Cara menggunakan ruang kerja Anda dengan server DNS kustom

Saat menggunakan ruang kerja Azure Machine Learning dengan titik akhir pribadi, ada beberapa cara untuk menangani resolusi nama DNS. Secara default, Azure secara otomatis menangani resolusi nama untuk ruang kerja dan titik akhir pribadi Anda. Jika Anda menggunakan server DNS kustom Anda sendiri, Anda harus membuat entri DNS secara manual atau menggunakan penerus bersyarat untuk ruang kerja.

Penting

Artikel ini membahas cara menemukan nama domain (FQDN) dan alamat IP yang sepenuhnya memenuhi syarat untuk entri ini jika Anda ingin mendaftarkan catatan DNS secara manual dalam solusi DNS Anda. Selain itu, artikel ini menyediakan rekomendasi arsitektur tentang cara mengonfigurasi solusi DNS kustom Anda untuk menyelesaikan FQDN secara otomatis ke alamat IP yang benar. Artikel ini TIDAK menyediakan informasi tentang mengonfigurasi catatan DNS untuk item ini. Lihat dokumentasi untuk perangkat lunak DNS Anda untuk informasi tentang cara menambahkan catatan.

Tip

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:

• Gambaran umum virtual network

• Mengamankan sumber daya ruang kerja
• Mengamankan lingkungan pelatihan
• Mengamankan lingkungan inferensi

• Mengaktifkan fungsionalitas studio
• Menggunakan firewall

Prasyarat

• Azure Virtual Network yang menggunakan server DNS Anda sendiri.

• Ruang kerja Azure Machine Learning dengan titik akhir pribadi. Untuk informasi selengkapnya, lihat Membuat ruang kerja Azure Machine Learning.

• Keakraban dengan menggunakan isolasi Jaringan selama latihan & inferensi.

• Keakraban dengan konfigurasi zona DNS Azure Private Endpoint

• Keakraban dengan DNS Pribadi Azure

• Secara opsional CLI Azure atau Azure PowerShell.

Integrasi server DNS otomatis

Pengantar

Ada dua arsitektur umum untuk menggunakan integrasi server DNS otomatis dengan Azure Machine Learning:

• Server DNS kustom yang dihosting di Azure Virtual Network.
• Server DNS kustom yang dihosting di tempat,terhubung ke Azure Machine Learning melalui ExpressRoute.

Meskipun arsitektur Anda mungkin berbeda dari contoh ini, Anda dapat menggunakannya sebagai titik referensi. Kedua arsitektur contoh menyediakan langkah-langkah pemecahan masalah yang dapat membantu Anda mengidentifikasi komponen yang mungkin salah dikonfigurasi.

Pilihan lain adalah memodifikasi file hosts pada klien yang terhubung ke Azure Virtual Network (VNet) yang berisi ruang kerja Anda. Untuk informasi lebih lanjut, lihat bagian file Host.

Jalur resolusi DNS ruang kerja

Akses ke ruang kerja Azure Machine Learning yang diberikan melalui Private Link dilakukan dengan berkomunikasi dengan Domain Yang Sepenuhnya Memenuhi Syarat berikut (disebut FQDN ruang kerja) yang tercantum di bawah ini:

Wilayah publik Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

Microsoft Azure dioperasikan oleh 21 wilayahVianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

Wilayah Azure Pemerintahan AS:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

Domain yang Sepenuhnya Memenuhi Syarat menyelesaikan ke Nama Kanonik (CNAME) berikut yang disebut ruang kerja Private Link FQDN:

Wilayah publik Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms - Digunakan oleh titik akhir online terkelola

Azure dioperasikan oleh 21 wilayahVianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn - Digunakan oleh titik akhir online terkelola

Wilayah Azure Pemerintahan AS:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us - Digunakan oleh titik akhir online terkelola

FQDNs diselesaikan ke alamat IP ruang kerja Azure Machine Learning di wilayah tersebut. Namun, resolusi ruang kerja Private Link FQDNs dapat diganti dengan menggunakan server DNS kustom yang dihosting di jaringan virtual. Untuk contoh arsitektur ini, lihat contoh server DNS kustom yang dihosting di vnet.

