針對私人端點連線問題進行疑難排解

  • 發行項

當您連線到使用私人端點所設定的 Azure Machine Learning 工作區時,可能會遇到 403 錯誤或訊息,內容指出禁止存取。 本文說明如何檢查會造成此錯誤的常見設定問題。

提示

使用本文中的步驟之前,請先嘗試使用 Azure Machine Learning 工作區診斷 API。 這有助於識別工作區的設定問題。 如需詳細資訊,請參閱如何使用工作區診斷

DNS 組態

DNS 設定的疑難排解步驟會根據您使用的是 Azure DNS 或自訂 DNS 而有所不同。 使用下列步驟來判斷您使用哪一個:

  1. Azure 入口網站中,選取 Azure Machine Learning 工作區的私人端點。

  2. 從 [概觀] 頁面中,選取 [網路介面] 連結。

    Screenshot of the private endpoint overview with network interface link highlighted.

  3. 在 [設定] 底下,選取 [IP 組態],然後選取 [虛擬網路] 連結。

    Screenshot of the IP configuration with virtual network link highlighted.

  4. 從頁面左側的 [設定] 區段,選取 [DNS 伺服器] 項目。

    Screenshot of the DNS servers configuration.

    • 如果此值設定為 [預設 (由 Azure 提供)] 或 [168.63.129.16],則虛擬網路會使用 Azure DNS。 跳至 [Azure DNS 疑難排解] 區段。
    • 如果列出不同的 IP 位址,則虛擬網路會使用自訂 DNS 解決方案。 跳至 [自訂 DNS 疑難排解] 區段。

自訂 DNS 疑難排解

使用下列步驟來確認您的自訂 DNS 解決方案是否已正確解析 IP 位址的名稱:

  1. 從具有運作中私人端點連線的虛擬機器、膝上型電腦、桌上型電腦或其他計算資源,開啟網頁瀏覽器。 在瀏覽器中,使用 Azure 區域的 URL:

    Azure 區域 URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    由 21Vianet 營運的 Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false
    所有其他區域 https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. 在入口網站中,選取工作區的私人端點。 建立針對私人端點列出的 FQDN 清單。

    Screenshot of the private endpoint with custom DNS settings highlighted.

  3. 開啟命令提示字元、PowerShell 或其他命令列,並針對上一個步驟傳回的每個 FQDN 執行下列命令。 每次執行命令時,請確認傳回的 IP 位址符合 FQDN 入口網站中列出的 IP 位址:

    nslookup <fqdn>

    例如,執行命令 nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms 會傳回類似下列文字的值:

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name: 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms
Address: 10.3.0.5

  4. 如果 nslookup 命令傳回錯誤,或傳回與入口網站中顯示的 IP 位址不同,則表示未正確設定自訂 DNS 解決方案。 如需詳細資訊,請參閱如何搭配使用工作區與自訂 DNS 伺服器

Azure DNS 疑難排解

使用 Azure DNS 進行名稱解析時,請使用下列步驟來確認已正確設定私人 DNS 整合:

  1. 在 [私人端點] 上,選取 [DNS 組態]。 對於 [私人 DNS 區域]資料行中的每個項目,也應該在 [DNS 區域群組] 資料行中有一個項目。

    Screenshot of the DNS configuration with Private DNS zone and group highlighted.

    • 如果有私人 DNS 區域項目,但沒有 DNS 區域群組項目,請刪除並重新建立私人端點。 重新建立私人端點時,請啟用私人 DNS 區域整合

    • 如果 [DNS 區域群組] 非空白,請選取 [私人 DNS 區域] 項目的連結。

      從私人 DNS 區域中,選取 [虛擬網路連結]。 應該會有連往虛擬網路的連結。 如果沒有,請刪除並重新建立私人端點。 重新建立時,請選取連結至虛擬網路的私人 DNS 區域,或建立與其連結的新區域。

      Screenshot of the virtual network links for the Private DNS zone.

  2. 對其餘私人 DNS 區域項目重複上述步驟。

瀏覽器設定 (DNS over HTTPS)

檢查網頁瀏覽器中是否已啟用 [DNS over HTTPS]。 [DNS over HTTPS] 會阻止 Azure DNS 以私人端點的 IP 位址回應。

  • Mozilla Firefox:如需詳細資訊,請參閱在 Firefox 中停用 DNS over HTTPS
  • Microsoft Edge:

    1. 選取右上角的 [...],然後選取 [設定]

    2. 從設定中搜尋 DNS,然後停用 [使用安全 DNS 指定如何查閱網站的網路位址]

      Screenshot of the use secure DNS setting in Microsoft Edge.

Proxy 組態

如果您使用 Proxy,可能會阻止與受保護的工作區通訊。 若要進行測試,請改為使用下列其中一個選項:

  • 暫時停用 Proxy 設定,並查看您是否可連線。
  • 建立 Proxy 自動設定 (PAC) 檔案,以允許直接存取私人端點上所列的 FQDN。 該檔案也應會允許直接存取任何計算執行個體的 FQDN。
  • 設定您的 Proxy 伺服器,將 DNS 要求轉送至 Azure DNS。