Jak używać obszaru roboczego z niestandardowym serwerem DNS

W przypadku korzystania z obszaru roboczego usługi Azure Machine Learning z prywatnym punktem końcowym istnieje kilka sposobów obsługi rozpoznawania nazw DNS. Domyślnie platforma Azure automatycznie obsługuje rozpoznawanie nazw dla obszaru roboczego i prywatnego punktu końcowego. Jeśli zamiast tego używasz własnego niestandardowego serwera DNS, musisz ręcznie utworzyć wpisy DNS lub użyć warunkowych usług przesyłania dalej dla obszaru roboczego.

Ważne

W tym artykule opisano sposób znajdowania w pełni kwalifikowanych nazw domen (FQDN) i adresów IP dla tych wpisów, jeśli chcesz ręcznie zarejestrować rekordy DNS w rozwiązaniu DNS. Ponadto ten artykuł zawiera zalecenia dotyczące architektury dotyczące sposobu konfigurowania niestandardowego rozwiązania DNS w celu automatycznego rozpoznawania nazw FQDN do poprawnych adresów IP. Ten artykuł nie zawiera informacji na temat konfigurowania rekordów DNS dla tych elementów. Zapoznaj się z dokumentacją oprogramowania DNS, aby uzyskać informacje na temat dodawania rekordów.

Porada

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii:

• Omówienie sieci wirtualnej

• Zabezpieczanie zasobów obszaru roboczego
• Zabezpieczanie środowiska szkoleniowego
• Zabezpieczanie środowiska wnioskowania

• Włączanie funkcji programu Studio
• Korzystanie z zapory

Wymagania wstępne

• Usługa Azure Virtual Network korzystająca z własnego serwera DNS.

• Obszar roboczy usługi Azure Machine Learning z prywatnym punktem końcowym. Aby uzyskać więcej informacji, zobacz Tworzenie obszaru roboczego usługi Azure Machine Learning.

• Znajomość korzystania z izolacji sieciowej podczas wnioskowania treningowego&.

• Znajomość konfiguracji strefy DNS prywatnego punktu końcowego platformy Azure

• Znajomość usługi Azure Prywatna strefa DNS

• Opcjonalnie interfejs wiersza polecenia platformy Azure lub Azure PowerShell.

Automatyczna integracja serwera DNS

Wprowadzenie

Istnieją dwie typowe architektury do korzystania z automatycznej integracji serwera DNS z usługą Azure Machine Learning:

• Niestandardowy serwer DNS hostowany w usłudze Azure Virtual Network.
• Niestandardowy serwer DNS hostowany lokalnie połączony z usługą Azure Machine Learning za pośrednictwem usługi ExpressRoute.

Chociaż architektura może się różnić od tych przykładów, można ich użyć jako punktu odniesienia. Obie przykładowe architektury udostępniają kroki rozwiązywania problemów, które mogą pomóc zidentyfikować składniki, które mogą być nieprawidłowo skonfigurowane.

Inną opcją jest zmodyfikowanie hosts pliku na kliencie, który łączy się z usługą Azure Virtual Network (VNet), która zawiera obszar roboczy. Aby uzyskać więcej informacji, zobacz sekcję Plik hosta .

Ścieżka rozpoznawania nazw DNS obszaru roboczego

Dostęp do danego obszaru roboczego usługi Azure Machine Learning za pośrednictwem Private Link odbywa się przez komunikację z następującymi w pełni kwalifikowanymi domenami (nazywanymi nazwami FQDN obszaru roboczego) wymienionymi poniżej:

Regiony publiczne platformy Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

Regiony azure China 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

Regiony platformy Azure dla instytucji rządowych USA:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

W pełni kwalifikowane domeny rozpoznają następujące nazwy kanoniczne (CNAM) nazywane obszarem roboczym Private Link nazwy FQDN:

Regiony publiczne platformy Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms — Używane przez zarządzane punkty końcowe online

Regiony platformy Azure w Chinach:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn — Używane przez zarządzane punkty końcowe online

Regiony platformy Azure dla instytucji rządowych USA:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us — Używane przez zarządzane punkty końcowe online

Nazwy FQDN rozpoznają adresy IP obszaru roboczego usługi Azure Machine Learning w tym regionie. Jednak rozpoznawanie Private Link nazw FQDN obszaru roboczego można zastąpić przy użyciu niestandardowego serwera DNS hostowanego w sieci wirtualnej. Przykład tej architektury można znaleźć w przykładzie niestandardowego serwera DNS hostowanego w sieci wirtualnej .

