Så här använder du din arbetsyta med en anpassad DNS-server

När du använder en Azure Machine Learning-arbetsyta med en privat slutpunkt finns det flera sätt att hantera DNS-namnmatchning. Som standard hanterar Azure automatiskt namnmatchning för din arbetsyta och privata slutpunkt. Om du i stället använder din egen anpassade DNS-server måste du manuellt skapa DNS-poster eller använda villkorliga vidarebefordrare för arbetsytan.

Viktigt!

Den här artikeln beskriver hur du hittar fullständiga domännamn (FQDN) och IP-adresser för dessa poster om du vill registrera DNS-poster manuellt i DNS-lösningen. Dessutom innehåller den här artikeln arkitekturrekommendationer för hur du konfigurerar din anpassade DNS-lösning för att automatiskt matcha FQDN:er till rätt IP-adresser. Den här artikeln innehåller INTE information om hur du konfigurerar DNS-posterna för dessa objekt. Mer information om hur du lägger till poster finns i dokumentationen för DNS-programvaran.

Dricks

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:

• Översikt över virtuella nätverk

• Skydda arbetsytans resurser
• Skydda träningsmiljön
• Skydda slutsatsdragningsmiljön

• Aktivera studiofunktioner
• Använda en brandvägg

Förutsättningar

• Ett virtuellt Azure-nätverk som använder din egen DNS-server.

• En Azure Machine Learning-arbetsyta med en privat slutpunkt. Mer information finns i Skapa en Azure Machine Learning-arbetsyta.

• Kunskaper om att använda nätverksisolering under träning och slutsatsdragning.

• Kunskaper om konfiguration av DNS-zon i Azure Private Endpoint

• Kunskaper om Azure Privat DNS

• Du kan också använda Azure CLI eller Azure PowerShell.

Automatiserad DNS-serverintegrering

Introduktion

Det finns två vanliga arkitekturer för att använda automatiserad DNS-serverintegrering med Azure Machine Learning:

• En anpassad DNS-server som finns i ett virtuellt Azure-nätverk.
• En anpassad DNS-server som finns lokalt och som är ansluten till Azure Machine Learning via ExpressRoute.

Även om arkitekturen kan skilja sig från de här exemplen kan du använda dem som referenspunkt. Båda exempelarkitekturerna innehåller felsökningssteg som kan hjälpa dig att identifiera komponenter som kan vara felkonfigurerade.

Ett annat alternativ är att ändra hosts filen på klienten som ansluter till det virtuella Azure-nätverket (VNet) som innehåller din arbetsyta. Mer information finns i avsnittet Värdfil .

Dns-matchningssökväg för arbetsyta

Åtkomst till en viss Azure Machine Learning-arbetsyta via Private Link görs genom att kommunicera med följande fullständigt kvalificerade domäner (kallas FQDN för arbetsytan) som anges nedan:

Offentliga Azure-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Microsoft Azure drivs av 21Vianet-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

De fullständigt kvalificerade domänerna matchar följande kanoniska namn (CNAMEs) som kallas FQDN för arbetsytan Private Link:

Offentliga Azure-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms – Används av hanterade onlineslutpunkter

Azure drivs av 21Vianet-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us – Används av hanterade onlineslutpunkter

FQDN:erna matchar IP-adresserna för Azure Machine Learning-arbetsytan i den regionen. Lösning av FQDN för arbetsytan Private Link kan dock åsidosättas med hjälp av en anpassad DNS-server som finns i det virtuella nätverket. Ett exempel på den här arkitekturen finns i den anpassade DNS-servern som finns i ett vnet-exempel .

Kommentar

Hanterade onlineslutpunkter delar arbetsytans privata slutpunkt. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msbör en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

Manuell DNS-serverintegrering

I det här avsnittet beskrivs vilka fullständigt kvalificerade domäner som ska skapas A-poster för i en DNS-server och vilken IP-adress som värdet för A-posten ska anges till.

