Dela via


Så här använder du din arbetsyta med en anpassad DNS-server

När du använder en Azure Mašinsko učenje-arbetsyta (inklusive Azure AI-hubbar) med en privat slutpunkt finns det flera sätt att hantera DNS-namnmatchning. Som standard hanterar Azure automatiskt namnmatchning för din arbetsyta och privata slutpunkt. Om du i stället använder din egen anpassade DNS-server måste du manuellt skapa DNS-poster eller använda villkorliga vidarebefordrare för arbetsytan.

Viktigt!

Den här artikeln beskriver hur du hittar fullständiga domännamn (FQDN) och IP-adresser för dessa poster om du vill registrera DNS-poster manuellt i DNS-lösningen. Dessutom innehåller den här artikeln arkitekturrekommendationer för hur du konfigurerar din anpassade DNS-lösning för att automatiskt matcha FQDN:er till rätt IP-adresser. Den här artikeln innehåller INTE information om hur du konfigurerar DNS-posterna för dessa objekt. Mer information om hur du lägger till poster finns i dokumentationen för DNS-programvaran.

Förutsättningar

Automatiserad DNS-serverintegrering

Introduktion

Det finns två vanliga arkitekturer för att använda automatiserad DNS-serverintegrering med Azure Mašinsko učenje:

Även om arkitekturen kan skilja sig från de här exemplen kan du använda dem som referenspunkt. Båda exempelarkitekturerna innehåller felsökningssteg som kan hjälpa dig att identifiera komponenter som kan vara felkonfigurerade.

Ett annat alternativ är att ändra hosts filen på klienten som ansluter till det virtuella Azure-nätverket (VNet) som innehåller din arbetsyta. Mer information finns i avsnittet Värdfil .

Dns-matchningssökväg för arbetsyta

Åtkomst till en viss Azure Mašinsko učenje-arbetsyta via Private Link görs genom kommunikation med följande fullständigt kvalificerade domäner (kallas FQDN för arbetsytan) som anges nedan:

Viktigt!

Om du använder en hubbarbetsyta (inklusive Azure AI Studio Hub) har du ytterligare poster för varje projektarbetsyta som skapats från hubben.

Offentliga Azure-regioner:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
  • <compute instance name>.<region the workspace was created in>.instances.azureml.ms
  • <compute instance name>-22.<region the workspace was created in>.instances.azureml.ms – Används av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk.
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
  • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Dricks

Om du använder en hubbarbetsyta finns det även följande FQDN för varje projektarbetsyta som skapats från hubbarbetsytan:

  • <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
  • <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
  • ml-<project workspacename, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.azure.net

Microsoft Azure drivs av 21Vianet-regioner:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
  • <compute instance name>.<region the workspace was created in>.instances.azureml.cn
  • <compute instance name>-22.<region the workspace was created in>.instances.azureml.cn – Används av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk.
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
  • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

Dricks

Om du använder en hubbarbetsyta finns det även följande FQDN för varje projektarbetsyta som skapats från hubbarbetsytan:

  • <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
  • <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
  • ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn

Azure US Government-regioner:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
  • <compute instance name>.<region the workspace was created in>.instances.azureml.us
  • <compute instance name>-22.<region the workspace was created in>.instances.azureml.us – Används av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk.
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
  • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

Dricks

Om du använder en hubbarbetsyta finns det även följande FQDN för varje projektarbetsyta som skapats från hubbarbetsytan:

  • <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
  • <project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
  • ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net

De fullständigt kvalificerade domänerna matchar följande kanoniska namn (CNAMEs) som kallas FQDN för arbetsytan Private Link:

Offentliga Azure-regioner:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
  • <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms – Används av hanterade onlineslutpunkter

Azure drivs av 21Vianet-regioner:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
  • <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government-regioner:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
  • <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us – Används av hanterade onlineslutpunkter

FQDN:erna matchar IP-adresserna för Azure Mašinsko učenje-arbetsytan i den regionen. Lösning av FQDN för arbetsytan Private Link kan dock åsidosättas med hjälp av en anpassad DNS-server som finns i det virtuella nätverket. Ett exempel på den här arkitekturen finns i den anpassade DNS-servern som finns i ett vnet-exempel . För hubb- och projektarbetsytor matchar FQDN för alla projektarbetsytor IP-adressen för hubbarbetsytan.