Uwaga

Zarządzane punkty końcowe online udostępniają prywatny punkt końcowy obszaru roboczego. Jeśli ręcznie dodasz rekordy DNS do prywatnej strefy privatelink.api.azureml.msDNS, należy dodać rekord A z symbolem wieloznacznymi *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms w celu kierowania wszystkich punktów końcowych w obszarze roboczym do prywatnego punktu końcowego.

Ręczna integracja serwera DNS

W tej sekcji omówiono w pełni kwalifikowane domeny do utworzenia rekordów A dla serwera DNS oraz adres IP, na który ma zostać ustawiona wartość rekordu A.

Pobieranie nazw FQDN prywatnego punktu końcowego

Region publiczny platformy Azure

Poniższa lista zawiera w pełni kwalifikowane nazwy domen (FQDN) używane przez obszar roboczy, jeśli znajduje się w chmurze publicznej platformy Azure:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Uwaga

  Nazwa obszaru roboczego dla tej nazwy FQDN może zostać obcięta. Obcięcie jest wykonywane, aby zachować ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 znaki lub mniej.

• <instance-name>.<region>.instances.azureml.ms

  Uwaga

  • Dostęp do wystąpień obliczeniowych można uzyskać tylko z poziomu sieci wirtualnej.
  • Adres IP dla tej nazwy FQDN nie jest adresem IP wystąpienia obliczeniowego. Zamiast tego użyj prywatnego adresu IP prywatnego punktu końcowego obszaru roboczego (adresu IP *.api.azureml.ms wpisów).

• <managed online endpoint name>.<region>.inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

Region Platformy Azure w Chinach

Następujące nazwy FQDN dotyczą regionów Platformy Azure w Chinach:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Uwaga

  Nazwa obszaru roboczego dla tej nazwy FQDN może zostać obcięta. Obcięcie jest wykonywane, aby zachować ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 znaki lub mniej.

• <instance-name>.<region>.instances.azureml.cn

  • Adres IP dla tej nazwy FQDN nie jest adresem IP wystąpienia obliczeniowego. Zamiast tego użyj prywatnego adresu IP prywatnego punktu końcowego obszaru roboczego (adresu IP *.api.azureml.ms wpisów).

• <managed online endpoint name>.<region>.inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

Wersja platformy Azure dla administracji USA

Następujące nazwy FQDN są przeznaczone dla regionów platformy Azure US Government:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Uwaga

  Nazwa obszaru roboczego dla tej nazwy FQDN może zostać obcięta. Obcięcie jest wykonywane, aby zachować ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 znaki lub mniej.

• <instance-name>.<region>.instances.azureml.us

  • Adres IP dla tej nazwy FQDN nie jest adresem IP wystąpienia obliczeniowego. Zamiast tego użyj prywatnego adresu IP prywatnego punktu końcowego obszaru roboczego (adresu IP *.api.azureml.ms wpisów).

• <managed online endpoint name>.<region>.inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

Znajdowanie adresów IP

Aby znaleźć wewnętrzne adresy IP nazw FQDN w sieci wirtualnej, użyj jednej z następujących metod:

Uwaga

W pełni kwalifikowane nazwy domen i adresy IP będą różne w zależności od konfiguracji. Na przykład wartość identyfikatora GUID w nazwie domeny będzie specyficzna dla obszaru roboczego.

Interfejs wiersza polecenia platformy Azure

1. Aby uzyskać identyfikator interfejsu sieciowego prywatnego punktu końcowego, użyj następującego polecenia:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Aby uzyskać informacje dotyczące adresu IP i nazwy FQDN, użyj następującego polecenia. Zastąp <resource-id> element identyfikatorem z poprzedniego kroku:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   Dane wyjściowe będą mieć postać podobną do następującego tekstu:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Witryna Azure Portal

1. W Azure Portal wybierz obszar roboczy usługi Azure Machine Learning.

2. W sekcji Ustawienia wybierz pozycję Połączenia prywatnego punktu końcowego.

3. Wybierz link w wyświetlonej kolumnie Prywatny punkt końcowy .

4. Lista w pełni kwalifikowanych nazw domen (FQDN) i adresów IP prywatnego punktu końcowego obszaru roboczego znajduje się w dolnej części strony.

   

   Porada

   Jeśli ustawienia DNS nie są wyświetlane w dolnej części strony, użyj linku konfiguracji DNS po lewej stronie, aby wyświetlić nazwy FQDN.

