Werkruimte gebruiken met een aangepaste DNS-server

Wanneer u een Azure Machine Learning werkruimte met een privé-eindpunt gebruikt, zijn er verschillende manieren om DNS-naamomzetting te verwerken. Standaard verwerkt Azure automatisch naamomzetting voor uw werkruimte en privé-eindpunt. Als u in plaats daarvan uw eigen aangepaste DNS-server gebruikt, moet u handmatig DNS-vermeldingen maken of voorwaardelijke doorstuurservers gebruiken voor de werkruimte.

Belangrijk

In dit artikel wordt beschreven hoe u de FQDN(Fully Qualified Domain Names) en IP-adressen voor deze vermeldingen kunt vinden als u DNS-records handmatig wilt registreren in uw DNS-oplossing. Daarnaast bevat dit artikel aanbevelingen voor architectuur voor het configureren van uw aangepaste DNS-oplossing voor het automatisch omzetten van FQDN's naar de juiste IP-adressen. Dit artikel bevat geen informatie over het configureren van de DNS-records voor deze items. Raadpleeg de documentatie voor uw DNS-software voor informatie over het toevoegen van records.

Tip

Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks:

Vereisten

Automatische INTEGRATIE van DNS-servers

Introductie

Er zijn twee algemene architecturen voor het gebruik van geautomatiseerde DNS-serverintegratie met Azure Machine Learning:

Hoewel uw architectuur mogelijk verschilt van deze voorbeelden, kunt u deze gebruiken als referentiepunt. Beide voorbeeldarchitecturen bieden stappen voor probleemoplossing waarmee u onderdelen kunt identificeren die mogelijk onjuist zijn geconfigureerd.

Een andere optie is het hosts bestand op de client te wijzigen dat verbinding maakt met de Azure Virtual Network (VNet) die uw werkruimte bevat. Zie de sectie Hostbestand voor meer informatie.

Dns-omzettingspad voor werkruimte

Toegang tot een bepaalde Azure Machine Learning werkruimte via Private Link wordt uitgevoerd door te communiceren met de volgende volledig gekwalificeerde domeinen (de FQDN's van de werkruimte genoemd) die hieronder worden vermeld:

Openbare Azure-regio's:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
  • <compute instance name>.<region the workspace was created in>.instances.azureml.ms
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.notebooks.azure.net

Azure China 21Vianet-regio's:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
  • <compute instance name>.<region the workspace was created in>.instances.azureml.cn
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.notebooks.chinacloudapi.cn

Azure US Government-regio's:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
  • <compute instance name>.<region the workspace was created in>.instances.azureml.us
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.notebooks.usgovcloudapi.net

De volledig gekwalificeerde domeinen worden omgezet in de volgende Canonical Names (CNAMEs) die de werkruimte Private Link FQDN's worden genoemd:

Openbare Azure-regio's:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.privatelink.notebooks.azure.net

Azure China-regio's:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.privatelink.notebooks.chinacloudapi.cn

Azure US Government-regio's:

  • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
  • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.privatelink.notebooks.usgovcloudapi.net

De FQDN's worden omgezet in de IP-adressen van de Azure Machine Learning werkruimte in die regio. Oplossing van de werkruimte Private Link FQDN's kan echter worden overschreven met behulp van een aangepaste DNS-server die wordt gehost in het virtuele netwerk. Zie voor een voorbeeld van deze architectuur de aangepaste DNS-server die wordt gehost in een vnet-voorbeeld .

Handmatige INTEGRATIE van DNS-server

In deze sectie wordt beschreven op welke Volledig gekwalificeerde domeinen A-records moeten worden gemaakt op een DNS-server en op welk IP-adres de waarde van de A-record moet worden ingesteld.

FQDN's voor privé-eindpunten ophalen

Openbare Azure-regio

De volgende lijst bevat de FQDN's (Fully Qualified Domain Names) die door uw werkruimte worden gebruikt als deze zich in de openbare Azure-cloud bevindt:

  • <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

  • <workspace-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<workspace-guid>.notebooks.azure.net

    Notitie

    De naam van de werkruimte voor deze FQDN kan worden afgekapt. Afkapping wordt uitgevoerd om maximaal 63 tekens te behouden ml-<workspace-name, truncated>-<region>-<workspace-guid> .

  • <instance-name>.<region>.instances.azureml.ms

    Notitie

    • Rekeninstanties kunnen alleen worden geopend vanuit het virtuele netwerk.
    • Het IP-adres voor deze FQDN is niet het IP-adres van het rekenproces. Gebruik in plaats daarvan het privé-IP-adres van het privé-eindpunt van de werkruimte (het IP-adres van de *.api.azureml.ms vermeldingen.)

