Používání pracovního prostoru s vlastním serverem DNS
Při použití pracovního prostoru Azure Machine Učení s privátním koncovým bodem existuje několik způsobů, jak zpracovat překlad názvů DNS. Azure ve výchozím nastavení automaticky zpracovává překlad názvů pro váš pracovní prostor a privátní koncový bod. Pokud místo toho používáte vlastní server DNS, musíte pro pracovní prostor ručně vytvořit položky DNS nebo použít podmíněné předávání.
Důležité
Tento článek popisuje, jak najít plně kvalifikované názvy domén (FQDN) a IP adresy pro tyto položky, pokud chcete ručně zaregistrovat záznamy DNS v řešení DNS. Kromě toho tento článek obsahuje doporučení pro architekturu, jak nakonfigurovat vlastní řešení DNS tak, aby automaticky přeložila plně kvalifikované názvy domén na správné IP adresy. Tento článek neposkytuje informace o konfiguraci záznamů DNS pro tyto položky. Informace o tom, jak přidat záznamy, najdete v dokumentaci k softwaru DNS.
Tip
Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:
Požadavky
- Virtuální síť Azure, která používá vlastní server DNS.
- Pracovní prostor azure machine Učení s privátním koncovým bodem. Další informace najdete v tématu Vytvoření pracovního prostoru Učení počítače Azure.
- Pracovní prostor azure machine Učení s privátním koncovým bodem. Další informace najdete v tématu Vytvoření pracovního prostoru Učení počítače Azure.
Znalost používání izolace sítě během trénování a odvozování
Znalost konfigurace zóny DNS privátního koncového bodu Azure
Volitelně můžete použít Azure CLI nebo Azure PowerShell.
Automatizovaná integrace serveru DNS
Úvod
Existují dvě běžné architektury pro použití automatizované integrace serveru DNS se službou Azure Machine Učení:
- Vlastní server DNS hostovaný ve službě Azure Virtual Network
- Vlastní server DNS hostovaný místně, připojený ke službě Azure Machine Učení prostřednictvím ExpressRoute.
I když se vaše architektura může od těchto příkladů lišit, můžete je použít jako referenční bod. Obě ukázkové architektury poskytují kroky pro řešení potíží, které vám můžou pomoct identifikovat komponenty, které mohou být chybně nakonfigurované.
Další možností je upravit hosts
soubor v klientovi, který se připojuje k virtuální síti Azure, která obsahuje váš pracovní prostor. Další informace najdete v části Soubor hostitele .
Cesta překladu DNS pracovního prostoru
Přístup k danému pracovnímu prostoru Azure Machine Učení prostřednictvím služby Private Link se provádí komunikací s následujícími plně kvalifikovanými doménami (označovanými jako plně kvalifikované názvy domén pracovního prostoru), které jsou uvedené níže:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
<compute instance name>.<region the workspace was created in>.instances.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
<compute instance name>.<region the workspace was created in>.instances.azureml.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
<compute instance name>.<region the workspace was created in>.instances.azureml.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Plně kvalifikované domény se přeloží na následující kanonické názvy (CNAMEs) označované jako plně kvalifikované názvy domén služby Private Link pracovního prostoru:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
– Používá se spravovanými online koncovými body.
Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us
– Používá se spravovanými online koncovými body.
Plně kvalifikované názvy domén se přeloží na IP adresy pracovního prostoru Azure Machine Učení v dané oblasti. Překlad plně kvalifikovaných názvů domén privátního propojení pracovního prostoru je však možné přepsat pomocí vlastního serveru DNS hostovaného ve virtuální síti. Příklad této architektury najdete na vlastním serveru DNS hostovaného v příkladu virtuální sítě .
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.
Ruční integrace serveru DNS
Tato část popisuje, na které plně kvalifikované domény se mají vytvořit záznamy A pro server DNS a na jakou IP adresu se má nastavit hodnota záznamu A.