Informacje zwrócone ze wszystkich metod są takie same; lista nazw FQDN i prywatnego adresu IP dla zasobów. Poniższy przykład pochodzi z chmury publicznej platformy Azure:

Nazwa FQDN	Adres IP
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

W poniższej tabeli przedstawiono przykładowe adresy IP z regionów świadczenia usługi Azure (Chiny):

Nazwa FQDN	Adres IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

W poniższej tabeli przedstawiono przykładowe adresy IP z regionów świadczenia usługi Azure US Government:

Nazwa FQDN	Adres IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Uwaga

Zarządzane punkty końcowe online współużytkuje prywatny punkt końcowy obszaru roboczego. W przypadku ręcznego dodawania rekordów DNS do prywatnej strefy privatelink.api.azureml.msDNS należy dodać rekord A z symbolem wieloznacznymi *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms w celu kierowania wszystkich punktów końcowych w obszarze roboczym do prywatnego punktu końcowego.

Tworzenie rekordów A na niestandardowym serwerze DNS

Po zebraniu listy nazw FQDN i odpowiednich adresów IP utwórz rekordy A na skonfigurowanym serwerze DNS. Zapoznaj się z dokumentacją serwera DNS, aby określić sposób tworzenia rekordów A. Należy pamiętać, że zaleca się utworzenie unikatowej strefy dla całej nazwy FQDN i utworzenie rekordu A w katalogu głównym strefy.

Przykład: niestandardowy serwer DNS hostowany w sieci wirtualnej

Ta architektura używa typowej topologii sieci wirtualnej piasty i szprych. Jedna sieć wirtualna zawiera serwer DNS, a drugi zawiera prywatny punkt końcowy w obszarze roboczym usługi Azure Machine Learning i skojarzonych zasobach. Musi istnieć prawidłowa trasa między obiem sieciami wirtualnymi. Na przykład za pośrednictwem serii równorzędnych sieci wirtualnych.

W poniższych krokach opisano sposób działania tej topologii:

1. Utwórz strefę Prywatna strefa DNS i połącz się z Virtual Network serwera DNS:

   Pierwszym krokiem w zapewnieniu współpracy niestandardowego rozwiązania DNS z obszarem roboczym usługi Azure Machine Learning jest utworzenie dwóch Prywatna strefa DNS stref z odblokowanym dostępem do konta root w następujących domenach:

   Regiony publiczne platformy Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Regiony platformy Azure w Chinach:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Regiony platformy Azure dla instytucji rządowych USA:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Uwaga

   Zarządzane punkty końcowe online współużytkuje prywatny punkt końcowy obszaru roboczego. W przypadku ręcznego dodawania rekordów DNS do prywatnej strefy privatelink.api.azureml.msDNS należy dodać rekord A z symbolem wieloznacznymi *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms w celu kierowania wszystkich punktów końcowych w obszarze roboczym do prywatnego punktu końcowego.

   Po utworzeniu strefy Prywatna strefa DNS należy połączyć ją z Virtual Network serwera DNS. Virtual Network, który zawiera serwer DNS.

   Prywatna strefa DNS Strefa zastępuje rozpoznawanie nazw dla wszystkich nazw w zakresie katalogu głównego strefy. To zastąpienie dotyczy wszystkich sieci wirtualnych, z których jest połączona strefa Prywatna strefa DNS. Jeśli na przykład Prywatna strefa DNS strefy rooted at privatelink.api.azureml.ms jest połączony z Virtual Network foo, wszystkie zasoby w Virtual Network foo, które próbuje rozwiązaćbar.workspace.westus2.privatelink.api.azureml.ms, otrzymają każdy rekord, który znajduje się na liście w privatelink.api.azureml.ms strefie.

   Jednak rekordy wymienione w Prywatna strefa DNS Zones są zwracane tylko do urządzeń rozpoznawania domen przy użyciu domyślnego adresu IP serwera wirtualnego usługi Azure DNS. Dlatego niestandardowy serwer DNS będzie rozpoznawał domeny dla urządzeń rozmieszczonych w topologii sieci. Jednak niestandardowy serwer DNS będzie musiał rozpoznać domeny związane z usługą Azure Machine Learning względem adresu IP serwera wirtualnego usługi Azure DNS.