Catatan

Titik akhir online terkelola berbagi titik akhir privat ruang kerja. Jika Anda menambahkan catatan DNS secara manual ke zona privatelink.api.azureml.msDNS privat , rekaman A dengan kartubebas *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms harus ditambahkan untuk merutekan semua titik akhir di bawah ruang kerja ke titik akhir privat.

Integrasi server DNS manual

Bagian ini membahas domain yang sepenuhnya memenuhi syarat untuk membuat catatan A di Server DNS, dan alamat IP mana yang akan menetapkan nilai catatan A.

Ambil FQDN Endpoint Pribadi

Kawasan Publik Azure

Daftar berikut ini berisi nama domain (FQDN) yang sepenuhnya memenuhi syarat yang digunakan oleh ruang kerja Anda jika berada di Azure Public Cloud:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Catatan

  Nama ruang kerja untuk FQDN ini mungkin terpotong. Pemotongan dilakukan untuk menjaga pada ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 karakter atau kurang.

• <instance-name>.<region>.instances.azureml.ms

  Catatan

  • Instans komputasi hanya dapat diakses dari dalam jaringan virtual.
  • Alamat IP untuk FQDN ini bukan IP dari instans komputasi. Sebagai gantinya, gunakan alamat IP privat dari titik akhir privat ruang kerja (IP *.api.azureml.ms entri.)

• <managed online endpoint name>.<region>.inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

Microsoft Azure dioperasikan oleh wilayah 21Vianet

FQDN berikut adalah untuk Microsoft Azure yang dioperasikan oleh wilayah 21Vianet:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Catatan

  Nama ruang kerja untuk FQDN ini mungkin terpotong. Pemotongan dilakukan untuk menjaga pada ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 karakter atau kurang.

• <instance-name>.<region>.instances.azureml.cn

  • Alamat IP untuk FQDN ini bukan IP dari instans komputasi. Sebagai gantinya, gunakan alamat IP privat dari titik akhir privat ruang kerja (IP *.api.azureml.ms entri.)

• <managed online endpoint name>.<region>.inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

Azure US Government

FQDN berikut adalah untuk wilayah Pemerintah Azure AS:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Catatan

  Nama ruang kerja untuk FQDN ini mungkin terpotong. Pemotongan dilakukan untuk menjaga pada ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 karakter atau kurang.

• <instance-name>.<region>.instances.azureml.us

  • Alamat IP untuk FQDN ini bukan IP dari instans komputasi. Sebagai gantinya, gunakan alamat IP privat dari titik akhir privat ruang kerja (IP *.api.azureml.ms entri.)

• <managed online endpoint name>.<region>.inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

Menemukan alamat IP

Untuk menemukan alamat IP internal untuk FQDN di VNet, gunakan salah satu metode berikut:

Catatan

Nama domain dan alamat IP yang sepenuhnya memenuhi syarat akan berbeda berdasarkan konfigurasi Anda. Misalnya, nilai GUID dalam nama domain akan spesifik untuk ruang kerja Anda.

Azure CLI

1. Untuk mendapatkan ID antarmuka jaringan titik akhir privat, gunakan perintah berikut:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Untuk mendapatkan alamat IP dan informasi FQDN, gunakan perintah berikut. Ganti <resource-id> dengan ID dari langkah sebelumnya:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   Output Anda akan terlihat mirip dengan teks berikut:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Portal Azure

1. Dalam portal Azure, pilih ruang kerja Azure Machine Learning Anda.

2. Dari bagian Pengaturan, pilih Koneksi titik akhir privat.

3. Pilih tautan di kolom Titik akhir Privat yang ditampilkan.

4. Daftar nama domain (FQDN) dan alamat IP yang sepenuhnya memenuhi syarat untuk titik akhir privat ruang kerja berada di bagian bawah halaman.

