A munkaterület használata egyéni DNS-kiszolgálóval

Ha privát végponttal rendelkező Azure Machine Tanulás-munkaterületet használ, a DNS-névfeloldás többféleképpen is kezelhető. Alapértelmezés szerint az Azure automatikusan kezeli a munkaterület és a privát végpont névfeloldásait. Ha ehelyett saját egyéni DNS-kiszolgálót használ, manuálisan kell DNS-bejegyzéseket létrehoznia, vagy feltételes továbbítókat kell használnia a munkaterülethez.

Fontos

Ez a cikk bemutatja, hogyan keresheti meg a bejegyzéshez tartozó teljes tartományneveket (FQDN) és IP-címeket, ha manuálisan szeretné regisztrálni a DNS-rekordokat a DNS-megoldásban. Ez a cikk emellett architektúrajavaslatokat is tartalmaz az egyéni DNS-megoldás konfigurálásához, hogy a teljes tartományneveket automatikusan a megfelelő IP-címekre oldja fel. Ez a cikk NEM tartalmaz információkat az elemek DNS-rekordjainak konfigurálásáról. A rekordok hozzáadásáról a DNS-szoftver dokumentációjában tájékozódhat.

Tipp.

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• A virtuális hálózat áttekintése

• A munkaterület erőforrásainak védelme
• A betanítási környezet védelme
• A következtetési környezet védelme

• Studio-funkciók engedélyezése
• Tűzfal használata

Előfeltételek

• Saját DNS-kiszolgálót használó Azure-beli virtuális hálózat.

• Egy Azure Machine Tanulás privát végponttal rendelkező munkaterület. További információ: Azure Machine Tanulás-munkaterület létrehozása.

• A hálózatelkülönítés használatának ismerete a betanítás és következtetés során.

• Az Azure Private Endpoint DNS-zónakonfigurációjának ismerete

• Az Azure saját DNS ismerete

• Opcionálisan az Azure CLI vagy az Azure PowerShell.

Automatizált DNS-kiszolgálóintegráció

Bevezetés

Az Azure Machine-Tanulás automatizált DNS-kiszolgálóintegráció két gyakori architektúrával használható:

• Azure-beli virtuális hálózaton üzemeltetett egyéni DNS-kiszolgáló.
• A helyszínen üzemeltetett egyéni DNS-kiszolgáló, amely az ExpressRoute-on keresztül csatlakozik az Azure Machine-Tanulás.

Bár az architektúra eltérhet ezektől a példáktól, referenciapontként használhatja őket. Mindkét példaarchitektúra hibaelhárítási lépéseket tartalmaz, amelyek segítenek azonosítani a hibásan konfigurált összetevőket.

Egy másik lehetőség a munkaterületet hosts tartalmazó Azure Virtual Networkhez (VNet) csatlakozó ügyfél fájljának módosítása. További információt a Gazdagép fájl szakaszában talál.

Munkaterület DNS-feloldási útvonala

Egy adott Azure Machine Tanulás-munkaterület privát kapcsolaton keresztüli eléréséhez az alábbi teljes tartományokkal (az úgynevezett munkaterület teljes tartományneveivel) kommunikálhat:

Nyilvános Azure-régiók:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com - Felügyelt online végpontok használják

A 21Vianet-régiók által üzemeltetett Microsoft Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn - Felügyelt online végpontok használják

Azure US Government-régiók:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us - Felügyelt online végpontok használják

A teljes tartomány a következő, privát kapcsolatú munkaterület teljes tartományneveinek (CNAM-oknak) a feloldása:

Nyilvános Azure-régiók:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms - Felügyelt online végpontok használják

21Vianet-régiók által üzemeltetett Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn - Felügyelt online végpontok használják

Azure US Government-régiók:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us - Felügyelt online végpontok használják

A teljes tartománynevek az adott régióban található Azure Machine Tanulás-munkaterület IP-címeit oldják fel. A munkaterület Private Link FQDN-jeinek feloldása azonban felülírható a virtuális hálózaton üzemeltetett egyéni DNS-kiszolgálóval. Erre az architektúrára példaként tekintse meg a virtuális hálózat példájában üzemeltetett egyéni DNS-kiszolgálót.

