كيفية استخدام مساحة العمل الخاصة بك مع خادم DNS مخصص

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

عند استخدام مساحة عمل Azure التعلم الآلي مع نقطة نهاية خاصة، هناك عدة طرق للتعامل مع دقة اسم DNS. بشكل افتراضي، يعالج Azure تلقائيا دقة الاسم لمساحة العمل ونقطة النهاية الخاصة. إذا كنت تستخدم خادم DNS المخصص الخاص بك بدلا من ذلك، فيجب عليك إنشاء إدخالات DNS يدويا أو استخدام معيدات التوجيه الشرطية لمساحة العمل.

هام

تتناول هذه المقالة كيفية العثور على أسماء النطاقات المؤهلة بالكامل (FQDN) وعناوين IP لهذه الإدخالات إذا كنت ترغب في تسجيل سجلات DNS يدويا في حل DNS الخاص بك. بالإضافة إلى ذلك، توفر هذه المقالة توصيات بنية حول كيفية تكوين حل DNS المخصص لحل FQDNs تلقائيا إلى عناوين IP الصحيحة. لا توفر هذه المقالة معلومات حول تكوين سجلات DNS لهذه العناصر. راجع الوثائق الخاصة ببرنامج DNS للحصول على معلومات حول كيفية إضافة سجلات.

تلميح

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:

• نظرة عامة على الشبكة الظاهرية
• تأمين موارد مساحة العمل
• تأمين بيئة التدريب
• تأمين بيئة الاستدلال
• تمكين وظائف الاستوديو
• استخدام جدار حماية

المتطلبات الأساسية

• شبكة Azure الظاهرية التي تستخدم خادم DNS الخاص بك.

• التعلم الآلي Azure مساحة عمل مع نقطة نهاية خاصة. لمزيد من المعلومات، راجع إنشاء مساحة عمل Azure التعلم الآلي.

• الإلمام باستخدام عزل الشبكة أثناء الاستدلال على التدريب&.

• الإلمام بتكوين منطقة DNS الخاصة بنقطة النهاية الخاصة من Azure

• الإلمام ب Azure Private DNS

• اختياريا, Azure CLI or Azure PowerShell.

التكامل التلقائي لخادم DNS

مقدمة

هناك بنيتان شائعتان لاستخدام تكامل خادم DNS التلقائي مع Azure التعلم الآلي:

• خادم DNS مخصص مستضاف في شبكة Azure الظاهرية.
• خادم DNS مخصص مستضاف محليا، متصل ب Azure التعلم الآلي من خلال ExpressRoute.

على الرغم من أن البنية الخاصة بك قد تختلف عن هذه الأمثلة، إلا أنه يمكنك استخدامها كنقطة مرجعية. توفر كل من بنيتي المثالين خطوات استكشاف الأخطاء وإصلاحها التي يمكن أن تساعدك في تحديد المكونات التي قد يتم تكوينها بشكل خاطئ.

خيار آخر هو تعديل الملف الموجود hosts على العميل الذي يتصل بشبكة Azure الظاهرية (VNet) التي تحتوي على مساحة العمل الخاصة بك. لمزيد من المعلومات، راجع قسم ملف المضيف .

مسار دقة DNS لمساحة العمل

يتم الوصول إلى مساحة عمل معينة من Azure التعلم الآلي عبر Private Link من خلال الاتصال بالمجالات المؤهلة بالكامل التالية (تسمى FQDNs لمساحة العمل) المدرجة أدناه:

Azure Public regions:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.notebooks.azure.net

Azure China 21Vianet regions:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.notebooks.chinacloudapi.cn

Azure US Government regions:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.notebooks.usgovcloudapi.net

يتم حل المجالات المؤهلة بالكامل إلى الأسماء الأساسية التالية (CNAMEs) التي تسمى FQDNs الارتباط الخاص لمساحة العمل:

Azure Public regions:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.privatelink.notebooks.azure.net

مناطق Azure China:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.privatelink.notebooks.chinacloudapi.cn

Azure US Government regions:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.privatelink.notebooks.usgovcloudapi.net

يتم حل FQDNs إلى عناوين IP الخاصة بمساحة عمل Azure التعلم الآلي في تلك المنطقة. ومع ذلك، يمكن تجاوز دقة FQDNs الارتباط الخاص مساحة العمل باستخدام ملقم DNS مخصص مستضاف في الشبكة الظاهرية. للحصول على مثال لهذه البنية، راجع خادم DNS المخصص المستضاف في مثال vnet .