Azure China-regio

De volgende FQDN's zijn voor Azure China-regio's:

  • <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

  • <workspace-GUID>.workspace.<region>.api.ml.azure.cn

  • ml-<workspace-name, truncated>-<region>-<workspace-guid>.notebooks.chinacloudapi.cn

    Notitie

    De naam van de werkruimte voor deze FQDN kan worden afgekapt. Afkapping wordt uitgevoerd om maximaal 63 tekens te behouden ml-<workspace-name, truncated>-<region>-<workspace-guid> .

  • <instance-name>.<region>.instances.azureml.cn

    • Het IP-adres voor deze FQDN is niet het IP-adres van het rekenproces. Gebruik in plaats daarvan het privé-IP-adres van het privé-eindpunt van de werkruimte (het IP-adres van de *.api.azureml.ms vermeldingen.)

Azure US Government

De volgende FQDN's zijn voor Azure US Government-regio's:

  • <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

  • <workspace-GUID>.workspace.<region>.api.ml.azure.us

  • ml-<workspace-name, truncated>-<region>-<workspace-guid>.notebooks.usgovcloudapi.net

    Notitie

    De naam van de werkruimte voor deze FQDN kan worden afgekapt. Afkapping wordt uitgevoerd om maximaal 63 tekens te behouden ml-<workspace-name, truncated>-<region>-<workspace-guid> .

  • <instance-name>.<region>.instances.azureml.us

    • Het IP-adres voor deze FQDN is niet het IP-adres van het rekenproces. Gebruik in plaats daarvan het privé-IP-adres van het privé-eindpunt van de werkruimte (het IP-adres van de *.api.azureml.ms vermeldingen.)

De IP-adressen zoeken

Gebruik een van de volgende methoden om de interne IP-adressen voor de FQDN's in het VNet te vinden:

Notitie

De volledig gekwalificeerde domeinnamen en IP-adressen verschillen op basis van uw configuratie. De GUID-waarde in de domeinnaam is bijvoorbeeld specifiek voor uw werkruimte.

  1. Gebruik de volgende opdracht om de id van de privé-eindpuntnetwerkinterface op te halen:

    az network private-endpoint show --endpoint-name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
    
  2. Gebruik de volgende opdracht om het IP-adres en de FQDN-gegevens op te halen. Vervang <resource-id> door de id uit de vorige stap:

    az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
    

    De uitvoer ziet er ongeveer als de volgende tekst uit:

    [
        {
            "FQDNs": [
            "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
            "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
            ],
            "IPAddress": "10.1.0.5"
        },
        {
            "FQDNs": [
            "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.notebooks.azure.net"
            ],
            "IPAddress": "10.1.0.6"
        }
    ]
    

De informatie die door alle methoden wordt geretourneerd, is hetzelfde; een lijst met de FQDN en het privé-IP-adres voor de resources. Het volgende voorbeeld is afkomstig uit de openbare Azure-cloud:

FQDN IP-adres
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms 10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms 10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.notebooks.azure.net 10.1.0.6

In de volgende tabel ziet u voorbeeld-IP's van Azure China-regio's:

FQDN IP-adres
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn 10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn 10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.notebooks.chinacloudapi.cn 10.1.0.6

In de volgende tabel ziet u voorbeeld-IP's van Azure US Government-regio's:

FQDN IP-adres
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us 10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us 10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.notebooks.usgovcloudapi.net 10.1.0.6

A-records maken in aangepaste DNS-server

Zodra de lijst met FQDN's en bijbehorende IP-adressen zijn verzameld, gaat u verder met het maken van A-records in de geconfigureerde DNS-server. Raadpleeg de documentatie voor uw DNS-server om te bepalen hoe A-records moeten worden gemaakt. Let op: het wordt aanbevolen om een unieke zone te maken voor de volledige FQDN en de A-record te maken in de hoofdmap van de zone.

Voorbeeld: Aangepaste DNS-server gehost in VNet

Deze architectuur maakt gebruik van de algemene topologie van het virtuele hub- en spoke-netwerk. Eén virtueel netwerk bevat de DNS-server en één bevat het privé-eindpunt voor de Azure Machine Learning werkruimte en de bijbehorende resources. Er moet een geldige route tussen beide virtuele netwerken zijn. Bijvoorbeeld via een reeks gekoppelde virtuele netwerken.

Diagram of custom DNS hosted in Azure topology

In de volgende stappen wordt beschreven hoe deze topologie werkt:

  1. Maak Privé-DNS zone en maak een koppeling naar dns-server Virtual Network:

    De eerste stap om ervoor te zorgen dat een aangepaste DNS-oplossing werkt met uw Azure Machine Learning-werkruimte, is het maken van twee Privé-DNS zones die zijn geroot in de volgende domeinen:

    Openbare Azure-regio's:

    • privatelink.api.azureml.ms
    • privatelink.notebooks.azure.net

    Azure China-regio's:

    • privatelink.api.ml.azure.cn
    • privatelink.notebooks.chinacloudapi.cn

    Azure US Government-regio's:

    • privatelink.api.ml.azure.us
    • privatelink.notebooks.usgovcloudapi.net

    Na het maken van de Privé-DNS-zone moet deze worden gekoppeld aan de DNS-server Virtual Network. De Virtual Network die de DNS-server bevat.

