針對具有私人端點的專案連線進行疑難排解

備註

本文中的資訊專屬於 中樞型專案，不適用於 Foundry 專案。 請參閱 如何知道我所擁有的項目類型？ 和 建立中樞型專案。

當您在 Azure AI Foundry 中建立專案時，您可以選擇使用私人端點來保護它。 私人端點可讓您透過專用網連線到專案，這有助於保護您的數據和資源。 不過，如果您在聯機到使用私人端點的專案時遇到問題，本文會提供疑難解答步驟來協助您解決問題。

聯機到 使用私人端點設定的 Azure AI Foundry 專案時，您可能會遇到 403 或訊息，指出禁止存取。 請使用本文中的資訊，來檢查可能造成此錯誤的常見設定問題。

載入 Azure AI Hub 或項目時發生錯誤

如果您收到載入 Azure AI 中樞或專案時發生錯誤，可能由於以下兩個原因之一所致。

1. 您會在中樞上將公用網路存取設定為 [已停用 ]。
2. 您已在您的中樞上將公用網路存取設定為從選取的IP啟用。

根據您針對 Azure AI 中樞和專案的公用存取所選取的設定而定，請確定下列各項：

公用網路存取設定	行動
已停用	請確定已在您的虛擬網路中建立並核准一個內部私人端點以連接到您的 Azure AI Foundry 中心。 請確定您使用 Azure VPN、ExpressRoute 或 Azure Bastion 安全地連線到中樞或專案。
從選取的IP啟用	請確定您的IP位址列在允許存取 Azure AI Foundry 的防火牆IP範圍中。 如果您無法新增IP位址，請與IT系統管理員交談。

安全地連線到您的中樞或專案

若要連線到虛擬網路後方保護的中樞或專案，請使用下列其中一種方法：

• Azure VPN 閘道 - 透過私人連線，將內部部署網路連線到虛擬網路。 連線是透過公用網際網路所建立。 您可能會使用兩種類型的 VPN 閘道：

  • 點對站: 每部用戶端電腦都會使用 VPN 用戶端連線到虛擬網路。
  • 站對站: VPN 裝置會將虛擬網路連線到您的內部部署網路。

• ExpressRoute - 透過私人連線將內部部署網路連線到雲端。 連線是透過連線提供者所建立。

• Azure Bastion - 在此案例中，您會在虛擬網路內建立 Azure 虛擬機器 (有時稱為跳躍方塊)。 然後，您可以使用 Azure Bastion 連線到 VM。 Bastion 可讓您從本機網頁瀏覽器使用 RDP 或 SSH 連線到 VM。 然後，您可以使用跳板機作為開發環境。 因為它位於虛擬網路內，因此可以直接存取工作區。

DNS 組態

DNS 設定的疑難排解步驟會根據您使用的是 Azure DNS 或自訂 DNS 而有所不同。 使用下列步驟來判斷您使用哪一個：

1. 在 Azure 入口網站 中，選取 Azure AI Foundry 的私人端點資源。 如果您不記得名稱，請選取您的 Azure AI Foundry 資源、 網路、 私人端點連線，然後選取 [私人端點 ] 連結。

   

2. 從 [概觀] 頁面中，選取 [網路介面] 連結。

   

3. 在 [設定] 底下，選取 [IP 組態]，然後選取 [虛擬網路] 連結。

   

4. 從頁面左側的 [設定] 區段，選取 [DNS 伺服器] 項目。

   

   • 如果此值為 預設值 （Azure 提供），則虛擬網路會使用 Azure DNS。 跳至 [Azure DNS 疑難排解] 區段。
   • 如果列出不同的 IP 位址，則虛擬網路會使用自訂 DNS 解決方案。 跳至 [自訂 DNS 疑難排解] 區段。

自訂 DNS 疑難排解

使用下列步驟來確認您的自訂 DNS 解決方案是否已正確解析 IP 位址的名稱：

1. 從具有運作中私人端點連線的虛擬機器、膝上型電腦、桌上型電腦或其他計算資源，開啟網頁瀏覽器。 在瀏覽器中，使用 Azure 區域的 URL：

   Azure 服務區域	URL
   Azure 政府雲	https://portal.azure.us/?feature.privateendpointmanagedns=false
   由 21Vianet 運營的 Microsoft Azure	https://portal.azure.cn/?feature.privateendpointmanagedns=false
   所有其他區域	https://portal.azure.com/?feature.privateendpointmanagedns=false