التكامل اليدوي لخادم DNS

يناقش هذا القسم المجالات المؤهلة بالكامل لإنشاء سجلات A لها في خادم DNS، وعنوان IP الذي يجب تعيين قيمة السجل A إليه.

استرداد FQDNs نقطة النهاية الخاصة

Azure Public region

تحتوي القائمة التالية على أسماء المجالات المؤهلة بالكامل (FQDNs) التي تستخدمها مساحة العمل الخاصة بك إذا كانت في Azure Public Cloud:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.notebooks.azure.net

  ملاحظة

  قد يتم اقتطاع اسم مساحة العمل ل FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 حرفا أو أقل.

• <instance-name>.<region>.instances.azureml.ms

  ملاحظة

  • لا يمكن الوصول إلى مثيلات الحوسبة إلا من داخل الشبكة الظاهرية.
  • عنوان IP الخاص ب FQDN هذا ليس عنوان IP لمثيل الحوسبة. بدلا من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP الخاص بالإدخالات *.api.azureml.ms .)

Azure China region

FQDNs التالية مخصصة لمناطق Azure China:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.notebooks.chinacloudapi.cn

  ملاحظة

  قد يتم اقتطاع اسم مساحة العمل ل FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 حرفا أو أقل.

• <instance-name>.<region>.instances.azureml.cn

  • عنوان IP الخاص ب FQDN هذا ليس عنوان IP لمثيل الحوسبة. بدلا من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP الخاص بالإدخالات *.api.azureml.ms .)

Azure حكومة الولايات المتحدة

FQDNs التالية مخصصة لمناطق Azure US Government:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.notebooks.usgovcloudapi.net

  ملاحظة

  قد يتم اقتطاع اسم مساحة العمل ل FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 حرفا أو أقل.

• <instance-name>.<region>.instances.azureml.us

  • عنوان IP الخاص ب FQDN هذا ليس عنوان IP لمثيل الحوسبة. بدلا من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP الخاص بالإدخالات *.api.azureml.ms .)

البحث عن عناوين IP

للبحث عن عناوين IP الداخلية ل FQDNs في VNet، استخدم إحدى الطرق التالية:

ملاحظة

ستكون أسماء النطاقات وعناوين IP المؤهلة بالكامل مختلفة بناء على التكوين الخاص بك. على سبيل المثال، ستكون قيمة المعرف الفريد العمومي (GUID) في اسم المجال خاصة بمساحة العمل الخاصة بك.

Azure CLI

1. للحصول على معرف واجهة شبكة نقطة النهاية الخاصة، استخدم الأمر التالي:

   az network private-endpoint show --endpoint-name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. للحصول على عنوان IP ومعلومات FQDN، استخدم الأمر التالي. استبدال <resource-id> مع معرف من الخطوة السابقة:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   سيكون المُخرج مشابهًا للنص التالي:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

⁩مدخل Microsoft Azure⁧

1. في مدخل Azure، حدد مساحة عملAzure التعلم الآلي.

2. من القسم الإعدادات، حدد اتصالات نقطة النهاية الخاصة.

3. حدد الارتباط في عمود نقطة النهاية الخاصة الذي يتم عرضه.

4. توجد قائمة بأسماء النطاقات المؤهلة بالكامل (FQDN) وعناوين IP لنقطة النهاية الخاصة بمساحة العمل في أسفل الصفحة.

   

   تلميح

   إذا لم تظهر إعدادات DNS في أسفل الصفحة، فاستخدم ارتباط تكوين DNS من الجانب الأيمن من الصفحة لعرض FQDNs.

