Så här använder du din arbetsyta med en anpassad DNS-server

När du använder en Azure Machine Learning-arbetsyta med en privat slutpunkt finns det flera sätt att hantera DNS-namnmatchning. Som standard hanterar Azure automatiskt namnmatchning för din arbetsyta och privata slutpunkt. Om du i stället använder din egen anpassade DNS-server måste du manuellt skapa DNS-poster eller använda villkorliga vidarebefordrare för arbetsytan.

Viktigt

Den här artikeln beskriver hur du hittar fullständiga domännamn (FQDN) och IP-adresser för dessa poster om du vill registrera DNS-poster manuellt i DIN DNS-lösning. Dessutom innehåller den här artikeln arkitekturrekommendationer för hur du konfigurerar din anpassade DNS-lösning för att automatiskt matcha FQDN:er till rätt IP-adresser. Den här artikeln innehåller INTE information om hur du konfigurerar DNS-posterna för dessa objekt. Mer information om hur du lägger till poster finns i dokumentationen för DNS-programvaran.

Tips

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:

• Översikt över virtuella nätverk

• Skydda arbetsytans resurser
• Skydda träningsmiljön
• Skydda slutsatsdragningsmiljön

• Aktivera studiofunktioner
• Använda en brandvägg

Förutsättningar

• En Azure-Virtual Network som använder din egen DNS-server.

• En Azure Machine Learning-arbetsyta med en privat slutpunkt. Mer information finns i Skapa en Azure Machine Learning-arbetsyta.

• Kunskaper om att använda nätverksisolering under träningsinferens&.

• Kunskaper om konfiguration av DNS-zonen För privat slutpunkt i Azure

• Kunskaper om Azure Privat DNS

• Du kan också använda Azure CLI eller Azure PowerShell.

Automatiserad DNS-serverintegrering

Introduktion

Det finns två vanliga arkitekturer för att använda automatiserad DNS-serverintegrering med Azure Machine Learning:

• En anpassad DNS-server som finns i en Azure-Virtual Network.
• En anpassad DNS-server som finns lokalt och som är ansluten till Azure Machine Learning via ExpressRoute.

Din arkitektur kan skilja sig från de här exemplen, men du kan använda dem som referenspunkt. Båda exempelarkitekturerna innehåller felsökningssteg som kan hjälpa dig att identifiera komponenter som kan vara felkonfigurerade.

Ett annat alternativ är att ändra hosts filen på klienten som ansluter till Azure Virtual Network (VNet) som innehåller din arbetsyta. Mer information finns i avsnittet Värdfil .

Dns-matchningssökväg för arbetsytan

Åtkomst till en viss Azure Machine Learning-arbetsyta via Private Link görs genom att kommunicera med följande fullständigt kvalificerade domäner (kallas FQDN för arbetsytan) som anges nedan:

Offentliga Azure-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Azure China 21Vianet-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

De fullständigt kvalificerade domänerna matchar följande kanoniska namn (CNAMEs) som kallas arbetsytan Private Link FQDN:

Offentliga Azure-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms – Används av hanterade onlineslutpunkter

Azure Kina-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government-regioner:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us – Används av hanterade onlineslutpunkter

FQDN:erna matchar IP-adresserna för Azure Machine Learning-arbetsytan i den regionen. Lösning av arbetsytan Private Link FQDN kan dock åsidosättas med hjälp av en anpassad DNS-server som finns i det virtuella nätverket. Ett exempel på den här arkitekturen finns i den anpassade DNS-servern som finns i ett vnet-exempel .

Anteckning

Hanterade onlineslutpunkter delar arbetsytans privata slutpunkt. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

Manuell DNS-serverintegrering

I det här avsnittet beskrivs vilka fullständigt kvalificerade domäner som A-poster ska skapas för i en DNS-server och vilken IP-adress som värdet för A-posten ska anges till.