Kommentar

Hanterade onlineslutpunkter delar arbetsytans privata slutpunkt. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msbör en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

Manuell DNS-serverintegrering

I det här avsnittet beskrivs vilka fullständigt kvalificerade domäner som ska skapas A-poster för i en DNS-server och vilken IP-adress som värdet för A-posten ska anges till.

Hämta privata slutpunkts-FQDN

Offentlig Azure-region

Följande lista innehåller de fullständigt kvalificerade domännamn (FQDN) som används av din arbetsyta om den finns i Azure Public Cloud:

  • <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

  • <workspace-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

    Kommentar

    Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

  • <instance-name>.<region>.instances.azureml.ms

    Kommentar

    • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
    • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)
  • <instance-name>-22.<region>.instances.azureml.ms – Används endast av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

  • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Dricks

Om du använder hubb- och projektarbetsytor har varje projektarbetsyta en egen uppsättning ytterligare FQDN. Mer information finns i avsnittet DNS-matchning för arbetsytan.

Microsoft Azure drivs av 21Vianet-regionen

Följande FQDN:er gäller för Microsoft Azure som drivs av 21Vianet-regioner:

  • <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

  • <workspace-GUID>.workspace.<region>.api.ml.azure.cn

  • ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

    Kommentar

    Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

  • <instance-name>.<region>.instances.azureml.cn

    • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)
  • <instance-name>-22.<region>.instances.azureml.cn – Används endast av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

  • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

Dricks

Om du använder hubb- och projektarbetsytor har varje projektarbetsyta en egen uppsättning ytterligare FQDN. Mer information finns i avsnittet DNS-matchning för arbetsytan.

Azure US Government

Följande FQDN:er gäller för Azure US Government-regioner:

  • <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

  • <workspace-GUID>.workspace.<region>.api.ml.azure.us

  • ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

    Kommentar

    Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

  • <instance-name>.<region>.instances.azureml.us

    • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)
  • <instance-name>-22.<region>.instances.azureml.us – Används endast av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

  • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

Dricks

Om du använder hubb- och projektarbetsytor har varje projektarbetsyta en egen uppsättning ytterligare FQDN. Mer information finns i avsnittet DNS-matchning för arbetsytan.

Hitta IP-adresserna

Om du vill hitta de interna IP-adresserna för FQDN i det virtuella nätverket använder du någon av följande metoder:

Kommentar

De fullständigt kvalificerade domännamnen och IP-adresserna skiljer sig beroende på din konfiguration. GUID-värdet i domännamnet är till exempel specifikt för din arbetsyta.

  1. Använd följande kommando för att hämta ID:t för det privata slutpunktsnätverksgränssnittet:

    az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
    
  2. Använd följande kommando för att hämta IP-adressen och FQDN-informationen för arbetsytan eller hubbens arbetsyta. Ersätt <resource-id> med ID:t från föregående steg:

    az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIPAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
    

    Resultatet blir något som liknar till exempel:

    [
        {
            "FQDNs": [
            "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
            "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
            ],
            "IPAddress": "10.1.0.5"
        },
        {
            "FQDNs": [
            "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
            ],
            "IPAddress": "10.1.0.6"
        },
        {
            "FQDNs": [
            "*.eastus.inference.ml.azure.com"
            ],
            "IPAddress": "10.1.0.7"
        }
    ]
    
  3. Om du använder en hubbarbetsyta använder du följande steg för varje projektarbetsyta som skapades från hubben:

    1. Använd följande kommando för att hämta projektarbetsytans ID:

      az ml workspace show --name <project-workspace-name> --resource-group <resource-group> --query 'discovery_url'
      

      Värdet som returneras följer formatet https://<project-workspace-id>.workspace.<region>.api.azureml.ms/mlflow/<version>/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<project-workspace-name>.

