排查专用终结点连接问题

连接到配置了专用终结点的 Azure 机器学习工作区时,可能会遇到 403 错误或指示禁止访问的消息。 本文介绍了如何检查导致此错误的常见配置问题。

提示

使用本文中的步骤之前,请尝试 Azure 机器学习工作区诊断 API。 它可以帮助识别工作区的配置问题。 有关详细信息,请参阅如何使用工作区诊断

DNS 配置

DNS 配置的问题排查步骤因使用的是 Azure DNS 还是自定义 DNS 而异。 使用以下步骤确定所使用的步骤:

  1. Azure 门户中,选择Azure 机器学习工作区的专用终结点。

  2. 在“概述”页中,选择“网络接口”链接。

    Screenshot of the private endpoint overview with network interface link highlighted.

  3. 在“设置”下,选择“IP 配置”,然后选择“虚拟网络”链接。

    Screenshot of the IP configuration with virtual network link highlighted.

  4. 在页面左侧的“设置”部分,选择“DNS 服务器”条目。

    Screenshot of the DNS servers configuration.

    • 如果此值为“默认(Azure 提供)”或 168.63.129.16,则虚拟网络使用的是 Azure DNS。 跳到 Azure DNS 问题排查部分。
    • 如果列出了其他 IP 地址,则虚拟网络使用的是自定义 DNS 解决方案。 跳到自定义 DNS 问题排查部分。

自定义 DNS 问题排查

使用以下步骤验证自定义 DNS 解决方案是否正确将名称解析为 IP 地址:

  1. 子与专用端点有有效连接的虚拟机、笔记本电脑、台式机或其他计算资源中,打开 Web 浏览器。 在浏览器中,使用 Azure 区域的 URL:

    Azure 区域 URL
    由世纪互联运营的 Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false
  1. 在门户中,选择工作区的专用终结点。 列出专用终结点的 FQDN。

    Screenshot of the private endpoint with custom DNS settings highlighted.

  2. 打开命令提示符、PowerShell 或其他命令行,并针对上一步返回的每个 FQDN 运行以下命令。 每次运行命令时,验证返回的 IP 地址是否与门户中列出的 FQDN 的 IP 地址一致:

    nslookup <fqdn>

    例如,运行 nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms 命令会返回类似于以下文本的值:

    Server: yourdnsserver
    Address: yourdnsserver-IP-address
    
    Name:   29395bb6-8bdb-4737-bf06-848a6857793f.workspace.chinanorth.api.azureml.ms
    Address: 10.3.0.5
    
  3. 如果 nslookup 命令返回错误,或返回与门户中显示的 IP 地址不同的 IP 地址,则自定义 DNS 解决方案未正确配置。 有关详细信息,请参阅如何将工作区与自定义 DNS 服务器结合使用

Azure DNS 问题排查

使用 Azure DNS 进行名称解析时,请使用以下步骤验证是否已正确配置专用 DNS 集成:

  1. 在专用终结点上,选择“DNS 配置”。 对于“专用 DNS 区域”列中的每个条目,“DNS 区域组”列中也应该有一个条目。

    Screenshot of the DNS configuration with Private DNS zone and group highlighted.

    • 如果有“专用 DNS 区域”条目,但没有“DNS 区域组”条目,请删除并重新创建“专用终结点”。 重新创建专用终结点时,启用专用 DNS 区域集成。

    • 如果“DNS 区域组”不为空,请选择“专用 DNS 区域”条目的链接。

      在专用 DNS 区域中,选择“虚拟网络链接”。 应该有一个指向虚拟网络的链接。 如果没有,请删除并重新创建专用终结点。 重新创建它时,请选择链接到虚拟网络的专用 DNS 区域,或创建链接到该虚拟网络的新区域。

      Screenshot of the virtual network links for the Private DNS zone.

  2. 对专用 DNS 区域条目的其余部分重复上述步骤。

浏览器配置(基于 HTTPS 的 DNS)

检查是否在 Web 浏览器中启用了基于 HTTP 的 DNS。 基于 HTTP 的 DNS 可阻止 Azure DNS 通过专用终结点的 IP 地址进行响应。

  • Mozilla Firefox:有关详细信息,请参阅在 Firefox 中禁用基于 HTTPS 的 DNS
  • Microsoft Edge:
    1. 选择右上角的“...”,然后选择“设置”

    2. 在“设置”中搜索“DNS”,然后禁用“使用安全 DNS 指定如何查找网站的网络地址”。

      Screenshot of the use secure DNS setting in Microsoft Edge.

代理配置

如果使用代理,它可能会阻止与受保护工作区的通信。 要进行测试,请使用以下任一选项:

  • 暂时禁用代理设置,查看是否可以连接。
  • 创建代理自动配置 (PAC) 文件,以允许直接访问专用终结点上列出的 FQDN。 它还应该允许直接访问任何计算实例的 FQDN。
  • 配置代理服务器以将 DNS 请求转发到 Azure DNS。