Hämta privata slutpunkts-FQDN

Offentlig Azure-region

Följande lista innehåller de fullständigt kvalificerade domännamn (FQDN) som används av din arbetsyta om den finns i Azure Public Cloud:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Kommentar

  Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.ms

  Kommentar

  • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
  • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Microsoft Azure drivs av 21Vianet-regionen

Följande FQDN:er gäller för Microsoft Azure som drivs av 21Vianet-regioner:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Kommentar

  Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.cn

  • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government

Följande FQDN:er gäller för Azure US Government-regioner:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Kommentar

  Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.us

  • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

Hitta IP-adresserna

Om du vill hitta de interna IP-adresserna för FQDN i det virtuella nätverket använder du någon av följande metoder:

Kommentar

De fullständigt kvalificerade domännamnen och IP-adresserna skiljer sig beroende på din konfiguration. GUID-värdet i domännamnet är till exempel specifikt för din arbetsyta.

Azure CLI

1. Använd följande kommando för att hämta ID:t för det privata slutpunktsnätverksgränssnittet:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Använd följande kommando för att hämta IP-adressen och FQDN-informationen. Ersätt <resource-id> med ID:t från föregående steg:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   Resultatet blir något som liknar till exempel:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure-portalen

1. I Azure-portalen väljer du din Azure Machine Learning-arbetsyta.

2. I avsnittet Inställningar väljer du Privata slutpunktsanslutningar.

3. Välj länken i kolumnen Privat slutpunkt som visas.

4. En lista över fullständigt kvalificerade domännamn (FQDN) och IP-adresser för arbetsytans privata slutpunkt finns längst ned på sidan.

   

   Dricks

   Om DNS-inställningarna inte visas längst ned på sidan använder du DNS-konfigurationslänken till vänster på sidan för att visa FQDN:erna.

Informationen som returneras från alla metoder är densamma. en lista över FQDN och den privata IP-adressen för resurserna. Följande exempel är från Azure Public Cloud:

FQDN	IP-adress
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

I följande tabell visas exempel-IP-adresser från Microsoft Azure som drivs av 21Vianet-regioner:

FQDN	IP-adress
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

I följande tabell visas exempel-IP-adresser från Azure US Government-regioner:

FQDN	IP-adress
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Kommentar

Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

Skapa en post i en anpassad DNS-server

När listan över FQDN och motsvarande IP-adresser har samlats in fortsätter du med att skapa A-poster i den konfigurerade DNS-servern. Se dokumentationen för DNS-servern för att avgöra hur du skapar A-poster. Observera att du bör skapa en unik zon för hela det fullständiga domännamnet och skapa A-posten i roten i zonen.

Exempel: Anpassad DNS-server som finns i VNet

Den här arkitekturen använder den vanliga topologin för virtuella hubbar och ekrar. Ett virtuellt nätverk innehåller DNS-servern och ett innehåller den privata slutpunkten till Azure Machine Learning-arbetsytan och tillhörande resurser. Det måste finnas en giltig väg mellan båda de virtuella nätverken. Till exempel genom en serie peer-kopplade virtuella nätverk.

Följande steg beskriver hur den här topologin fungerar:

1. Skapa Privat DNS zon och länka till DNS Server Virtual Network:

   Det första steget för att säkerställa att en anpassad DNS-lösning fungerar med din Azure Machine Learning-arbetsyta är att skapa två Privat DNS zoner rotade på följande domäner:

   Offentliga Azure-regioner:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure drivs av 21Vianet-regioner:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government-regioner:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Kommentar

   Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

   När den Privat DNS zonen har skapats måste den länkas till det virtuella DNS Server-nätverket. Det virtuella nätverk som innehåller DNS-servern.

   En Privat DNS zon åsidosätter namnmatchning för alla namn inom omfånget för zonens rot. Den här åsidosättningen gäller för alla virtuella nätverk som Privat DNS-zonen är länkad till. Om till exempel en Privat DNS zon som är rotad på privatelink.api.azureml.ms är länkad till foo för virtuellt nätverk, kommer alla resurser i foo för virtuellt nätverk som försöker matcha bar.workspace.westus2.privatelink.api.azureml.ms att ta emot alla poster som visas i privatelink.api.azureml.ms zonen.

   Poster som anges i Privat DNS-zoner returneras dock endast till enheter som matchar domäner med standard-IP-adressen för Azure DNS Virtual Server. Den anpassade DNS-servern löser därför domäner för enheter som sprids i nätverkstopologin. Men den anpassade DNS-servern måste matcha Azure Machine Learning-relaterade domäner mot IP-adressen för Azure DNS Virtual Server.