Feljegyzés

A felügyelt online végpontok megosztják a munkaterület privát végpontját. Ha manuálisan ad hozzá DNS-rekordokat a privát DNS-zónához privatelink.api.azureml.ms, egy helyettesítő karaktert *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms tartalmazó A rekordot kell hozzáadni, amely a munkaterület összes végpontját a privát végponthoz irányítja.

Manuális DNS-kiszolgálóintegráció

Ez a szakasz azt ismerteti, hogy mely teljes tartományokat hozza létre a DNS-kiszolgálón lévő A rekordokat, és hogy melyik IP-címre állítsa be az A rekord értékét.

Privát végpont teljes tartományneveinek lekérése

Nyilvános Azure-régió

Az alábbi lista tartalmazza a munkaterület által az Azure Nyilvános felhőben használt teljes tartományneveket (FQDN-eket):

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Feljegyzés

  A teljes tartománynév munkaterületének neve csonkolt lehet. A csonkolás 63 karakternél vagy annál kisebbnél hosszabb.ml-<workspace-name, truncated>-<region>-<workspace-guid>

• <instance-name>.<region>.instances.azureml.ms

  Feljegyzés

  • A számítási példányok csak a virtuális hálózaton belül érhetők el.
  • A teljes tartománynév IP-címe nem a számítási példány IP-címe. Ehelyett használja a munkaterület privát végpontjának privát IP-címét (a *.api.azureml.ms bejegyzések IP-címét).)

• <managed online endpoint name>.<region>.inference.ml.azure.com - Felügyelt online végpontok használják

A 21Vianet-régió által üzemeltetett Microsoft Azure

A következő teljes tartománynevek a 21Vianet-régiók által üzemeltetett Microsoft Azure-hoz tartoznak:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Feljegyzés

  A teljes tartománynév munkaterületének neve csonkolt lehet. A csonkolás 63 karakternél vagy annál kisebbnél hosszabb.ml-<workspace-name, truncated>-<region>-<workspace-guid>

• <instance-name>.<region>.instances.azureml.cn

  • A teljes tartománynév IP-címe nem a számítási példány IP-címe. Ehelyett használja a munkaterület privát végpontjának privát IP-címét (a *.api.azureml.ms bejegyzések IP-címét).)

• <managed online endpoint name>.<region>.inference.ml.azure.cn - Felügyelt online végpontok használják

Azure US Government

Az alábbi teljes tartománynevek az Azure US Government-régiókhoz tartoznak:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Feljegyzés

  A teljes tartománynév munkaterületének neve csonkolt lehet. A csonkolás 63 karakternél vagy annál kisebbnél hosszabb.ml-<workspace-name, truncated>-<region>-<workspace-guid>

• <instance-name>.<region>.instances.azureml.us

  • A teljes tartománynév IP-címe nem a számítási példány IP-címe. Ehelyett használja a munkaterület privát végpontjának privát IP-címét (a *.api.azureml.ms bejegyzések IP-címét).)

• <managed online endpoint name>.<region>.inference.ml.azure.us - Felügyelt online végpontok használják

Az IP-címek megkeresése

A virtuális hálózat teljes tartományneveinek belső IP-címeinek megkereséséhez használja az alábbi módszerek egyikét:

Feljegyzés

A teljes tartománynevek és IP-címek a konfigurációtól függően eltérőek lesznek. A tartománynév GUID-értéke például a munkaterületre lesz jellemző.

Azure CLI

1. A privát végpont hálózati adapter azonosítójának lekéréséhez használja a következő parancsot:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Az IP-cím és a teljes tartománynév adatainak lekéréséhez használja az alábbi parancsot. Cserélje le <resource-id> az előző lépés azonosítóját:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   A kimenet az alábbihoz hasonló szöveg lesz:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure Portalra

1. Az Azure Portalon válassza ki az Azure Machine Tanulás-munkaterületet.

2. A Gépház szakaszban válassza a Privát végpontkapcsolatok lehetőséget.

3. Válassza ki a megjelenő Privát végpont oszlopban lévő hivatkozást.

4. A munkaterület privát végpontjának teljes tartományneveit (FQDN) és IP-címeit tartalmazó lista a lap alján található.

   

   Tipp.

   Ha a DNS-beállítások nem jelennek meg a lap alján, használja a lap bal oldalán található DNS-konfigurációs hivatkozást a teljes tartománynevek megtekintéséhez.

