službou. Pokud například chcete přímo pracovat s daty v účtu služby Azure Storage, který používá váš pracovní prostor.
Poznámka:
Některé služby mají několik privátních koncových bodů pro dílčí služby nebo funkce. Účet služby Azure Storage může mít například jednotlivé privátní koncové body pro objekty blob, file a DFS. Pokud potřebujete získat přístup ke službě Blob i File Storage, musíte pro každý konkrétní privátní koncový bod povolit překlad.
Další informace o službách a překladu DNS najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Řešení problému
Pokud po provedení výše uvedených kroků nemůžete získat přístup k pracovnímu prostoru z virtuálního počítače nebo úlohy selžou u výpočetních prostředků ve virtuální síti obsahující privátní koncový bod do pracovního prostoru Služby Azure Machine Learning, zkuste zjistit příčinu podle následujících kroků.
Vyhledejte plně kvalifikované názvy domén pracovního prostoru v privátním koncovém bodu:
Přejděte na web Azure Portal pomocí jednoho z následujících odkazů:
Přejděte do privátního koncového bodu do pracovního prostoru Azure Machine Learning. Plně kvalifikované názvy domén pracovního prostoru budou uvedené na kartě Přehled.
Přístup k výpočetnímu prostředku v topologii virtuální sítě:
Pokračujte přístupem k výpočetnímu prostředku v topologii služby Azure Virtual Network. To bude pravděpodobně vyžadovat přístup k virtuálnímu počítači ve virtuální síti, která je v partnerském vztahu s virtuální sítí centra.
Řešení plně kvalifikovaných názvů domén pracovního prostoru:
Otevřete příkazový řádek, prostředí nebo PowerShell. Pak pro jednotlivé plně kvalifikované názvy domény pracovního prostoru spusťte následující příkaz:
nslookup <workspace FQDN>
Ve výsledku každého příkazu nslookup by se měla zobrazit jedna ze dvou privátních IP adres privátního koncového bodu pracovního prostoru Azure Machine Learning. Pokud ne, znamená to, že vlastní řešení DNS obsahuje chybnou konfiguraci.
Možné příčiny:
- Výpočetní prostředek, na kterém se spouští příkazy pro řešení potíží, k překladu názvů DNS nepoužívá server DNS.
- Zóny privátního DNS zvolené při vytváření privátního koncového bodu nejsou propojené s virtuální sítí serveru DNS.
- Servery pro podmíněné předávání ze serveru DNS na IP adresu virtuálního serveru Azure DNS nejsou správně nakonfigurované.
- Servery pro podmíněné předávání z místního serveru DNS na server DNS nejsou správně nakonfigurované.
Související obsah
Informace o integraci privátních koncových bodů do konfigurace DNS najdete v tématu Konfigurace DNS privátního koncového bodu Azure.