Načtení plně kvalifikovaných názvů privátních koncových bodů
Veřejná oblast Azure
Následující seznam obsahuje plně kvalifikované názvy domén (FQDN), které váš pracovní prostor používá, pokud se nachází ve veřejném cloudu Azure:
<workspace-GUID>.workspace.<region>.cert.api.azureml.ms
<workspace-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net
Poznámka:
Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo
ml-<workspace-name, truncated>-<region>-<workspace-guid>
o 63 znaků nebo méně.<instance-name>.<region>.instances.azureml.ms
Poznámka:
- K výpočetním instancím je možné přistupovat pouze z virtuální sítě.
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
*.api.azureml.ms
položek).)
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozovaný oblastí 21Vianet
Následující plně kvalifikované názvy domén jsou určené pro Microsoft Azure provozované oblastmi 21Vianet:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn
<workspace-GUID>.workspace.<region>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn
Poznámka:
Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo
ml-<workspace-name, truncated>-<region>-<workspace-guid>
o 63 znaků nebo méně.<instance-name>.<region>.instances.azureml.cn
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
*.api.azureml.ms
položek).)
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Azure pro vládu USA
Následující plně kvalifikované názvy domén jsou určené pro oblasti Azure US Government:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.us
<workspace-GUID>.workspace.<region>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net
Poznámka:
Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo
ml-<workspace-name, truncated>-<region>-<workspace-guid>
o 63 znaků nebo méně.<instance-name>.<region>.instances.azureml.us
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
*.api.azureml.ms
položek).)
- IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Vyhledání IP adres
Pokud chcete najít interní IP adresy pro plně kvalifikované názvy domén ve virtuální síti, použijte jednu z následujících metod:
Poznámka:
Plně kvalifikované názvy domén a IP adresy se budou lišit podle vaší konfigurace. Například hodnota GUID v názvu domény bude specifická pro váš pracovní prostor.
K získání ID síťového rozhraní privátního koncového bodu použijte následující příkaz:
az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
Pokud chcete získat IP adresu a informace o plně kvalifikovaném názvu domény, použijte následující příkaz. Nahraďte
<resource-id>
ID z předchozího kroku:az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
Výstup se bude podobat tomuto textu:
[ { "FQDNs": [ "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms", "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms" ], "IPAddress": "10.1.0.5" }, { "FQDNs": [ "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net" ], "IPAddress": "10.1.0.6" }, { "FQDNs": [ "*.eastus.inference.ml.azure.com" ], "IPAddress": "10.1.0.7" } ]
Informace vrácené ze všech metod jsou stejné; seznam plně kvalifikovaných názvů domén a privátníCH IP adres pro prostředky. Následující příklad pochází z veřejného cloudu Azure:
FQDN | IP adresa |
---|---|
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms |
10.1.0.5 |
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms |
10.1.0.5 |
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net |
10.1.0.6 |
*.eastus.inference.ml.azure.com |
10.1.0.7 |
Následující tabulka ukazuje ukázkové IP adresy z Microsoft Azure provozované oblastmi 21Vianet:
FQDN | IP adresa |
---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn |
10.1.0.5 |
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn |
10.1.0.6 |
*.chinaeast2.inference.ml.azure.cn |
10.1.0.7 |
Následující tabulka ukazuje ukázkové IP adresy z oblastí Azure US Government:
FQDN | IP adresa |
---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us |
10.1.0.5 |
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net |
10.1.0.6 |
*.usgovvirginia.inference.ml.azure.us |
10.1.0.7 |
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.
Vytvoření záznamů na vlastním serveru DNS
Jakmile se shromáždí seznam plně kvalifikovaných názvů domén a odpovídajícíCH IP adres, pokračujte vytvořením záznamů A na konfigurovaném serveru DNS. Informace o tom, jak vytvořit záznamy A, najdete v dokumentaci k serveru DNS. Všimněte si, že doporučujeme vytvořit jedinečnou zónu pro celý plně kvalifikovaný název domény a vytvořit záznam A v kořenovém adresáři zóny.