المعلومات التي يتم إرجاعها من جميع الطرق هي نفسها ؛ قائمة ب FQDN وعنوان IP الخاص للموارد. المثال التالي مأخوذ من Azure Public Cloud:

اسم مجال مؤهل بالكامل (FQDN)	هذا عنوان IP
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.notebooks.azure.net	10.1.0.6

يعرض الجدول التالي أمثلة على عناوين IP من مناطق Azure China:

اسم مجال مؤهل بالكامل (FQDN)	هذا عنوان IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.notebooks.chinacloudapi.cn	10.1.0.6

يوضح الجدول التالي أمثلة على عناوين IP من مناطق Azure US Government:

اسم مجال مؤهل بالكامل (FQDN)	هذا عنوان IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.notebooks.usgovcloudapi.net	10.1.0.6

إنشاء سجلات في خادم DNS مخصص

بمجرد جمع قائمة FQDNs وعناوين IP المقابلة، تابع إنشاء سجلات A في خادم DNS الذي تم تكوينه. ارجع إلى الوثائق الخاصة بخادم DNS لتحديد كيفية إنشاء سجلات A. لاحظ أنه يوصى بإنشاء منطقة فريدة ل FQDN بالكامل وإنشاء سجل A في جذر المنطقة.

مثال: خادم DNS مخصص مستضاف في VNet

تستخدم هذه البنية طوبولوجيا الشبكة الافتراضية Hub و Spoke الشائعة. تحتوي إحدى الشبكات الظاهرية على خادم DNS وتحتوي الأخرى على نقطة النهاية الخاصة لمساحة عمل Azure التعلم الآلي والموارد المرتبطة بها. يجب أن يكون هناك مسار صالح بين كلتا الشبكتين الافتراضيتين. على سبيل المثال ، من خلال سلسلة من الشبكات الافتراضية النظيرة.

توضح الخطوات التالية كيفية عمل هذه الطبولوجيا:

1. إنشاء منطقة DNS خاصة والارتباط بالشبكة الظاهرية لخادم DNS:

   تتمثل الخطوة الأولى في ضمان عمل حل DNS مخصص مع مساحة عمل Azure التعلم الآلي في إنشاء منطقتي DNS خاصتين متجذرتين في المجالات التالية:

   Azure Public regions:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   مناطق Azure China:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government regions:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   بعد إنشاء منطقة DNS الخاصة ، يجب ربطها بالشبكة الظاهرية لخادم DNS. الشبكة الظاهرية التي تحتوي على ملقم DNS.

   تتجاوز منطقة DNS الخاصة دقة الاسم لجميع الأسماء ضمن نطاق جذر المنطقة. ينطبق هذا التجاوز على جميع الشبكات الظاهرية التي ترتبط بها منطقة DNS الخاصة. على سبيل المثال، إذا كانت منطقة DNS الخاصة المتجذرة في مرتبطة ب Virtual Network foo، فستتلقى كافة الموارد الموجودة في foo الشبكة الظاهرية التي تحاول حلها bar.workspace.westus2.privatelink.api.azureml.ms أي سجل مدرج في privatelink.api.azureml.msprivatelink.api.azureml.ms المنطقة.

   ومع ذلك، يتم إرجاع السجلات المدرجة في مناطق DNS الخاصة فقط إلى الأجهزة التي تعمل على حل المجالات باستخدام عنوان IP الافتراضي لخادم Azure DNS الظاهري. لذلك سيقوم خادم DNS المخصص بحل نطاقات الأجهزة المنتشرة في جميع أنحاء طبولوجيا الشبكة. ولكن سيحتاج خادم DNS المخصص إلى حل المجالات المتعلقة ب Azure التعلم الآلي مقابل عنوان IP لخادم Azure DNS الظاهري.

2. إنشاء نقطة نهاية خاصة باستخدام تكامل DNS خاص يستهدف منطقة DNS الخاصة المرتبطة بالشبكة الظاهرية لخادم DNS:

   الخطوة التالية هي إنشاء نقطة نهاية خاصة إلى مساحة عمل Azure التعلم الآلي. تستهدف نقطة النهاية الخاصة كلا من مناطق DNS الخاصة التي تم إنشاؤها في الخطوة 1. وهذا يضمن إجراء جميع الاتصالات مع مساحة العمل عبر نقطة النهاية الخاصة في Azure التعلم الآلي Virtual Network.

   هام

   يجب تمكين تكامل DNS الخاص لنقطة النهاية الخاصة حتى يعمل هذا المثال بشكل صحيح.