    2. Ta de FQDN:er som returneras från hubbarbetsytan som slutar i workspace.<region>.api.azureml.ms och workspace.<region>.cert.api.azureml.ms. Ersätt GUID-värdet i början av dessa FQDN med projektarbetsytans ID. Dessa FQDN:er är utöver hubbens FQDN:er för arbetsytan.

    3. Ta det FQDN som returneras från hubbarbetsytan som följer formatet i <workspace-name>-<region>-<GUID>.<region>.notebooks.azure.net. Ersätt GUID-värdet med projektarbetsytans ID. Ersätt namnet på hubbens arbetsyta med namnet på projektarbetsytan. Du kan behöva trunkera arbetsytans namn för att behålla posten på högst 63 tecken. Det här FQDN:et är utöver hubbarbetsytans FQDN.

Informationen som returneras från alla metoder är densamma. en lista över FQDN och den privata IP-adressen för resurserna. Följande exempel är från Azure Public Cloud:

FQDN IP-adress
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms 10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms 10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net 10.1.0.6
*.eastus.inference.ml.azure.com 10.1.0.7

I följande tabell visas exempel-IP-adresser från Microsoft Azure som drivs av 21Vianet-regioner:

FQDN IP-adress
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn 10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn 10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn 10.1.0.6
*.chinaeast2.inference.ml.azure.cn 10.1.0.7

I följande tabell visas exempel-IP-adresser från Azure US Government-regioner:

FQDN IP-adress
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us 10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us 10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net 10.1.0.6
*.usgovvirginia.inference.ml.azure.us 10.1.0.7

Kommentar

Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

Skapa en post i en anpassad DNS-server

När listan över FQDN och motsvarande IP-adresser har samlats in fortsätter du med att skapa A-poster i den konfigurerade DNS-servern. Se dokumentationen för DNS-servern för att avgöra hur du skapar A-poster. Observera att du bör skapa en unik zon för hela det fullständiga domännamnet och skapa A-posten i roten i zonen.

Exempel: Anpassad DNS-server som finns i VNet

Den här arkitekturen använder den vanliga topologin för virtuella hubbar och ekrar. Ett virtuellt nätverk innehåller DNS-servern och ett innehåller den privata slutpunkten till Azure Mašinsko učenje-arbetsytan och associerade resurser. Det måste finnas en giltig väg mellan båda de virtuella nätverken. Till exempel genom en serie peer-kopplade virtuella nätverk.

Diagram över anpassad DNS som finns i Azure-topologi

Följande steg beskriver hur den här topologin fungerar:

  1. Skapa en privat DNS-zon och länka till dns-serverns virtuella nätverk:

    Det första steget för att säkerställa att en anpassad DNS-lösning fungerar med din Azure Mašinsko učenje-arbetsyta är att skapa två privata DNS-zoner rotade på följande domäner:

    Offentliga Azure-regioner:

    • privatelink.api.azureml.ms
    • privatelink.notebooks.azure.net

    Microsoft Azure drivs av 21Vianet-regioner:

    • privatelink.api.ml.azure.cn
    • privatelink.notebooks.chinacloudapi.cn

    Azure US Government-regioner:

    • privatelink.api.ml.azure.us
    • privatelink.notebooks.usgovcloudapi.net

    Kommentar

    Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

    När den privata DNS-zonen har skapats måste den länkas till det virtuella DNS Server-nätverket. Det virtuella nätverk som innehåller DNS-servern.

    En privat DNS-zon åsidosätter namnmatchning för alla namn inom omfånget för zonens rot. Den här åsidosättningen gäller för alla virtuella nätverk som den privata DNS-zonen är länkad till. Om en privat DNS-zon som är rotad på privatelink.api.azureml.ms till exempel är länkad till det virtuella nätverkets foo, får alla resurser i foo för virtuellt nätverk som försöker matcha bar.workspace.westus2.privatelink.api.azureml.ms alla poster som anges i privatelink.api.azureml.ms zonen.

