本文提供有关排查Azure Machine Learning托管虚拟网络常见问题的信息。
是否仍可使用Azure Virtual Network?
是的,仍可使用Azure Virtual Network进行网络隔离。 如果使用 v2 Azure CLI 和 Python SDK,则过程与引入托管虚拟网络功能之前的过程相同。 通过Azure门户的过程略有变化。
若要在通过 Azure 门户创建工作区时使用Azure Virtual Network,请执行以下步骤:
- 创建工作区时,选择“ 网络 ”选项卡。
- 选择具有Internet出站功能的私人。
- 在Workspace 入站访问部分中,选择添加,并为要用于网络隔离的 Azure Virtual Network 添加专用终结点。
- 在“工作区出站访问”部分中,选择“使用我自己的虚拟网络”。
- 继续照常创建工作区。
没有执行操作“Microsoft.MachineLearningServices”的授权权限。
/workspaces/privateEndpointConnections/read”
创建托管虚拟网络时,操作可能会失败,出现如下所示的错误:
对象 ID 为“<GUID>”的客户端“<GUID>”没有权限执行操作“Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read”超出作用域“/subscriptions/<GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>”或作用域无效。
当用于创建托管虚拟网络的Azure标识没有以下Azure基于角色的访问控制权限时,会发生此错误:
- Microsoft。MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft。MachineLearningServices/workspaces/privateEndpointConnections/write
解决连接到存储的配置问题
创建工作区时,系统会自动创建所需的出站规则,以支持数据上传场景和工件存储至 Azure 存储。 通过检查以下步骤,确保正确设置Azure存储:
- 在Azure门户中,检查与工作区关联的存储帐户的网络设置。
- 如果公用网络访问设置为“从所选虚拟网络和 IP 地址启用”,请确保添加了正确的 IP 地址范围以访问存储帐户。
- 如果将公用网络访问设置为 Disabled,请确保您已在 Azure 虚拟网络中为存储帐户配置专用终结点,并且 Target 子资源设置为 blob。 此外,必须为存储帐户专用终结点向托管标识授予读取者角色。
- 在Azure门户中,导航到Azure Machine Learning工作区。 务必要配置已管理的虚拟网络,并确保 Blob 存储的出站专用终结点处于活动状态。
后续步骤
有关详细信息,请参阅托管虚拟网络。