Používání pracovního prostoru s vlastním serverem DNS

Při použití pracovního prostoru Azure Machine Učení s privátním koncovým bodem existuje několik způsobů, jak zpracovat překlad názvů DNS. Azure ve výchozím nastavení automaticky zpracovává překlad názvů pro váš pracovní prostor a privátní koncový bod. Pokud místo toho používáte vlastní server DNS, musíte pro pracovní prostor ručně vytvořit položky DNS nebo použít podmíněné předávání.

Důležité

Tento článek popisuje, jak najít plně kvalifikované názvy domén (FQDN) a IP adresy pro tyto položky, pokud chcete ručně zaregistrovat záznamy DNS v řešení DNS. Kromě toho tento článek obsahuje doporučení pro architekturu, jak nakonfigurovat vlastní řešení DNS tak, aby automaticky přeložila plně kvalifikované názvy domén na správné IP adresy. Tento článek neposkytuje informace o konfiguraci záznamů DNS pro tyto položky. Informace o tom, jak přidat záznamy, najdete v dokumentaci k softwaru DNS.

Tip

Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:

• Přehled virtuální sítě

• Zabezpečení prostředků pracovního prostoru
• Zabezpečení trénovacího prostředí
• Zabezpečení prostředí pro odvození

• Povolení funkcí studia
• Použití brány firewall

Požadavky

• Virtuální síť Azure, která používá vlastní server DNS.

• Pracovní prostor azure machine Učení s privátním koncovým bodem. Další informace najdete v tématu Vytvoření pracovního prostoru Učení počítače Azure.

• Znalost používání izolace sítě během trénování a odvozování

• Znalost konfigurace zóny DNS privátního koncového bodu Azure

• Znalost Azure Privátní DNS

• Volitelně můžete použít Azure CLI nebo Azure PowerShell.

Automatizovaná integrace serveru DNS

Úvod

Existují dvě běžné architektury pro použití automatizované integrace serveru DNS se službou Azure Machine Učení:

• Vlastní server DNS hostovaný ve službě Azure Virtual Network
• Vlastní server DNS hostovaný místně, připojený ke službě Azure Machine Učení prostřednictvím ExpressRoute.

I když se vaše architektura může od těchto příkladů lišit, můžete je použít jako referenční bod. Obě ukázkové architektury poskytují kroky pro řešení potíží, které vám můžou pomoct identifikovat komponenty, které mohou být chybně nakonfigurované.

Další možností je upravit hosts soubor v klientovi, který se připojuje k virtuální síti Azure, která obsahuje váš pracovní prostor. Další informace najdete v části Soubor hostitele .

Cesta překladu DNS pracovního prostoru

Přístup k danému pracovnímu prostoru Azure Machine Učení prostřednictvím služby Private Link se provádí komunikací s následujícími plně kvalifikovanými doménami (označovanými jako plně kvalifikované názvy domén pracovního prostoru), které jsou uvedené níže:

Veřejné oblasti Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com – Používá se spravovanými online koncovými body.

Microsoft Azure provozované oblastmi 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn – Používá se spravovanými online koncovými body.

Oblasti Azure US Government:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us – Používá se spravovanými online koncovými body.

Plně kvalifikované domény se přeloží na následující kanonické názvy (CNAMEs) označované jako plně kvalifikované názvy domén služby Private Link pracovního prostoru:

Veřejné oblasti Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms – Používá se spravovanými online koncovými body.

Azure provozované oblastmi 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn – Používá se spravovanými online koncovými body.

Oblasti Azure US Government:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us – Používá se spravovanými online koncovými body.

Plně kvalifikované názvy domén se přeloží na IP adresy pracovního prostoru Azure Machine Učení v dané oblasti. Překlad plně kvalifikovaných názvů domén privátního propojení pracovního prostoru je však možné přepsat pomocí vlastního serveru DNS hostovaného ve virtuální síti. Příklad této architektury najdete na vlastním serveru DNS hostovaného v příkladu virtuální sítě .

Poznámka:

Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.msDNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.

Ruční integrace serveru DNS

Tato část popisuje, na které plně kvalifikované domény se mají vytvořit záznamy A pro server DNS a na jakou IP adresu se má nastavit hodnota záznamu A.