2. Skapa en privat slutpunkt med privat DNS-integrering som är riktad mot Privat DNS zon som är länkad till DNS Server Virtual Network:

   Nästa steg är att skapa en privat slutpunkt till Azure Machine Learning-arbetsytan. Den privata slutpunkten riktar sig till båda Privat DNS zoner som skapades i steg 1. Detta säkerställer att all kommunikation med arbetsytan sker via den privata slutpunkten i det virtuella Azure Machine Learning-nätverket.

   Viktigt!

   Den privata slutpunkten måste ha Privat DNS integrering aktiverat för att det här exemplet ska fungera korrekt.

3. Skapa en villkorlig vidarebefordrare i DNS Server för att vidarebefordra till Azure DNS:

   Skapa sedan en villkorlig vidarebefordrare till den virtuella Azure DNS-servern. Den villkorliga vidarebefordraren ser till att DNS-servern alltid frågar Azure DNS Virtual Server IP-adressen för FQDN som är relaterad till din arbetsyta. Det innebär att DNS-servern returnerar motsvarande post från Privat DNS-zonen.

   De zoner som ska vidarebefordras villkorligt visas nedan. IP-adressen för Azure DNS Virtual Server är 168.63.129.16:

   Offentliga Azure-regioner:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Microsoft Azure drivs av 21Vianet-regioner:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – Används av hanterade onlineslutpunkter

   Viktigt!

   Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många TILLGÄNGLIGA DNS-lösningar som kan användas som en anpassad DNS-server. Mer information om hur du konfigurerar villkorlig vidarebefordran finns i dokumentationen för DNS-lösningen.

4. Lös arbetsytedomän:

   Nu är all konfiguration klar. Nu kan alla klienter som använder DNS Server för namnmatchning och som har en väg till den privata Slutpunkten för Azure Machine Learning fortsätta att komma åt arbetsytan. Klienten börjar först med att fråga DNS Server om adressen till följande FQDN:

   Offentliga Azure-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Microsoft Azure drivs av 21Vianet-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

5. Azure DNS löser rekursivt arbetsytedomänen till CNAME:

   DNS-servern löser FQDN från steg 4 från Azure DNS. Azure DNS svarar med en av de domäner som anges i steg 1.

6. DNS Server löser rekursivt CNAME-posten för arbetsytedomänen från Azure DNS:

   DNS-servern fortsätter att rekursivt lösa den CNAME som togs emot i steg 5. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 3 skickar DNS Server begäran till IP-adressen för Azure DNS Virtual Server för lösning.

7. Azure DNS returnerar poster från Privat DNS zon:

   Motsvarande poster som lagras i Privat DNS-zonerna returneras till DNS Server, vilket innebär att Azure DNS Virtual Server returnerar IP-adresserna för den privata slutpunkten.

8. Anpassad DNS-server löser arbetsytans domännamn till den privata slutpunktsadressen:

   I slutändan returnerar den anpassade DNS-servern nu IP-adresserna för den privata slutpunkten till klienten från steg 4. Detta säkerställer att all trafik till Azure Machine Learning-arbetsytan sker via den privata slutpunkten.

Felsökning

Om du inte kan komma åt arbetsytan från en virtuell dator eller om jobben misslyckas på beräkningsresurser i det virtuella nätverket använder du följande steg för att identifiera orsaken:

1. Leta upp FQDN för arbetsytan på den privata slutpunkten:

   Gå till Azure-portalen med någon av följande länkar:

   • Offentliga Azure-regioner
   • Microsoft Azure drivs av 21Vianet-regioner
   • Azure US Government-regioner

   Navigera till den privata slutpunkten till Azure Machine Learning-arbetsytan. FQDN för arbetsytan visas på fliken Översikt.

2. Åtkomst till beräkningsresurs i topologi för virtuellt nätverk:

   Fortsätt att komma åt en beräkningsresurs i Topologin för Azure Virtual Network. Detta kräver troligen åtkomst till en virtuell dator i ett virtuellt nätverk som är peer-kopplat till det virtuella hubbnätverket.

3. Lös FQDN:er för arbetsytan:

   Öppna en kommandotolk, gränssnitt eller PowerShell. Kör sedan följande kommando för varje FQDN för arbetsytan:

   nslookup <workspace FQDN>

   Resultatet av varje nslookup bör returnera en av de två privata IP-adresserna på den privata slutpunkten till Azure Machine Learning-arbetsytan. Om inte så är något fel i konfigurationen av den anpassade DNS-lösningen.