2. 在入口網站中，選取專案的私人端點。 從 [DNS 設定] 區段中，列出私人端點的 FQDN 清單。

   

3. 開啟命令提示字元、PowerShell 或其他命令列，並針對上一個步驟傳回的每個 FQDN 執行下列命令。 每次執行命令時，請確認傳回的 IP 位址符合 FQDN 入口網站中列出的 IP 位址：

   nslookup <fqdn>

   例如，執行 命令 nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms 會傳回類似下列文字的值：

   Server: yourdnsserver
   Address: yourdnsserver-IP-address
   
   Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
   Address: 10.0.0.4
   

4. 如果 nslookup 命令傳回錯誤，或傳回在入口網站中顯示的不同 IP 位址，則表示未正確設定自訂 DNS 解決方案。

Azure DNS 疑難排解

使用 Azure DNS 進行名稱解析時，請使用下列步驟來確認已正確設定私人 DNS 整合：

1. 在 [私人端點] 上，選取 [DNS 組態]。 對於 [私人 DNS 區域]資料行中的每個項目，也應該在 [DNS 區域群組] 資料行中有一個項目。

   

   • 如果有私人 DNS 區域項目，但沒有 DNS 區域群組項目，請刪除並重新建立私人端點。 重新建立私人端點時，請啟用私人 DNS 區域整合。

   • 如果 [DNS 區域群組] 非空白，請選取 [私人 DNS 區域] 項目的連結。

     從私人 DNS 區域中，選取 [虛擬網路連結]。 應該會有連往虛擬網路的連結。 如果沒有，請刪除並重新建立私人端點。 重新建立時，請選取連結至虛擬網路的私人 DNS 區域，或建立與其連結的新區域。

     

2. 對其餘私人 DNS 區域項目重複上述步驟。

瀏覽器設定 (DNS over HTTPS)

檢查網頁瀏覽器中是否已啟用 [DNS over HTTPS]。 [DNS over HTTPS] 會阻止 Azure DNS 以私人端點的 IP 位址回應。

• Mozilla Firefox：如需詳細資訊，請參閱在 Firefox 中停用 DNS over HTTPS。
• Microsoft Edge：

  1. 在 Microsoft Edge 中，選取 ... ，然後選取 [ 設定]。

  2. 從設定中搜尋 DNS，然後停用 [使用安全 DNS 指定如何查閱網站的網路位址]。

     

Proxy 設定

如果您使用 Proxy，它可能會防止與受保護的項目通訊。 若要進行測試，請改為使用下列其中一個選項：

• 暫時停用 Proxy 設定，並查看您是否可連線。
• 建立 Proxy 自動設定 (PAC) 檔案，以允許直接存取私人端點上所列的 FQDN。 該檔案也應會允許直接存取任何計算執行個體的 FQDN。
• 設定您的 Proxy 伺服器，將 DNS 要求轉送至 Azure DNS。
• 確定 Proxy 允許連線到 AML API，例如 ".<region>.api.azureml.ms" and ".instances.azureml.ms"

針對連線到記憶體的設定進行疑難解答

當您建立專案時，會自動為數據上傳和成品記憶體建立數個 Azure 記憶體連線，包括提示流程。 當中樞相關聯的 Azure 儲存體 帳戶將公用網路存取設定為 「已停用」時，可能會延遲建立這些記憶體連線。

請嘗試下列步驟以進行疑難排解：

1. 在 Azure 入口網站 中，檢查與中樞相關聯的記憶體帳戶網路設定。

• 如果公用網路存取設定為 [從選取的虛擬網络和IP位址啟用]，請確定已新增正確的IP位址範圍來存取您的記憶體帳戶。
• 如果公用網路存取設定為 [已停用]，請確定您已將私人端點從 Azure 虛擬網络設定到記憶體帳戶，並將 [目標子資源] 設定為 Blob。 此外，您必須將記憶體帳戶私人端點的讀取者角色授與受控識別。

2. 在 Azure 入口網站 中，流覽至您的 Azure AI Foundry 中樞。 請確定已布建受控虛擬網路，且 Blob 記憶體的輸出私人端點為作用中。 如需布建受控虛擬網路的詳細資訊，請參閱 如何為 Azure AI Foundry 中樞設定受控網路。
3. 流覽至 Azure AI Foundry > 您的項目 > 項目設定。
4. 重新整理頁面。 應該建立數個連線，包括 『workspaceblobstore』。