   

   Tip

   Jika pengaturan DNS tidak muncul di bagian bawah halaman, gunakan link konfigurasi DNS dari sisi kiri halaman untuk menampilkan FQDN.

Informasi yang dikembalikan dari semua metode adalah sama; daftar FQDN dan alamat IP pribadi untuk sumber daya. Contoh berikut ini adalah dari Azure Public Cloud:

FQDN	Alamat IP
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

Tabel berikut ini memperlihatkan contoh IP dari Microsoft Azure yang dioperasikan oleh wilayah 21Vianet:

FQDN	Alamat IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

Tabel berikut ini memperlihatkan contoh IP dari wilayah Azure Tiongkok:

FQDN	Alamat IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Catatan

Titik akhir online terkelola berbagi titik akhir privat ruang kerja. Jika Anda menambahkan catatan DNS secara manual ke zona privatelink.api.azureml.msDNS privat , rekaman A dengan kartubebas *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms harus ditambahkan untuk merutekan semua titik akhir di bawah ruang kerja ke titik akhir privat.

Membuat catatan A di server DNS kustom

Setelah daftar FQDN dan alamat IP terkait dikumpulkan, lanjutkan untuk membuat catatan A di Server DNS yang dikonfigurasi. Lihat dokumentasi untuk server DNS Anda untuk menentukan cara membuat catatan A. Perhatikan disarankan untuk membuat zona unik untuk seluruh FQDN, dan membuat catatan A di akar zona.

Contoh: Server DNS Kustom yang dihosting di VNet

Arsitektur ini menggunakan Hub umum dan topologi jaringan virtual Spoke. Satu jaringan virtual berisi server DNS dan satu berisi titik akhir pribadi ke ruang kerja Azure Machine Learning dan sumber daya terkait. Harus ada rute yang valid antara kedua jaringan virtual. Misalnya, melalui serangkaian jaringan virtual yang sama.

Langkah-langkah berikut menjelaskan cara kerja topologi ini:

1. Membuat Zona DNS Pribadi dan link ke DNS Server Virtual Network:

   Langkah pertama dalam memastikan solusi DNS Kustom berfungsi dengan ruang kerja Azure Machine Learning Anda adalah membuat dua Zona DNS Pribadi yang berakar pada domain berikut:

   Wilayah publik Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Wilayah Azure Pemerintahan AS:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Catatan

   Titik akhir online terkelola berbagi titik akhir privat ruang kerja. Jika Anda menambahkan catatan DNS secara manual ke zona privatelink.api.azureml.msDNS privat , rekaman A dengan kartubebas *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms harus ditambahkan untuk merutekan semua titik akhir di bawah ruang kerja ke titik akhir privat.

   Setelah pembuatan Zona DNS Privat, zona DNS tersebut perlu ditautkan ke Virtual Network Server DNS. Virtual Network yang memuat Server DNS.

   Zona DNS Pribadi mengesampingkan resolusi nama untuk semua nama dalam lingkup akar zona. Penggantian ini berlaku untuk semua Virtual Network yang ditautkan ke Zona DNS Pribadi. Misalnya, jika Zona DNS Privat yang di-rooting privatelink.api.azureml.ms ditautkan ke foo Virtual Network, semua sumber daya dalam foo Virtual Network yang mencoba bar.workspace.westus2.privatelink.api.azureml.ms mengatasinya akan menerima catatan apa pun yang tercantum di privatelink.api.azureml.ms zona tersebut.

   Namun, catatan yang tercantum di Zona DNS Pribadi hanya dikembalikan ke perangkat yang menyelesaikan domain menggunakan alamat IP Server Virtual Azure DNS default. Jadi Server DNS kustom akan mengatasi domain untuk perangkat yang tersebar di seluruh topologi jaringan Anda. Tetapi Server DNS kustom perlu menyelesaikan domain terkait Azure Machine Learning terhadap alamat IP Azure DNS Virtual Server.