Načtení plně kvalifikovaných názvů privátních koncových bodů

Veřejná oblast Azure

Následující seznam obsahuje plně kvalifikované názvy domén (FQDN), které váš pracovní prostor používá, pokud se nachází ve veřejném cloudu Azure:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Poznámka:

  Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo ml-<workspace-name, truncated>-<region>-<workspace-guid> o 63 znaků nebo méně.

• <instance-name>.<region>.instances.azureml.ms

  Poznámka:

  • K výpočetním instancím je možné přistupovat pouze z virtuální sítě.
  • IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy *.api.azureml.ms položek).)

• <managed online endpoint name>.<region>.inference.ml.azure.com – Používá se spravovanými online koncovými body.

Microsoft Azure provozovaný oblastí 21Vianet

Následující plně kvalifikované názvy domén jsou určené pro Microsoft Azure provozované oblastmi 21Vianet:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Poznámka:

  Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo ml-<workspace-name, truncated>-<region>-<workspace-guid> o 63 znaků nebo méně.

• <instance-name>.<region>.instances.azureml.cn

  • IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy *.api.azureml.ms položek).)

• <managed online endpoint name>.<region>.inference.ml.azure.cn – Používá se spravovanými online koncovými body.

Azure pro vládu USA

Následující plně kvalifikované názvy domén jsou určené pro oblasti Azure US Government:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Poznámka:

  Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo ml-<workspace-name, truncated>-<region>-<workspace-guid> o 63 znaků nebo méně.

• <instance-name>.<region>.instances.azureml.us

  • IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy *.api.azureml.ms položek).)

• <managed online endpoint name>.<region>.inference.ml.azure.us – Používá se spravovanými online koncovými body.

Vyhledání IP adres

Pokud chcete najít interní IP adresy pro plně kvalifikované názvy domén ve virtuální síti, použijte jednu z následujících metod:

Poznámka:

Plně kvalifikované názvy domén a IP adresy se budou lišit podle vaší konfigurace. Například hodnota GUID v názvu domény bude specifická pro váš pracovní prostor.

Azure CLI

1. K získání ID síťového rozhraní privátního koncového bodu použijte následující příkaz:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Pokud chcete získat IP adresu a informace o plně kvalifikovaném názvu domény, použijte následující příkaz. Nahraďte <resource-id> ID z předchozího kroku:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   Výstup se bude podobat tomuto textu:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure Portal

1. Na webu Azure Portal vyberte svůj pracovní prostor azure machine Učení.

2. V části Nastavení vyberte připojení privátního koncového bodu.

3. Vyberte odkaz ve sloupci privátního koncového bodu , který se zobrazí.

4. Seznam plně kvalifikovaných názvů domén (FQDN) a IP adres privátního koncového bodu pracovního prostoru najdete v dolní části stránky.

   

   Tip

   Pokud se nastavení DNS nezobrazí v dolní části stránky, zobrazte plně kvalifikované názvy domén pomocí konfiguračního odkazu DNS na levé straně stránky.

Informace vrácené ze všech metod jsou stejné; seznam plně kvalifikovaných názvů domén a privátníCH IP adres pro prostředky. Následující příklad pochází z veřejného cloudu Azure:

FQDN	IP adresa
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

Následující tabulka ukazuje ukázkové IP adresy z Microsoft Azure provozované oblastmi 21Vianet:

FQDN	IP adresa
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

Následující tabulka ukazuje ukázkové IP adresy z oblastí Azure US Government:

FQDN	IP adresa
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Poznámka:

Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.msDNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.

Vytvoření záznamů na vlastním serveru DNS

Jakmile se shromáždí seznam plně kvalifikovaných názvů domén a odpovídajícíCH IP adres, pokračujte vytvořením záznamů A na konfigurovaném serveru DNS. Informace o tom, jak vytvořit záznamy A, najdete v dokumentaci k serveru DNS. Všimněte si, že doporučujeme vytvořit jedinečnou zónu pro celý plně kvalifikovaný název domény a vytvořit záznam A v kořenovém adresáři zóny.