   Möjliga orsaker:

   • Beräkningsresursen som kör felsökningskommandona använder inte en DNS-server för DNS-matchning
   • De privata DNS-zonerna som valdes när den privata slutpunkten skapades är inte länkade till det virtuella DNS-servernätverket
   • Villkorliga vidarebefordrare till Azure DNS Virtual Server IP har inte konfigurerats korrekt

Exempel: Anpassad DNS-server som finns lokalt

Den här arkitekturen använder den vanliga topologin för virtuella hubbar och ekrar. ExpressRoute används för att ansluta från ditt lokala nätverk till det virtuella hubbnätverket. Den anpassade DNS-servern finns lokalt. Ett separat virtuellt nätverk innehåller den privata slutpunkten till Azure Machine Learning-arbetsytan och associerade resurser. Med den här topologin måste det finnas ett annat virtuellt nätverk som är värd för en DNS-server som kan skicka begäranden till IP-adressen för Azure DNS Virtual Server.

Följande steg beskriver hur den här topologin fungerar:

1. Skapa Privat DNS zon och länka till DNS Server Virtual Network:

   Det första steget för att säkerställa att en anpassad DNS-lösning fungerar med din Azure Machine Learning-arbetsyta är att skapa två Privat DNS zoner rotade på följande domäner:

   Offentliga Azure-regioner:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure drivs av 21Vianet-regioner:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government-regioner:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Kommentar

   Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

   När Privat DNS zonen har skapats måste den länkas till det virtuella DNS Server-nätverket – det virtuella nätverk som innehåller DNS-servern.

   Kommentar

   DNS-servern i det virtuella nätverket är separat från den lokala DNS-servern.

   En Privat DNS zon åsidosätter namnmatchning för alla namn inom omfånget för zonens rot. Den här åsidosättningen gäller för alla virtuella nätverk som Privat DNS-zonen är länkad till. Om till exempel en Privat DNS zon som är rotad på privatelink.api.azureml.ms är länkad till det virtuella nätverkets foo, kommer alla resurser i foo för virtuellt nätverk som försöker matcha bar.workspace.westus2.privatelink.api.azureml.ms att ta emot alla poster som anges i privatelink.api.azureml.ms-zonen.

   Poster som anges i Privat DNS-zoner returneras dock endast till enheter som matchar domäner med standard-IP-adressen för Azure DNS Virtual Server. IP-adressen för Azure DNS Virtual Server är endast giltig i kontexten för ett virtuellt nätverk. När du använder en lokal DNS-server kan den inte fråga Azure DNS Virtual Server IP-adressen för att hämta poster.

   Du kan kringgå det här beteendet genom att skapa en mellanliggande DNS-server i ett virtuellt nätverk. Den här DNS-servern kan fråga Azure DNS Virtual Server IP-adressen för att hämta poster för alla Privat DNS zon som är länkade till det virtuella nätverket.

   Även om den lokala DNS-servern löser domäner för enheter som sprids i hela nätverkstopologin, löser den Azure Machine Learning-relaterade domäner mot DNS-servern. DNS-servern löser dessa domäner från IP-adressen för Azure DNS Virtual Server.

2. Skapa en privat slutpunkt med privat DNS-integrering som är riktad mot Privat DNS zon som är länkad till DNS Server Virtual Network:

   Nästa steg är att skapa en privat slutpunkt till Azure Machine Learning-arbetsytan. Den privata slutpunkten riktar sig till båda Privat DNS zoner som skapades i steg 1. Detta säkerställer att all kommunikation med arbetsytan sker via den privata slutpunkten i det virtuella Azure Machine Learning-nätverket.

   Viktigt!

   Den privata slutpunkten måste ha Privat DNS integrering aktiverat för att det här exemplet ska fungera korrekt.

3. Skapa en villkorlig vidarebefordrare i DNS Server för att vidarebefordra till Azure DNS:

   Skapa sedan en villkorlig vidarebefordrare till den virtuella Azure DNS-servern. Den villkorliga vidarebefordraren ser till att DNS-servern alltid frågar Azure DNS Virtual Server IP-adressen för FQDN som är relaterad till din arbetsyta. Det innebär att DNS-servern returnerar motsvarande post från Privat DNS-zonen.

