Partager via

Résolvez les problèmes de connexion à un projet avec un point de terminaison privé

  • Article

Important

Les éléments marqués (préversion) dans cet article sont actuellement en préversion publique. Cette préversion est fournie sans contrat de niveau de service, nous la déconseillons dans des charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Lors de la connexion à un projet configuré avec un point de terminaison privé, vous pouvez rencontrer une erreur 403 ou un message indiquant que l’accès est interdit. Utilisez les informations de cet article pour rechercher les problèmes de configuration courants susceptibles de provoquer cette erreur.

Vous connecter à votre projet de manière sécurisée

Pour vous connecter à un projet sécurisé derrière un VNet, utilisez l’une des méthodes suivantes :

  • Passerelle VPN Azure – Connecte des réseaux locaux au réseau virtuel via une connexion privée. La connexion est établie via l’Internet public. Il existe deux types de passerelles VPN que vous pouvez utiliser :

    • Point à site : chaque ordinateur client utilise un client VPN pour se connecter au réseau virtuel.
    • Site à site : un périphérique VPN connecte le réseau virtuel à votre réseau local.

  • ExpressRoute – Connecte les réseaux locaux au cloud via une connexion privée. La connexion est établie à l’aide d’un fournisseur de connectivité.

  • Bastion Azure – Dans ce scénario, vous créez une machine virtuelle Azure (parfois appelée « jump box ») à l’intérieur du réseau virtuel. Vous vous connectez ensuite à la machine virtuelle à l’aide d’Azure Bastion. Bastion vous permet de vous connecter à la machine virtuelle à l’aide d’une session RDP ou SSH à partir de votre navigateur web local. Vous utilisez ensuite la jump box comme environnement de développement. Comme elle figure dans le réseau virtuel, elle peut accéder directement à l’espace de travail.

Configuration DNS

Les étapes de résolution des problèmes de configuration DNS diffèrent selon que vous utilisez Azure DNS ou un système DNS personnalisé. Effectuez les étapes suivantes pour déterminer lequel des deux vous utilisez :

  1. Dans le portail Azure, sélectionnez la ressource de point de terminaison privée pour votre Azure AI Studio. Si vous ne vous souvenez pas du nom, sélectionnez votre ressource Azure AI Studio, Mise en réseau, Connexions de point de terminaison privé, puis sélectionnez le lien Point de terminaison privé.

    Capture d’écran des points de terminaison privés de la ressource.

  2. Dans la page Vue d’ensemble, sélectionnez le lien Interface réseau.

    Capture d’écran de la vue d’ensemble du point de terminaison privé avec le lien Interface réseau mis en évidence.

  3. Sous Paramètres, sélectionnez Configurations IP, puis sélectionnez le lien Réseau virtuel.

    Capture d’écran de la configuration IP avec le lien Réseau virtuel mis en évidence.

  4. Dans la section Paramètres à gauche de la page, sélectionnez l’entrée Serveurs DNS.

    Capture d’écran de la configuration des serveurs DNS.

Résolution des problèmes de DNS personnalisé

Effectuez les étapes suivantes pour vérifier si votre solution DNS personnalisée résout correctement les noms en adresses IP :

  1. À partir d’une machine virtuelle, d’un ordinateur portable, d’un ordinateur de bureau ou d’une autre ressource de calcul ayant une connexion opérationnelle au point de terminaison privé, ouvrez un navigateur web. Dans le navigateur, utilisez l’URL de votre région Azure :

    Région Azure URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure géré par 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Toutes les autres régions https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. Dans le portail, sélectionnez le point de terminaison privé du projet. Dans la section Configuration DNS, établissez une liste des noms de domaine complets répertoriés pour le point de terminaison privé.

    Capture d’écran du point de terminaison privé avec les paramètres DNS personnalisés mis en évidence.