Příklad: Vlastní server DNS hostovaný ve virtuální síti

Tato architektura používá společnou topologii virtuální sítě hvězdicové architektury. Jedna virtuální síť obsahuje server DNS a jeden obsahuje privátní koncový bod k pracovnímu prostoru azure machine Učení a přidruženým prostředkům. Mezi oběma virtuálními sítěmi musí existovat platná trasa. Například prostřednictvím řady partnerských virtuálních sítí.

Následující kroky popisují, jak tato topologie funguje:

1. Vytvoření zóny Privátní DNS a propojení s virtuální sítí serveru DNS:

   Prvním krokem při zajištění fungování vlastního řešení DNS s pracovním prostorem Azure Machine Učení je vytvoření dvou Privátní DNS zón rootovaných v následujících doménách:

   Veřejné oblasti Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure provozované oblastmi 21Vianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Oblasti Azure US Government:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Poznámka:

   Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.msDNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.

   Po vytvoření zóny Privátní DNS je potřeba ji propojit s virtuální sítí serveru DNS. Virtuální síť, která obsahuje server DNS.

   Privátní DNS Zóna přepíše překlad názvů pro všechny názvy v rámci oboru kořenového adresáře zóny. Toto přepsání platí pro všechny virtuální sítě, ke které je zóna Privátní DNS propojená. Pokud je například kořenová zóna Privátní DNS propojená privatelink.api.azureml.ms s foo virtuální sítě, obdrží všechny prostředky ve službě Virtual Network, které se pokusí přeložitbar.workspace.westus2.privatelink.api.azureml.ms, všechny záznamy uvedené v privatelink.api.azureml.ms zóně.

   Záznamy uvedené v Privátní DNS Zónách se ale vrátí jenom do zařízení, která překládají domény pomocí výchozí IP adresy virtuálního serveru Azure DNS. Takže vlastní server DNS přeloží domény pro zařízení rozložená v rámci vaší síťové topologie. Vlastní server DNS ale bude muset přeložit domény související se službou Azure Machine Učení s IP adresou virtuálního serveru Azure DNS.

2. Vytvoření privátního koncového bodu s cílem integrace privátního DNS Privátní DNS zóny propojené s virtuální sítí serveru DNS:

   Dalším krokem je vytvoření privátního koncového bodu do pracovního prostoru azure machine Učení. Privátní koncový bod cílí na obě Privátní DNS zóny vytvořené v kroku 1. Tím zajistíte, že veškerá komunikace s pracovním prostorem se provádí prostřednictvím privátního koncového bodu ve službě Azure Machine Učení Virtual Network.

   Důležité

   Aby tento příklad fungoval správně, musí mít privátní koncový bod povolenou integraci Privátní DNS.

3. Vytvořte podmíněný předávač na serveru DNS pro předávání do Azure DNS:

   Dále vytvořte podmíněný předávač na virtuální server Azure DNS. Podmíněný předávací nástroj zajišťuje, aby server DNS vždy dotazoval IP adresu virtuálního serveru Azure DNS na plně kvalifikované názvy domén související s vaším pracovním prostorem. To znamená, že server DNS vrátí odpovídající záznam ze zóny Privátní DNS.

   Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresa virtuálního serveru Azure DNS je 168.63.129.16:

   Veřejné oblasti Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – Používá se spravovanými online koncovými body.

   Microsoft Azure provozované oblastmi 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – Používá se spravovanými online koncovými body.

   Oblasti Azure US Government:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – Používá se spravovanými online koncovými body.

   Důležité

   Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.

4. Řešení domény pracovního prostoru:

   V tuto chvíli se dokončí všechna nastavení. Teď může každý klient, který k překladu názvů používá server DNS a má trasu na počítač Azure Učení privátní koncový bod, pokračovat v přístupu k pracovnímu prostoru. Nejprve se klient začne dotazováním serveru DNS na adresu následujících plně kvalifikovaných názvů domén:

   Veřejné oblasti Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – Používá se spravovanými online koncovými body.

   Microsoft Azure provozované oblastmi 21Vianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – Používá se spravovanými online koncovými body.

   Oblasti Azure US Government:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – Používá se spravovanými online koncovými body.