   De zoner som ska vidarebefordras villkorligt visas nedan. IP-adressen för Azure DNS Virtual Server är 168.63.129.16.

   Offentliga Azure-regioner:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Microsoft Azure drivs av 21Vianet-regioner:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – Används av hanterade onlineslutpunkter

   Viktigt!

   Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många TILLGÄNGLIGA DNS-lösningar som kan användas som en anpassad DNS-server. Mer information om hur du konfigurerar villkorlig vidarebefordran finns i dokumentationen för DNS-lösningen.

4. Skapa villkorlig vidarebefordrare i lokal DNS-server för vidarebefordran till DNS-server:

   Skapa sedan en villkorlig vidarebefordrare till DNS-servern i det virtuella DNS Server-nätverket. Den här vidarebefordraren är avsedd för de zoner som anges i steg 1. Detta liknar steg 3, men i stället för att vidarebefordra till IP-adressen för Azure DNS Virtual Server kommer den lokala DNS-servern att rikta in sig på DNS-serverns IP-adress. Eftersom den lokala DNS-servern inte finns i Azure kan den inte direkt matcha poster i Privat DNS zoner. I det här fallet begär DNS Server-proxyservrarna från den lokala DNS-servern till Azure DNS Virtual Server IP. Detta gör att den lokala DNS-servern kan hämta poster i Privat DNS zoner som är länkade till det virtuella DNS Server-nätverket.

   De zoner som ska vidarebefordras villkorligt visas nedan. IP-adresserna som ska vidarebefordras till är IP-adresserna för dina DNS-servrar:

   Offentliga Azure-regioner:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Microsoft Azure drivs av 21Vianet-regioner:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us – Används av hanterade onlineslutpunkter

   Viktigt!

   Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många TILLGÄNGLIGA DNS-lösningar som kan användas som en anpassad DNS-server. Mer information om hur du konfigurerar villkorlig vidarebefordran finns i dokumentationen för DNS-lösningen.

5. Lös arbetsytedomän:

   Nu är all konfiguration klar. Alla klienter som använder den lokala DNS-servern för namnmatchning och som har en väg till den privata Azure Machine Learning-slutpunkten kan fortsätta att komma åt arbetsytan.

   Klienten börjar först med att fråga den lokala DNS-servern om adressen till följande FQDN:

   Offentliga Azure-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Microsoft Azure drivs av 21Vianet-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

6. Den lokala DNS-servern löser rekursivt arbetsytedomänen:

   Den lokala DNS-servern löser FQDN från steg 5 från DNS-servern. Eftersom det finns en villkorlig vidarebefordrare (steg 4) skickar den lokala DNS-servern begäran till DNS-servern för matchning.

7. DNS Server löser arbetsytedomänen till CNAME från Azure DNS:

   DNS-servern löser FQDN från steg 5 från Azure DNS. Azure DNS svarar med en av de domäner som anges i steg 1.

8. Den lokala DNS-servern löser rekursivt CNAME-posten för arbetsytedomänen från DNS Server:

   Den lokala DNS-servern fortsätter att rekursivt lösa CNAME som togs emot i steg 7. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 4 skickar den lokala DNS-servern begäran till DNS Server för matchning.

9. DNS Server löser rekursivt CNAME-posten för arbetsytedomänen från Azure DNS:

   DNS-servern fortsätter att rekursivt lösa den CNAME som togs emot i steg 7. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 3 skickar DNS Server begäran till IP-adressen för Azure DNS Virtual Server för lösning.

10. Azure DNS returnerar poster från Privat DNS zon:

    Motsvarande poster som lagras i Privat DNS-zonerna returneras till DNS Server, vilket innebär att Den virtuella Azure DNS-servern returnerar IP-adresserna för den privata slutpunkten.

11. Den lokala DNS-servern löser arbetsytans domännamn till den privata slutpunktsadressen:

    Frågan från den lokala DNS-servern till DNS Server i steg 8 returnerar slutligen IP-adresserna som är associerade med den privata slutpunkten till Azure Machine Learning-arbetsytan. Dessa IP-adresser returneras till den ursprungliga klienten, som nu kommunicerar med Azure Machine Learning-arbetsytan via den privata slutpunkten som konfigurerades i steg 1.

    Viktigt!

    Om VPN Gateway används i den här konfigurationen tillsammans med anpassade DNS-server-IP-adresser på det virtuella nätverket måste Azure DNS IP (168.63.129.16) läggas till i listan samt för att upprätthålla oupptäckt kommunikation.