3. إنشاء معيد توجيه شرطي في خادم DNS لإعادة التوجيه إلى Azure DNS:

   بعد ذلك، قم بإنشاء معيد توجيه شرطي إلى خادم Azure DNS الظاهري. يضمن معيد التوجيه الشرطي أن خادم DNS يقوم دائما بالاستعلام عن عنوان IP لخادم Azure الظاهري ل FQDNs المتعلقة بمساحة العمل الخاصة بك. وهذا يعني أن خادم DNS سيقوم بإرجاع السجل المقابل من منطقة DNS الخاصة.

   المناطق التي يجب إعادة توجيهها بشكل مشروط مدرجة أدناه. عنوان IP لخادم Azure DNS الظاهري هو 168.63.129.16:

   Azure Public regions:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net

   مناطق Azure China:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net

   Azure US Government regions:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net

   هام

   لا يتم تضمين خطوات التكوين لخادم DNS هنا، حيث تتوفر العديد من حلول DNS التي يمكن استخدامها كخادم DNS مخصص. ارجع إلى الوثائق الخاصة بحل DNS لمعرفة كيفية تكوين إعادة التوجيه الشرطي بشكل مناسب.

4. حل مجال مساحة العمل:

   في هذه المرحلة ، يتم الانتهاء من كل الإعداد. الآن يمكن لأي عميل يستخدم خادم DNS لتحليل الاسم ولديه مسار إلى Azure التعلم الآلي Private Endpoint المتابعة للوصول إلى مساحة العمل. سيبدأ العميل أولا بالاستعلام عن خادم DNS لعنوان FQDNs التالية:

   Azure Public regions:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.azure.net

   مناطق Azure China:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.chinacloudapi.cn

   Azure US Government regions:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.usgovcloudapi.net

5. يقوم Azure DNS بشكل متكرر بحل مجال مساحة العمل إلى CNAME:

   سيقوم ملقم DNS بحل FQDNs من الخطوة 4 من Azure DNS. سيستجيب Azure DNS بأحد المجالات المدرجة في الخطوة 1.

6. يقوم خادم DNS بشكل متكرر بحل سجل CNAME لمجال مساحة العمل من Azure DNS:

   سيتابع خادم DNS لحل CNAME المستلم بشكل متكرر في الخطوة 5. نظرا لوجود إعداد معيد توجيه شرطي في الخطوة 3، سيقوم ملقم DNS بإرسال الطلب إلى عنوان IP الخاص بخادم Azure DNS الظاهري للحل.

7. يقوم Azure DNS بإرجاع السجلات من منطقة DNS الخاصة:

   سيتم إرجاع السجلات المقابلة المخزنة في مناطق DNS الخاصة إلى خادم DNS، مما يعني أن Azure DNS Virtual Server يقوم بإرجاع عناوين IP الخاصة بنقطة النهاية الخاصة.

8. يقوم خادم DNS المخصص بحل اسم مجال مساحة العمل إلى عنوان نقطة النهاية الخاص:

   في نهاية المطاف ، يقوم خادم DNS المخصص الآن بإرجاع عناوين IP الخاصة بنقطة النهاية الخاصة إلى العميل من الخطوة 4. وهذا يضمن أن تكون كل حركة المرور إلى مساحة عمل Azure التعلم الآلي عبر نقطة النهاية الخاصة.

استكشاف الأخطاء وإصلاحها

إذا لم تتمكن من الوصول إلى مساحة العمل من جهاز ظاهري أو فشلت المهام على موارد الحوسبة في الشبكة الظاهرية، اتبع الخطوات التالية لتحديد السبب:

1. حدد موقع FQDNs مساحة العمل على نقطة النهاية الخاصة:

   انتقل إلى مدخل Azure باستخدام أحد الارتباطات التالية:

   • Azure Public regions
   • Azure الصين المناطق
   • Azure US Government regions

   انتقل إلى نقطة النهاية الخاصة إلى مساحة عمل Azure التعلم الآلي. سيتم سرد FQDNs مساحة العمل في علامة التبويب "نظرة عامة".

2. الوصول إلى مورد الحوسبة في طوبولوجيا الشبكة الظاهرية:

   تابع للوصول إلى مورد حوسبة في طوبولوجيا شبكة Azure الظاهرية. من المحتمل أن يتطلب ذلك الوصول إلى جهاز ظاهري في شبكة ظاهرية مقترنة بشبكة Hub الظاهرية.