  3. Ouvrez une invite de commandes, PowerShell ou une autre ligne de commande et exécutez la commande suivante pour chaque nom de domaine complet retourné à l’étape précédente. Chaque fois que vous exécutez la commande, vérifiez que l’adresse IP retournée correspond à celle listée dans le portail pour le nom de domaine complet :

    nslookup <fqdn>

    Par exemple, l’exécution de la commande nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms retourne une valeur similaire au texte suivant :

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
Address: 10.0.0.4

  4. Si la commande nslookup retourne une erreur ou une adresse IP différente de celle affichée dans le portail, cela signifie que votre solution DNS personnalisée n’est pas configurée correctement.

Résolution des problèmes d’Azure DNS

Lorsque vous utilisez Azure DNS pour la résolution de noms, effectuez les étapes suivantes pour vérifier que l’intégration de DNS privé est correctement configurée :

  1. Sur le point de terminaison privé, sélectionnez Configuration DNS. Pour chaque entrée de la colonne Zone DNS privée, il doit également y avoir une entrée dans la colonne Groupe de zones DNS.

    Capture d’écran de la configuration DNS avec Zone DNS privée et le groupe mis en évidence.

    • S’il existe une entrée Zone DNS privée, mais pas d’entrée de groupe de zones DNS, supprimez et recréez le point de terminaison privé. Lors de la recréation du point de terminaison privé, activez l’intégration de zone DNS privée.

    • Si Groupe de zones DNS n’est pas vide, sélectionnez le lien pour l’entrée Zone DNS privée.

      Dans Zone DNS privée, sélectionnez Liens de réseau virtuel. Il doit y avoir un lien vers le réseau virtuel. S’il n’y en a pas, supprimez et recréez le point de terminaison privé. Lors de la recréation, sélectionnez une zone DNS privée liée au réseau virtuel ou créez-en une nouvelle qui y est liée.

      Capture d’écran des liens de réseaux virtuels pour la zone DNS privé.

  2. Répétez les étapes précédentes pour le reste des entrées Zone DNS privée.

Configuration du navigateur (DNS sur HTTPS)

Vérifiez si DNS sur HTTP est activé dans votre navigateur web. DNS sur HTTP peut empêcher Azure DNS de répondre avec l’adresse IP du point de terminaison privé.

  • Mozilla Firefox : Pour plus d’informations, consultez Désactiver DNS sur HTTPS dans Firefox.
  • Microsoft Edge :

    1. Dans Edge, sélectionnez ..., puis Paramètres.

    2. Depuis les paramètres, recherchez DNS puis désactivez Utiliser un DNS sécurisé pour spécifier comment rechercher l’adresse réseau pour les sites web.

      Capture d’écran du paramètre DNS sécurisé dans Microsoft Edge.

Configuration du proxy

Si vous utilisez un proxy, il peut empêcher la communication avec un projet sécurisé. Pour tester cela, utilisez l’une des options suivantes :

  • Désactivez temporairement le paramètre de proxy et voyez si vous pouvez vous connecter.
  • Créez un fichier de configuration automatique de proxy (PAC) qui autorise l’accès direct aux noms de domaine complets listés sur le point de terminaison privé. Il doit également autoriser l’accès direct au nom de domaine complet pour toutes les instances de calcul.
  • Configurez votre serveur proxy de façon à transférer les requêtes DNS vers Azure DNS.
  • Vérifiez que le proxy autorise les connexions aux API AML, telles que « .<région>.api.azureml.ms » et « .instances.azureml.ms »

Dépanner les connexions de stockage manquantes

Lorsque vous créez un projet, un certain nombre de connexions au stockage Azure sont créées automatiquement pour les scénarios de téléchargement de données et le stockage d'artefacts, y compris le flux d'invite. Lorsque l'accès au réseau public du compte Azure Storage associé à votre concentrateur est désactivé, la création de ces connexions de stockage peut être retardée.

Essayez les étapes suivantes pour résoudre le problème :

  1. Dans Azure Portal, vérifiez les paramètres réseau du compte de stockage associé à votre concentrateur.
  2. Vérifiez votre connexion Internet et assurez-vous que vous utilisez une connexion privée autorisée par votre compte de stockage.
  3. Accédez à AI Studio > dans les paramètres de votre projet >.
  4. Actualisez la page. Un certain nombre de connexions doivent être créées, y compris « workspaceblobstore ».