2. Utwórz prywatny punkt końcowy z prywatną integracją DNS przeznaczoną dla strefy Prywatna strefa DNS połączonej z serwerem DNS Virtual Network:

   Następnym krokiem jest utworzenie prywatnego punktu końcowego w obszarze roboczym usługi Azure Machine Learning. Prywatny punkt końcowy jest przeznaczony dla obu Prywatna strefa DNS stref utworzonych w kroku 1. Dzięki temu cała komunikacja z obszarem roboczym odbywa się za pośrednictwem prywatnego punktu końcowego w usłudze Azure Machine Learning Virtual Network.

   Ważne

   Prywatny punkt końcowy musi mieć włączoną integrację Prywatna strefa DNS, aby ten przykład działał poprawnie.

3. Utwórz usługę przesyłania dalej warunkowego na serwerze DNS, aby przekazać dalej do usługi Azure DNS:

   Następnie utwórz warunkowy usługę przesyłania dalej do serwera wirtualnego usługi Azure DNS. Warunkowy moduł przesyłania dalej zapewnia, że serwer DNS zawsze wysyła zapytanie do adresu IP serwera wirtualnego usługi Azure DNS dla nazw FQDN związanych z obszarem roboczym. Oznacza to, że serwer DNS zwróci odpowiedni rekord z strefy Prywatna strefa DNS.

   Strefy do warunkowego przesyłania dalej są wymienione poniżej. Adres IP serwera wirtualnego usługi Azure DNS to 168.63.129.16:

   Regiony publiczne platformy Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure w Chinach:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure dla instytucji rządowych USA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

   Ważne

   Kroki konfiguracji serwera DNS nie są uwzględnione w tym miejscu, ponieważ dostępnych jest wiele rozwiązań DNS, które mogą być używane jako niestandardowy serwer DNS. Zapoznaj się z dokumentacją rozwiązania DNS, aby dowiedzieć się, jak odpowiednio skonfigurować przekazywanie warunkowe.

4. Rozpoznawanie domeny obszaru roboczego:

   W tym momencie cała konfiguracja jest wykonywana. Teraz każdy klient, który używa serwera DNS do rozpoznawania nazw i ma trasę do prywatnego punktu końcowego usługi Azure Machine Learning, może przejść do obszaru roboczego. Klient najpierw uruchomi zapytanie dotyczące serwera DNS pod kątem adresu następujących nazw FQDN:

   Regiony publiczne platformy Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure w Chinach:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure dla instytucji rządowych USA:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

5. Usługa Azure DNS rekursywnie rozpoznaje domenę obszaru roboczego na CNAME:

   Serwer DNS rozpozna nazwy FQDN z kroku 4 z usługi Azure DNS. Usługa Azure DNS odpowie za pomocą jednej z domen wymienionych w kroku 1.

6. Serwer DNS rekursywnie rozpoznaje rekord CNAME domeny obszaru roboczego z usługi Azure DNS:

   Serwer DNS będzie dalej rekursywnie rozpoznawać rekord CNAME odebrany w kroku 5. Ponieważ w kroku 3 wystąpiła konfiguracja warunkowego usługi przesyłania dalej, serwer DNS wyśle żądanie do adresu IP serwera wirtualnego usługi Azure DNS w celu rozwiązania problemu.

7. Usługa Azure DNS zwraca rekordy ze strefy Prywatna strefa DNS:

   Odpowiednie rekordy przechowywane w strefach Prywatna strefa DNS zostaną zwrócone do serwera DNS, co oznacza, że serwer wirtualny usługi Azure DNS zwraca adresy IP prywatnego punktu końcowego.

8. Niestandardowy serwer DNS rozpoznaje nazwę domeny obszaru roboczego jako prywatny adres punktu końcowego:

   Ostatecznie niestandardowy serwer DNS zwraca teraz adresy IP prywatnego punktu końcowego do klienta z kroku 4. Dzięki temu cały ruch do obszaru roboczego usługi Azure Machine Learning odbywa się za pośrednictwem prywatnego punktu końcowego.

Rozwiązywanie problemów

Jeśli nie możesz uzyskać dostępu do obszaru roboczego z maszyny wirtualnej lub zadania kończą się niepowodzeniem w zasobach obliczeniowych w sieci wirtualnej, wykonaj następujące kroki, aby zidentyfikować przyczynę:

1. Znajdź nazwy FQDN obszaru roboczego w prywatnym punkcie końcowym:

   Przejdź do Azure Portal przy użyciu jednego z następujących linków:

   • Regiony publiczne platformy Azure
   • Regiony Azure (Chiny)
   • Regiony platformy Azure dla instytucji rządowych USA

   Przejdź do prywatnego punktu końcowego do obszaru roboczego usługi Azure Machine Learning. Nazwy FQDN obszaru roboczego zostaną wyświetlone na karcie "Przegląd".

