Condividi tramite

Risolvere i problemi relativi ai collegamenti privati condivisi in Ricerca di intelligenza artificiale di Azure

  • Articolo

Un collegamento privato condiviso consente a Ricerca di intelligenza artificiale di Azure di stabilire connessioni in uscita sicure tramite un endpoint privato quando accedono alle risorse dei clienti in una rete virtuale. Questo articolo consente di risolvere gli errori che potrebbero verificarsi.

La creazione di un collegamento privato condiviso è un'operazione del piano di controllo del servizio di ricerca. È possibile creare un collegamento privato condiviso usando il portale o un'API REST di gestione. Durante il provisioning, lo stato della richiesta è "Aggiornamento". Al termine dell'operazione, lo stato è "Operazione completata". Viene creato un endpoint privato per la risorsa, insieme a eventuali zone e mapping DNS. Questo endpoint viene usato esclusivamente dall'istanza del servizio di ricerca e viene gestito tramite Ricerca di intelligenza artificiale di Azure.

Passaggi necessari per la creazione di risorse di collegamento privato condiviso

Di seguito sono elencati alcuni errori comuni che si verificano durante la fase di creazione.

Errori di convalida delle richieste

  • SKU non supportato: i collegamenti privati condivisi sono supportati nel livello Basic e versioni successive. Per gli indicizzatori con set di competenze, il livello minimo è Standard 2 (S2).

  • Nome non valido: le regole di denominazione per un collegamento privato condiviso sono:

    • La lunghezza deve essere compresa tra 1 e 60 caratteri
    • Caratteri alfanumerici
    • I nomi possono includere il carattere di sottolineatura _, il punto . e il trattino - purché non sia il primo carattere nel nome

  • ID gruppo non valido: gli ID gruppo fanno distinzione tra maiuscole e minuscole e devono essere uno dei valori della tabella seguente:

    Risorsa di Azure ID gruppo Prima versione dell'API disponibile
    Archiviazione di Azure - BLOB (o) ADLS Gen 2 blob 2020-08-01
    Archiviazione di Azure - Tabelle table 2020-08-01
    Azure Cosmos DB for NoSQL Sql 2020-08-01
    database SQL di Azure sqlServer 2020-08-01
    Database di Azure per MySQL (anteprima) mysqlServer 2020-08-01-Preview
    Azure Key Vault vault 2020-08-01
    Funzioni di Azure (anteprima) sites 2020-08-01-Preview

    Le risorse contrassegnate con "(anteprima)" devono essere create usando una versione di anteprima delle versioni dell'API REST di gestione.

  • privateLinkResourceId convalida dei tipi: analogamente a groupId, Ricerca di intelligenza artificiale di Azure verifica che il tipo di risorsa "corretto" sia specificato in privateLinkResourceId. Di seguito sono riportati i tipi di risorse validi:

    Risorsa di Azure Tipo di risorsa Prima versione dell'API disponibile
    Archiviazione di Azure Microsoft.Storage/storageAccounts 2020-08-01
    Azure Cosmos DB Microsoft.DocumentDb/databaseAccounts 2020-08-01
    database SQL di Azure Microsoft.Sql/servers 2020-08-01
    Azure Key Vault Microsoft.KeyVault/vaults 2020-08-01
    Database di Azure per MySQL (anteprima) Microsoft.DBforMySQL/servers 2020-08-01-Preview
    Funzioni di Azure (anteprima) Microsoft.Web/sites 2020-08-01-Preview
    Istanza gestita di SQL di Azure (anteprima) Microsoft.Sql/managedInstance 2020-08-01-Preview

    Inoltre, l'oggetto groupId specificato deve essere valido per il tipo di risorsa specificato. Ad esempio, groupId "blob" è valido per il tipo "Microsoft.Storage/storageAccounts", non può essere usato con altri tipi di risorsa. Per una determinata versione dell'API di gestione della ricerca, i clienti possono trovare i dettagli relativi al groupId supportato e al tipo di risorsa usando l'Elenco API supportata.

