Verbindingsproblemen met privé-eindpunten oplossen

  • Artikel

Wanneer u verbinding maakt met een Azure Machine Learning-werkruimte die is geconfigureerd met een privé-eindpunt, kan er een 403-fout optreden of een bericht waarin wordt aangegeven dat toegang verboden is. In dit artikel wordt uitgelegd hoe u kunt controleren op veelvoorkomende configuratieproblemen die deze fout veroorzaken.

Tip

Voordat u de stappen in dit artikel gebruikt, probeert u de diagnostische API van de Azure Machine Learning-werkruimte. Het kan helpen bij het identificeren van configuratieproblemen met uw werkruimte. Zie Diagnostische gegevens over werkruimten gebruiken voor meer informatie.

DNS-configuratie

De stappen voor probleemoplossing voor DNS-configuratie verschillen afhankelijk van of u Azure DNS of een aangepaste DNS gebruikt. Gebruik de volgende stappen om te bepalen welke u gebruikt:

  1. Selecteer in Azure Portal het privé-eindpunt voor uw Azure Machine Learning-werkruimte.

  2. Selecteer op de pagina Overzicht de koppeling Netwerkinterface .

    Screenshot of the private endpoint overview with network interface link highlighted.

  3. Selecteer onder Instellingen IP-configuraties en selecteer vervolgens de koppeling virtueel netwerk.

    Screenshot of the IP configuration with virtual network link highlighted.

  4. Selecteer in de sectie Instellingen aan de linkerkant van de pagina de vermelding DNS-servers.

    Screenshot of the DNS servers configuration.

Problemen met aangepaste DNS oplossen

Gebruik de volgende stappen om te controleren of uw aangepaste DNS-oplossing namen correct omzet naar IP-adressen:

  1. Open een webbrowser vanaf een virtuele machine, laptop, desktop of andere rekenresource met een werkende verbinding met het privé-eindpunt. Gebruik in de browser de URL voor uw Azure-regio:

    Azure-regio URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure beheerd door 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Alle andere regio's https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. Selecteer in de portal het privé-eindpunt voor de werkruimte. Maak een lijst met FQDN's die worden vermeld voor het privé-eindpunt.

    Screenshot of the private endpoint with custom DNS settings highlighted.

  3. Open een opdrachtprompt, PowerShell of een andere opdrachtregel en voer de volgende opdracht uit voor elke FQDN die is geretourneerd uit de vorige stap. Telkens wanneer u de opdracht uitvoert, controleert u of het geretourneerde IP-adres overeenkomt met het IP-adres dat wordt vermeld in de portal voor de FQDN:

    nslookup <fqdn>

    Als u bijvoorbeeld de opdracht nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms uitvoert, wordt een waarde geretourneerd die vergelijkbaar is met de volgende tekst:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name: 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms
Address: 10.3.0.5

  4. Als de opdracht nslookup een fout retourneert of een ander IP-adres retourneert dan wordt weergegeven in de portal, is de aangepaste DNS-oplossing niet juist geconfigureerd. Zie Uw werkruimte gebruiken met een aangepaste DNS-server voor meer informatie.

Problemen met Azure DNS oplossen

Wanneer u Azure DNS gebruikt voor naamomzetting, gebruikt u de volgende stappen om te controleren of de Privé-DNS-integratie juist is geconfigureerd:

  1. Selecteer dns-configuratie op het privé-eindpunt. Voor elke vermelding in de kolom Privé-DNS zone moet er ook een vermelding in de kolom dns-zonegroep staan.

    Screenshot of the DNS configuration with Private DNS zone and group highlighted.

    • Als er een Privé-DNS zonevermelding is, maar er geen DNS-zonegroepvermelding is, verwijdert u het privé-eindpunt en maakt u deze opnieuw. Wanneer u het privé-eindpunt opnieuw maakt, schakelt u Privé-DNS zone-integratie in.

    • Als de DNS-zonegroep niet leeg is, selecteert u de koppeling voor de Privé-DNS zonevermelding.

      Selecteer in de Privé-DNS-zone de koppeling naar het virtuele netwerk. Er moet een koppeling naar het virtuele netwerk zijn. Als er geen account is, verwijdert u het privé-eindpunt en maakt u het opnieuw. Wanneer u deze opnieuw maakt, selecteert u een Privé-DNS Zone die is gekoppeld aan het virtuele netwerk of maakt u een nieuwe zone die eraan is gekoppeld.

      Screenshot of the virtual network links for the Private DNS zone.

  2. Herhaal de vorige stappen voor de rest van de Privé-DNS zonevermeldingen.

Browserconfiguratie (DNS via HTTPS)

Controleer of DNS via HTTP is ingeschakeld in uw webbrowser. DNS via HTTP kan voorkomen dat Azure DNS reageert met het IP-adres van het privé-eindpunt.

  • Mozilla Firefox: Zie DNS uitschakelen via HTTPS in Firefox voor meer informatie.
  • Microsoft Edge:

    1. Selecteer ... in de rechterbovenhoek en selecteer vervolgens Instellingen.

    2. Zoek in instellingen naar DNS en schakel vervolgens Beveiligd DNS gebruiken uit om op te geven hoe het netwerkadres voor websites moet worden opgezocht.

      Screenshot of the use secure DNS setting in Microsoft Edge.

Proxyconfiguratie

Als u een proxy gebruikt, kan communicatie met een beveiligde werkruimte worden voorkomen. Gebruik een van de volgende opties om te testen:

  • Schakel de proxy-instelling tijdelijk uit en kijk of u verbinding kunt maken.
  • Maak een PAC-bestand (Auto-Config) voor proxy dat directe toegang tot de FQDN's op het privé-eindpunt toestaat. Het moet ook directe toegang tot de FQDN toestaan voor alle rekeninstanties.
  • Configureer uw proxyserver om DNS-aanvragen door te sturen naar Azure DNS.