Hämta privata slutpunkts-FQDN:er

Offentlig Azure-region

Följande lista innehåller de fullständigt kvalificerade domännamn (FQDN) som används av din arbetsyta om den finns i Azure Public Cloud:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Anteckning

  Arbetsytans namn för detta FQDN kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.ms

  Anteckning

  • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
  • IP-adressen för detta FQDN är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Azure Kina-region

Följande FQDN:er gäller för Azure Kina-regioner:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Anteckning

  Arbetsytans namn för detta FQDN kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.cn

  • IP-adressen för detta FQDN är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

Azure US Government

Följande FQDN:er gäller för Azure US Government-regioner:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Anteckning

  Arbetsytans namn för detta FQDN kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.us

  • IP-adressen för detta FQDN är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

Hitta IP-adresserna

Använd någon av följande metoder för att hitta interna IP-adresser för FQDN:erna i det virtuella nätverket:

Anteckning

De fullständigt kvalificerade domännamnen och IP-adresserna skiljer sig beroende på din konfiguration. GUID-värdet i domännamnet är till exempel specifikt för din arbetsyta.

Azure CLI

1. Använd följande kommando för att hämta ID:t för nätverksgränssnittet för den privata slutpunkten:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Använd följande kommando för att hämta IP-adressen och FQDN-informationen. Ersätt <resource-id> med ID:t från föregående steg:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   Resultatet blir något som liknar till exempel:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure-portalen

1. I Azure Portal väljer du din Azure Machine Learning-arbetsyta.

2. I avsnittet Inställningar väljer du Privata slutpunktsanslutningar.

3. Välj länken i kolumnen Privat slutpunkt som visas.

4. En lista över fullständigt kvalificerade domännamn (FQDN) och IP-adresser för arbetsytans privata slutpunkt finns längst ned på sidan.

   

   Tips

   Om DNS-inställningarna inte visas längst ned på sidan använder du DNS-konfigurationslänken till vänster på sidan för att visa FQDN.

Informationen som returneras från alla metoder är densamma. en lista över FQDN och den privata IP-adressen för resurserna. Följande exempel kommer från det offentliga Azure-molnet:

FQDN	IP-adress
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

I följande tabell visas exempel-IP-adresser från Azure Kina-regioner:

FQDN	IP-adress
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

I följande tabell visas exempel-IP-adresser från Azure US Government-regioner:

FQDN	IP-adress
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Anteckning

Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

Skapa A-poster i en anpassad DNS-server

När listan över FQDN och motsvarande IP-adresser har samlats in fortsätter du med att skapa A-poster i den konfigurerade DNS-servern. Information om hur du skapar A-poster finns i dokumentationen för DNS-servern. Observera att du bör skapa en unik zon för hela FQDN och skapa A-posten i roten av zonen.

Exempel: Anpassad DNS-server som finns i VNet

Den här arkitekturen använder den vanliga topologin för virtuellt nav- och ekernätverk. Ett virtuellt nätverk innehåller DNS-servern och ett innehåller den privata slutpunkten till Azure Machine Learning-arbetsytan och tillhörande resurser. Det måste finnas en giltig väg mellan båda virtuella nätverken. Till exempel genom en serie peerkopplade virtuella nätverk.

Följande steg beskriver hur den här topologin fungerar:

1. Skapa Privat DNS zon och länka till DNS Server Virtual Network:

   Det första steget för att säkerställa att en anpassad DNS-lösning fungerar med din Azure Machine Learning-arbetsyta är att skapa två Privat DNS zoner som är rotade i följande domäner:

   Offentliga Azure-regioner:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Azure China-regioner:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government-regioner:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Anteckning

   Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

   När Privat DNS-zonen har skapats måste den länkas till DNS Server-Virtual Network. Den Virtual Network som innehåller DNS-servern.

   En Privat DNS Zone åsidosätter namnmatchning för alla namn inom omfånget för zonens rot. Den här åsidosättningen gäller för alla virtuella nätverk som Privat DNS-zonen är länkad till. Om till exempel en Privat DNS zon som är rotad på privatelink.api.azureml.ms är länkad till Virtual Network foo, får alla resurser i Virtual Network foo som försöker matcha bar.workspace.westus2.privatelink.api.azureml.ms alla poster som visas i privatelink.api.azureml.ms zonen.

   Poster som anges i Privat DNS-zoner returneras dock bara till enheter som matchar domäner med standard-IP-adressen för Azure DNS Virtual Server. Den anpassade DNS-servern löser därför domäner för enheter som är spridda över hela nätverkstopologin. Men den anpassade DNS-servern måste matcha Azure Machine Learning-relaterade domäner mot IP-adressen för Azure DNS Virtual Server.