  • Applicazione del limite di quota: i servizi di ricerca hanno quote imposte al numero distinto di risorse di collegamento privato condiviso che è possibile creare e al numero di vari tipi di risorse di destinazione usati (in base a groupId). Questi sono documentati nella sezione Limiti delle risorse collegamento privato condiviso della pagina Limiti del servizio Ricerca intelligenza artificiale di Azure.

Errori di distribuzione

Un servizio di ricerca avvia la richiesta di creare un collegamento privato condiviso, ma Azure Resource Manager esegue il lavoro effettivo. È possibile controllare lo stato della distribuzione nel portale o tramite query e risolvere eventuali errori che potrebbero verificarsi.

Le risorse di collegamento privato condiviso che hanno avuto esito negativo nella distribuzione di Azure Resource Manager verranno visualizzate in Elenco e Ottenere chiamate API, ma avrà uno "Stato di provisioning" di Failed. Dopo aver verificato il motivo dell'errore di distribuzione di Azure Resource Manager, eliminare la risorsa Failed e ricrearla dopo aver applicato la risoluzione appropriata dalla tabella seguente.

Motivo dell'errore di distribuzione Descrizione Risoluzione
“LinkedAuthorizationFailed” Il messaggio di errore indica che il client dispone dell'autorizzazione per creare il collegamento privato condiviso nel servizio di ricerca, ma non dispone dell'autorizzazione per eseguire l'azione 'privateEndpointConnectionApproval/action' nell'ambito collegato. Controllare nuovamente l'ID collegamento privato nella richiesta per assicurarsi che non siano presenti errori o omissioni nell'URI. Se Ricerca di intelligenza artificiale di Azure e la risorsa PaaS di Azure si trovano in sottoscrizioni diverse e se si usa REST o un'interfaccia della riga di comando, assicurarsi che l'account Azure attivo sia per la risorsa PaaS di Azure. Per i client REST, assicurarsi di non usare un token di connessione scaduto e che il token sia valido per la sottoscrizione attiva.
Provider di risorse di rete non registrato nella sottoscrizione della risorsa di destinazione Viene creato un endpoint privato (e i mapping DNS associati) per la risorsa di destinazione (account di archiviazione, Azure Cosmos DB, Azure SQL) tramite il provider di risorse Microsoft.Network (RP). Se la sottoscrizione che ospita la risorsa di destinazione ("sottoscrizione di destinazione") non è registrata con RP Microsoft.Network, la distribuzione di Azure Resource Manager può non riuscire. È necessario registrare questo punto di ripristino nella sottoscrizione di destinazione. È possibile registrare il provider di risorse usando il portale di Azure, PowerShell o l'interfaccia della riga di comando.
groupId non valido per la risorsa di destinazione Quando vengono creati gli account Azure Cosmos DB, è possibile specificare il tipo di API per l'account di database. Anche se Azure Cosmos DB offre diversi tipi di API, Ricerca di intelligenza artificiale di Azure supporta solo "Sql" come groupId per le risorse di collegamento privato condiviso. Quando viene creato un collegamento privato condiviso di tipo "Sql" per un privateLinkResourceId che punta a un account di database non Sql, la distribuzione di Azure Resource Manager avrà esito negativo a causa della mancata corrispondenza di groupId. L'ID risorsa di Azure di un account Azure Cosmos DB non è sufficiente per determinare il tipo di API usato. Ricerca di intelligenza artificiale di Azure tenta di creare l'endpoint privato, che viene quindi negato da Azure Cosmos DB. È necessario assicurarsi che l'oggetto privateLinkResourceId della risorsa Azure Cosmos DB specificata sia per un account di database di tipo API "Sql"
Risorsa di destinazione non trovata L'esistenza della risorsa di destinazione specificata in privateLinkResourceId viene verificata solo durante l'inizio della distribuzione di Azure Resource Manager. Se la risorsa di destinazione non è più disponibile, la distribuzione avrà esito negativo. È necessario assicurarsi che la risorsa di destinazione sia presente nella sottoscrizione e nel gruppo di risorse specificato e che non venga spostata o eliminata.
Errori temporanei/altri La distribuzione di Azure Resource Manager può non riuscire se si verifica un'interruzione dell'infrastruttura o a causa di altri motivi imprevisti. Questo dovrebbe essere raro e in genere indica uno stato temporaneo. Riprovare a creare questa risorsa in un secondo momento. Se il problema persiste, contattare il supporto tecnico di Azure.