    Poster som anges i privata DNS-zoner returneras dock bara till enheter som matchar domäner med azure DNS Virtual Server-standard-IP-adress. Den anpassade DNS-servern löser därför domäner för enheter som sprids i nätverkstopologin. Men den anpassade DNS-servern måste matcha Azure Mašinsko učenje-relaterade domäner mot IP-adressen för Azure DNS Virtual Server.

  2. Skapa en privat slutpunkt med privat DNS-integrering riktad mot privat DNS-zon som är länkad till DNS Server Virtual Network:

    Nästa steg är att skapa en privat slutpunkt till Azure Mašinsko učenje-arbetsytan. Den privata slutpunkten riktar sig till båda privata DNS-zoner som skapades i steg 1. Detta säkerställer att all kommunikation med arbetsytan sker via den privata slutpunkten i Azure Mašinsko učenje Virtual Network.

    Viktigt!

    Den privata slutpunkten måste ha privat DNS-integrering aktiverad för att det här exemplet ska fungera korrekt.

  3. Skapa en villkorlig vidarebefordrare i DNS Server för att vidarebefordra till Azure DNS:

    Skapa sedan en villkorlig vidarebefordrare till den virtuella Azure DNS-servern. Den villkorliga vidarebefordraren ser till att DNS-servern alltid frågar Azure DNS Virtual Server IP-adressen för FQDN som är relaterad till din arbetsyta. Det innebär att DNS-servern returnerar motsvarande post från den privata DNS-zonen.

    De zoner som ska vidarebefordras villkorligt visas nedan. IP-adressen för Azure DNS Virtual Server är 168.63.129.16:

    Offentliga Azure-regioner:

    • api.azureml.ms
    • notebooks.azure.net
    • instances.azureml.ms
    • aznbcontent.net
    • inference.ml.azure.com – Används av hanterade onlineslutpunkter

    Microsoft Azure drivs av 21Vianet-regioner:

    • api.ml.azure.cn
    • notebooks.chinacloudapi.cn
    • instances.azureml.cn
    • aznbcontent.net
    • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

    Azure US Government-regioner:

    • api.ml.azure.us
    • notebooks.usgovcloudapi.net
    • instances.azureml.us
    • aznbcontent.net
    • inference.ml.azure.us – Används av hanterade onlineslutpunkter

    Viktigt!

    Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många TILLGÄNGLIGA DNS-lösningar som kan användas som en anpassad DNS-server. Mer information om hur du konfigurerar villkorlig vidarebefordran finns i dokumentationen för DNS-lösningen.

  4. Lös arbetsytedomän:

    Nu är all konfiguration klar. Nu kan alla klienter som använder DNS Server för namnmatchning och har en väg till Den privata Slutpunkten i Azure Mašinsko učenje fortsätta att komma åt arbetsytan. Klienten börjar först med att fråga DNS Server om adressen till följande FQDN:

    Offentliga Azure-regioner:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
    • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

    Microsoft Azure drivs av 21Vianet-regioner:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
    • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

    Azure US Government-regioner:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
    • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter
  5. Azure DNS löser rekursivt arbetsytedomänen till CNAME:

    DNS-servern löser FQDN från steg 4 från Azure DNS. Azure DNS svarar med en av de domäner som anges i steg 1.

  6. DNS Server löser rekursivt CNAME-posten för arbetsytedomänen från Azure DNS:

    DNS-servern fortsätter att rekursivt lösa den CNAME som togs emot i steg 5. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 3 skickar DNS Server begäran till IP-adressen för Azure DNS Virtual Server för lösning.

  7. Azure DNS returnerar poster från privat DNS-zon:

    Motsvarande poster som lagras i de privata DNS-zonerna returneras till DNS-servern, vilket innebär att Azure DNS Virtual Server returnerar IP-adresserna för den privata slutpunkten.