Az összes metódusból visszaadott információ megegyezik; az erőforrások teljes tartománynevének és magánhálózati IP-címének listája. A következő példa az Azure Nyilvános felhőből származik:

FQDN	IP Address
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

Az alábbi táblázat a Microsoft Azure 21Vianet-régiók által üzemeltetett ip-címeit mutatja be:

FQDN	IP Address
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

Az alábbi táblázat az Azure US Government-régiókból származó példa IP-címeket mutatja be:

FQDN	IP Address
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Feljegyzés

A felügyelt online végpontok megosztják a munkaterület privát végpontjait. Ha manuálisan ad hozzá DNS-rekordokat a privát DNS-zónához privatelink.api.azureml.ms, egy helyettesítő karaktert *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms tartalmazó A rekordot kell hozzáadni a munkaterület összes végpontjának a privát végponthoz való átirányításához.

A rekordok létrehozása egyéni DNS-kiszolgálón

Miután összegyűjtötte a teljes tartománynevek listáját és a megfelelő IP-címeket, hozzon létre egy rekordot a konfigurált DNS-kiszolgálón. Tekintse meg a DNS-kiszolgáló dokumentációját az A rekordok létrehozásának módjának meghatározásához. Vegye figyelembe, hogy javasoljuk, hogy hozzon létre egy egyedi zónát a teljes teljes tartománynévhez, és hozza létre az A rekordot a zóna gyökerében.

Példa: Virtuális hálózaton üzemeltetett egyéni DNS-kiszolgáló

Ez az architektúra a központi és küllős virtuális hálózati topológiát használja. Egy virtuális hálózat tartalmazza a DNS-kiszolgálót, a másik pedig az Azure Machine Tanulás-munkaterület és a kapcsolódó erőforrások privát végpontját. Mindkét virtuális hálózat között érvényes útvonalnak kell lennie. Például egy sor társhálózaton keresztül.

A következő lépések a topológia működését írják le:

1. Hozzon létre saját DNS zónát, és csatolja a DNS-kiszolgáló virtuális hálózatához:

   Az egyéni DNS-megoldások Azure Machine-Tanulás-munkaterülettel való működésének első lépése két saját DNS zóna létrehozása, amelyek a következő tartományokban gyökereznek:

   Nyilvános Azure-régiók:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government-régiók:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Feljegyzés

   A felügyelt online végpontok megosztják a munkaterület privát végpontjait. Ha manuálisan ad hozzá DNS-rekordokat a privát DNS-zónához privatelink.api.azureml.ms, egy helyettesítő karaktert *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms tartalmazó A rekordot kell hozzáadni a munkaterület összes végpontjának a privát végponthoz való átirányításához.

   A saját DNS zóna létrehozását követően hozzá kell kapcsolni a DNS-kiszolgáló virtuális hálózatához. A DNS-kiszolgálót tartalmazó virtuális hálózat.

   A saját DNS zóna felülírja a zóna gyökértartományában lévő összes név névfeloldását. Ez a felülbírálás az összes olyan virtuális hálózatra vonatkozik, amelyhez a saját DNS zóna kapcsolódik. Ha például egy saját DNS zóna gyökeresen privatelink.api.azureml.ms kapcsolódik a virtuális hálózati foo-hoz, a feloldani bar.workspace.westus2.privatelink.api.azureml.ms próbált virtuális hálózati foo összes erőforrása megkapja a privatelink.api.azureml.ms zónában felsorolt rekordokat.

   A saját DNS Zónákban felsorolt rekordok azonban csak az alapértelmezett Azure DNS virtuális kiszolgáló IP-címével feloldó eszközökre kerülnek vissza. Így az egyéni DNS-kiszolgáló feloldja a hálózati topológiában elterülő eszközök tartományait. Az egyéni DNS-kiszolgálónak azonban fel kell oldania az Azure Machine-Tanulás kapcsolódó tartományokat az Azure DNS virtuális kiszolgáló IP-címével.

2. Hozzon létre privát végpontot a DNS-kiszolgáló virtuális hálózatához társított saját DNS zónát célzó privát DNS-integrációval:

   A következő lépés egy privát végpont létrehozása az Azure Machine Tanulás-munkaterületen. A privát végpont az 1. lépésben létrehozott saját DNS zónákat célozza meg. Ez biztosítja, hogy a munkaterülettel való kommunikáció az Azure Machine Tanulás virtuális hálózat magánvégpontán keresztül történik.