2. Buat titik akhir pribadi dengan integrasi DNS pribadi yang menargetkan Zona DNS Pribadi yang ditautkan ke DNS Server Virtual Network:

   Langkah selanjutnya adalah membuat Titik Akhir Privat ke ruang kerja Azure Machine Learning. Titik akhir privat menargetkan kedua Zona DNS Privat yang dibuat di langkah 1. Ini memastikan semua komunikasi dengan ruang kerja dilakukan melalui Titik Akhir Pribadi di Azure Machine Learning Virtual Network.

   Penting

   Titik akhir privat harus mengaktifkan integrasi DNS Pribadi agar contoh ini berfungsi dengan benar.

3. Membuat penerus bersyarat di DNS Server untuk diteruskan ke Azure DNS:

   Selanjutnya, buat penerus bersyarat ke Azure DNS Virtual Server. Penerus bersyarat memastikan bahwa server DNS selalu meminta alamat IP Azure DNS Virtual Server untuk FQDN yang terkait dengan ruang kerja Anda. Ini berarti bahwa Server DNS akan mengembalikan catatan terkait dari Zona DNS Privat.

   Zona untuk maju secara kondisional tercantum di bawah ini. Alamat IP Azure DNS Virtual Server adalah 168.63.129.16:

   Wilayah publik Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

   Wilayah Azure Pemerintahan AS:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

   Penting

   Langkah-langkah konfigurasi untuk Server DNS tidak disertakan di sini, karena ada banyak solusi DNS yang tersedia yang dapat digunakan sebagai Server DNS kustom. Lihat dokumentasi untuk solusi DNS Anda tentang cara mengonfigurasi penerusan bersyarat dengan tepat.

4. Mengatasi domain ruang kerja:

   Pada titik ini, semua pengaturan dilakukan. Sekarang setiap klien yang menggunakan DNS Server untuk resolusi nama dan memiliki rute ke Azure Machine Learning Private Endpoint dapat melanjutkan untuk mengakses ruang kerja. Klien pertama-tama akan mulai dengan mengkueri DNS Server untuk alamat FQDN berikut ini:

   Wilayah publik Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

   Wilayah Azure Pemerintahan AS:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

5. Azure DNS secara rekursif menyelesaikan domain ruang kerja ke CNAME:

   Server DNS akan melanjutkan untuk menyelesaikan FQDN dari langkah 4 dari Azure DNS. Azure DNS akan merespons dengan salah satu domain terdaftar dalam langkah 1.

6. DNS Server secara rekursif menyelesaikan catatan CNAME domain ruang kerja dari Azure DNS:

   DNS Server akan melanjutkan untuk menyelesaikan CNAME yang diterima secara rekursif di langkah 5. Karena ada penyetelan penerus bersyarat di langkah 3, DNS Server akan mengirim permintaan ke alamat IP Azure DNS Virtual Server untuk resolusi.

7. Azure DNS mengembalikan rekaman dari zona DNS Privat:

   Catatan terkait yang disimpan di Zona DNS Privat akan dikembalikan ke Server DNS, yang berarti Azure DNS Virtual Server mengembalikan alamat IP Titik Akhir Privat.

8. Server DNS kustom menyelesaikan nama domain ruang kerja ke alamat titik akhir pribadi:

   Pada akhirnya Server DNS Kustom sekarang mengembalikan alamat IP Titik Akhir Pribadi kepada klien dari langkah 4. Ini memastikan bahwa semua lalu lintas ke ruang kerja Azure Machine Learning adalah melalui Titik Akhir Pribadi.

Pemecahan Masalah

Jika Anda tidak dapat mengakses ruang kerja dari mesin virtual atau pekerjaan yang gagal pada sumber daya komputasi di jaringan virtual, gunakan langkah-langkah berikut untuk mengidentifikasi penyebabnya:

1. Temukan FQDN ruang kerja di Titik Akhir Privat:

   Navigasi ke portal Azure menggunakan salah satu link berikut ini:

   • Wilayah publik Azure
   • Microsoft Azure dioperasikan oleh 21 wilayahVianet
   • Wilayah Azure Pemerintahan AS

   Navigasi ke Titik Akhir Privat ke ruang kerja Azure Machine Learning. FQDN ruang kerja akan dicantumkan pada tab "Gambaran Umum".