  8. Anpassad DNS-server löser arbetsytans domännamn till den privata slutpunktsadressen:

    I slutändan returnerar den anpassade DNS-servern nu IP-adresserna för den privata slutpunkten till klienten från steg 4. Detta säkerställer att all trafik till Azure Mašinsko učenje-arbetsytan sker via den privata slutpunkten.

Felsökning

Om du inte kan komma åt arbetsytan från en virtuell dator eller om jobben misslyckas på beräkningsresurser i det virtuella nätverket använder du följande steg för att identifiera orsaken:

  1. Leta upp FQDN för arbetsytan på den privata slutpunkten:

    Gå till Azure-portalen med någon av följande länkar:

    Navigera till den privata slutpunkten till Azure Mašinsko učenje-arbetsytan. FQDN för arbetsytan visas på fliken Översikt.

  2. Åtkomst till beräkningsresurs i topologi för virtuellt nätverk:

    Fortsätt att komma åt en beräkningsresurs i Topologin för Azure Virtual Network. Detta kräver troligen åtkomst till en virtuell dator i ett virtuellt nätverk som är peer-kopplat till det virtuella hubbnätverket.

  3. Lös FQDN:er för arbetsytan:

    Öppna en kommandotolk, gränssnitt eller PowerShell. Kör sedan följande kommando för varje FQDN för arbetsytan:

    nslookup <workspace FQDN>

    Resultatet av varje nslookup bör returnera en av de två privata IP-adresserna på den privata slutpunkten till Azure Mašinsko učenje-arbetsytan. Om inte så är något fel i konfigurationen av den anpassade DNS-lösningen.

    Möjliga orsaker:

    • Beräkningsresursen som kör felsökningskommandona använder inte en DNS-server för DNS-matchning
    • De privata DNS-zonerna som valdes när den privata slutpunkten skapades är inte länkade till det virtuella DNS-servernätverket
    • Villkorliga vidarebefordrare till Azure DNS Virtual Server IP har inte konfigurerats korrekt

Exempel: Anpassad DNS-server som finns lokalt

Den här arkitekturen använder den vanliga topologin för virtuella hubbar och ekrar. ExpressRoute används för att ansluta från ditt lokala nätverk till det virtuella hubbnätverket. Den anpassade DNS-servern finns lokalt. Ett separat virtuellt nätverk innehåller den privata slutpunkten till Azure Mašinsko učenje-arbetsytan och associerade resurser. Med den här topologin måste det finnas ett annat virtuellt nätverk som är värd för en DNS-server som kan skicka begäranden till IP-adressen för Azure DNS Virtual Server.

Diagram över anpassad DNS-värdbaserad lokal topologi

Följande steg beskriver hur den här topologin fungerar:

  1. Skapa en privat DNS-zon och länka till dns-serverns virtuella nätverk:

    Det första steget för att säkerställa att en anpassad DNS-lösning fungerar med din Azure Mašinsko učenje-arbetsyta är att skapa två privata DNS-zoner rotade på följande domäner:

    Offentliga Azure-regioner:

    • privatelink.api.azureml.ms
    • privatelink.notebooks.azure.net

    Microsoft Azure drivs av 21Vianet-regioner:

    • privatelink.api.ml.azure.cn
    • privatelink.notebooks.chinacloudapi.cn

    Azure US Government-regioner:

    • privatelink.api.ml.azure.us
    • privatelink.notebooks.usgovcloudapi.net

    Kommentar

    Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

    När den privata DNS-zonen har skapats måste den länkas till det virtuella DNS Server-nätverket – det virtuella nätverk som innehåller DNS-servern.

    Kommentar

    DNS-servern i det virtuella nätverket är separat från den lokala DNS-servern.