   Fontos

   A privát végpontnak engedélyeznie kell saját DNS integrációt ahhoz, hogy ez a példa megfelelően működjön.

3. Feltételes továbbító létrehozása a DNS-kiszolgálón az Azure DNS-be való továbbításhoz:

   Ezután hozzon létre egy feltételes továbbítót az Azure DNS virtuális kiszolgálóra. A feltételes továbbító biztosítja, hogy a DNS-kiszolgáló mindig lekérdezi az Azure DNS virtuális kiszolgáló IP-címét a munkaterülethez kapcsolódó teljes tartománynevekhez. Ez azt jelenti, hogy a DNS-kiszolgáló a megfelelő rekordot adja vissza a saját DNS zónából.

   A feltételesen továbbítandó zónák az alábbiakban láthatók. Az Azure DNS virtuális kiszolgáló IP-címe 168.63.129.16:

   Nyilvános Azure-régiók:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - Felügyelt online végpontok használják

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - Felügyelt online végpontok használják

   Azure US Government-régiók:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - Felügyelt online végpontok használják

   Fontos

   A DNS-kiszolgáló konfigurációs lépései nem szerepelnek itt, mivel számos dns-megoldás érhető el, amelyek egyéni DNS-kiszolgálóként használhatók. A feltételes továbbítás megfelelő konfigurálásához tekintse meg a DNS-megoldás dokumentációját.

4. Munkaterület tartományának feloldása:

   Ezen a ponton minden beállítás befejezve. Mostantól bármely ügyfél, amely DNS-kiszolgálót használ a névfeloldáshoz, és rendelkezik az Azure Machine Tanulás Privát végponthoz vezető útvonalsal, folytathatja a munkaterület elérését. Az ügyfél először a DNS-kiszolgáló lekérdezésével kezdi a következő teljes tartománynevek címét:

   Nyilvános Azure-régiók:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - Felügyelt online végpontok használják

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - Felügyelt online végpontok használják

   Azure US Government-régiók:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - Felügyelt online végpontok használják

5. Az Azure DNS rekurzív módon feloldja a munkaterület tartományát CNAME-ra:

   A DNS-kiszolgáló a 4. lépésben feloldja a teljes tartományneveket az Azure DNS-ből. Az Azure DNS az 1. lépésben felsorolt tartományok egyikével válaszol.

6. A DNS-kiszolgáló rekurzív módon feloldja a munkaterület tartományának CNAME rekordját az Azure DNS-ből:

   A DNS-kiszolgáló folytatja az 5. lépésben kapott CNAME rekurzív feloldását. Mivel a 3. lépésben egy feltételes továbbító beállítása történt, a DNS-kiszolgáló elküldi a kérést az Azure DNS virtuális kiszolgáló IP-címére a megoldás érdekében.

7. Az Azure DNS saját DNS zónából ad vissza rekordokat:

   A saját DNS Zónákban tárolt megfelelő rekordok vissza lesznek adva a DNS-kiszolgálónak, ami azt jelenti, hogy az Azure DNS Virtual Server a privát végpont IP-címeit adja vissza.

8. Az egyéni DNS-kiszolgáló feloldja a munkaterület tartománynevét a privát végpont címére:

   Az egyéni DNS-kiszolgáló végül a 4. lépésben visszaadja a privát végpont IP-címét az ügyfélnek. Ez biztosítja, hogy az Azure Machine Tanulás-munkaterületre történő összes forgalom a privát végponton keresztül legyen.

Hibaelhárítás

Ha nem tudja elérni a munkaterületet egy virtuális gépről, vagy a virtuális hálózaton lévő számítási erőforrásokon meghiúsulnak a feladatok, az ok azonosításához kövesse az alábbi lépéseket:

1. Keresse meg a munkaterület teljes tartományneveit a privát végponton:

   Lépjen az Azure Portalra az alábbi hivatkozások egyikével:

   • Nyilvános Azure-régiók
   • 21Vianet-régiók által üzemeltetett Microsoft Azure
   • Azure US Government-régiók

   Lépjen a privát végpontra az Azure Machine Tanulás-munkaterületre. A munkaterület teljes tartománynevei az "Áttekintés" lapon jelennek meg.