2. Akses sumber daya komputasi dalam topologi Virtual Network:

   Lanjutkan untuk mengakses sumber daya komputasi di topologi Azure Virtual Network. Ini kemungkinan akan memerlukan mengakses Mesin Virtual di Virtual Network yang disambungkan dengan Hub Virtual Network.

3. Mengatasi FQDN ruang kerja:

   Buka prompt perintah, shell, atau PowerShell. Kemudian untuk setiap FQDN ruang kerja, jalankan perintah berikut:

   nslookup <workspace FQDN>

   Hasil dari setiap nslookup harus mengembalikan salah satu dari dua alamat IP pribadi di Titik Akhir Pribadi ke ruang kerja Azure Machine Learning. Jika tidak, maka ada sesuatu yang salah dikonfigurasi dalam solusi DNS kustom.

   Kemungkinan penyebabnya:

   • Sumber daya komputasi yang menjalankan perintah pemecahan masalah tidak menggunakan Server DNS untuk resolusi DNS
   • Zona DNS Privat yang dipilih saat membuat Titik Akhir Privat tidak ditautkan ke DNS Server VNet
   • Penerus bersyarat ke Azure DNS Virtual Server IP tidak dikonfigurasi dengan benar

Contoh: Server DNS Kustom yang dihosting di tempat

Arsitektur ini menggunakan Hub umum dan topologi jaringan virtual Spoke. ExpressRoute digunakan untuk terhubung dari jaringan lokal Anda ke jaringan virtual Hub. Server DNS Kustom di-host di tempat. Jaringan virtual terpisah berisi titik akhir pribadi ke ruang kerja Azure Machine Learning dan sumber daya terkait. Dengan topologi ini, perlu ada jaringan virtual lain yang menghosting server DNS yang dapat mengirim permintaan ke alamat IP Server Virtual Azure DNS.

Langkah-langkah berikut menjelaskan cara kerja topologi ini:

1. Membuat Zona DNS Pribadi dan link ke DNS Server Virtual Network:

   Langkah pertama dalam memastikan solusi DNS Kustom berfungsi dengan ruang kerja Azure Machine Learning Anda adalah membuat dua Zona DNS Pribadi yang berakar pada domain berikut:

   Wilayah publik Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Wilayah Azure Pemerintahan AS:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Catatan

   Titik akhir online terkelola berbagi titik akhir privat ruang kerja. Jika Anda menambahkan catatan DNS secara manual ke zona privatelink.api.azureml.msDNS privat , rekaman A dengan kartubebas *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms harus ditambahkan untuk merutekan semua titik akhir di bawah ruang kerja ke titik akhir privat.

   Setelah pembuatan Zona DNS Privat, zona DNS tersebut perlu ditautkan ke DNS Server VNet – Virtual Network yang berisi Server DNS.

   Catatan

   Server DNS di jaringan virtual terpisah dari Server DNS Lokal.

   Zona DNS Pribadi mengesampingkan resolusi nama untuk semua nama dalam lingkup akar zona. Penggantian ini berlaku untuk semua Virtual Network yang ditautkan ke Zona DNS Pribadi. Misalnya, jika Zona DNS Pribadi yang di-rooting di privatelink.api.azureml.ms ditautkan ke Virtual Networkl foo, semua sumber daya di Virtual Network foo yang berusaha untuk diselesaikan bar.workspace.westus2.privatelink.api.azureml.ms akan menerima catatan apa pun yang terdaftar di zona privatelink.api.azureml.ms.

   Namun, catatan yang tercantum di Zona DNS Pribadi hanya dikembalikan ke perangkat yang menyelesaikan domain menggunakan alamat IP Server Virtual Azure DNS default. Alamat IP Azure DNS Virtual Server hanya valid dalam konteks Jaringan Virtual. Saat menggunakan server DNS lokal, server tidak dapat meminta alamat IP Azure DNS Virtual Server untuk mengambil rekaman.