    En privat DNS-zon åsidosätter namnmatchning för alla namn inom omfånget för zonens rot. Den här åsidosättningen gäller för alla virtuella nätverk som den privata DNS-zonen är länkad till. Om till exempel en privat DNS-zon som är rotad på privatelink.api.azureml.ms är länkad till foo för virtuellt nätverk, kommer alla resurser i foo för virtuellt nätverk som försöker matcha bar.workspace.westus2.privatelink.api.azureml.ms att ta emot alla poster som anges i privatelink.api.azureml.ms-zonen.

    Poster som anges i privata DNS-zoner returneras dock bara till enheter som matchar domäner med azure DNS Virtual Server-standard-IP-adress. IP-adressen för Azure DNS Virtual Server är endast giltig i kontexten för ett virtuellt nätverk. När du använder en lokal DNS-server kan den inte fråga Azure DNS Virtual Server IP-adressen för att hämta poster.

    Du kan kringgå det här beteendet genom att skapa en mellanliggande DNS-server i ett virtuellt nätverk. Den här DNS-servern kan fråga Azure DNS Virtual Server IP-adressen för att hämta poster för alla privata DNS-zoner som är länkade till det virtuella nätverket.

    Medan den lokala DNS-servern löser domäner för enheter som sprids i nätverkstopologin, löser den Azure Mašinsko učenje-relaterade domäner mot DNS-servern. DNS-servern löser dessa domäner från IP-adressen för Azure DNS Virtual Server.

  2. Skapa en privat slutpunkt med privat DNS-integrering riktad mot privat DNS-zon som är länkad till DNS Server Virtual Network:

    Nästa steg är att skapa en privat slutpunkt till Azure Mašinsko učenje-arbetsytan. Den privata slutpunkten riktar sig till båda privata DNS-zoner som skapades i steg 1. Detta säkerställer att all kommunikation med arbetsytan sker via den privata slutpunkten i Azure Mašinsko učenje Virtual Network.

    Viktigt!

    Den privata slutpunkten måste ha privat DNS-integrering aktiverad för att det här exemplet ska fungera korrekt.

  3. Skapa en villkorlig vidarebefordrare i DNS Server för att vidarebefordra till Azure DNS:

    Skapa sedan en villkorlig vidarebefordrare till den virtuella Azure DNS-servern. Den villkorliga vidarebefordraren ser till att DNS-servern alltid frågar Azure DNS Virtual Server IP-adressen för FQDN som är relaterad till din arbetsyta. Det innebär att DNS-servern returnerar motsvarande post från den privata DNS-zonen.

    De zoner som ska vidarebefordras villkorligt visas nedan. IP-adressen för Azure DNS Virtual Server är 168.63.129.16.

    Offentliga Azure-regioner:

    • api.azureml.ms
    • notebooks.azure.net
    • instances.azureml.ms
    • aznbcontent.net
    • inference.ml.azure.com – Används av hanterade onlineslutpunkter

    Microsoft Azure drivs av 21Vianet-regioner:

    • api.ml.azure.cn
    • notebooks.chinacloudapi.cn
    • instances.azureml.cn
    • aznbcontent.net
    • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

    Azure US Government-regioner:

    • api.ml.azure.us
    • notebooks.usgovcloudapi.net
    • instances.azureml.us
    • aznbcontent.net
    • inference.ml.azure.us – Används av hanterade onlineslutpunkter

    Viktigt!

    Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många TILLGÄNGLIGA DNS-lösningar som kan användas som en anpassad DNS-server. Mer information om hur du konfigurerar villkorlig vidarebefordran finns i dokumentationen för DNS-lösningen.

  4. Skapa villkorlig vidarebefordrare i lokal DNS-server för vidarebefordran till DNS-server:

    Skapa sedan en villkorlig vidarebefordrare till DNS-servern i det virtuella DNS Server-nätverket. Den här vidarebefordraren är avsedd för de zoner som anges i steg 1. Detta liknar steg 3, men i stället för att vidarebefordra till IP-adressen för Azure DNS Virtual Server kommer den lokala DNS-servern att rikta in sig på DNS-serverns IP-adress. Eftersom den lokala DNS-servern inte finns i Azure kan den inte direkt matcha poster i privata DNS-zoner. I det här fallet begär DNS Server-proxyservrarna från den lokala DNS-servern till Azure DNS Virtual Server IP. Detta gör att den lokala DNS-servern kan hämta poster i de privata DNS-zoner som är länkade till det virtuella DNS-servernätverket.