2. Számítási erőforrás elérése a virtuális hálózat topológiájában:

   Lépjen tovább egy számítási erőforráshoz az Azure Virtual Network topológiájában. Ehhez valószínűleg hozzá kell férni egy virtuális géphez a központi virtuális hálózattal társviszonyban lévő virtuális hálózaton.

3. Munkaterület teljes tartományneveinek feloldása:

   Nyisson meg egy parancssort, rendszerhéjat vagy PowerShellt. Ezután futtassa a következő parancsot a munkaterület mindegyik teljes tartománynevére vonatkozóan:

   nslookup <workspace FQDN>

   Minden nslookup eredményének a privát végponton lévő két privát IP-cím egyikét kell visszaadnia az Azure Machine Tanulás-munkaterületre. Ha nem ez történik meg, akkor valami nincs megfelelően konfigurálva az egyéni DNS-megoldásban.

   Lehetséges okok:

   • A hibaelhárítási parancsokat futtató számítási erőforrás nem használ DNS-kiszolgálót a DNS-feloldáshoz
   • A privát végpont létrehozásakor kiválasztott privát DNS-zónák nincsenek összekapcsolva a DNS-kiszolgáló virtuális hálózatával
   • A feltételes továbbítók nem megfelelően lettek konfigurálva az Azure DNS virtuális kiszolgáló IP-címére

Példa: Helyszíni üzemeltetésű egyéni DNS-kiszolgáló

Ez az architektúra a központi és küllős virtuális hálózati topológiát használja. Az ExpressRoute a helyszíni hálózatról a központi virtuális hálózathoz való csatlakozásra szolgál. Az egyéni DNS-kiszolgáló helyszíni üzemeltetésű. Egy külön virtuális hálózat tartalmazza az Azure Machine-Tanulás-munkaterület és a kapcsolódó erőforrások privát végpontját. Ezzel a topológiával egy másik, DNS-kiszolgálót üzemeltető virtuális hálózatnak kell lennie, amely képes kéréseket küldeni az Azure DNS virtuális kiszolgáló IP-címére.

A következő lépések a topológia működését írják le:

1. Hozzon létre saját DNS zónát, és csatolja a DNS-kiszolgáló virtuális hálózatához:

   Az egyéni DNS-megoldások Azure Machine-Tanulás-munkaterülettel való működésének első lépése két saját DNS zóna létrehozása, amelyek a következő tartományokban gyökereznek:

   Nyilvános Azure-régiók:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government-régiók:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Feljegyzés

   A felügyelt online végpontok megosztják a munkaterület privát végpontjait. Ha manuálisan ad hozzá DNS-rekordokat a privát DNS-zónához privatelink.api.azureml.ms, egy helyettesítő karaktert *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms tartalmazó A rekordot kell hozzáadni a munkaterület összes végpontjának a privát végponthoz való átirányításához.

   A saját DNS zóna létrehozását követően hozzá kell kapcsolni a DNS-kiszolgáló virtuális hálózatához – a DNS-kiszolgálót tartalmazó virtuális hálózathoz.

   Feljegyzés

   A virtuális hálózat DNS-kiszolgálója külön van a helyszíni DNS-kiszolgálótól.

   A saját DNS zóna felülírja a zóna gyökértartományában lévő összes név névfeloldását. Ez a felülbírálás az összes olyan virtuális hálózatra vonatkozik, amelyhez a saját DNS zóna kapcsolódik. Ha például egy legfelső szintű privatelink.api.azureml.ms saját DNS zóna kapcsolódik a Virtuális hálózat foo-hoz, a feloldani bar.workspace.westus2.privatelink.api.azureml.ms próbált virtuális hálózati foo összes erőforrása megkapja a privatelink.api.azureml.ms zónában felsorolt rekordokat.

   A saját DNS Zónákban felsorolt rekordok azonban csak az alapértelmezett Azure DNS virtuális kiszolgáló IP-címével feloldó eszközökre kerülnek vissza. Az Azure DNS virtuális kiszolgáló IP-címe csak egy virtuális hálózat környezetében érvényes. Helyszíni DNS-kiszolgáló használatakor nem tudja lekérdezni az Azure DNS virtuális kiszolgáló IP-címét a rekordok lekéréséhez.