3. حل FQDNs مساحة العمل:

   افتح موجه الأوامر أو shell أو PowerShell. ثم لكل من FQDNs مساحة العمل، قم بتشغيل الأمر التالي:

   nslookup <workspace FQDN>

   يجب أن ترجع نتيجة كل nslookup أحد عنواني IP الخاصين على نقطة النهاية الخاصة إلى مساحة عمل Azure التعلم الآلي. إذا لم يحدث ذلك ، فهناك شيء تم تكوينه بشكل خاطئ في حل DNS المخصص.

   الأسباب المحتملة:

   • مورد الحوسبة الذي يقوم بتشغيل أوامر استكشاف الأخطاء وإصلاحها لا يستخدم خادم DNS لدقة DNS
   • لا ترتبط مناطق DNS الخاصة التي تم اختيارها عند إنشاء نقطة النهاية الخاصة ب VNet خادم DNS
   • لم يتم تكوين برامج إعادة التوجيه الشرطية إلى عنوان IP لخادم Azure DNS الظاهري بشكل صحيح

مثال: خادم DNS مخصص مستضاف محليا

تستخدم هذه البنية طوبولوجيا الشبكة الافتراضية Hub و Spoke الشائعة. يستخدم ExpressRoute للاتصال من شبكتك المحلية إلى الشبكة الظاهرية Hub. تتم استضافة خادم DNS المخصص محليا. تحتوي شبكة ظاهرية منفصلة على نقطة النهاية الخاصة لمساحة عمل Azure التعلم الآلي والموارد المقترنة بها. باستخدام هذه الطبولوجيا، يجب أن تكون هناك شبكة افتراضية أخرى تستضيف خادم DNS يمكنه إرسال الطلبات إلى عنوان IP لخادم Azure DNS الظاهري.

توضح الخطوات التالية كيفية عمل هذه الطبولوجيا:

1. إنشاء منطقة DNS خاصة والارتباط بالشبكة الظاهرية لخادم DNS:

   تتمثل الخطوة الأولى في ضمان عمل حل DNS مخصص مع مساحة عمل Azure التعلم الآلي في إنشاء منطقتي DNS خاصتين متجذرتين في المجالات التالية:

   Azure Public regions:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   مناطق Azure China:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government regions:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   بعد إنشاء منطقة DNS الخاصة ، يجب ربطها ب DNS Server VNet - الشبكة الظاهرية التي تحتوي على خادم DNS.

   ملاحظة

   خادم DNS في الشبكة الظاهرية منفصل عن ملقم DNS المحلي.

   تتجاوز منطقة DNS الخاصة دقة الاسم لجميع الأسماء ضمن نطاق جذر المنطقة. ينطبق هذا التجاوز على جميع الشبكات الظاهرية التي ترتبط بها منطقة DNS الخاصة. على سبيل المثال، إذا كانت منطقة DNS الخاصة المتجذرة في مرتبطة ب Virtual Network foo، فستتلقى كافة الموارد الموجودة في Virtual Network foo التي تحاول حلها bar.workspace.westus2.privatelink.api.azureml.ms أي سجل مدرج في privatelink.api.azureml.ms منطقة privatelink.api.azureml.ms.

   ومع ذلك، يتم إرجاع السجلات المدرجة في مناطق DNS الخاصة فقط إلى الأجهزة التي تعمل على حل المجالات باستخدام عنوان IP الافتراضي لخادم Azure DNS الظاهري. عنوان IP الخاص بخادم Azure DNS الظاهري صالح فقط ضمن سياق الشبكة الظاهرية. عند استخدام خادم DNS محلي، لا يمكنه الاستعلام عن عنوان IP لخادم Azure DNS الظاهري لاسترداد السجلات.

   للالتفاف حول هذا السلوك، قم بإنشاء خادم DNS وسيط في شبكة ظاهرية. يمكن لخادم DNS هذا الاستعلام عن عنوان IP لخادم Azure DNS الظاهري لاسترداد السجلات لأي منطقة DNS خاصة مرتبطة بالشبكة الظاهرية.