2. Uzyskaj dostęp do zasobu obliczeniowego w topologii Virtual Network:

   Przejdź do zasobu obliczeniowego w topologii usługi Azure Virtual Network. Prawdopodobnie będzie to wymagać dostępu do maszyny wirtualnej w Virtual Network, która jest równorzędna z Virtual Network Centrum.

3. Rozpoznawanie nazw FQDN obszaru roboczego:

   Otwórz wiersz polecenia, powłokę lub program PowerShell. Następnie dla każdej nazwy FQDN obszaru roboczego uruchom następujące polecenie:

   nslookup <workspace FQDN>

   Wynik każdego polecenia nslookup powinien zwrócić jeden z dwóch prywatnych adresów IP w prywatnym punkcie końcowym do obszaru roboczego usługi Azure Machine Learning. Jeśli tak nie jest, oznacza to. że w niestandardowym rozwiązaniu DNS coś jest nieprawidłowo skonfigurowane.

   Możliwe przyczyny:

   • Zasób obliczeniowy, na którym uruchomiono polecenia rozwiązywania problemów, nie używa serwera DNS do rozpoznawania nazw DNS
   • Prywatne strefy DNS wybrane podczas tworzenia prywatnego punktu końcowego nie są połączone z siecią wirtualną serwera DNS
   • Warunkowe usługi przesyłania dalej do adresu IP serwera wirtualnego usługi Azure DNS nie zostały poprawnie skonfigurowane

Przykład: niestandardowy serwer DNS hostowany lokalnie

Ta architektura używa typowej topologii sieci wirtualnej piasty i szprych. Usługa ExpressRoute służy do łączenia się z sieci lokalnej z siecią wirtualną koncentratora. Niestandardowy serwer DNS jest hostowany lokalnie. Oddzielna sieć wirtualna zawiera prywatny punkt końcowy w obszarze roboczym usługi Azure Machine Learning i skojarzonych zasobach. W tej topologii musi istnieć inna sieć wirtualna hostująca serwer DNS, który może wysyłać żądania do adresu IP serwera wirtualnego usługi Azure DNS.

W poniższych krokach opisano sposób działania tej topologii:

1. Utwórz strefę Prywatna strefa DNS i połącz się z Virtual Network serwera DNS:

   Pierwszym krokiem w zapewnieniu współpracy niestandardowego rozwiązania DNS z obszarem roboczym usługi Azure Machine Learning jest utworzenie dwóch Prywatna strefa DNS stref z odblokowanym dostępem do konta root w następujących domenach:

   Regiony publiczne platformy Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Regiony platformy Azure w Chinach:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Regiony platformy Azure dla instytucji rządowych USA:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Uwaga

   Zarządzane punkty końcowe online współużytkuje prywatny punkt końcowy obszaru roboczego. W przypadku ręcznego dodawania rekordów DNS do prywatnej strefy privatelink.api.azureml.msDNS należy dodać rekord A z symbolem wieloznacznymi *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms w celu kierowania wszystkich punktów końcowych w obszarze roboczym do prywatnego punktu końcowego.

   Po utworzeniu strefy Prywatna strefa DNS należy połączyć ją z siecią wirtualną serwera DNS — Virtual Network zawierającą serwer DNS.

   Uwaga

   Serwer DNS w sieci wirtualnej jest oddzielony od lokalnego serwera DNS.

   Prywatna strefa DNS Strefa zastępuje rozpoznawanie nazw dla wszystkich nazw w zakresie katalogu głównego strefy. To zastąpienie dotyczy wszystkich sieci wirtualnych, z których jest połączona strefa Prywatna strefa DNS. Jeśli na przykład Prywatna strefa DNS strefy rooted at privatelink.api.azureml.ms jest połączony z Virtual Network foo, wszystkie zasoby w Virtual Network foo, które próbuje rozwiązaćbar.workspace.westus2.privatelink.api.azureml.ms, otrzymają każdy rekord, który znajduje się na liście w strefie privatelink.api.azureml.ms.

   Jednak rekordy wymienione w Prywatna strefa DNS Zones są zwracane tylko do urządzeń rozpoznawania domen przy użyciu domyślnego adresu IP serwera wirtualnego usługi Azure DNS. Adres IP serwera wirtualnego usługi Azure DNS jest prawidłowy tylko w kontekście Virtual Network. W przypadku korzystania z lokalnego serwera DNS nie może wykonywać zapytań dotyczących adresu IP serwera wirtualnego usługi Azure DNS w celu pobrania rekordów.