   Ennek a viselkedésnek a megkerüléséhez hozzon létre egy közvetítő DNS-kiszolgálót egy virtuális hálózaton. Ez a DNS-kiszolgáló lekérdezheti az Azure DNS virtuális kiszolgáló IP-címét, hogy lekérje a virtuális hálózathoz társított saját DNS zónák rekordjait.

   Bár a helyszíni DNS-kiszolgáló feloldja a hálózati topológiában elterjedt eszközök tartományait, az Azure Machine-Tanulás kapcsolódó tartományokat a DNS-kiszolgálóval oldja fel. A DNS-kiszolgáló feloldja ezeket a tartományokat az Azure DNS virtuális kiszolgáló IP-címéről.

2. Hozzon létre privát végpontot a DNS-kiszolgáló virtuális hálózatához társított saját DNS zónát célzó privát DNS-integrációval:

   A következő lépés egy privát végpont létrehozása az Azure Machine Tanulás-munkaterületen. A privát végpont az 1. lépésben létrehozott saját DNS zónákat célozza meg. Ez biztosítja, hogy a munkaterülettel való kommunikáció az Azure Machine Tanulás virtuális hálózat magánvégpontán keresztül történik.

   Fontos

   A privát végpontnak engedélyeznie kell saját DNS integrációt ahhoz, hogy ez a példa megfelelően működjön.

3. Feltételes továbbító létrehozása a DNS-kiszolgálón az Azure DNS-be való továbbításhoz:

   Ezután hozzon létre egy feltételes továbbítót az Azure DNS virtuális kiszolgálóra. A feltételes továbbító biztosítja, hogy a DNS-kiszolgáló mindig lekérdezi az Azure DNS virtuális kiszolgáló IP-címét a munkaterülethez kapcsolódó teljes tartománynevekhez. Ez azt jelenti, hogy a DNS-kiszolgáló a megfelelő rekordot adja vissza a saját DNS zónából.

   A feltételesen továbbítandó zónák az alábbiakban láthatók. Az Azure DNS virtuális kiszolgáló IP-címe 168.63.129.16.

   Nyilvános Azure-régiók:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - Felügyelt online végpontok használják

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - Felügyelt online végpontok használják

   Azure US Government-régiók:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - Felügyelt online végpontok használják

   Fontos

   A DNS-kiszolgáló konfigurációs lépései nem szerepelnek itt, mivel számos dns-megoldás érhető el, amelyek egyéni DNS-kiszolgálóként használhatók. A feltételes továbbítás megfelelő konfigurálásához tekintse meg a DNS-megoldás dokumentációját.

4. Feltételes továbbító létrehozása a helyszíni DNS-kiszolgálón a DNS-kiszolgálóra való továbbításhoz:

   Ezután hozzon létre egy feltételes továbbítót a DNS-kiszolgálóhoz a DNS-kiszolgáló virtuális hálózatában. Ez a továbbító az 1. lépésben felsorolt zónákhoz tartozik. Ez hasonló a 3. lépéshez, de az Azure DNS virtuális kiszolgáló IP-címére való továbbítás helyett a helyszíni DNS-kiszolgáló a DNS-kiszolgáló IP-címét célozza meg. Mivel a helyszíni DNS-kiszolgáló nincs az Azure-ban, nem tudja közvetlenül feloldani saját DNS zónák rekordjait. Ebben az esetben a DNS-kiszolgáló proxyk kéréseket küld a helyszíni DNS-kiszolgálóról az Azure DNS Virtuális kiszolgáló IP-címére. Ez lehetővé teszi, hogy a helyszíni DNS-kiszolgáló lekérje a DNS-kiszolgáló virtuális hálózatához társított saját DNS zónák rekordjait.

   A feltételesen továbbítandó zónák az alábbiakban láthatók. A továbbítandó IP-címek a DNS-kiszolgálók IP-címei:

   Nyilvános Azure-régiók:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com - Felügyelt online végpontok használják

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn - Felügyelt online végpontok használják

   Azure US Government-régiók:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us - Felügyelt online végpontok használják

   Fontos

   A DNS-kiszolgáló konfigurációs lépései nem szerepelnek itt, mivel számos dns-megoldás érhető el, amelyek egyéni DNS-kiszolgálóként használhatók. A feltételes továbbítás megfelelő konfigurálásához tekintse meg a DNS-megoldás dokumentációját.