5. Azure DNS rekurzivně překládá doménu pracovního prostoru na CNAME:

   Server DNS přeloží plně kvalifikované názvy domén z kroku 4 z Azure DNS. Azure DNS odpoví jednou z domén uvedených v kroku 1.

6. Server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru z Azure DNS:

   Server DNS bude pokračovat k rekurzivnímu překladu CNAME přijatého v kroku 5. Vzhledem k tomu, že v kroku 3 došlo k nastavení podmíněného předávání, server DNS odešle požadavek na IP adresu virtuálního serveru Azure DNS pro překlad.

7. Azure DNS vrací záznamy z Privátní DNS zóny:

   Odpovídající záznamy uložené v zónách Privátní DNS se vrátí na server DNS, což znamená, že virtuální server Azure DNS vrátí IP adresy privátního koncového bodu.

8. Vlastní server DNS přeloží název domény pracovního prostoru na adresu privátního koncového bodu:

   V konečném důsledku vlastní server DNS nyní vrátí IP adresy privátního koncového bodu klientovi z kroku 4. Tím se zajistí, že veškerý provoz do pracovního prostoru Azure Machine Učení bude přes privátní koncový bod.

Řešení problému

Pokud nemůžete získat přístup k pracovnímu prostoru z virtuálního počítače nebo selhání úloh na výpočetních prostředcích ve virtuální síti, identifikujte příčinu pomocí následujících kroků:

1. Vyhledejte plně kvalifikované názvy domén pracovního prostoru v privátním koncovém bodu:

   Přejděte na web Azure Portal pomocí jednoho z následujících odkazů:

   • Veřejné oblasti Azure
   • Microsoft Azure provozované oblastmi 21Vianet
   • Oblasti Azure US Government

   Přejděte do privátního koncového bodu do pracovního prostoru Azure Machine Učení. Plně kvalifikované názvy domén pracovního prostoru budou uvedené na kartě Přehled.

2. Přístup k výpočetnímu prostředku v topologii virtuální sítě:

   Pokračujte přístupem k výpočetnímu prostředku v topologii služby Azure Virtual Network. To bude pravděpodobně vyžadovat přístup k virtuálnímu počítači ve virtuální síti, která je v partnerském vztahu s virtuální sítí centra.

3. Řešení plně kvalifikovaných názvů domén pracovního prostoru:

   Otevřete příkazový řádek, prostředí nebo PowerShell. Pak pro jednotlivé plně kvalifikované názvy domény pracovního prostoru spusťte následující příkaz:

   nslookup <workspace FQDN>

   Výsledek každého nástroje nslookup by měl vrátit jednu ze dvou privátních IP adres v privátním koncovém bodu do pracovního prostoru azure machine Učení. Pokud ne, znamená to, že vlastní řešení DNS obsahuje chybnou konfiguraci.

   Možné příčiny:

   • Výpočetní prostředek, na kterém se spouští příkazy pro řešení potíží, k překladu názvů DNS nepoužívá server DNS.
   • Zóny privátního DNS zvolené při vytváření privátního koncového bodu nejsou propojené s virtuální sítí serveru DNS.
   • Zásady podmíněného předávání na IP adresu virtuálního serveru Azure DNS nebyly správně nakonfigurované.

Příklad: Vlastní server DNS hostovaný místně

Tato architektura používá společnou topologii virtuální sítě hvězdicové architektury. ExpressRoute se používá k připojení z místní sítě k virtuální síti centra. Vlastní server DNS je hostovaný místně. Samostatná virtuální síť obsahuje privátní koncový bod k pracovnímu prostoru Azure Machine Učení a přidruženým prostředkům. S touto topologií musí existovat jiná virtuální síť hostující server DNS, který může odesílat požadavky na IP adresu virtuálního serveru Azure DNS.

Následující kroky popisují, jak tato topologie funguje:

1. Vytvoření zóny Privátní DNS a propojení s virtuální sítí serveru DNS:

   Prvním krokem při zajištění fungování vlastního řešení DNS s pracovním prostorem Azure Machine Učení je vytvoření dvou Privátní DNS zón rootovaných v následujících doménách:

   Veřejné oblasti Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Microsoft Azure provozované oblastmi 21Vianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Oblasti Azure US Government:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Poznámka:

   Spravované online koncové body sdílejí privátní koncový bod pracovního prostoru. Pokud ručně přidáváte záznamy DNS do privátní zóny privatelink.api.azureml.msDNS, měl by se přidat záznam A se zástupným znakem *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms pro směrování všech koncových bodů v pracovním prostoru do privátního koncového bodu.