Příklad: Vlastní server DNS hostovaný ve virtuální síti
Tato architektura používá společnou topologii virtuální sítě hvězdicové architektury. Jedna virtuální síť obsahuje server DNS a jeden obsahuje privátní koncový bod k pracovnímu prostoru azure machine Učení a přidruženým prostředkům. Mezi oběma virtuálními sítěmi musí existovat platná trasa. Například prostřednictvím řady partnerských virtuálních sítí.
Následující kroky popisují, jak tato topologie funguje:
Vytvoření zóny Privátní DNS a propojení s virtuální sítí serveru DNS:
Prvním krokem při zajištění fungování vlastního řešení DNS s pracovním prostorem Azure Machine Učení je vytvoření dvou Privátní DNS zón rootovaných v následujících doménách:
Veřejné oblasti Azure:
privatelink.api.azureml.ms
privatelink.notebooks.azure.net
Microsoft Azure provozované oblastmi 21Vianet:
privatelink.api.ml.azure.cn
privatelink.notebooks.chinacloudapi.cn
Oblasti Azure US Government:
privatelink.api.ml.azure.us
privatelink.notebooks.usgovcloudapi.net
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny
privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.Po vytvoření zóny Privátní DNS je potřeba ji propojit s virtuální sítí serveru DNS. Virtuální síť, která obsahuje server DNS.
Privátní DNS Zóna přepíše překlad názvů pro všechny názvy v rámci oboru kořenového adresáře zóny. Toto přepsání platí pro všechny virtuální sítě, ke které je zóna Privátní DNS propojená. Pokud je například kořenová zóna Privátní DNS propojená
privatelink.api.azureml.ms
s foo virtuální sítě, obdrží všechny prostředky ve službě Virtual Network, které se pokusí přeložitbar.workspace.westus2.privatelink.api.azureml.ms
, všechny záznamy uvedené vprivatelink.api.azureml.ms
zóně.Záznamy uvedené v Privátní DNS Zónách se ale vrátí jenom do zařízení, která překládají domény pomocí výchozí IP adresy virtuálního serveru Azure DNS. Takže vlastní server DNS přeloží domény pro zařízení rozložená v rámci vaší síťové topologie. Vlastní server DNS ale bude muset přeložit domény související se službou Azure Machine Učení s IP adresou virtuálního serveru Azure DNS.
Vytvoření privátního koncového bodu s cílem integrace privátního DNS Privátní DNS zóny propojené s virtuální sítí serveru DNS:
Dalším krokem je vytvoření privátního koncového bodu do pracovního prostoru azure machine Učení. Privátní koncový bod cílí na obě Privátní DNS zóny vytvořené v kroku 1. Tím zajistíte, že veškerá komunikace s pracovním prostorem se provádí prostřednictvím privátního koncového bodu ve službě Azure Machine Učení Virtual Network.
Důležité
Aby tento příklad fungoval správně, musí mít privátní koncový bod povolenou integraci Privátní DNS.
Vytvořte podmíněný předávač na serveru DNS pro předávání do Azure DNS:
Dále vytvořte podmíněný předávač na virtuální server Azure DNS. Podmíněný předávací nástroj zajišťuje, aby server DNS vždy dotazoval IP adresu virtuálního serveru Azure DNS na plně kvalifikované názvy domén související s vaším pracovním prostorem. To znamená, že server DNS vrátí odpovídající záznam ze zóny Privátní DNS.
Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresa virtuálního serveru Azure DNS je 168.63.129.16:
Veřejné oblasti Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
aznbcontent.net
inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
aznbcontent.net
inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Důležité
Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.