   Aby obejść to zachowanie, utwórz pośredni serwer DNS w sieci wirtualnej. Ten serwer DNS może wysyłać zapytania dotyczące adresu IP serwera wirtualnego usługi Azure DNS, aby pobrać rekordy dla dowolnej strefy Prywatna strefa DNS połączonej z siecią wirtualną.

   Podczas gdy lokalny serwer DNS rozpozna domeny dla urządzeń rozmieszczonych w topologii sieci, rozpozna domeny związane z usługą Azure Machine Learning względem serwera DNS. Serwer DNS rozpozna te domeny z adresu IP serwera wirtualnego usługi Azure DNS.

2. Utwórz prywatny punkt końcowy z prywatną integracją DNS przeznaczoną dla strefy Prywatna strefa DNS połączonej z serwerem DNS Virtual Network:

   Następnym krokiem jest utworzenie prywatnego punktu końcowego w obszarze roboczym usługi Azure Machine Learning. Prywatny punkt końcowy jest przeznaczony dla obu Prywatna strefa DNS stref utworzonych w kroku 1. Dzięki temu cała komunikacja z obszarem roboczym odbywa się za pośrednictwem prywatnego punktu końcowego w usłudze Azure Machine Learning Virtual Network.

   Ważne

   Prywatny punkt końcowy musi mieć włączoną integrację Prywatna strefa DNS, aby ten przykład działał poprawnie.

3. Utwórz usługę przesyłania dalej warunkowego na serwerze DNS, aby przekazać dalej do usługi Azure DNS:

   Następnie utwórz warunkowy usługę przesyłania dalej do serwera wirtualnego usługi Azure DNS. Warunkowy moduł przesyłania dalej zapewnia, że serwer DNS zawsze wysyła zapytanie do adresu IP serwera wirtualnego usługi Azure DNS dla nazw FQDN związanych z obszarem roboczym. Oznacza to, że serwer DNS zwróci odpowiedni rekord z strefy Prywatna strefa DNS.

   Strefy do warunkowego przesyłania dalej są wymienione poniżej. Adres IP serwera wirtualnego usługi Azure DNS to 168.63.129.16.

   Regiony publiczne platformy Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure w Chinach:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure dla instytucji rządowych USA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

   Ważne

   Kroki konfiguracji serwera DNS nie są uwzględnione w tym miejscu, ponieważ dostępnych jest wiele rozwiązań DNS, które mogą być używane jako niestandardowy serwer DNS. Zapoznaj się z dokumentacją rozwiązania DNS, aby dowiedzieć się, jak odpowiednio skonfigurować przekazywanie warunkowe.

4. Utwórz usługę przesyłania dalej warunkowego na lokalnym serwerze DNS, aby przekazywać dalej do serwera DNS:

   Następnie utwórz warunkowy usług przesyłania dalej do serwera DNS w Virtual Network serwera DNS. Ten usługę przesyłania dalej dotyczy stref wymienionych w kroku 1. Jest to podobne do kroku 3, ale zamiast przekazywania do adresu IP serwera wirtualnego usługi Azure DNS lokalny serwer DNS będzie przeznaczony dla adresu IP serwera DNS. Ponieważ lokalny serwer DNS nie znajduje się na platformie Azure, nie może bezpośrednio rozpoznawać rekordów w strefach Prywatna strefa DNS. W tym przypadku serwery proxy serwera DNS żądają z lokalnego serwera DNS do adresu IP serwera wirtualnego usługi Azure DNS. Dzięki temu lokalny serwer DNS może pobierać rekordy w strefach Prywatna strefa DNS połączonych z serwerem DNS Virtual Network.

   Strefy do warunkowego przesyłania dalej są wymienione poniżej. Adresy IP do przekazania to adresy IP serwerów DNS:

   Regiony publiczne platformy Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure w Chinach:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure dla instytucji rządowych USA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

   Ważne

   Kroki konfiguracji serwera DNS nie są uwzględnione w tym miejscu, ponieważ dostępnych jest wiele rozwiązań DNS, które mogą być używane jako niestandardowy serwer DNS. Zapoznaj się z dokumentacją rozwiązania DNS, aby dowiedzieć się, jak odpowiednio skonfigurować przekazywanie warunkowe.