   Po vytvoření zóny Privátní DNS musí být propojená s virtuální sítí serveru DNS – virtuální sítí, která obsahuje server DNS.

   Poznámka:

   Server DNS ve virtuální síti je oddělený od místního serveru DNS.

   Privátní DNS Zóna přepíše překlad názvů pro všechny názvy v rámci oboru kořenového adresáře zóny. Toto přepsání platí pro všechny virtuální sítě, ke které je zóna Privátní DNS propojená. Pokud je například kořenová zóna Privátní DNS propojená privatelink.api.azureml.ms s foo virtuální sítě, obdrží všechny prostředky ve službě Virtual Network, které se pokusí přeložitbar.workspace.westus2.privatelink.api.azureml.ms, všechny záznamy uvedené v privatelink.api.azureml.ms zóně.

   Záznamy uvedené v Privátní DNS Zónách se ale vrátí jenom do zařízení, která překládají domény pomocí výchozí IP adresy virtuálního serveru Azure DNS. IP adresa virtuálního serveru Azure DNS je platná pouze v kontextu virtuální sítě. Pokud používáte místní server DNS, nemůže dotazovat IP adresu virtuálního serveru Azure DNS k načtení záznamů.

   Chcete-li toto chování obejít, vytvořte zprostředkující server DNS ve virtuální síti. Tento server DNS může zadat dotaz na IP adresu virtuálního serveru Azure DNS, aby načetl záznamy pro libovolnou zónu Privátní DNS propojenou s virtuální sítí.

   I když místní server DNS přeloží domény pro zařízení rozložená v rámci topologie sítě, přeloží azure Machine Učení domény na server DNS. Server DNS tyto domény přeloží z IP adresy virtuálního serveru Azure DNS.

2. Vytvoření privátního koncového bodu s cílem integrace privátního DNS Privátní DNS zóny propojené s virtuální sítí serveru DNS:

   Dalším krokem je vytvoření privátního koncového bodu do pracovního prostoru azure machine Učení. Privátní koncový bod cílí na obě Privátní DNS zóny vytvořené v kroku 1. Tím zajistíte, že veškerá komunikace s pracovním prostorem se provádí prostřednictvím privátního koncového bodu ve službě Azure Machine Učení Virtual Network.

   Důležité

   Aby tento příklad fungoval správně, musí mít privátní koncový bod povolenou integraci Privátní DNS.

3. Vytvořte podmíněný předávač na serveru DNS pro předávání do Azure DNS:

   Dále vytvořte podmíněný předávač na virtuální server Azure DNS. Podmíněný předávací nástroj zajišťuje, aby server DNS vždy dotazoval IP adresu virtuálního serveru Azure DNS na plně kvalifikované názvy domén související s vaším pracovním prostorem. To znamená, že server DNS vrátí odpovídající záznam ze zóny Privátní DNS.

   Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresa virtuálního serveru Azure DNS je 168.63.129.16.

   Veřejné oblasti Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – Používá se spravovanými online koncovými body.

   Microsoft Azure provozované oblastmi 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – Používá se spravovanými online koncovými body.

   Oblasti Azure US Government:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – Používá se spravovanými online koncovými body.

   Důležité

   Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.

4. Vytvořte podmíněný předávací nástroj v místním serveru DNS pro předávání na server DNS:

   Dále vytvořte podmíněný předávač na server DNS ve virtuální síti serveru DNS. Tento předávač je určený pro zóny uvedené v kroku 1. To se podobá kroku 3, ale místo předávání na IP adresu virtuálního serveru Azure DNS bude místní server DNS cílit na IP adresu serveru DNS. Vzhledem k tomu, že místní server DNS není v Azure, nemůže přímo překládat záznamy v Privátní DNS zónách. V takovém případě proxy server DNS požadavky z místního serveru DNS na IP adresu virtuálního serveru Azure DNS. To umožňuje místnímu serveru DNS načíst záznamy v zónách Privátní DNS propojených s virtuální sítí serveru DNS.