Řešení domény pracovního prostoru:
V tuto chvíli se dokončí všechna nastavení. Teď může každý klient, který k překladu názvů používá server DNS a má trasu na počítač Azure Učení privátní koncový bod, pokračovat v přístupu k pracovnímu prostoru. Nejprve se klient začne dotazováním serveru DNS na adresu následujících plně kvalifikovaných názvů domén:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Azure DNS rekurzivně překládá doménu pracovního prostoru na CNAME:
Server DNS přeloží plně kvalifikované názvy domén z kroku 4 z Azure DNS. Azure DNS odpoví jednou z domén uvedených v kroku 1.
Server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru z Azure DNS:
Server DNS bude pokračovat k rekurzivnímu překladu CNAME přijatého v kroku 5. Vzhledem k tomu, že v kroku 3 došlo k nastavení podmíněného předávání, server DNS odešle požadavek na IP adresu virtuálního serveru Azure DNS pro překlad.
Azure DNS vrací záznamy z Privátní DNS zóny:
Odpovídající záznamy uložené v zónách Privátní DNS se vrátí na server DNS, což znamená, že virtuální server Azure DNS vrátí IP adresy privátního koncového bodu.
Vlastní server DNS přeloží název domény pracovního prostoru na adresu privátního koncového bodu:
V konečném důsledku vlastní server DNS nyní vrátí IP adresy privátního koncového bodu klientovi z kroku 4. Tím se zajistí, že veškerý provoz do pracovního prostoru Azure Machine Učení bude přes privátní koncový bod.
Řešení problému
Pokud nemůžete získat přístup k pracovnímu prostoru z virtuálního počítače nebo selhání úloh na výpočetních prostředcích ve virtuální síti, identifikujte příčinu pomocí následujících kroků:
Vyhledejte plně kvalifikované názvy domén pracovního prostoru v privátním koncovém bodu:
Přejděte na web Azure Portal pomocí jednoho z následujících odkazů:
Přejděte do privátního koncového bodu do pracovního prostoru Azure Machine Učení. Plně kvalifikované názvy domén pracovního prostoru budou uvedené na kartě Přehled.
Přístup k výpočetnímu prostředku v topologii virtuální sítě:
Pokračujte přístupem k výpočetnímu prostředku v topologii služby Azure Virtual Network. To bude pravděpodobně vyžadovat přístup k virtuálnímu počítači ve virtuální síti, která je v partnerském vztahu s virtuální sítí centra.
Řešení plně kvalifikovaných názvů domén pracovního prostoru:
Otevřete příkazový řádek, prostředí nebo PowerShell. Pak pro jednotlivé plně kvalifikované názvy domény pracovního prostoru spusťte následující příkaz:
nslookup <workspace FQDN>
Výsledek každého nástroje nslookup by měl vrátit jednu ze dvou privátních IP adres v privátním koncovém bodu do pracovního prostoru azure machine Učení. Pokud ne, znamená to, že vlastní řešení DNS obsahuje chybnou konfiguraci.
Možné příčiny:
- Výpočetní prostředek, na kterém se spouští příkazy pro řešení potíží, k překladu názvů DNS nepoužívá server DNS.
- Zóny privátního DNS zvolené při vytváření privátního koncového bodu nejsou propojené s virtuální sítí serveru DNS.
- Zásady podmíněného předávání na IP adresu virtuálního serveru Azure DNS nebyly správně nakonfigurované.
Příklad: Vlastní server DNS hostovaný místně
Tato architektura používá společnou topologii virtuální sítě hvězdicové architektury. ExpressRoute se používá k připojení z místní sítě k virtuální síti centra. Vlastní server DNS je hostovaný místně. Samostatná virtuální síť obsahuje privátní koncový bod k pracovnímu prostoru Azure Machine Učení a přidruženým prostředkům. S touto topologií musí existovat jiná virtuální síť hostující server DNS, který může odesílat požadavky na IP adresu virtuálního serveru Azure DNS.