   على الرغم من أن خادم DNS المحلي سيقوم بحل مجالات الأجهزة المنتشرة عبر طبولوجيا الشبكة، إلا أنه سيحل المجالات المتعلقة ب Azure التعلم الآلي مقابل خادم DNS. سيقوم خادم DNS بحل هذه المجالات من عنوان IP لخادم Azure DNS الظاهري.

2. إنشاء نقطة نهاية خاصة باستخدام تكامل DNS خاص يستهدف منطقة DNS الخاصة المرتبطة بالشبكة الظاهرية لخادم DNS:

   الخطوة التالية هي إنشاء نقطة نهاية خاصة إلى مساحة عمل Azure التعلم الآلي. تستهدف نقطة النهاية الخاصة كلا من مناطق DNS الخاصة التي تم إنشاؤها في الخطوة 1. وهذا يضمن إجراء جميع الاتصالات مع مساحة العمل عبر نقطة النهاية الخاصة في Azure التعلم الآلي Virtual Network.

   هام

   يجب تمكين تكامل DNS الخاص لنقطة النهاية الخاصة حتى يعمل هذا المثال بشكل صحيح.

3. إنشاء معيد توجيه شرطي في خادم DNS لإعادة التوجيه إلى Azure DNS:

   بعد ذلك، قم بإنشاء معيد توجيه شرطي إلى خادم Azure DNS الظاهري. يضمن معيد التوجيه الشرطي أن خادم DNS يقوم دائما بالاستعلام عن عنوان IP لخادم Azure الظاهري ل FQDNs المتعلقة بمساحة العمل الخاصة بك. وهذا يعني أن خادم DNS سيقوم بإرجاع السجل المقابل من منطقة DNS الخاصة.

   المناطق التي يجب إعادة توجيهها بشكل مشروط مدرجة أدناه. عنوان IP لخادم Azure DNS الظاهري هو 168.63.129.16.

   Azure Public regions:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net

   مناطق Azure China:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net

   Azure US Government regions:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net

   هام

   لا يتم تضمين خطوات التكوين لخادم DNS هنا، حيث تتوفر العديد من حلول DNS التي يمكن استخدامها كخادم DNS مخصص. ارجع إلى الوثائق الخاصة بحل DNS لمعرفة كيفية تكوين إعادة التوجيه الشرطي بشكل مناسب.

4. إنشاء معيد توجيه شرطي في ملقم DNS المحلي لإعادة توجيهه إلى ملقم DNS:

   بعد ذلك، قم بإنشاء معيد توجيه شرطي إلى ملقم DNS في الشبكة الظاهرية لخادم DNS. معيد التوجيه هذا مخصص للمناطق المدرجة في الخطوة 1. يشبه هذا الخطوة 3، ولكن بدلا من إعادة التوجيه إلى عنوان IP لخادم Azure DNS الظاهري، سيستهدف خادم DNS المحلي عنوان IP الخاص بخادم DNS. نظرا لأن خادم DNS المحلي غير موجود في Azure، فإنه غير قادر على حل السجلات مباشرة في مناطق DNS الخاصة. في هذه الحالة ، تطلب بروكسيات خادم DNS من خادم DNS المحلي إلى عنوان IP لخادم Azure DNS الظاهري. يسمح هذا لخادم DNS المحلي باسترداد السجلات في مناطق DNS الخاصة المرتبطة بالشبكة الظاهرية لخادم DNS.

   المناطق التي يجب إعادة توجيهها بشكل مشروط مدرجة أدناه. عناوين IP التي يجب إعادة توجيهها هي عناوين IP الخاصة بخوادم DNS الخاصة بك:

   Azure Public regions:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms

   مناطق Azure China:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn

   Azure US Government regions:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us

   هام

   لا يتم تضمين خطوات التكوين لخادم DNS هنا، حيث تتوفر العديد من حلول DNS التي يمكن استخدامها كخادم DNS مخصص. ارجع إلى الوثائق الخاصة بحل DNS لمعرفة كيفية تكوين إعادة التوجيه الشرطي بشكل مناسب.

5. حل مجال مساحة العمل:

   في هذه المرحلة ، يتم الانتهاء من كل الإعداد. يمكن لأي عميل يستخدم ملقم DNS المحلي لتحليل الاسم، ولديه مسار إلى Azure التعلم الآلي Private Endpoint، المتابعة للوصول إلى مساحة العمل.