   Untuk mendapatkan sekitar perilaku ini, buat Server DNS perantara dalam jaringan virtual. Server DNS ini bisa meminta alamat IP Azure DNS Virtual Server untuk mengambil catatan untuk Setiap Zona DNS Pribadi yang ditautkan ke jaringan virtual.

   Meskipun Server DNS lokal akan menyelesaikan domain untuk perangkat yang tersebar di seluruh topologi jaringan Anda, itu akan menyelesaikan domain terkait Azure Machine Learning terhadap Server DNS. Server DNS akan menyelesaikan domain tersebut dari alamat IP Azure DNS Virtual Server.

2. Buat titik akhir pribadi dengan integrasi DNS pribadi yang menargetkan Zona DNS Pribadi yang ditautkan ke DNS Server Virtual Network:

   Langkah selanjutnya adalah membuat Titik Akhir Privat ke ruang kerja Azure Machine Learning. Titik akhir privat menargetkan kedua Zona DNS Privat yang dibuat di langkah 1. Ini memastikan semua komunikasi dengan ruang kerja dilakukan melalui Titik Akhir Pribadi di Azure Machine Learning Virtual Network.

   Penting

   Titik akhir privat harus mengaktifkan integrasi DNS Pribadi agar contoh ini berfungsi dengan benar.

3. Membuat penerus bersyarat di DNS Server untuk diteruskan ke Azure DNS:

   Selanjutnya, buat penerus bersyarat ke Azure DNS Virtual Server. Penerus bersyarat memastikan bahwa server DNS selalu meminta alamat IP Azure DNS Virtual Server untuk FQDN yang terkait dengan ruang kerja Anda. Ini berarti bahwa Server DNS akan mengembalikan catatan terkait dari Zona DNS Privat.

   Zona untuk maju secara kondisional tercantum di bawah ini. Alamat IP Azure DNS Virtual Server adalah 168.63.129.16.

   Wilayah publik Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

   Wilayah Azure Pemerintahan AS:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

   Penting

   Langkah-langkah konfigurasi untuk Server DNS tidak disertakan di sini, karena ada banyak solusi DNS yang tersedia yang dapat digunakan sebagai Server DNS kustom. Lihat dokumentasi untuk solusi DNS Anda tentang cara mengonfigurasi penerusan bersyarat dengan tepat.

4. Membuat penerus bersyarat di Server DNS Lokal untuk diteruskan ke Server DNS:

   Selanjutnya, buat penerus bersyarat ke Server DNS di Server DNS Virtual Network. Penerus ini untuk zona yang tercantum di langkah 1. Ini mirip dengan langkah 3, tetapi, alih-alih meneruskan ke alamat IP Azure DNS Virtual Server, Server DNS lokal akan menargetkan alamat IP Server DNS. Karena Server DNS lokal tidak ada di Azure, server DNS tidak dapat langsung mengatasi catatan di Zona DNS Privat. Dalam hal ini Server DNS proksi permintaan dari Server DNS lokal ke Azure DNS Virtual Server IP. Ini memungkinkan Server DNS lokal untuk mengambil catatan di Zona DNS Pribadi yang ditautkan ke Server DNS Virtual Network.

   Zona untuk maju secara kondisional tercantum di bawah ini. Alamat IP yang akan diteruskan adalah alamat IP Server DNS Anda:

   Wilayah publik Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

   Wilayah Azure Pemerintahan AS:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

   Penting

   Langkah-langkah konfigurasi untuk Server DNS tidak disertakan di sini, karena ada banyak solusi DNS yang tersedia yang dapat digunakan sebagai Server DNS kustom. Lihat dokumentasi untuk solusi DNS Anda tentang cara mengonfigurasi penerusan bersyarat dengan tepat.

