Rozwiązywanie problemów z połączeniem z prywatnym punktem końcowym

  • Artykuł

Podczas nawiązywania połączenia z obszarem roboczym usługi Azure Machine Edukacja skonfigurowanym przy użyciu prywatnego punktu końcowego może wystąpić błąd 403 lub komunikat informujący, że dostęp jest zabroniony. W tym artykule wyjaśniono, jak można sprawdzić typowe problemy z konfiguracją, które powodują ten błąd.

Napiwek

Przed wykonaniem kroków opisanych w tym artykule wypróbuj interfejs API diagnostyki obszaru roboczego usługi Azure Machine Edukacja. Może pomóc w zidentyfikowaniu problemów z konfiguracją obszaru roboczego. Aby uzyskać więcej informacji, zobacz Jak używać diagnostyki obszaru roboczego.

Konfiguracja DNS

Kroki rozwiązywania problemów z konfiguracją DNS różnią się w zależności od tego, czy używasz usługi Azure DNS, czy niestandardowej usługi DNS. Wykonaj następujące kroki, aby określić, którego z nich używasz:

  1. W witrynie Azure Portal wybierz prywatny punkt końcowy dla obszaru roboczego usługi Azure Machine Edukacja.

  2. Na stronie Przegląd wybierz link Interfejs sieciowy.

    Screenshot of the private endpoint overview with network interface link highlighted.

  3. W obszarze Ustawienia wybierz pozycję Konfiguracje adresów IP, a następnie wybierz link Sieć wirtualna.

    Screenshot of the IP configuration with virtual network link highlighted.

  4. W sekcji Ustawienia po lewej stronie wybierz wpis serwery DNS.

    Screenshot of the DNS servers configuration.

    • Jeśli ta wartość to Default (azure-provided) lub 168.63.129.16, sieć wirtualna korzysta z usługi Azure DNS. Przejdź do sekcji rozwiązywania problemów z usługą Azure DNS.
    • Jeśli na liście znajduje się inny adres IP, sieć wirtualna korzysta z niestandardowego rozwiązania DNS. Przejdź do sekcji Rozwiązywanie problemów z niestandardowym systemem DNS.

Rozwiązywanie problemów z niestandardowym systemem DNS

Wykonaj następujące kroki, aby sprawdzić, czy niestandardowe rozwiązanie DNS prawidłowo rozpozna nazwy adresów IP:

  1. Na maszynie wirtualnej, laptopie, komputerze stacjonarnym lub innym zasobie obliczeniowym, który ma działające połączenie z prywatnym punktem końcowym, otwórz przeglądarkę internetową. W przeglądarce użyj adresu URL dla Twojego regionu świadczenia platformy Azure:

    Region platformy Azure Adres URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Platforma Microsoft Azure obsługiwana przez firmę 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Wszystkie inne regiony: https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. W portalu wybierz prywatny punkt końcowy dla obszaru roboczego. Utwórz listę nazw FQDN wymienionych dla prywatnego punktu końcowego.

    Screenshot of the private endpoint with custom DNS settings highlighted.

  3. Otwórz wiersz polecenia, program PowerShell lub inny wiersz polecenia i uruchom następujące polecenie dla każdej nazwy FQDN zwróconej w poprzednim kroku. Za każdym razem, gdy uruchamiasz polecenie, sprawdź, czy zwrócony adres IP jest zgodny z adresem IP wymienionym w portalu dla nazwy FQDN:

    nslookup <fqdn>

    Na przykład uruchomienie polecenia nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms zwraca wartość podobną do następującego tekstu:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name: 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms
Address: 10.3.0.5

  4. Jeśli polecenie nslookup zwraca błąd lub zwraca inny adres IP niż wyświetlany w portalu, oznacza to, że niestandardowe rozwiązanie DNS nie jest skonfigurowane poprawnie. Aby uzyskać więcej informacji, zobacz Jak używać obszaru roboczego z niestandardowym serwerem DNS.

Rozwiązywanie problemów z usługą Azure DNS

W przypadku korzystania z usługi Azure DNS do rozpoznawania nazw wykonaj następujące kroki, aby sprawdzić, czy integracja Prywatna strefa DNS jest poprawnie skonfigurowana:

  1. W prywatnym punkcie końcowym wybierz pozycję Konfiguracja DNS. Dla każdego wpisu w kolumnie Prywatna strefa DNS strefy powinna również znajdować się wpis w kolumnie grupy strefy DNS.

    Screenshot of the DNS configuration with Private DNS zone and group highlighted.

    • Jeśli istnieje wpis strefy Prywatna strefa DNS, ale nie ma wpisu grupy strefy DNS, usuń i ponownie utwórz prywatny punkt końcowy. Podczas ponownego tworzenia prywatnego punktu końcowego włącz integrację strefy Prywatna strefa DNS.

    • Jeśli grupa stref DNS nie jest pusta, wybierz link dla wpisu strefy Prywatna strefa DNS.

      W strefie Prywatna strefa DNS wybierz pozycję Łącza sieci wirtualnej. Powinien istnieć link do sieci wirtualnej. Jeśli go nie ma, usuń i utwórz ponownie prywatny punkt końcowy. Podczas ponownego tworzenia wybierz strefę Prywatna strefa DNS połączoną z siecią wirtualną lub utwórz nową, połączoną z nią strefę.

      Screenshot of the virtual network links for the Private DNS zone.

  2. Powtórz poprzednie kroki dla pozostałych wpisów strefy Prywatna strefa DNS.

Konfiguracja przeglądarki (DNS za pośrednictwem protokołu HTTPS)

Sprawdź, czy usługa DNS za pośrednictwem protokołu HTTP jest włączona w przeglądarce internetowej. Usługa DNS za pośrednictwem protokołu HTTP może uniemożliwić usłudze Azure DNS odpowiadanie przy użyciu adresu IP prywatnego punktu końcowego.

Konfiguracja serwera proxy

Jeśli używasz serwera proxy, może to uniemożliwić komunikację z zabezpieczonym obszarem roboczym. Aby przetestować, użyj jednej z następujących opcji:

  • Tymczasowo wyłącz ustawienie serwera proxy i sprawdź, czy możesz nawiązać połączenie.
  • Utwórz plik automatycznej konfiguracji serwera proxy (PAC), który umożliwia bezpośredni dostęp do nazw FQDN wymienionych w prywatnym punkcie końcowym. Powinna również zezwalać na bezpośredni dostęp do nazwy FQDN dla wszystkich wystąpień obliczeniowych.
  • Skonfiguruj serwer proxy do przekazywania żądań DNS do usługi Azure DNS.