2. Skapa en privat slutpunkt med privat DNS-integrering för Privat DNS zon som är länkad till DNS Server Virtual Network:

   Nästa steg är att skapa en privat slutpunkt till Azure Machine Learning-arbetsytan. Den privata slutpunkten är avsedd för båda Privat DNS zoner som skapades i steg 1. Detta säkerställer att all kommunikation med arbetsytan sker via den privata slutpunkten i Azure Machine Learning-Virtual Network.

   Viktigt

   Den privata slutpunkten måste ha Privat DNS integrering aktiverat för att det här exemplet ska fungera korrekt.

3. Skapa villkorlig vidarebefordrare i DNS-server för att vidarebefordra till Azure DNS:

   Skapa sedan en villkorsstyrd vidarebefordrare till den virtuella Azure DNS-servern. Den villkorliga vidarebefordraren säkerställer att DNS-servern alltid frågar Azure DNS Virtual Server IP-adressen för FQDN som är relaterade till din arbetsyta. Det innebär att DNS-servern returnerar motsvarande post från Privat DNS-zonen.

   De zoner som ska vidarebefordras villkorligt visas nedan. IP-adressen för Azure DNS Virtual Server är 168.63.129.16:

   Offentliga Azure-regioner:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Azure China-regioner:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – Används av hanterade onlineslutpunkter

   Viktigt

   Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många tillgängliga DNS-lösningar som kan användas som en anpassad DNS-server. Information om hur du konfigurerar villkorsstyrd vidarebefordran finns i dokumentationen för din DNS-lösning.

4. Lös arbetsytedomän:

   Nu är all konfiguration klar. Nu kan alla klienter som använder DNS-server för namnmatchning och som har en väg till den privata Slutpunkten för Azure Machine Learning fortsätta att komma åt arbetsytan. Klienten börjar först med att fråga DNS-servern om adressen till följande FQDN:

   Offentliga Azure-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Azure China-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

5. Azure DNS löser rekursivt arbetsytedomänen till CNAME:

   DNS-servern löser FQDN från steg 4 från Azure DNS. Azure DNS svarar med en av de domäner som anges i steg 1.

6. DNS-servern löser rekursivt CNAME-posten för arbetsytedomänen från Azure DNS:

   DNS-servern fortsätter att rekursivt matcha CNAME som togs emot i steg 5. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 3 skickar DNS-servern begäran till IP-adressen för den virtuella Azure DNS-servern för matchning.

7. Azure DNS returnerar poster från Privat DNS zon:

   Motsvarande poster som lagras i Privat DNS-zonerna returneras till DNS-servern, vilket innebär att Azure DNS Virtual Server returnerar IP-adresserna för den privata slutpunkten.

8. Anpassad DNS-server matchar arbetsytans domännamn med en privat slutpunktsadress:

   I slutändan returnerar den anpassade DNS-servern nu IP-adresserna för den privata slutpunkten till klienten från steg 4. Detta säkerställer att all trafik till Azure Machine Learning-arbetsytan sker via den privata slutpunkten.

Felsökning

Om du inte kan komma åt arbetsytan från en virtuell dator eller om jobb misslyckas på beräkningsresurser i det virtuella nätverket kan du använda följande steg för att identifiera orsaken:

1. Leta upp FQDN för arbetsytan på den privata slutpunkten:

   Gå till Azure Portal med någon av följande länkar:

   • Offentliga Azure-regioner
   • Azure Kina-regioner
   • Azure US Government-regioner

   Gå till den privata slutpunkten till Azure Machine Learning-arbetsytan. FQDN för arbetsytan visas på fliken Översikt.

2. Få åtkomst till beräkningsresursen i Virtual Network topologi:

   Fortsätt att komma åt en beräkningsresurs i Azure Virtual Network-topologin. Detta kräver troligen åtkomst till en virtuell dator i en Virtual Network som är peer-kopplad till hubben Virtual Network.

3. Lös FQDN för arbetsytan:

   Öppna en kommandotolk, gränssnitt eller PowerShell. Kör sedan följande kommando för varje FQDN för arbetsytan:

   nslookup <workspace FQDN>

   Resultatet av varje nslookup bör returnera en av de två privata IP-adresserna på den privata slutpunkten till Azure Machine Learning-arbetsytan. Om inte så är något fel i konfigurationen av den anpassade DNS-lösningen.