5. Mengatasi domain ruang kerja:

   Pada titik ini, semua pengaturan dilakukan. Setiap klien yang menggunakan Server DNS lokal untuk resolusi nama, dan memiliki rute ke Titik Akhir Pribadi Pembelajaran Mesin Azure, dapat melanjutkan untuk mengakses ruang kerja.

   Klien pertama-tama akan memulai dengan menanyakan Server DNS lokal untuk alamat FQDN berikut:

   Wilayah publik Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - Digunakan oleh titik akhir online terkelola

   Microsoft Azure dioperasikan oleh 21 wilayahVianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - Digunakan oleh titik akhir online terkelola

   Wilayah Azure Pemerintahan AS:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - Digunakan oleh titik akhir online terkelola

6. Server DNS lokal secara rekursif menyelesaikan domain ruang kerja:

   Server DNS lokal akan menyelesaikan FQDNs dari langkah 5 dari Server DNS. Karena ada pengalih bersyarat (langkah 4), Server DNS lokal akan mengirim permintaan ke Server DNS untuk resolusi.

7. Server DNS menyelesaikan domain ruang kerja ke CNAME dari Azure DNS:

   Server DNS akan menyelesaikan FQDNs dari langkah 5 dari Azure DNS. Azure DNS akan merespons dengan salah satu domain terdaftar dalam langkah 1.

8. Server DNS lokal secara rekursif menyelesaikan catatan CNAME domain ruang kerja dari Server DNS :

   Server DNS lokal akan melanjutkan untuk menyelesaikan CNAME secara rekursif yang diterima di langkah 7. Karena ada penyetelan forwarder bersyarat di langkah 4, Server DNS lokal akan mengirim permintaan ke Server DNS untuk resolusi.

9. DNS Server secara rekursif menyelesaikan catatan CNAME domain ruang kerja dari Azure DNS:

   DNS Server akan melanjutkan untuk menyelesaikan CNAME secara rekursif yang diterima di langkah 7. Karena ada penyetelan penerus bersyarat di langkah 3, DNS Server akan mengirim permintaan ke alamat IP Azure DNS Virtual Server untuk resolusi.

10. Azure DNS mengembalikan rekaman dari zona DNS Privat:

    Catatan terkait yang disimpan di Zona DNS Pribadi akan dikembalikan ke Server DNS, yang berarti Server Virtual Azure DNS mengembalikan alamat IP Titik Akhir Pribadi.

11. Server DNS lokal menyelesaikan nama domain ruang kerja ke alamat titik akhir pribadi:

    Kueri dari Server DNS lokal ke Server DNS di langkah 8 pada akhirnya menampilkan alamat IP yang terkait dengan Titik Akhir Privat ke ruang kerja Azure Machine Learning. Alamat IP ini dikembalikan ke klien asli, yang sekarang akan berkomunikasi dengan ruang kerja Azure Machine Learning melalui Titik Akhir Pribadi yang dikonfigurasi di langkah 1.

    Penting

    Jika VPN Gateway digunakan dalam penyiapan ini bersama dengan IP Server DNS kustom di VNet, maka IP Azure DNS (168.63.129.16) perlu ditambahkan dalam daftar serta untuk mempertahankan komunikasi yang tidak terganggu.

Contoh: File host

File hosts adalah dokumen teks yang Linux, macOS, dan Windows semua gunakan untuk mengambil alih resolusi nama untuk komputer lokal. File berisi daftar alamat IP dan nama host yang sesuai. Ketika komputer lokal mencoba untuk menyelesaikan nama host, jika nama host tercantum dalam file hosts, nama diselesaikan ke alamat IP yang sesuai.

Penting

File hosts hanya mengambil alih resolusi nama untuk komputer lokal. Jika Anda ingin menggunakan file hosts dengan beberapa komputer, Anda harus memodifikasinya secara individual di setiap komputer.

Tabel berikut mencantumkan lokasi file hosts:

Sistem operasi	Lokasi
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Tip

Nama file adalah hosts tanpa ekstensi. Saat mengedit file, gunakan akses administrator. Misalnya, di Linux atau macOS Anda mungkin menggunakan sudo vi. Pada Windows, jalankan notepad sebagai administrator.

