Solución de problemas de conexión de puntos de conexión privados

  • Artículo

Al conectarse a un área de trabajo de Azure Machine Learning configurada con un punto de conexión privado, es posible que encuentre un error 403 o un mensaje que indica que el acceso está prohibido. En este artículo se explica cómo comprobar si hay problemas comunes de configuración que provocan este error.

Sugerencia

Antes de seguir los pasos de este artículo, pruebe la API de diagnóstico del área de trabajo de Azure Machine Learning. Puede ayudar a identificar problemas de configuración con el área de trabajo. Para más información, consulte Uso de diagnósticos del área de trabajo.

Configuración de DNS

Los pasos de solución de problemas para la configuración de DNS difieren en función de si usa Azure DNS o un DNS personalizado. Siga estos pasos para determinar cuál está usando:

  1. En Azure Portal, seleccione el punto de conexión privado del área de trabajo de Azure Machine Learning.

  2. En la página Información general, seleccione el vínculo Interfaz de red.

    Screenshot of the private endpoint overview with network interface link highlighted.

  3. En Configuración, seleccione Configuraciones de IP y, a continuación, seleccione el vínculo Red virtual.

    Screenshot of the IP configuration with virtual network link highlighted.

  4. En la sección Configuración de la izquierda de la página, seleccione la entrada Servidores DNS.

    Screenshot of the DNS servers configuration.

Solución de problemas de DNS personalizado

Siga estos pasos para comprobar si la solución de DNS personalizado está resolviendo correctamente los nombres en direcciones IP:

  1. Desde una máquina virtual, un portátil, un escritorio u otro recurso de proceso que tenga una conexión de trabajo al punto de conexión privado, abra un explorador web. En el explorador, use la dirección URL de la región de Azure:

    Región de Azure Resolución
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure operado por 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Todas las demás regiones https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. En el portal, seleccione el punto de conexión privado del área de trabajo. Haga una lista de los FQDN enumerados para el punto de conexión privado.

    Screenshot of the private endpoint with custom DNS settings highlighted.

  3. Abra un símbolo del sistema, PowerShell u otra línea de comandos y ejecute el siguiente comando para cada FQDN devuelto desde el paso anterior. Cada vez que ejecute el comando, compruebe que la dirección IP devuelta coincida con la dirección IP que aparece en el portal para el FQDN:

    nslookup <fqdn>

    Por ejemplo, al ejecutar el comando nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms, se devuelve un valor similar al texto siguiente:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name: 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms
Address: 10.3.0.5

  4. Si el comando nslookup devuelve un error o devuelve una dirección IP diferente de la que se muestra en el portal, la solución de DNS personalizado no está configurada correctamente. Para más información, consulte Uso de un área de trabajo con un servidor DNS personalizado.

Solución de problemas de Azure DNS

Al usar Azure DNS para la resolución de nombres, siga estos pasos para comprobar que la integración de DNS privado esté configurada correctamente:

  1. En el punto de conexión privado, seleccione Configuración de DNS. Para cada entrada de la columna Zona DNS privada, también debe haber una entrada en la columna Grupo de zonas DNS.

    Screenshot of the DNS configuration with Private DNS zone and group highlighted.

    • Si hay una entrada de zona DNS privada, pero no hay ninguna entrada de grupo de zonas DNS, elimine y vuelva a crear el punto de conexión privado. Al volver a crear el punto de conexión privado, habilite la integración de zona DNS privada.

    • Si el grupo de zonas DNS no está vacío, seleccione el vínculo de la entrada Zona DNS privada.

      En la zona DNS privada, seleccione Vínculos de red virtual. Debe haber un vínculo a la red virtual. Si no hay ninguno, elimine y vuelva a crear el punto de conexión privado. Al volver a crearlo, seleccione una zona DNS privado vinculada a la red virtual o cree una nueva que esté vinculada a ella.

      Screenshot of the virtual network links for the Private DNS zone.

  2. Repita los pasos anteriores para el resto de las entradas de zona DNS privada.

Configuración del explorador (DNS sobre HTTPS)

Compruebe si está habilitado DNS sobre HTTP en el explorador web. DNS sobre HTTP puede impedir que Azure DNS responda con la dirección IP del punto de conexión privado.

  • Mozilla Firefox: para más información, consulte Deshabilitación de DNS sobre HTTPS en Firefox.
  • Microsoft Edge:

    1. Seleccione ... en la esquina superior derecha y, a continuación, seleccione Configuración.

    2. En la configuración, busque DNS y deshabilite Usar DNS seguro para especificar cómo buscar la dirección de red de los sitios web.

      Screenshot of the use secure DNS setting in Microsoft Edge.

Configuración de proxy

Si usa un proxy, este puede impedir la comunicación con un área de trabajo protegida. Para probarlo, utilice una de las siguientes opciones:

  • Deshabilite temporalmente la configuración del proxy y compruebe si puede conectarse.
  • Cree un archivo de configuración automática de proxy (PAC) que permita el acceso directo a los FQDN enumerados en el punto de conexión privado. También debe permitir el acceso directo al FQDN de cualquier instancia de proceso.
  • Configure el servidor proxy para que reenvíe las solicitudes DNS a Azure DNS.