   Zóny, které se mají podmíněně předat dál, jsou uvedené níže. IP adresy, na které se mají předávat, jsou IP adresy serverů DNS:

   Veřejné oblasti Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com – Používá se spravovanými online koncovými body.

   Microsoft Azure provozované oblastmi 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn – Používá se spravovanými online koncovými body.

   Oblasti Azure US Government:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us – Používá se spravovanými online koncovými body.

   Důležité

   Kroky konfigurace pro server DNS nejsou zde zahrnuty, protože existuje mnoho dostupných řešení DNS, která je možné použít jako vlastní server DNS. Informace o vhodné konfiguraci podmíněného předávání najdete v dokumentaci k řešení DNS.

5. Řešení domény pracovního prostoru:

   V tuto chvíli se dokončí všechna nastavení. Každý klient, který k překladu názvů používá místní server DNS a má trasu na počítač Azure Učení privátní koncový bod, může přejít k pracovnímu prostoru.

   Nejprve se klient spustí dotazem místního serveru DNS na adresu následujících plně kvalifikovaných názvů domén:

   Veřejné oblasti Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – Používá se spravovanými online koncovými body.

   Microsoft Azure provozované oblastmi 21Vianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – Používá se spravovanými online koncovými body.

   Oblasti Azure US Government:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – Používá se spravovanými online koncovými body.

6. Místní server DNS rekurzivně překládá doménu pracovního prostoru:

   Místní server DNS přeloží plně kvalifikované názvy domén z kroku 5 ze serveru DNS. Vzhledem k tomu, že existuje podmíněný předávací nástroj (krok 4), místní server DNS odešle požadavek na server DNS pro překlad.

7. Server DNS přeloží doménu pracovního prostoru na CNAME z Azure DNS:

   Server DNS přeloží plně kvalifikované názvy domén z kroku 5 z Azure DNS. Azure DNS odpoví jednou z domén uvedených v kroku 1.

8. Místní server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru ze serveru DNS:

   Místní server DNS bude pokračovat rekurzivně přeložit CNAME přijatý v kroku 7. Vzhledem k tomu, že v kroku 4 došlo k nastavení podmíněného předávání, místní server DNS odešle požadavek na server DNS pro překlad.

9. Server DNS rekurzivně překládá záznam CNAME domény pracovního prostoru z Azure DNS:

   Server DNS bude pokračovat rekurzivně přeložit CNAME přijatý v kroku 7. Vzhledem k tomu, že v kroku 3 došlo k nastavení podmíněného předávání, server DNS odešle požadavek na IP adresu virtuálního serveru Azure DNS pro překlad.

10. Azure DNS vrací záznamy z Privátní DNS zóny:

    Odpovídající záznamy uložené v zónách Privátní DNS se vrátí na server DNS, což znamená, že virtuální server Azure DNS vrátí IP adresy privátního koncového bodu.

11. Místní server DNS přeloží název domény pracovního prostoru na adresu privátního koncového bodu:

    Dotaz z místního serveru DNS na server DNS v kroku 8 nakonec vrátí IP adresy přidružené k privátnímu koncovému bodu do pracovního prostoru azure machine Učení. Tyto IP adresy se vrátí původnímu klientovi, který teď bude komunikovat s pracovním prostorem azure machine Učení přes privátní koncový bod nakonfigurovaný v kroku 1.

    Důležité

    Pokud se služba VPN Gateway používá v této sadě společně s vlastní IP adresou serveru DNS ve virtuální síti, je potřeba do seznamu přidat i IP adresu AZURE DNS (168.63.129.16), aby se zachovala nerušovaná komunikace.

Příklad: Soubor Hosts

Soubor hosts je textový dokument, který všechny systémy Linux, macOS a Windows používají k přepsání překladu názvů místního počítače. Soubor obsahuje seznam IP adres a odpovídající název hostitele. Když se místní počítač pokusí přeložit název hostitele, pokud je v souboru uvedený hosts název hostitele, název se přeloží na odpovídající IP adresu.