   سيبدأ العميل أولا بالاستعلام عن خادم DNS المحلي لعنوان FQDNs التالية:

   Azure Public regions:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.azure.net

   مناطق Azure China:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.chinacloudapi.cn

   Azure US Government regions:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.usgovcloudapi.net

6. يعمل خادم DNS المحلي على حل مجال مساحة العمل بشكل متكرر:

   سيقوم ملقم DNS المحلي بحل FQDNs من الخطوة 5 من ملقم DNS. نظرا لوجود معيد توجيه شرطي (الخطوة 4)، سيقوم ملقم DNS المحلي بإرسال الطلب إلى ملقم DNS للحل.

7. يقوم خادم DNS بحل مجال مساحة العمل إلى CNAME من Azure DNS:

   سيقوم خادم DNS بحل FQDNs من الخطوة 5 من Azure DNS. سيستجيب Azure DNS بأحد المجالات المدرجة في الخطوة 1.

8. يقوم ملقم DNS المحلي بشكل متكرر بحل سجل CNAME لمجال مساحة العمل من خادم DNS:

   سيتابع خادم DNS المحلي حل CNAME المستلم في الخطوة 7 بشكل متكرر. نظرا لوجود إعداد معيد توجيه شرطي في الخطوة 4، سيقوم ملقم DNS المحلي بإرسال الطلب إلى ملقم DNS للحصول على حل.

9. يقوم خادم DNS بشكل متكرر بحل سجل CNAME لمجال مساحة العمل من Azure DNS:

   سيتابع خادم DNS لحل CNAME المستلم بشكل متكرر في الخطوة 7. نظرا لوجود إعداد معيد توجيه شرطي في الخطوة 3، سيقوم ملقم DNS بإرسال الطلب إلى عنوان IP الخاص بخادم Azure DNS الظاهري للحل.

10. يقوم Azure DNS بإرجاع السجلات من منطقة DNS الخاصة:

    سيتم إرجاع السجلات المقابلة المخزنة في مناطق DNS الخاصة إلى خادم DNS، مما يعني أن خادم Azure DNS الظاهري يقوم بإرجاع عناوين IP الخاصة بنقطة النهاية الخاصة.

11. يقوم خادم DNS المحلي بحل اسم مجال مساحة العمل إلى عنوان نقطة النهاية الخاص:

    يقوم الاستعلام من ملقم DNS المحلي إلى خادم DNS في الخطوة 8 بإرجاع عناوين IP المقترنة بنقطة النهاية الخاصة إلى مساحة عمل Azure التعلم الآلي. يتم إرجاع عناوين IP هذه إلى العميل الأصلي، والذي سيتصل الآن بمساحة عمل Azure التعلم الآلي عبر نقطة النهاية الخاصة التي تم تكوينها في الخطوة 1.

مثال: ملف المضيفين

hosts الملف عبارة عن مستند نصي يستخدمه كل من Linux و macOS و Windows لتجاوز دقة الاسم للكمبيوتر المحلي. يحتوي الملف على قائمة بعناوين IP واسم المضيف المقابل. عندما يحاول الكمبيوتر المحلي حل اسم مضيف، إذا كان اسم المضيف مدرجا في hosts الملف، يتم حل الاسم إلى عنوان IP المقابل.

هام

hosts يتجاوز الملف دقة الاسم للكمبيوتر المحلي فقط. إذا كنت ترغب في استخدام ملف hosts مع أجهزة كمبيوتر متعددة، فيجب عليك تعديله بشكل فردي على كل كمبيوتر.

يسرد الجدول التالي موقع hosts الملف:

نظام التشغيل	‏‏الموقع
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

تلميح

اسم الملف hosts بدون امتداد. عند تحرير الملف، استخدم وصول المسؤول. على سبيل المثال ، على Linux أو macOS ، يمكنك استخدام sudo vi. على Windows، قم بتشغيل المفكرة كمسؤول.

فيما يلي مثال على hosts إدخالات الملفات ل Azure التعلم الآلي:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.notebooks.azure.net

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

لمزيد من المعلومات حول hosts الملف، راجع https://wikipedia.org/wiki/Hosts_(file).

