Compartilhar via

Solucionar problemas de conexão de um projeto com um ponto de extremidade privado

  • Artigo

Importante

Os itens marcados (versão prévia) neste artigo estão atualmente em versão prévia pública. Essa versão prévia é fornecida sem um contrato de nível de serviço e não recomendamos isso para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

Ao se conectar a um projeto que foi configurado com um ponto de extremidade privado, você poderá encontrar um erro 403 ou uma mensagem informando que o acesso foi negado. Use as informações deste artigo para verificar se há problemas comuns de configuração que podem causar esse erro.

Conecte-se com segurança ao seu projeto

Para se conectar a um projeto protegido por uma VNet, use um dos métodos a seguir:

  • Gateway de VPN do Azure – conecta redes locais à VNet por meio de uma conexão privada. A conexão é feita pela Internet pública. Há dois tipos de gateways de VPN que você pode usar:

    • Ponto a site: cada computador cliente usa um cliente VPN para se conectar à VNet.
    • Site a site: um dispositivo VPN conecta a VNet à sua rede local.

  • ExpressRoute – conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.

  • Azure Bastion – neste cenário, você cria uma máquina virtual do Azure (às vezes chamada de jump box) dentro da VNet. Em seguida, você se conecta à VM usando o Azure Bastion. O Bastion permite que você se conecte à VM usando uma sessão RDP ou SSH do navegador da Web local. Em seguida, use a jump box como seu ambiente de desenvolvimento. Por estar dentro da VNet, ela pode acessar o workspace diretamente.

Configuração de DNS

As etapas de solução de problemas para a configuração de DNS diferem com base em se você está usando o DNS do Azure ou um DNS personalizado. Use as seguintes etapas para determinar qual você está usando:

  1. No portal do Azure, selecione o recurso de ponto de extremidade privado do seu Estúdio de IA do Azure. Se não se lembrar do nome, selecione o recurso Estúdio de IA do Azure, Rede, Conexão do ponto de extremidade privado e, em seguida, selecione o link do Ponto de extremidade privado.

    Captura de tela das conexões de ponto de extremidade privado para o recurso.

  2. Na página Visão geral, selecione o link da Interface de Rede.

    Captura de tela da visão geral do ponto de extremidade privado com o link da interface de rede realçado.

  3. Em Configurações, selecione Configurações de IP e escolha o link da Rede virtual.

    Captura de tela da configuração de IP com o link de rede virtual realçado.

  4. Na seção Configurações, à esquerda da página, selecione a entrada dos servidores DNS.

    Captura de tela da configuração dos servidores DNS.

Solução de problemas de DNS personalizado

Use as seguintes etapas para verificar se a sua solução de DNS personalizado está resolvendo corretamente os nomes para os endereços IP:

  1. Em uma máquina virtual, laptop, área de trabalho ou outro recurso de computação que tenha uma conexão funcional com o ponto de extremidade privado, abra um navegador da Web. No navegador, use a URL para sua região do Azure:

    Região do Azure URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure operado pela 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Todas as outras regiões https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. No portal, selecione o ponto de extremidade privado para o projeto. Na seção Configuração de DNS, faça uma lista de FQDNs listados para o ponto de extremidade privado.

    Captura de tela do ponto de extremidade privado com as configurações de DNS personalizado em destaque.

  3. Abra um prompt de comando, o PowerShell ou outra linha de comando e execute o comando a seguir para cada FQDN retornado na etapa anterior. Sempre que você executar o comando, verifique se o endereço IP retornado corresponde ao endereço IP listado no portal do FQDN:

    nslookup <fqdn>

    Por exemplo, executar o comando nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms retornaria um valor semelhante ao seguinte texto:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
Address: 10.0.0.4

  4. Se o comando nslookup retorna um erro ou um endereço IP diferente do exibido no portal, isso significa que a sua solução de DNS personalizado não está configurada corretamente.

Solução de problemas do DNS do Azure

Ao adotar o DNS do Azure para resolução de nomes, use as seguintes etapas para verificar se a integração com o DNS privado está configurada corretamente:

  1. No ponto de extremidade privado, selecione a Configuração de DNS. Para cada entrada na coluna zona de DNS privado, também deve haver uma entrada na coluna de grupo de zona DNS.

    Captura de tela da configuração de DNS com DNS privado zona e grupo realçados.

    • Se houver uma entrada de zona de DNS privado, mas nenhuma entrada de grupo de zona DNS, exclua e recrie o Ponto de Extremidade Privado. Ao recriar o ponto de extremidade privado, habilite a integração com a zona de DNS privado.

    • Se o grupo de zona DNS não estiver vazio, selecione o link para a entrada da zona de DNS privado.

      Na zona de DNS privado, selecione Links da rede virtual. Deve haver um link para a VNet. Se não houver, exclua e recrie o ponto de extremidade privado. Ao recriá-lo, selecione uma zona de DNS privado vinculada à VNet ou crie uma vinculada à VNet.

      Captura de tela dos links de rede virtual para a zona de DNS privado.

  2. Repita as etapas anteriores para o restante das entradas da zona de DNS privado.

Configuração do navegador (DNS sobre HTTPS)

Verifique se o DNS sobre HTTP está habilitado no navegador da Web. O DNS sobre HTTP pode impedir que o DNS do Azure responda com o endereço IP do Ponto de Extremidade Privado.

  • Mozilla Firefox: para obter mais informações, confira Desabilitar o DNS sobre HTTPS no Firefox.
  • Microsoft Edge:

    1. No Edge, selecione ... e selecione Configurações.

    2. Nas configurações, pesquise por DNS e desabilite Usar DNS seguro para especificar como pesquisar o endereço de rede para sites.

      Captura de tela da configuração de uso de DNS seguro no Microsoft Edge.

Configuração de proxy

Se você usar um proxy, ele poderá impedir a comunicação com um projeto seguro. Para testar, use uma das seguintes opções:

  • Desabilite temporariamente a configuração do proxy e veja se consegue se conectar.
  • Crie um arquivo PAC (configuração automática de Proxy) que permita acesso direto aos FQDNs listados no ponto de extremidade privado. Ele também deve permitir acesso direto ao FQDN para quaisquer instâncias de computação.
  • Configure seu servidor proxy para encaminhar solicitações DNS para o DNS do Azure.
  • Verifique se o proxy permite conexões com as APIs do AML, como ".<region>.api.azureml.ms" e ".instances.azureml.ms"

Solucionar problemas de conexões de armazenamento ausentes

Quando você cria um projeto, várias conexões com o armazenamento do Azure são criadas automaticamente para cenários de carregamento de dados e armazenamento de artefatos, incluindo prompt flow. Quando a conta do Armazenamento do Azure associada ao seu hub tem o acesso à rede pública definido como “Desabilitado”, pode haver um atraso nessas conexões de armazenamento a serem criadas.

Tente as seguintes etapas para solucionar o problema:

  1. No Portal do Azure, verifique as configurações de rede da conta de armazenamento associada ao seu hub.
  2. Examine sua conexão com a Internet e verifique se você está usando uma conexão privada permitida pela sua conta de armazenamento.
  3. Navegue até Estúdio de IA > seu projeto > configurações do projeto.
  4. Atualize a página. Várias conexões devem ser criadas, incluindo 'workspaceblobstore'.