Berikut ini adalah contoh entri file hosts untuk Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Untuk informasi lebih lanjut tentang file hosts, lihat https://wikipedia.org/wiki/Hosts_(file).

Resolusi DNS layanan dependensi

Layanan yang diandalkan oleh ruang kerja Anda juga dapat diamankan menggunakan titik akhir privat. Jika demikian, Anda mungkin perlu membuat catatan DNS khusus jika perlu berkomunikasi langsung dengan layanan tersebut. Misalnya, jika Anda ingin langsung menangani data di Akun Azure Storage yang digunakan oleh ruang kerja Anda.

Catatan

Beberapa layanan memiliki beberapa titik akhir privat untuk sub-layanan atau fitur. Misalnya, Akun Azure Storage mungkin memiliki titik akhir privat individu untuk Blob, File, dan DFS. Jika perlu mengakses penyimpanan Blob dan File, Anda harus mengaktifkan resolusi untuk setiap titik akhir privat tertentu.

Untuk informasi selengkapnya tentang layanan dan resolusi DNS, lihat Konfigurasi DNS Titik Akhir Privat Azure.

Pemecahan Masalah

Jika setelah menjalankan langkah-langkah di atas, Anda tidak dapat mengakses ruang kerja dari komputer virtual atau pekerjaan gagal pada sumber daya komputasi di Virtual Network yang berisi Titik Akhir Privat ke ruang kerja Azure Pembelajaran Mesin, ikuti langkah-langkah di bawah ini untuk mencoba mengidentifikasi penyebabnya.

1. Temukan FQDN ruang kerja di Titik Akhir Privat:

   Navigasi ke portal Azure menggunakan salah satu link berikut ini:

   • Wilayah publik Azure
   • Microsoft Azure dioperasikan oleh 21 wilayahVianet
   • Wilayah Azure Pemerintahan AS

   Navigasi ke Titik Akhir Privat ke ruang kerja Azure Machine Learning. FQDN ruang kerja akan dicantumkan pada tab "Gambaran Umum".

2. Akses sumber daya komputasi dalam topologi Virtual Network:

   Lanjutkan untuk mengakses sumber daya komputasi di topologi Azure Virtual Network. Ini kemungkinan akan memerlukan mengakses Mesin Virtual di Virtual Network yang disambungkan dengan Hub Virtual Network.

3. Mengatasi FQDN ruang kerja:

   Buka prompt perintah, shell, atau PowerShell. Kemudian untuk setiap FQDN ruang kerja, jalankan perintah berikut:

   nslookup <workspace FQDN>

   Hasil dari setiap nslookup harus menghasilkan salah satu dari dua alamat IP pribadi di Titik Akhir Pribadi ke ruang kerja Azure Machine Learning. Jika tidak, maka ada sesuatu yang salah dikonfigurasi dalam solusi DNS kustom.

   Kemungkinan penyebabnya:

   • Sumber daya komputasi yang menjalankan perintah pemecahan masalah tidak menggunakan Server DNS untuk resolusi DNS
   • Zona DNS Privat yang dipilih saat membuat Titik Akhir Privat tidak ditautkan ke DNS Server VNet
   • Forwarder bersyarat dari DNS Server ke Azure DNS Virtual Server IP tidak dikonfigurasi dengan benar
   • Penerus bersyarat dari Server DNS lokal ke Server DNS tidak dikonfigurasi dengan benar

Langkah berikutnya

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:

• Gambaran umum virtual network

• Mengamankan sumber daya ruang kerja
• Mengamankan lingkungan pelatihan
• Mengamankan lingkungan inferensi

• Mengaktifkan fungsionalitas studio
• Menggunakan firewall

Untuk informasi selengkapnya tentang mengintegrasikan Titik Akhir Privat ke dalam konfigurasi DNS Anda, lihat Konfigurasi DNS Azure Private Endpoint.