Následující kroky popisují, jak tato topologie funguje:
Vytvoření zóny Privátní DNS a propojení s virtuální sítí serveru DNS:
Prvním krokem při zajištění fungování vlastního řešení DNS s pracovním prostorem Azure Machine Učení je vytvoření dvou Privátní DNS zón rootovaných v následujících doménách:
Veřejné oblasti Azure:
privatelink.api.azureml.ms
privatelink.notebooks.azure.net
Microsoft Azure provozované oblastmi 21Vianet:
privatelink.api.ml.azure.cn
privatelink.notebooks.chinacloudapi.cn
Oblasti Azure US Government:
privatelink.api.ml.azure.us
privatelink.notebooks.usgovcloudapi.net
Poznámka:
Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny
privatelink.api.azureml.ms
DNS, měl by se přidat záznam A se zástupným znakem*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.Po vytvoření zóny Privátní DNS musí být propojená s virtuální sítí serveru DNS – virtuální sítí, která obsahuje server DNS.
Poznámka:
Server DNS ve virtuální síti je oddělený od místního serveru DNS.
Privátní DNS Zóna přepíše překlad názvů pro všechny názvy v rámci oboru kořenového adresáře zóny. Toto přepsání platí pro všechny virtuální sítě, ke které je zóna Privátní DNS propojená. Pokud je například kořenová zóna Privátní DNS propojená
privatelink.api.azureml.ms
s foo virtuální sítě, obdrží všechny prostředky ve službě Virtual Network, které se pokusí přeložitbar.workspace.westus2.privatelink.api.azureml.ms
, všechny záznamy uvedené v privatelink.api.azureml.ms zóně.Záznamy uvedené v Privátní DNS Zónách se ale vrátí jenom do zařízení, která překládají domény pomocí výchozí IP adresy virtuálního serveru Azure DNS. IP adresa virtuálního serveru Azure DNS je platná pouze v kontextu virtuální sítě. Pokud používáte místní server DNS, nemůže dotazovat IP adresu virtuálního serveru Azure DNS k načtení záznamů.
Chcete-li toto chování obejít, vytvořte zprostředkující server DNS ve virtuální síti. Tento server DNS může zadat dotaz na IP adresu virtuálního serveru Azure DNS, aby načetl záznamy pro libovolnou zónu Privátní DNS propojenou s virtuální sítí.
I když místní server DNS přeloží domény pro zařízení rozložená v rámci topologie sítě, přeloží azure Machine Učení domény na server DNS. Server DNS tyto domény přeloží z IP adresy virtuálního serveru Azure DNS.
Vytvoření privátního koncového bodu s cílem integrace privátního DNS Privátní DNS zóny propojené s virtuální sítí serveru DNS:
Dalším krokem je vytvoření privátního koncového bodu do pracovního prostoru azure machine Učení. Privátní koncový bod cílí na obě Privátní DNS zóny vytvořené v kroku 1. Tím zajistíte, že veškerá komunikace s pracovním prostorem se provádí prostřednictvím privátního koncového bodu ve službě Azure Machine Učení Virtual Network.
Důležité
Aby tento příklad fungoval správně, musí mít privátní koncový bod povolenou integraci Privátní DNS.
Vytvořte podmíněný předávač na serveru DNS pro předávání do Azure DNS:
Dále vytvořte podmíněný předávač na virtuální server Azure DNS. Podmíněný předávací nástroj zajišťuje, aby server DNS vždy dotazoval IP adresu virtuálního serveru Azure DNS na plně kvalifikované názvy domén související s vaším pracovním prostorem. To znamená, že server DNS vrátí odpovídající záznam ze zóny Privátní DNS.
Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresa virtuálního serveru Azure DNS je 168.63.129.16.
Veřejné oblasti Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
aznbcontent.net
inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
aznbcontent.net
inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Důležité
Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.