    De zoner som ska vidarebefordras villkorligt visas nedan. IP-adresserna som ska vidarebefordras till är IP-adresserna för dina DNS-servrar:

    Offentliga Azure-regioner:

    • api.azureml.ms
    • notebooks.azure.net
    • instances.azureml.ms
    • inference.ml.azure.com – Används av hanterade onlineslutpunkter

    Microsoft Azure drivs av 21Vianet-regioner:

    • api.ml.azure.cn
    • notebooks.chinacloudapi.cn
    • instances.azureml.cn
    • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

    Azure US Government-regioner:

    • api.ml.azure.us
    • notebooks.usgovcloudapi.net
    • instances.azureml.us
    • inference.ml.azure.us – Används av hanterade onlineslutpunkter

    Viktigt!

    Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många TILLGÄNGLIGA DNS-lösningar som kan användas som en anpassad DNS-server. Mer information om hur du konfigurerar villkorlig vidarebefordran finns i dokumentationen för DNS-lösningen.

  5. Lös arbetsytedomän:

    Nu är all konfiguration klar. Alla klienter som använder den lokala DNS-servern för namnmatchning och har en väg till Azure Mašinsko učenje privat slutpunkt, kan fortsätta att komma åt arbetsytan.

    Klienten börjar först med att fråga den lokala DNS-servern om adressen till följande FQDN:

    Offentliga Azure-regioner:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
    • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

    Microsoft Azure drivs av 21Vianet-regioner:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
    • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

    Azure US Government-regioner:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
    • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter
  6. Den lokala DNS-servern löser rekursivt arbetsytedomänen:

    Den lokala DNS-servern löser FQDN från steg 5 från DNS-servern. Eftersom det finns en villkorlig vidarebefordrare (steg 4) skickar den lokala DNS-servern begäran till DNS-servern för matchning.

  7. DNS Server löser arbetsytedomänen till CNAME från Azure DNS:

    DNS-servern löser FQDN från steg 5 från Azure DNS. Azure DNS svarar med en av de domäner som anges i steg 1.

  8. Den lokala DNS-servern löser rekursivt CNAME-posten för arbetsytedomänen från DNS Server:

    Den lokala DNS-servern fortsätter att rekursivt lösa CNAME som togs emot i steg 7. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 4 skickar den lokala DNS-servern begäran till DNS Server för matchning.

  9. DNS Server löser rekursivt CNAME-posten för arbetsytedomänen från Azure DNS:

    DNS-servern fortsätter att rekursivt lösa den CNAME som togs emot i steg 7. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 3 skickar DNS Server begäran till IP-adressen för Azure DNS Virtual Server för lösning.

  10. Azure DNS returnerar poster från privat DNS-zon:

    Motsvarande poster som lagras i de privata DNS-zonerna returneras till DNS-servern, vilket innebär att Den virtuella Azure DNS-servern returnerar IP-adresserna för den privata slutpunkten.

  11. Den lokala DNS-servern löser arbetsytans domännamn till den privata slutpunktsadressen:

    Frågan från den lokala DNS-servern till DNS Server i steg 8 returnerar slutligen IP-adresserna som är associerade med den privata slutpunkten till Azure Mašinsko učenje-arbetsytan. Dessa IP-adresser returneras till den ursprungliga klienten, som nu kommunicerar med Azure Mašinsko učenje-arbetsytan via den privata slutpunkten som konfigurerades i steg 1.

    Viktigt!

    Om VPN Gateway används i den här konfigurationen tillsammans med anpassade DNS-server-IP-adresser på det virtuella nätverket måste Azure DNS IP (168.63.129.16) läggas till i listan samt för att upprätthålla oupptäckt kommunikation.