5. Rozpoznawanie domeny obszaru roboczego:

   W tym momencie cała konfiguracja jest wykonywana. Każdy klient korzystający z lokalnego serwera DNS do rozpoznawania nazw i ma trasę do prywatnego punktu końcowego usługi Azure Machine Learning, może przejść do obszaru roboczego.

   Klient najpierw uruchomi zapytanie dotyczące lokalnego serwera DNS pod kątem adresu następujących nazw FQDN:

   Regiony publiczne platformy Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure w Chinach:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn — Używane przez zarządzane punkty końcowe online

   Regiony platformy Azure dla instytucji rządowych USA:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us — Używane przez zarządzane punkty końcowe online

6. Lokalny serwer DNS rekursywnie rozpoznaje domenę obszaru roboczego:

   Lokalny serwer DNS rozpozna nazwy FQDN z kroku 5 z serwera DNS. Ponieważ istnieje warunkowy usług przesyłania dalej (krok 4), lokalny serwer DNS wyśle żądanie do serwera DNS w celu rozwiązania problemu.

7. Serwer DNS rozpoznaje domenę obszaru roboczego na CNAME z usługi Azure DNS:

   Serwer DNS rozpozna nazwy FQDN z kroku 5 z usługi Azure DNS. Usługa Azure DNS odpowie za pomocą jednej z domen wymienionych w kroku 1.

8. Lokalny serwer DNS rekursywnie rozpoznaje rekord CNAME domeny obszaru roboczego z serwera DNS:

   Lokalny serwer DNS będzie dalej rekursywnie rozpoznawać rekord CNAME odebrany w kroku 7. Ponieważ w kroku 4 wystąpiła konfiguracja warunkowego usługi przesyłania dalej, lokalny serwer DNS wyśle żądanie do serwera DNS w celu rozwiązania problemu.

9. Serwer DNS rekursywnie rozpoznaje rekord CNAME domeny obszaru roboczego z usługi Azure DNS:

   Serwer DNS będzie dalej rekursywnie rozpoznawać rekord CNAME odebrany w kroku 7. Ponieważ w kroku 3 wystąpiła konfiguracja warunkowego usługi przesyłania dalej, serwer DNS wyśle żądanie do adresu IP serwera wirtualnego usługi Azure DNS w celu rozwiązania problemu.

10. Usługa Azure DNS zwraca rekordy ze strefy Prywatna strefa DNS:

    Odpowiednie rekordy przechowywane w strefach Prywatna strefa DNS zostaną zwrócone do serwera DNS, co oznacza, że serwer wirtualny usługi Azure DNS zwraca adresy IP prywatnego punktu końcowego.

11. Lokalny serwer DNS rozpoznaje nazwę domeny obszaru roboczego jako prywatny adres punktu końcowego:

    Zapytanie z lokalnego serwera DNS do serwera DNS w kroku 8 ostatecznie zwraca adresy IP skojarzone z prywatnym punktem końcowym do obszaru roboczego usługi Azure Machine Learning. Te adresy IP są zwracane do oryginalnego klienta, który będzie teraz komunikować się z obszarem roboczym usługi Azure Machine Learning za pośrednictwem prywatnego punktu końcowego skonfigurowanego w kroku 1.

    Ważne

    Jeśli VPN Gateway jest używana w tej konfiguracji wraz z niestandardowymi adresami IP serwera DNS w sieci wirtualnej, należy dodać adres IP usługi Azure DNS (168.63.129.16), a także zachować niezdysponowaną komunikację.

Przykład: plik hostów

Plik hosts jest dokumentem tekstowym używanym przez system Linux, macOS i Windows do zastępowania rozpoznawania nazw na komputerze lokalnym. Plik zawiera listę adresów IP i odpowiednią nazwę hosta. Gdy komputer lokalny próbuje rozpoznać nazwę hosta, jeśli nazwa hosta jest wymieniona w hosts pliku, nazwa jest rozpoznawana jako odpowiedni adres IP.

Ważne

Plik hosts zastępuje tylko rozpoznawanie nazw dla komputera lokalnego. Jeśli chcesz użyć hosts pliku z wieloma komputerami, musisz zmodyfikować go indywidualnie na każdym komputerze.

W poniższej tabeli wymieniono lokalizację hosts pliku:

System operacyjny	Lokalizacja
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Porada

Nazwa pliku nie ma hosts rozszerzenia. Podczas edytowania pliku użyj dostępu administratora. Na przykład w systemie Linux lub macOS możesz użyć polecenia sudo vi. W systemie Windows uruchom Notatnik jako administrator.