Exempel: Värdfil

Filen hosts är ett textdokument som Linux, macOS och Windows alla använder för att åsidosätta namnmatchning för den lokala datorn. Filen innehåller en lista över IP-adresser och motsvarande värdnamn. När den lokala datorn försöker matcha ett värdnamn matchas namnet till motsvarande IP-adress om värdnamnet visas i hosts filen.

Viktigt!

Filen hosts åsidosätter endast namnmatchning för den lokala datorn. Om du vill använda en hosts fil med flera datorer måste du ändra den individuellt på varje dator.

I följande tabell visas filens hosts plats:

Operativsystem	Plats
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Dricks

Namnet på filen är hosts utan tillägg. När du redigerar filen använder du administratörsåtkomst. I Linux eller macOS kan du till exempel använda sudo vi. Kör anteckningar som administratör i Windows.

Följande är ett exempel på hosts filposter för Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Mer information om filen https://wikipedia.org/wiki/Hosts_(file)finns i hosts .

DNS-matchning för beroendetjänster

De tjänster som din arbetsyta förlitar sig på kan också skyddas med hjälp av en privat slutpunkt. I så fall kan du behöva skapa en anpassad DNS-post om du behöver kommunicera direkt med tjänsten. Om du till exempel vill arbeta direkt med data i ett Azure Storage-konto som används av din arbetsyta.

Kommentar

Vissa tjänster har flera privata slutpunkter för undertjänster eller funktioner. Ett Azure Storage-konto kan till exempel ha enskilda privata slutpunkter för Blob, File och DFS. Om du behöver åtkomst till både Blob- och File Storage måste du aktivera lösning för varje specifik privat slutpunkt.

Mer information om tjänster och DNS-matchning finns i DNS-konfiguration för privata slutpunkter i Azure.

Felsökning

Om du efter att ha kört stegen ovan inte kan komma åt arbetsytan från en virtuell dator eller om jobben misslyckas på beräkningsresurser i det virtuella nätverket som innehåller den privata slutpunkten till Azure Machine Learning-arbetsytan följer du stegen nedan för att försöka identifiera orsaken.

1. Leta upp FQDN för arbetsytan på den privata slutpunkten:

   Gå till Azure-portalen med någon av följande länkar:

   • Offentliga Azure-regioner
   • Microsoft Azure drivs av 21Vianet-regioner
   • Azure US Government-regioner

   Navigera till den privata slutpunkten till Azure Machine Learning-arbetsytan. FQDN för arbetsytan visas på fliken Översikt.

2. Åtkomst till beräkningsresurs i topologi för virtuellt nätverk:

   Fortsätt att komma åt en beräkningsresurs i Topologin för Azure Virtual Network. Detta kräver troligen åtkomst till en virtuell dator i ett virtuellt nätverk som är peer-kopplat till det virtuella hubbnätverket.

3. Lös FQDN:er för arbetsytan:

   Öppna en kommandotolk, gränssnitt eller PowerShell. Kör sedan följande kommando för varje FQDN för arbetsytan:

   nslookup <workspace FQDN>

   Resultatet av varje nslookup bör returnera en av de två privata IP-adresserna på den privata slutpunkten till Azure Machine Learning-arbetsytan. Om inte så är något fel i konfigurationen av den anpassade DNS-lösningen.

   Möjliga orsaker:

   • Beräkningsresursen som kör felsökningskommandona använder inte en DNS-server för DNS-matchning
   • De privata DNS-zonerna som valdes när den privata slutpunkten skapades är inte länkade till det virtuella DNS-servernätverket
   • Villkorsstyrda vidarebefordrare från DNS-servern till IP-adressen för den virtuella Azure DNS-servern är inte rätt konfigurerade
   • Villkorsstyrda vidarebefordrare från den lokala DNS-servern till DNS-servern är inte rätt konfigurerade

Nästa steg

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:

• Översikt över virtuella nätverk

• Skydda arbetsytans resurser
• Skydda träningsmiljön
• Skydda slutsatsdragningsmiljön

• Aktivera studiofunktioner
• Använda en brandvägg

Information om hur du integrerar privata slutpunkter i DNS-konfigurationen finns i DNS-konfigurationen för azure private endpoint.