Exempel: Värdfil

Filen hosts är ett textdokument som Linux, macOS och Windows alla använder för att åsidosätta namnmatchning för den lokala datorn. Filen innehåller en lista över IP-adresser och motsvarande värdnamn. När den lokala datorn försöker matcha ett värdnamn matchas namnet till motsvarande IP-adress om värdnamnet visas i hosts filen.

Viktigt!

Filen hosts åsidosätter endast namnmatchning för den lokala datorn. Om du vill använda en hosts fil med flera datorer måste du ändra den individuellt på varje dator.

I följande tabell visas filens hosts plats:

Operativsystem Plats
Linux /etc/hosts
macOS /etc/hosts
Windows %SystemRoot%\System32\drivers\etc\hosts

Dricks

Namnet på filen är hosts utan tillägg. När du redigerar filen använder du administratörsåtkomst. I Linux eller macOS kan du till exempel använda sudo vi. Kör anteckningar som administratör i Windows.

Följande är ett exempel på hosts filposter för Azure Mašinsko učenje:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Mer information om filen https://wikipedia.org/wiki/Hosts_(file)finns i hosts .

DNS-matchning för beroendetjänster

De tjänster som din arbetsyta förlitar sig på kan också skyddas med hjälp av en privat slutpunkt. I så fall kan du behöva skapa en anpassad DNS-post om du behöver kommunicera direkt med tjänsten. Om du till exempel vill arbeta direkt med data i ett Azure Storage-konto som används av din arbetsyta.

Kommentar

Vissa tjänster har flera privata slutpunkter för undertjänster eller funktioner. Ett Azure Storage-konto kan till exempel ha enskilda privata slutpunkter för Blob, File och DFS. Om du behöver åtkomst till både Blob- och File Storage måste du aktivera lösning för varje specifik privat slutpunkt.

Mer information om tjänster och DNS-matchning finns i DNS-konfiguration för privata slutpunkter i Azure.

Felsökning

Om du efter att ha kört stegen ovan inte kan komma åt arbetsytan från en virtuell dator eller om jobben misslyckas på beräkningsresurser i det virtuella nätverket som innehåller den privata slutpunkten till Azure Mašinsko učenje-arbetsytan följer du stegen nedan för att försöka identifiera orsaken.

  1. Leta upp FQDN för arbetsytan på den privata slutpunkten:

    Gå till Azure-portalen med någon av följande länkar:

    Navigera till den privata slutpunkten till Azure Mašinsko učenje-arbetsytan. FQDN för arbetsytan visas på fliken Översikt.

  2. Åtkomst till beräkningsresurs i topologi för virtuellt nätverk:

    Fortsätt att komma åt en beräkningsresurs i Topologin för Azure Virtual Network. Detta kräver troligen åtkomst till en virtuell dator i ett virtuellt nätverk som är peer-kopplat till det virtuella hubbnätverket.

  3. Lös FQDN:er för arbetsytan:

    Öppna en kommandotolk, gränssnitt eller PowerShell. Kör sedan följande kommando för varje FQDN för arbetsytan:

    nslookup <workspace FQDN>

    Resultatet av varje nslookup bör returnera en av de två privata IP-adresserna på den privata slutpunkten till Azure Machine Learning-arbetsytan. Om inte så är något fel i konfigurationen av den anpassade DNS-lösningen.

    Möjliga orsaker:

    • Beräkningsresursen som kör felsökningskommandona använder inte en DNS-server för DNS-matchning
    • De privata DNS-zonerna som valdes när den privata slutpunkten skapades är inte länkade till det virtuella DNS-servernätverket
    • Villkorsstyrda vidarebefordrare från DNS-servern till IP-adressen för den virtuella Azure DNS-servern är inte rätt konfigurerade
    • Villkorsstyrda vidarebefordrare från den lokala DNS-servern till DNS-servern är inte rätt konfigurerade

Information om hur du integrerar privata slutpunkter i DNS-konfigurationen finns i DNS-konfigurationen för azure private endpoint.