Poniżej przedstawiono przykładowe hosts wpisy plików dla usługi Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Aby uzyskać więcej informacji na hosts temat pliku, zobacz https://wikipedia.org/wiki/Hosts_(file).

Rozpoznawanie nazw DNS usług zależności

Usługi, na których opiera się obszar roboczy, mogą być również zabezpieczone przy użyciu prywatnego punktu końcowego. Jeśli tak, może być konieczne utworzenie niestandardowego rekordu DNS, jeśli musisz bezpośrednio komunikować się z usługą. Jeśli na przykład chcesz bezpośrednio pracować z danymi na koncie usługi Azure Storage używanym przez obszar roboczy.

Uwaga

Niektóre usługi mają wiele prywatnych punktów końcowych dla usług podrzędnych lub funkcji. Na przykład konto usługi Azure Storage może mieć pojedyncze prywatne punkty końcowe dla obiektów blob, plików i systemu plików DFS. Jeśli potrzebujesz dostępu zarówno do usługi Blob, jak i usługi File Storage, musisz włączyć rozpoznawanie dla każdego określonego prywatnego punktu końcowego.

Aby uzyskać więcej informacji na temat usług i rozpoznawania nazw DNS, zobacz Konfiguracja dns prywatnego punktu końcowego platformy Azure.

Rozwiązywanie problemów

Jeśli po wykonaniu powyższych kroków nie możesz uzyskać dostępu do obszaru roboczego z maszyny wirtualnej lub zadania kończą się niepowodzeniem w zasobach obliczeniowych w Virtual Network zawierającym prywatny punkt końcowy do obszaru roboczego usługi Azure Machine Learning, wykonaj poniższe kroki, aby spróbować zidentyfikować przyczynę.

1. Znajdź nazwy FQDN obszaru roboczego w prywatnym punkcie końcowym:

   Przejdź do Azure Portal przy użyciu jednego z następujących linków:

   • Regiony publiczne platformy Azure
   • Regiony Azure (Chiny)
   • Regiony platformy Azure dla instytucji rządowych USA

   Przejdź do prywatnego punktu końcowego do obszaru roboczego usługi Azure Machine Learning. Nazwy FQDN obszaru roboczego zostaną wyświetlone na karcie "Przegląd".

2. Uzyskaj dostęp do zasobu obliczeniowego w topologii Virtual Network:

   Przejdź do zasobu obliczeniowego w topologii usługi Azure Virtual Network. Prawdopodobnie będzie to wymagać dostępu do maszyny wirtualnej w Virtual Network, która jest równorzędna z Virtual Network Centrum.

3. Rozpoznawanie nazw FQDN obszaru roboczego:

   Otwórz wiersz polecenia, powłokę lub program PowerShell. Następnie dla każdej nazwy FQDN obszaru roboczego uruchom następujące polecenie:

   nslookup <workspace FQDN>

   Wynik każdego polecenia nslookup powinien zwrócić jeden z dwóch prywatnych adresów IP w prywatnym punkcie końcowym do obszaru roboczego usługi Azure Machine Learning. Jeśli tak nie jest, oznacza to. że w niestandardowym rozwiązaniu DNS coś jest nieprawidłowo skonfigurowane.

   Możliwe przyczyny:

   • Zasób obliczeniowy, na którym uruchomiono polecenia rozwiązywania problemów, nie używa serwera DNS do rozpoznawania nazw DNS
   • Prywatne strefy DNS wybrane podczas tworzenia prywatnego punktu końcowego nie są połączone z siecią wirtualną serwera DNS
   • Warunkowe usługi przesyłania dalej z serwera DNS do adresu IP serwera wirtualnego usługi Azure DNS nie zostały poprawnie skonfigurowane
   • Warunkowe usługi przesyłania dalej z lokalnego serwera DNS do serwera DNS nie zostały poprawnie skonfigurowane

Następne kroki

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii:

• Omówienie sieci wirtualnej

• Zabezpieczanie zasobów obszaru roboczego
• Zabezpieczanie środowiska szkoleniowego
• Zabezpieczanie środowiska wnioskowania

• Włączanie funkcji programu Studio
• Korzystanie z zapory

Aby uzyskać informacje na temat integrowania prywatnych punktów końcowych z konfiguracją DNS, zobacz Konfiguracja DNS prywatnego punktu końcowego platformy Azure.