   Möjliga orsaker:

   • Beräkningsresursen som kör felsökningskommandona använder inte en DNS-server för DNS-matchning
   • De privata DNS-zonerna som valdes när den privata slutpunkten skapades är inte länkade till det virtuella DNS-servernätverket
   • Villkorliga vidarebefordrare till AZURE DNS Virtual Server IP har inte konfigurerats korrekt

Exempel: Anpassad DNS-server som finns lokalt

Den här arkitekturen använder den vanliga topologin för virtuellt nav- och ekernätverk. ExpressRoute används för att ansluta från ditt lokala nätverk till det virtuella hubbnätverket. Den anpassade DNS-servern finns lokalt. Ett separat virtuellt nätverk innehåller den privata slutpunkten till Azure Machine Learning-arbetsytan och associerade resurser. Med den här topologin måste det finnas ett annat virtuellt nätverk som är värd för en DNS-server som kan skicka begäranden till IP-adressen för den virtuella Azure DNS-servern.

Följande steg beskriver hur den här topologin fungerar:

1. Skapa Privat DNS zon och länka till DNS Server Virtual Network:

   Det första steget för att säkerställa att en anpassad DNS-lösning fungerar med din Azure Machine Learning-arbetsyta är att skapa två Privat DNS zoner som är rotade i följande domäner:

   Offentliga Azure-regioner:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Azure China-regioner:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government-regioner:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Anteckning

   Hanterade onlineslutpunkter delar den privata slutpunkten för arbetsytan. Om du lägger till DNS-poster manuellt i den privata DNS-zonen privatelink.api.azureml.msska en A-post med jokertecken *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms läggas till för att dirigera alla slutpunkter under arbetsytan till den privata slutpunkten.

   När Privat DNS-zonen har skapats måste den länkas till det virtuella DNS-servernätverket – Virtual Network som innehåller DNS-servern.

   Anteckning

   DNS-servern i det virtuella nätverket är separat från den lokala DNS-servern.

   En Privat DNS Zone åsidosätter namnmatchning för alla namn inom omfånget för zonens rot. Den här åsidosättningen gäller för alla virtuella nätverk som Privat DNS-zonen är länkad till. Om till exempel en Privat DNS zon som är rotad på privatelink.api.azureml.ms är länkad till Virtual Network foo, får alla resurser i Virtual Network foo som försöker matcha bar.workspace.westus2.privatelink.api.azureml.ms alla poster som visas i privatelink.api.azureml.ms-zonen.

   Poster som anges i Privat DNS-zoner returneras dock bara till enheter som matchar domäner med standard-IP-adressen för Azure DNS Virtual Server. IP-adressen för den virtuella Azure DNS-servern är endast giltig inom ramen för en Virtual Network. När du använder en lokal DNS-server kan den inte fråga IP-adressen för Den virtuella Azure DNS-servern för att hämta poster.

   Du kan kringgå det här beteendet genom att skapa en mellanliggande DNS-server i ett virtuellt nätverk. Den här DNS-servern kan fråga IP-adressen för den virtuella Azure DNS-servern för att hämta poster för alla Privat DNS zon som är länkade till det virtuella nätverket.

   Den lokala DNS-servern löser domäner för enheter som är utspridda i nätverkstopologin, men den löser Azure Machine Learning-relaterade domäner mot DNS-servern. DNS-servern löser dessa domäner från IP-adressen för Den virtuella Azure DNS-servern.

2. Skapa en privat slutpunkt med privat DNS-integrering för Privat DNS zon som är länkad till DNS Server Virtual Network:

   Nästa steg är att skapa en privat slutpunkt till Azure Machine Learning-arbetsytan. Den privata slutpunkten är avsedd för båda Privat DNS zoner som skapades i steg 1. Detta säkerställer att all kommunikation med arbetsytan sker via den privata slutpunkten i Azure Machine Learning-Virtual Network.

   Viktigt

   Den privata slutpunkten måste ha Privat DNS integrering aktiverat för att det här exemplet ska fungera korrekt.

3. Skapa villkorlig vidarebefordrare i DNS-server för att vidarebefordra till Azure DNS:

   Skapa sedan en villkorsstyrd vidarebefordrare till den virtuella Azure DNS-servern. Den villkorliga vidarebefordraren säkerställer att DNS-servern alltid frågar Azure DNS Virtual Server IP-adressen för FQDN som är relaterade till din arbetsyta. Det innebär att DNS-servern returnerar motsvarande post från Privat DNS-zonen.