Vytvořte podmíněný předávací nástroj v místním serveru DNS pro předávání na server DNS:
Dále vytvořte podmíněný předávač na server DNS ve virtuální síti serveru DNS. Tento předávač je určený pro zóny uvedené v kroku 1. To se podobá kroku 3, ale místo předávání na IP adresu virtuálního serveru Azure DNS bude místní server DNS cílit na IP adresu serveru DNS. Vzhledem k tomu, že místní server DNS není v Azure, nemůže přímo překládat záznamy v Privátní DNS zónách. V takovém případě proxy server DNS požadavky z místního serveru DNS na IP adresu virtuálního serveru Azure DNS. To umožňuje místnímu serveru DNS načíst záznamy v zónách Privátní DNS propojených s virtuální sítí serveru DNS.
Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresy, na které se mají předávat, jsou IP adresy serverů DNS:
Veřejné oblasti Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Důležité
Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.
Řešení domény pracovního prostoru:
V tuto chvíli se dokončí všechna nastavení. Každý klient, který k překladu názvů používá místní server DNS a má trasu na počítač Azure Učení privátní koncový bod, může přejít k pracovnímu prostoru.
Nejprve se klient spustí dotazem místního serveru DNS na adresu následujících plně kvalifikovaných názvů domén:
Veřejné oblasti Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– Používá se spravovanými online koncovými body.
Microsoft Azure provozované oblastmi 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– Používá se spravovanými online koncovými body.
Oblasti Azure US Government:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– Používá se spravovanými online koncovými body.
Místní server DNS rekurzivně překládá doménu pracovního prostoru:
Místní server DNS přeloží plně kvalifikované názvy domén z kroku 5 ze serveru DNS. Vzhledem k tomu, že existuje podmíněný předávací nástroj (krok 4), místní server DNS odešle požadavek na server DNS pro překlad.
Server DNS přeloží doménu pracovního prostoru na CNAME z Azure DNS:
Server DNS přeloží plně kvalifikované názvy domén z kroku 5 z Azure DNS. Azure DNS odpoví jednou z domén uvedených v kroku 1.
Místní server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru ze serveru DNS:
Místní server DNS bude pokračovat rekurzivně přeložit CNAME přijatý v kroku 7. Vzhledem k tomu, že v kroku 4 došlo k nastavení podmíněného předávání, místní server DNS odešle požadavek na server DNS pro překlad.
Server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru z Azure DNS:
Server DNS bude pokračovat rekurzivně přeložit CNAME přijatý v kroku 7. Vzhledem k tomu, že v kroku 3 došlo k nastavení podmíněného předávání, server DNS odešle požadavek na IP adresu virtuálního serveru Azure DNS pro překlad.
Azure DNS vrací záznamy z Privátní DNS zóny:
Odpovídající záznamy uložené v zónách Privátní DNS se vrátí na server DNS, což znamená, že virtuální server Azure DNS vrátí IP adresy privátního koncového bodu.
Místní server DNS přeloží název domény pracovního prostoru na adresu privátního koncového bodu:
Dotaz z místního serveru DNS na server DNS v kroku 8 nakonec vrátí IP adresy přidružené k privátnímu koncovému bodu do pracovního prostoru azure machine Učení. Tyto IP adresy se vrátí původnímu klientovi, který teď bude komunikovat s pracovním prostorem azure machine Učení přes privátní koncový bod nakonfigurovaný v kroku 1.
Důležité
Pokud se služba VPN Gateway používá v této sadě společně s vlastní IP adresou serveru DNS ve virtuální síti, je potřeba do seznamu přidat i IP adresu AZURE DNS (168.63.129.16), aby se zachovala nerušovaná komunikace.
Příklad: Soubor Hosts
Soubor hosts
je textový dokument, který všechny systémy Linux, macOS a Windows používají k přepsání překladu názvů místního počítače. Soubor obsahuje seznam IP adres a odpovídající název hostitele. Když se místní počítač pokusí přeložit název hostitele, pokud je v souboru uvedený hosts
název hostitele, název se přeloží na odpovídající IP adresu.
Důležité
Soubor hosts
přepíše pouze překlad názvů místního počítače. Pokud chcete soubor použít hosts
s více počítači, musíte ho upravit jednotlivě na každém počítači.