5. Munkaterület tartományának feloldása:

   Ezen a ponton minden beállítás befejezve. Minden olyan ügyfél, amely a névfeloldáshoz helyszíni DNS-kiszolgálót használ, és rendelkezik az Azure Machine Tanulás privát végpontjára vezető útvonalsal, folytathatja a munkaterület elérését.

   Az ügyfél először a helyszíni DNS-kiszolgáló lekérdezésével kezdi a következő teljes tartománynevek címét:

   Nyilvános Azure-régiók:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - Felügyelt online végpontok használják

   A 21Vianet-régiók által üzemeltetett Microsoft Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - Felügyelt online végpontok használják

   Azure US Government-régiók:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - Felügyelt online végpontok használják

6. A helyszíni DNS-kiszolgáló rekurzív módon feloldja a munkaterület tartományát:

   A helyszíni DNS-kiszolgáló feloldja a teljes tartományneveket a DNS-kiszolgáló 5. lépéséből. Mivel van egy feltételes továbbító (4. lépés), a helyszíni DNS-kiszolgáló elküldi a kérést a DNS-kiszolgálónak megoldás céljából.

7. A DNS Server feloldja a munkaterület tartományát CNAME-ra az Azure DNS-ből:

   A DNS-kiszolgáló az 5. lépésben feloldja a teljes tartományneveket az Azure DNS-ből. Az Azure DNS az 1. lépésben felsorolt tartományok egyikével válaszol.

8. A helyszíni DNS-kiszolgáló rekurzív módon feloldja a munkaterület tartományának CNAME rekordját a DNS-kiszolgálóról:

   A helyszíni DNS-kiszolgáló folytatja a 7. lépésben kapott CNAME rekurzív feloldását. Mivel a 4. lépésben egy feltételes továbbító beállítása történt, a helyszíni DNS-kiszolgáló elküldi a kérést a DNS-kiszolgálónak megoldás céljából.

9. A DNS-kiszolgáló rekurzív módon feloldja a munkaterület tartományának CNAME rekordját az Azure DNS-ből:

   A DNS-kiszolgáló folytatja a 7. lépésben kapott CNAME rekurzív feloldását. Mivel a 3. lépésben egy feltételes továbbító beállítása történt, a DNS-kiszolgáló elküldi a kérést az Azure DNS virtuális kiszolgáló IP-címére a megoldás érdekében.

10. Az Azure DNS saját DNS zónából ad vissza rekordokat:

    A saját DNS zónákban tárolt megfelelő rekordok vissza lesznek adva a DNS-kiszolgálónak, ami azt jelenti, hogy az Azure DNS virtuális kiszolgáló a privát végpont IP-címét adja vissza.

11. A helyszíni DNS-kiszolgáló feloldja a munkaterület tartománynevét a privát végpont címére:

    A 8. lépésben a helyszíni DNS-kiszolgálóról a DNS-kiszolgálóra történő lekérdezés végül a privát végponthoz társított IP-címeket adja vissza az Azure Machine Tanulás-munkaterületre. Ezeket az IP-címeket a rendszer visszaadja az eredeti ügyfélnek, amely mostantól az 1. lépésben konfigurált privát végponton keresztül kommunikál az Azure Machine Tanulás-munkaterülettel.

    Fontos

    Ha ebben a beállításban a VPN Gatewayt az egyéni DNS-kiszolgáló IP-címeivel együtt használja a VNeten, akkor az Azure DNS IP-címét (168.63.129.16) hozzá kell adni a listához, valamint a zavartalan kommunikáció fenntartásához.

Példa: Gazdagépfájl

A hosts fájl egy szöveges dokumentum, amelyet a Linux, a macOS és a Windows a helyi számítógép névfeloldására használ. A fájl tartalmazza az IP-címek listáját és a megfelelő állomásnevet. Amikor a helyi számítógép megpróbál feloldani egy gazdagépnevet, ha a gazdagép neve szerepel a hosts fájlban, a rendszer feloldja a nevet a megfelelő IP-címre.

Fontos

A hosts fájl csak a helyi számítógép névfeloldást bírálja felül. Ha több számítógéppel rendelkező fájlt szeretne használni hosts , minden számítógépen külön-külön kell módosítania.