   De zoner som ska vidarebefordras villkorligt visas nedan. IP-adressen för Den virtuella Azure DNS-servern är 168.63.129.16.

   Offentliga Azure-regioner:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Azure China-regioner:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – Används av hanterade onlineslutpunkter

   Viktigt

   Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många tillgängliga DNS-lösningar som kan användas som en anpassad DNS-server. Information om hur du konfigurerar villkorsstyrd vidarebefordran finns i dokumentationen för din DNS-lösning.

4. Skapa villkorlig vidarebefordrare i lokal DNS-server för vidarebefordran till DNS-server:

   Skapa sedan en villkorlig vidarebefordrare till DNS-servern i DNS-Virtual Network. Den här vidarebefordraren är för de zoner som anges i steg 1. Detta liknar steg 3, men i stället för att vidarebefordra till IP-adressen för den virtuella Azure DNS-servern kommer den lokala DNS-servern att rikta in sig på IP-adressen för DNS-servern. Eftersom den lokala DNS-servern inte finns i Azure kan den inte direkt matcha poster i Privat DNS-zoner. I det här fallet begär DNS-serverproxy från den lokala DNS-servern till Azure DNS Virtual Server IP. Detta gör att den lokala DNS-servern kan hämta poster i de Privat DNS-zoner som är länkade till DNS Server-Virtual Network.

   De zoner som ska vidarebefordras villkorligt visas nedan. IP-adresserna som ska vidarebefordras till är IP-adresserna för dina DNS-servrar:

   Offentliga Azure-regioner:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Azure China-regioner:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us – Används av hanterade onlineslutpunkter

   Viktigt

   Konfigurationssteg för DNS-servern ingår inte här, eftersom det finns många tillgängliga DNS-lösningar som kan användas som en anpassad DNS-server. Information om hur du konfigurerar villkorsstyrd vidarebefordran finns i dokumentationen för din DNS-lösning.

5. Lös arbetsytedomän:

   Nu är all konfiguration klar. Alla klienter som använder den lokala DNS-servern för namnmatchning och har en väg till den privata Slutpunkten för Azure Machine Learning kan fortsätta att komma åt arbetsytan.

   Klienten börjar först med att fråga den lokala DNS-servern om adressen till följande FQDN:

   Offentliga Azure-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

   Azure China-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – Används av hanterade onlineslutpunkter

   Azure US Government-regioner:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – Används av hanterade onlineslutpunkter

6. Den lokala DNS-servern matchar rekursivt arbetsytedomänen:

   Den lokala DNS-servern löser FQDN från steg 5 från DNS-servern. Eftersom det finns en villkorsstyrd vidarebefordrare (steg 4) skickar den lokala DNS-servern begäran till DNS-servern för matchning.

7. DNS-servern matchar arbetsytedomänen till CNAME från Azure DNS:

   DNS-servern löser FQDN från steg 5 från Azure DNS. Azure DNS svarar med en av de domäner som anges i steg 1.

8. Den lokala DNS-servern löser rekursivt CNAME-posten för arbetsytedomänen från DNS-servern:

   Den lokala DNS-servern fortsätter att rekursivt matcha CNAME som togs emot i steg 7. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 4 skickar den lokala DNS-servern begäran till DNS-servern för matchning.

9. DNS-servern löser rekursivt CNAME-posten för arbetsytedomänen från Azure DNS:

   DNS-servern fortsätter att rekursivt matcha CNAME som togs emot i steg 7. Eftersom det fanns en konfiguration av villkorlig vidarebefordrare i steg 3 skickar DNS-servern begäran till IP-adressen för den virtuella Azure DNS-servern för matchning.

10. Azure DNS returnerar poster från Privat DNS zon:

    Motsvarande poster som lagras i Privat DNS-zonerna returneras till DNS-servern, vilket innebär att Den virtuella Azure DNS-servern returnerar IP-adresserna för den privata slutpunkten.

11. Den lokala DNS-servern matchar arbetsytans domännamn med en privat slutpunktsadress:

    Frågan från den lokala DNS-servern till DNS-servern i steg 8 returnerar slutligen de IP-adresser som är associerade med den privata slutpunkten till Azure Machine Learning-arbetsytan. Dessa IP-adresser returneras till den ursprungliga klienten, som nu kommunicerar med Azure Machine Learning-arbetsytan via den privata slutpunkten som konfigurerades i steg 1.