حل DNS لخدمات التبعية

يمكن أيضا تأمين الخدمات التي تعتمد عليها مساحة العمل الخاصة بك باستخدام نقطة نهاية خاصة. إذا كان الأمر كذلك ، فقد تحتاج إلى إنشاء سجل DNS مخصص إذا كنت بحاجة إلى التواصل مباشرة مع الخدمة. على سبيل المثال، إذا كنت تريد العمل مباشرة مع البيانات الموجودة في حساب تخزين Azure الذي تستخدمه مساحة العمل الخاصة بك.

ملاحظة

تحتوي بعض الخدمات على نقاط نهاية خاصة متعددة للخدمات الفرعية أو الميزات. على سبيل المثال، قد يحتوي حساب تخزين Azure على نقاط نهاية خاصة فردية ل Blob وFile وDFS. إذا كنت بحاجة إلى الوصول إلى كل من Blob وتخزين الملفات ، فيجب عليك تمكين الدقة لكل نقطة نهاية خاصة محددة.

لمزيد من المعلومات حول الخدمات ودقة DNS، راجع تكوين DNS لنقطة النهاية الخاصة في Azure.

استكشاف الأخطاء وإصلاحها

إذا لم تتمكن بعد تشغيل الخطوات المذكورة أعلاه من الوصول إلى مساحة العمل من جهاز ظاهري أو فشلت المهام في موارد الحوسبة في الشبكة الظاهرية التي تحتوي على نقطة النهاية الخاصة إلى مساحة عمل تعلم Azure Machine، فاتبع الخطوات التالية لمحاولة تحديد السبب.

1. حدد موقع FQDNs مساحة العمل على نقطة النهاية الخاصة:

   انتقل إلى مدخل Azure باستخدام أحد الارتباطات التالية:

   • Azure Public regions
   • Azure الصين المناطق
   • Azure US Government regions

   انتقل إلى نقطة النهاية الخاصة إلى مساحة عمل Azure التعلم الآلي. سيتم سرد FQDNs مساحة العمل في علامة التبويب "نظرة عامة".

2. الوصول إلى مورد الحوسبة في طوبولوجيا الشبكة الظاهرية:

   تابع للوصول إلى مورد حوسبة في طوبولوجيا شبكة Azure الظاهرية. من المحتمل أن يتطلب ذلك الوصول إلى جهاز ظاهري في شبكة ظاهرية مقترنة بشبكة Hub الظاهرية.

3. حل FQDNs مساحة العمل:

   افتح موجه الأوامر أو shell أو PowerShell. ثم لكل من FQDNs مساحة العمل، قم بتشغيل الأمر التالي:

   nslookup <workspace FQDN>

   يجب أن تنتج نتيجة كل nslookup أحد عنواني IP الخاصين على نقطة النهاية الخاصة إلى مساحة عمل Azure التعلم الآلي. إذا لم يحدث ذلك ، فهناك شيء تم تكوينه بشكل خاطئ في حل DNS المخصص.

   الأسباب المحتملة:

   • مورد الحوسبة الذي يقوم بتشغيل أوامر استكشاف الأخطاء وإصلاحها لا يستخدم خادم DNS لدقة DNS
   • لا ترتبط مناطق DNS الخاصة التي تم اختيارها عند إنشاء نقطة النهاية الخاصة ب VNet خادم DNS
   • لم يتم تكوين معيدي التوجيه الشرطي من خادم DNS إلى عنوان IP لخادم Azure DNS الظاهري بشكل صحيح
   • لم يتم تكوين معيدي التوجيه الشرطي من ملقم DNS المحلي إلى خادم DNS بشكل صحيح

الخطوات التالية

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:

• نظرة عامة على الشبكة الظاهرية
• تأمين موارد مساحة العمل
• تأمين بيئة التدريب
• تأمين بيئة الاستدلال
• تمكين وظائف الاستوديو
• استخدام جدار حماية

للحصول على معلومات حول دمج نقاط النهاية الخاصة في تكوين DNS، راجع تكوين DNS الخاص بنقطة النهاية الخاصة في Azure.

للحصول على معلومات حول نشر النماذج باسم DNS مخصص أو أمان TLS، راجع خدمات الويب الآمنة باستخدام TLS.