Následující tabulka uvádí umístění hosts
souboru:
Operační systém | Umístění |
---|---|
Linux | /etc/hosts |
macOS | /etc/hosts |
Windows | %SystemRoot%\System32\drivers\etc\hosts |
Tip
Název souboru nemá hosts
příponu. Při úpravách souboru použijte přístup správce. Například v Linuxu nebo macOS můžete použít sudo vi
. Ve Windows spusťte poznámkový blok jako správce.
Následuje příklad hosts
položek souboru pro Učení Azure Machine:
# For core Azure Machine Learning hosts
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6 ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net
# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7 mymanagedendpoint.eastus.inference.ml.azure.com
# For a compute instance named 'mycomputeinstance'
10.1.0.5 mycomputeinstance.eastus.instances.azureml.ms
Další informace o hosts
souboru naleznete v tématu https://wikipedia.org/wiki/Hosts_(file).
Překlad DNS služeb závislostí
Služby, na které váš pracovní prostor spoléhá, můžou být také zabezpečené pomocí privátního koncového bodu. Pokud ano, možná budete muset vytvořit vlastní záznam DNS, pokud potřebujete přímo komunikovat se službou. Pokud například chcete přímo pracovat s daty v účtu služby Azure Storage, který používá váš pracovní prostor.
Poznámka:
Některé služby mají několik privátních koncových bodů pro dílčí služby nebo funkce. Účet služby Azure Storage může mít například jednotlivé privátní koncové body pro objekty blob, file a DFS. Pokud potřebujete získat přístup ke službě Blob i File Storage, musíte pro každý konkrétní privátní koncový bod povolit překlad.
Další informace o službách a překladu DNS najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Řešení problému
Pokud po provedení výše uvedených kroků nemůžete získat přístup k pracovnímu prostoru z virtuálního počítače nebo úlohy selžou u výpočetních prostředků ve virtuální síti obsahující privátní koncový bod do pracovního prostoru Azure Machine Učení, zkuste zjistit příčinu podle následujících kroků.
Vyhledejte plně kvalifikované názvy domén pracovního prostoru v privátním koncovém bodu:
Přejděte na web Azure Portal pomocí jednoho z následujících odkazů:
Přejděte do privátního koncového bodu do pracovního prostoru Azure Machine Učení. Plně kvalifikované názvy domén pracovního prostoru budou uvedené na kartě Přehled.
Přístup k výpočetnímu prostředku v topologii virtuální sítě:
Pokračujte přístupem k výpočetnímu prostředku v topologii služby Azure Virtual Network. To bude pravděpodobně vyžadovat přístup k virtuálnímu počítači ve virtuální síti, která je v partnerském vztahu s virtuální sítí centra.
Řešení plně kvalifikovaných názvů domén pracovního prostoru:
Otevřete příkazový řádek, prostředí nebo PowerShell. Pak pro jednotlivé plně kvalifikované názvy domény pracovního prostoru spusťte následující příkaz:
nslookup <workspace FQDN>
Ve výsledku každého příkazu nslookup by se měla zobrazit jedna ze dvou privátních IP adres privátního koncového bodu pracovního prostoru Azure Machine Learning. Pokud ne, znamená to, že vlastní řešení DNS obsahuje chybnou konfiguraci.
Možné příčiny:
- Výpočetní prostředek, na kterém se spouští příkazy pro řešení potíží, k překladu názvů DNS nepoužívá server DNS.
- Zóny privátního DNS zvolené při vytváření privátního koncového bodu nejsou propojené s virtuální sítí serveru DNS.
- Servery pro podmíněné předávání ze serveru DNS na IP adresu virtuálního serveru Azure DNS nejsou správně nakonfigurované.
- Servery pro podmíněné předávání z místního serveru DNS na server DNS nejsou správně nakonfigurované.
Další kroky
Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:
Informace o integraci privátních koncových bodů do konfigurace DNS najdete v tématu Konfigurace DNS privátního koncového bodu Azure.