Felsöka problem med anslutning till privat slutpunkt

  • Artikel

När du ansluter till en Azure Machine Learning-arbetsyta som har konfigurerats med en privat slutpunkt kan det uppstå ett 403-fel eller ett meddelande om att åtkomst är förbjuden. I den här artikeln beskrivs hur du kan söka efter vanliga konfigurationsproblem som orsakar det här felet.

Dricks

Innan du använder stegen i den här artikeln kan du prova diagnostik-API:et för Azure Machine Learning-arbetsytan. Det kan hjälpa dig att identifiera konfigurationsproblem med din arbetsyta. Mer information finns i Så här använder du arbetsytediagnostik.

DNS-konfiguration

Felsökningsstegen för DNS-konfigurationen skiljer sig beroende på om du använder Azure DNS eller en anpassad DNS. Använd följande steg för att avgöra vilken du använder:

  1. I Azure-portalen väljer du den privata slutpunkten för din Azure Machine Learning-arbetsyta.

  2. På sidan Översikt väljer du länken Nätverksgränssnitt .

    Screenshot of the private endpoint overview with network interface link highlighted.

  3. Under Inställningar väljer du IP-konfigurationer och sedan länken Virtuellt nätverk.

    Screenshot of the IP configuration with virtual network link highlighted.

  4. I avsnittet Inställningar till vänster på sidan väljer du posten DNS-servrar.

    Screenshot of the DNS servers configuration.

    • Om det här värdet är Standard (Tillhandahålls av Azure) eller 168.63.129.16 använder det virtuella nätverket Azure DNS. Gå till felsökningsavsnittet för Azure DNS .
    • Om det finns en annan IP-adress i listan använder det virtuella nätverket en anpassad DNS-lösning. Hoppa till avsnittet Anpassad DNS-felsökning .

Anpassad DNS-felsökning

Använd följande steg för att kontrollera om din anpassade DNS-lösning matchar namn till IP-adresser på rätt sätt:

  1. Öppna en webbläsare från en virtuell dator, bärbar dator, stationär dator eller annan beräkningsresurs som har en fungerande anslutning till den privata slutpunkten. I webbläsaren använder du URL:en för din Azure-region:

    Azure-region URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure drivs av 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Alla andra regioner https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. I portalen väljer du den privata slutpunkten för arbetsytan. Skapa en lista över fullständiga domännamn som visas för den privata slutpunkten.

    Screenshot of the private endpoint with custom DNS settings highlighted.

  3. Öppna en kommandotolk, PowerShell eller en annan kommandorad och kör följande kommando för varje fullständigt domännamn som returnerades från föregående steg. Varje gång du kör kommandot kontrollerar du att IP-adressen som returneras matchar den IP-adress som anges i portalen för det fullständiga domännamnet:

    nslookup <fqdn>

    Om du till exempel kör kommandot nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms returneras ett värde som liknar följande text:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name: 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms
Address: 10.3.0.5

  4. Om kommandot nslookup returnerar ett fel eller returnerar en annan IP-adress än vad som visas i portalen är den anpassade DNS-lösningen inte korrekt konfigurerad. Mer information finns i Så här använder du din arbetsyta med en anpassad DNS-server.

Felsökning av Azure DNS

När du använder Azure DNS för namnmatchning använder du följande steg för att kontrollera att Privat DNS-integreringen är korrekt konfigurerad:

  1. På den privata slutpunkten väljer du DNS-konfiguration. För varje post i kolumnen Privat DNS zon bör det också finnas en post i kolumnen DNS-zongrupp.

    Screenshot of the DNS configuration with Private DNS zone and group highlighted.

    • Om det finns en Privat DNS zonpost, men ingen dns-zongrupppost, tar du bort och återskapar den privata slutpunkten. När du återskapar den privata slutpunkten aktiverar du Privat DNS zonintegrering.

    • Om DNS-zongruppen inte är tom väljer du länken för posten Privat DNS zon.

      I zonen Privat DNS väljer du Länkar till virtuellt nätverk. Det bör finnas en länk till det virtuella nätverket. Om det inte finns någon tar du bort och återskapar den privata slutpunkten. När du återskapar den väljer du en Privat DNS zon som är länkad till det virtuella nätverket eller skapar en ny som är länkad till det.

      Screenshot of the virtual network links for the Private DNS zone.

  2. Upprepa föregående steg för resten av Privat DNS zonposter.

Webbläsarkonfiguration (DNS via HTTPS)

Kontrollera om DNS via HTTP är aktiverat i webbläsaren. DNS via HTTP kan förhindra att Azure DNS svarar med IP-adressen för den privata slutpunkten.

  • Mozilla Firefox: Mer information finns i Inaktivera DNS via HTTPS i Firefox.
  • Microsoft Edge:

    1. Välj ... i det övre högra hörnet och välj sedan Inställningar.

    2. Från inställningar söker du efter DNS och inaktiverar sedan Använd säker DNS för att ange hur du söker efter nätverksadressen för webbplatser.

      Screenshot of the use secure DNS setting in Microsoft Edge.

Proxykonfiguration

Om du använder en proxy kan det förhindra kommunikation med en säker arbetsyta. Testa genom att använda något av följande alternativ:

  • Inaktivera proxyinställningen tillfälligt och se om du kan ansluta.
  • Skapa en PAC-fil (Proxy auto-config) som ger direkt åtkomst till de FQDN:er som anges på den privata slutpunkten. Den bör också tillåta direkt åtkomst till det fullständiga domännamnet för alla beräkningsinstanser.
  • Konfigurera proxyservern för att vidarebefordra DNS-begäranden till Azure DNS.