Důležité

Soubor hosts přepíše pouze překlad názvů místního počítače. Pokud chcete soubor použít hosts s více počítači, musíte ho upravit jednotlivě na každém počítači.

Následující tabulka uvádí umístění hosts souboru:

Operační systém	Umístění
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Tip

Název souboru nemá hosts příponu. Při úpravách souboru použijte přístup správce. Například v Linuxu nebo macOS můžete použít sudo vi. Ve Windows spusťte poznámkový blok jako správce.

Následuje příklad hosts položek souboru pro Učení Azure Machine:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Další informace o hosts souboru naleznete v tématu https://wikipedia.org/wiki/Hosts_(file).

Překlad DNS služeb závislostí

Služby, na které váš pracovní prostor spoléhá, můžou být také zabezpečené pomocí privátního koncového bodu. Pokud ano, možná budete muset vytvořit vlastní záznam DNS, pokud potřebujete přímo komunikovat se službou. Pokud například chcete přímo pracovat s daty v účtu služby Azure Storage, který používá váš pracovní prostor.

Poznámka:

Některé služby mají několik privátních koncových bodů pro dílčí služby nebo funkce. Účet služby Azure Storage může mít například jednotlivé privátní koncové body pro objekty blob, file a DFS. Pokud potřebujete získat přístup ke službě Blob i File Storage, musíte pro každý konkrétní privátní koncový bod povolit překlad.

Další informace o službách a překladu DNS najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Řešení problému

Pokud po provedení výše uvedených kroků nemůžete získat přístup k pracovnímu prostoru z virtuálního počítače nebo úlohy selžou u výpočetních prostředků ve virtuální síti obsahující privátní koncový bod do pracovního prostoru Azure Machine Učení, zkuste zjistit příčinu podle následujících kroků.

1. Vyhledejte plně kvalifikované názvy domén pracovního prostoru v privátním koncovém bodu:

   Přejděte na web Azure Portal pomocí jednoho z následujících odkazů:

   • Veřejné oblasti Azure
   • Microsoft Azure provozované oblastmi 21Vianet
   • Oblasti Azure US Government

   Přejděte do privátního koncového bodu do pracovního prostoru Azure Machine Učení. Plně kvalifikované názvy domén pracovního prostoru budou uvedené na kartě Přehled.

2. Přístup k výpočetnímu prostředku v topologii virtuální sítě:

   Pokračujte přístupem k výpočetnímu prostředku v topologii služby Azure Virtual Network. To bude pravděpodobně vyžadovat přístup k virtuálnímu počítači ve virtuální síti, která je v partnerském vztahu s virtuální sítí centra.

3. Řešení plně kvalifikovaných názvů domén pracovního prostoru:

   Otevřete příkazový řádek, prostředí nebo PowerShell. Pak pro jednotlivé plně kvalifikované názvy domény pracovního prostoru spusťte následující příkaz:

   nslookup <workspace FQDN>

   Ve výsledku každého příkazu nslookup by se měla zobrazit jedna ze dvou privátních IP adres privátního koncového bodu pracovního prostoru Azure Machine Learning. Pokud ne, znamená to, že vlastní řešení DNS obsahuje chybnou konfiguraci.

   Možné příčiny:

   • Výpočetní prostředek, na kterém se spouští příkazy pro řešení potíží, k překladu názvů DNS nepoužívá server DNS.
   • Zóny privátního DNS zvolené při vytváření privátního koncového bodu nejsou propojené s virtuální sítí serveru DNS.
   • Servery pro podmíněné předávání ze serveru DNS na IP adresu virtuálního serveru Azure DNS nejsou správně nakonfigurované.
   • Servery pro podmíněné předávání z místního serveru DNS na server DNS nejsou správně nakonfigurované.

Další kroky

Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:

• Přehled virtuální sítě

• Zabezpečení prostředků pracovního prostoru
• Zabezpečení trénovacího prostředí
• Zabezpečení prostředí pro odvození

• Povolení funkcí studia
• Použití brány firewall

Informace o integraci privátních koncových bodů do konfigurace DNS najdete v tématu Konfigurace DNS privátního koncového bodu Azure.