Az alábbi táblázat a fájl helyét sorolja fel hosts :

Operációs rendszer	Hely
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Tipp.

A fájl hosts neve nincs kiterjesztéssel. A fájl szerkesztésekor rendszergazdai hozzáférést használjon. Linuxon vagy macOS-en például használhatja sudo vi. Windows rendszeren futtassa a jegyzettömbet rendszergazdaként.

Az alábbi példa az hosts Azure Machine Tanulás fájlbejegyzéseit szemlélteti:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

További információ a hosts fájlról: https://wikipedia.org/wiki/Hosts_(file).

Függőségi szolgáltatások DNS-feloldás

A munkaterület által használt szolgáltatások privát végponttal is védhetők. Ha igen, akkor előfordulhat, hogy létre kell hoznia egy egyéni DNS-rekordot, ha közvetlenül kommunikálnia kell a szolgáltatással. Ha például közvetlenül szeretne dolgozni a munkaterület által használt Azure Storage-fiók adataival.

Feljegyzés

Egyes szolgáltatások több privát végpontot is tartalmaznak az alszolgáltatásokhoz vagy szolgáltatásokhoz. Előfordulhat például, hogy egy Azure Storage-fiók egyéni privát végpontokkal rendelkezik a Blob, a File és a DFS számára. Ha a Blob és a File Storage szolgáltatáshoz is hozzá kell férnie, engedélyeznie kell az egyes privát végpontok felbontását.

További információ a szolgáltatásokról és a DNS-feloldásról: Azure Private Endpoint DNS-konfiguráció.

Hibaelhárítás

Ha a fenti lépések végrehajtása után nem tud hozzáférni a munkaterülethez egy virtuális gépről, vagy a privát végpontot tartalmazó virtuális hálózat számítási erőforrásai meghiúsulnak az Azure Machine Tanulás-munkaterületen, kövesse az alábbi lépéseket az ok azonosításához.

1. Keresse meg a munkaterület teljes tartományneveit a privát végponton:

   Lépjen az Azure Portalra az alábbi hivatkozások egyikével:

   • Nyilvános Azure-régiók
   • 21Vianet-régiók által üzemeltetett Microsoft Azure
   • Azure US Government-régiók

   Lépjen a privát végpontra az Azure Machine Tanulás-munkaterületre. A munkaterület teljes tartománynevei az "Áttekintés" lapon jelennek meg.

2. Számítási erőforrás elérése a virtuális hálózat topológiájában:

   Lépjen tovább egy számítási erőforráshoz az Azure Virtual Network topológiájában. Ehhez valószínűleg hozzá kell férni egy virtuális géphez a központi virtuális hálózattal társviszonyban lévő virtuális hálózaton.

3. Munkaterület teljes tartományneveinek feloldása:

   Nyisson meg egy parancssort, rendszerhéjat vagy PowerShellt. Ezután futtassa a következő parancsot a munkaterület mindegyik teljes tartománynevére vonatkozóan:

   nslookup <workspace FQDN>

   Mindegyik nslookup parancsnak vissza kell adnia eredményként a privát végpont IP-címe vagy az Azure Machine Learning-munkaterület IP-címe közül valamelyiket. Ha nem ez történik meg, akkor valami nincs megfelelően konfigurálva az egyéni DNS-megoldásban.

   Lehetséges okok:

   • A hibaelhárítási parancsokat futtató számítási erőforrás nem használ DNS-kiszolgálót a DNS-feloldáshoz
   • A privát végpont létrehozásakor kiválasztott privát DNS-zónák nincsenek összekapcsolva a DNS-kiszolgáló virtuális hálózatával
   • A DNS-kiszolgáló felől az Azure DNS virtuális kiszolgáló IP-címére irányuló feltételes továbbítók nincsenek megfelelően konfigurálva
   • A helyszíni DNS-kiszolgáló felől a DNS-kiszolgálóra irányuló feltételes továbbítók nincsenek megfelelően konfigurálva

Következő lépések

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• A virtuális hálózat áttekintése

• A munkaterület erőforrásainak védelme
• A betanítási környezet védelme
• A következtetési környezet védelme

• Studio-funkciók engedélyezése
• Tűzfal használata

A privát végpontok DNS-konfigurációba való integrálásával kapcsolatos információkért tekintse meg az Azure Private Endpoint DNS-konfigurációját.