Problemi di approvazione dell'endpoint privato di backup

Un endpoint privato viene creato nella risorsa di Azure di destinazione come specificato nella richiesta di creazione del collegamento privato condiviso. Si tratta di uno dei passaggi finali dell'operazione di distribuzione asincrona di Azure Resource Manager, ma Ricerca per intelligenza artificiale di Azure deve collegare l'indirizzo IP privato dell'endpoint privato come parte della configurazione di rete. Al termine di questo collegamento, il provisioningState della risorsa collegamento privato condiviso passerà a uno stato di esito positivo del terminale Succeeded. I clienti devono approvare o rifiutare (o in generale modificare la configurazione dell'endpoint privato di backup) solo dopo che lo stato è passato a Succeeded. La modifica dell'endpoint privato in qualsiasi modo prima che ciò possa comportare un'operazione di distribuzione incompleta e possa causare la fine della risorsa di collegamento privato condiviso (immediatamente o in genere entro poche ore) in uno stato Failed.

Modifica della connettività di rete del servizio di ricerca bloccata in uno stato "Aggiornamento"

I collegamenti privati condivisi e gli endpoint privati vengono usati quando il servizio di ricerca Accesso alla rete pubblica è Disabilitato. In genere, la modifica della connettività di rete dovrebbe avere esito positivo in pochi minuti dopo che la richiesta è stata accettata. In alcune circostanze, Ricerca intelligenza artificiale di Azure potrebbe richiedere diverse ore per completare l'operazione di modifica della connettività.

Screenshot della modifica dell'accesso alla rete pubblica su disabilitato.

Se si osserva che l'operazione di modifica della connettività richiede una quantità significativa di tempo, attendere alcune ore. Le operazioni di modifica della connettività comportano operazioni come l'aggiornamento dei record DNS che potrebbero richiedere più tempo del previsto.

Se l'accesso alla rete pubblica viene modificato, i collegamenti privati condivisi esistenti e gli endpoint privati potrebbero non funzionare correttamente. Se i collegamenti privati condivisi esistenti e gli endpoint privati non funzionano durante un'operazione di modifica della connettività, attendere alcune ore per il completamento dell'operazione. Se non funzionano ancora, provare a eliminarli e ricrearli.

In genere, una risorsa di collegamento privato condiviso deve passare a uno stato terminale (Succeeded o Failed) in pochi minuti dopo che la richiesta è stata accettata.

In rari casi, Ricerca di intelligenza artificiale di Azure non riesce a contrassegnare correttamente lo stato della risorsa di collegamento privato condiviso a uno stato del terminale (Succeeded o Failed). Ciò si verifica in genere a causa di un errore imprevisto. Le risorse di collegamento privato condiviso vengono automaticamente trasferiti a uno stato Failed se è stato "bloccato" in uno stato non terminale per più di alcune ore.

Se si nota che la risorsa di collegamento privato condiviso non è passata a uno stato del terminale, attendere alcune ore per assicurarsi che diventi Failed prima di poterla eliminare e ricrearla. In alternativa, invece di attendere, è possibile provare a creare un'altra risorsa di collegamento privato condiviso con un nome diverso (mantenendo tutti gli altri parametri uguali).

È possibile aggiornare una risorsa di collegamento privato condiviso esistente usando l'API Crea o Aggiorna. La ricerca consente solo aggiornamenti limitati alla risorsa collegamento privato condiviso. Solo il messaggio di richiesta può essere modificato tramite questa API.

  • Non è possibile aggiornare alcuna delle proprietà "core" di una risorsa di collegamento privato condiviso esistente (ad esempio privateLinkResourceId o groupId) e questo non sarà sempre supportato. Se è necessario modificare qualsiasi altra proprietà oltre al messaggio di richiesta, si consiglia ai clienti di eliminare e ricreare la risorsa di collegamento privato condiviso.