    Viktigt

    Om VPN Gateway används i den här konfigurationen tillsammans med anpassade DNS-server-IP-adresser på det virtuella nätverket måste Azure DNS IP (168.63.129.16) läggas till i listan samt för att upprätthålla oupptäckt kommunikation.

Exempel: Värdfil

Filen hosts är ett textdokument som Linux, macOS och Windows alla använder för att åsidosätta namnmatchning för den lokala datorn. Filen innehåller en lista med IP-adresser och motsvarande värdnamn. När den lokala datorn försöker matcha ett värdnamn matchas namnet till motsvarande IP-adress om värdnamnet visas i hosts filen.

Viktigt

Filen hosts åsidosätter endast namnmatchning för den lokala datorn. Om du vill använda en hosts fil med flera datorer måste du ändra den individuellt på varje dator.

I följande tabell visas filens hosts plats:

Operativsystem	Location
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Tips

Namnet på filen är hosts utan filnamnstillägg. Använd administratörsåtkomst när du redigerar filen. På Linux eller macOS kan du till exempel använda sudo vi. I Windows kör du Anteckningar som administratör.

Följande är ett exempel på hosts filposter för Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Mer information om filen https://wikipedia.org/wiki/Hosts_(file)finns i hosts .

DNS-matchning för beroendetjänster

De tjänster som din arbetsyta förlitar sig på kan också skyddas med hjälp av en privat slutpunkt. I så fall kan du behöva skapa en anpassad DNS-post om du behöver kommunicera direkt med tjänsten. Om du till exempel vill arbeta direkt med data i ett Azure Storage-konto som används av din arbetsyta.

Anteckning

Vissa tjänster har flera privata slutpunkter för undertjänster eller funktioner. Ett Azure Storage-konto kan till exempel ha enskilda privata slutpunkter för Blob, File och DFS. Om du behöver åtkomst till både Blob- och File Storage måste du aktivera lösning för varje specifik privat slutpunkt.

Mer information om tjänster och DNS-matchning finns i DNS-konfiguration för privata slutpunkter i Azure.

Felsökning

Om du efter att ha kört stegen ovan inte kan komma åt arbetsytan från en virtuell dator eller om jobb misslyckas på beräkningsresurser i Virtual Network som innehåller den privata slutpunkten till Azure Machine Learning-arbetsytan följer du stegen nedan för att försöka identifiera orsaken.

1. Leta upp FQDN för arbetsytan på den privata slutpunkten:

   Gå till Azure Portal med någon av följande länkar:

   • Offentliga Azure-regioner
   • Azure Kina-regioner
   • Azure US Government-regioner

   Gå till den privata slutpunkten till Azure Machine Learning-arbetsytan. FQDN för arbetsytan visas på fliken Översikt.

2. Få åtkomst till beräkningsresursen i Virtual Network topologi:

   Fortsätt att komma åt en beräkningsresurs i Azure Virtual Network-topologin. Detta kräver troligen åtkomst till en virtuell dator i en Virtual Network som är peer-kopplad till hubben Virtual Network.

3. Lös FQDN för arbetsytan:

   Öppna en kommandotolk, gränssnitt eller PowerShell. Kör sedan följande kommando för varje FQDN för arbetsytan:

   nslookup <workspace FQDN>

   Resultatet av varje nslookup bör returnera en av de två privata IP-adresserna på den privata slutpunkten till Azure Machine Learning-arbetsytan. Om inte så är något fel i konfigurationen av den anpassade DNS-lösningen.

   Möjliga orsaker:

   • Beräkningsresursen som kör felsökningskommandona använder inte en DNS-server för DNS-matchning
   • De privata DNS-zonerna som valdes när den privata slutpunkten skapades är inte länkade till det virtuella DNS-servernätverket
   • Villkorsstyrda vidarebefordrare från DNS-servern till IP-adressen för den virtuella Azure DNS-servern är inte rätt konfigurerade
   • Villkorsstyrda vidarebefordrare från den lokala DNS-servern till DNS-servern är inte rätt konfigurerade

Nästa steg

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:

• Översikt över virtuella nätverk

• Skydda arbetsyteresurserna
• Skydda träningsmiljön
• Skydda slutsatsdragningsmiljön

• Aktivera studiofunktioner
• Använda en brandvägg

Information om hur du integrerar privata slutpunkter i DNS-konfigurationen finns i DNS-konfiguration för privat slutpunkt i Azure.