  • Il tentativo di aggiornare il messaggio di richiesta di una risorsa di collegamento privato condiviso è possibile solo se ha raggiunto lo stato di provisioning di Succeeded.

I clienti possono eliminare una risorsa di collegamento privato condiviso esistente tramite l'API Elimina. Analogamente al processo di creazione (o aggiornamento), si tratta anche di un'operazione asincrona con quattro passaggi:

  1. Si richiede a un servizio di ricerca di eliminare la risorsa collegamento privato condiviso.

  2. Il servizio di ricerca verifica che la risorsa esista ed è in uno stato valido per l'eliminazione. In tal caso, avvia un'operazione di eliminazione di Azure Resource Manager per rimuovere la risorsa.

  3. Eseguire la ricerca delle query per il completamento dell'operazione, che in genere richiede alcuni minuti. A questo punto, la risorsa collegamento privato condiviso avrebbe uno stato di provisioning "Eliminazione".

  4. Al termine dell'operazione, vengono rimossi l'endpoint privato di backup e i mapping DNS associati. La risorsa non verrà visualizzata come parte dell'operazione di Elenco e il tentativo di eseguire un'operazione Ottieni su questa risorsa comporterà un errore 404 Non trovato.

Passaggi relativi all'eliminazione di risorse di collegamento privato condiviso

Di seguito sono elencati alcuni errori comuni che si verificano durante la fase di eliminazione.

Tipo di errore Descrizione Risoluzione
La risorsa è in stato non terminale Non è possibile eliminare una risorsa di collegamento privato condiviso che non si trova in uno stato terminale (Succeeded o Failed). È possibile (raro) che una risorsa di collegamento privato condiviso sia bloccata in uno stato non terminale per un massimo di 8 ore. Attendere che la risorsa abbia raggiunto lo stato del terminale e ripetere la richiesta di eliminazione.
Operazione di eliminazione non riuscita con errore "Conflitto" L'operazione di Azure Resource Manager per eliminare una risorsa di collegamento privato condiviso raggiunge il provider di risorse della risorsa di destinazione specificata in privateLinkResourceId ("RP di destinazione") prima di poter rimuovere l'endpoint privato e i mapping DNS. I clienti possono usare blocchi delle risorse di Azure per evitare modifiche alle risorse. Quando Azure Resource Manager raggiunge il punto di ripristino di destinazione, richiede che l'istanza di destinazione modifichi lo stato della risorsa di destinazione (per rimuovere i dettagli sull'endpoint privato dai metadati). Quando la risorsa di destinazione ha un blocco configurato su di esso (o il relativo gruppo di risorse/sottoscrizione), l'operazione di Azure Resource Manager ha esito negativo con un "conflitto" (e i dettagli appropriati). La risorsa collegamento privato condiviso non verrà eliminata. I clienti devono rimuovere il blocco sulla risorsa di destinazione prima di ripetere l'operazione di eliminazione. Nota: questo problema può verificarsi anche quando i clienti tentano di eliminare un servizio di ricerca con risorse di collegamento privato condivise che puntano alle risorse di destinazione "bloccate"
Operazione di eliminazione non riuscita L'operazione di eliminazione asincrona di Azure Resource Manager in rari casi può non riuscire. Quando questa operazione ha esito negativo, l'esecuzione di query sullo stato dell'operazione asincrona presenterà ai clienti un messaggio di errore e i dettagli appropriati. Ripetere l'operazione in un secondo momento o contattare il supporto tecnico di Azure se il problema persiste.
Risorsa bloccata nello stato "Eliminazione" In rari casi, una risorsa di collegamento privato condiviso potrebbe rimanere bloccata nello stato "Eliminazione" per un massimo di 8 ore, probabilmente a causa di un errore irreversibile nella ricerca RP. Attendere 8 ore, dopo di che la risorsa passa allo stato Failed e quindi riemettere nuovamente la richiesta.

Passaggi successivi

Altre informazioni sulle risorse di collegamento privato condiviso e su come usarlo per proteggere l'accesso al contenuto protetto.