    Een Privé-DNS Zone overschrijft naamomzetting voor alle namen binnen het bereik van de hoofdmap van de zone. Deze onderdrukking is van toepassing op alle virtuele netwerken waaraan de Privé-DNS zone is gekoppeld. Als een Privé-DNS zone die is gerootprivatelink.api.azureml.ms, bijvoorbeeld is gekoppeld aan Virtual Network foo, ontvangen alle resources in Virtual Network foo die proberen om op te lossen bar.workspace.westus2.privatelink.api.azureml.ms alle records die in de privatelink.api.azureml.ms zone worden vermeld.

    Records die worden vermeld in Privé-DNS Zones worden echter alleen geretourneerd naar apparaten die domeinen omzetten met behulp van het standaard IP-adres van de virtuele Azure DNS-server. De aangepaste DNS-server lost dus domeinen op voor apparaten die zich verspreid over uw netwerktopologie bevinden. Maar de aangepaste DNS-server moet Azure Machine Learning gerelateerde domeinen omzetten op basis van het IP-adres van de virtuele Azure DNS-server.

  2. Maak een privé-eindpunt met privé-DNS-integratie die is gericht op Privé-DNS zone die is gekoppeld aan de DNS-server Virtual Network:

    De volgende stap bestaat uit het maken van een privé-eindpunt voor de Azure Machine Learning werkruimte. Het privé-eindpunt is gericht op beide Privé-DNS Zones die in stap 1 zijn gemaakt. Dit zorgt ervoor dat alle communicatie met de werkruimte wordt uitgevoerd via het privé-eindpunt in de Azure Machine Learning Virtual Network.

    Belangrijk

    Voor dit voorbeeld moet voor het privé-eindpunt Privé-DNS integratie zijn ingeschakeld.

  3. Maak een voorwaardelijke doorstuurserver in DNS-server om door te sturen naar Azure DNS:

    Maak vervolgens een voorwaardelijke doorstuurserver naar de virtuele Azure DNS-server. De voorwaardelijke doorstuurserver zorgt ervoor dat de DNS-server altijd het IP-adres van de virtuele Azure DNS-server opvraagt voor FQDN's die betrekking hebben op uw werkruimte. Dit betekent dat de DNS-server de bijbehorende record retourneert uit de Privé-DNS zone.

    De zones voor voorwaardelijk doorsturen worden hieronder vermeld. Het IP-adres van de virtuele Azure DNS-server is 168.63.129.16:

    Openbare Azure-regio's:

    • api.azureml.ms
    • notebooks.azure.net
    • instances.azureml.ms
    • aznbcontent.net

    Azure China-regio's:

    • api.ml.azure.cn
    • notebooks.chinacloudapi.cn
    • instances.azureml.cn
    • aznbcontent.net

    Azure US Government-regio's:

    • api.ml.azure.us
    • notebooks.usgovcloudapi.net
    • instances.azureml.us
    • aznbcontent.net

    Belangrijk

    Configuratiestappen voor de DNS-server zijn hier niet opgenomen, omdat er veel DNS-oplossingen beschikbaar zijn die kunnen worden gebruikt als een aangepaste DNS-server. Raadpleeg de documentatie voor uw DNS-oplossing voor het op de juiste wijze configureren van voorwaardelijk doorsturen.

  4. Werkruimtedomein oplossen:

    Op dit moment is alle installatie voltooid. Nu kan elke client die gebruikmaakt van DNS-server voor naamomzetting en een route naar het Azure Machine Learning privé-eindpunt toegang krijgen tot de werkruimte. De client begint met het uitvoeren van een query op DE DNS-server voor het adres van de volgende FQDN's:

    Openbare Azure-regio's:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.azure.net

    Azure China-regio's:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.chinacloudapi.cn

    Azure US Government-regio's:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.usgovcloudapi.net
  5. Azure DNS zet recursief het werkruimtedomein om in CNAME:

    De DNS-server zet de FQDN's van stap 4 van Azure DNS om. Azure DNS reageert met een van de domeinen die worden vermeld in stap 1.

  6. DNS Server zet recursief CNAME-record voor werkruimtedomein om vanuit Azure DNS:

    DNS-server gaat recursief de CNAME omzetten die in stap 5 is ontvangen. Omdat er in stap 3 een voorwaardelijke doorstuurserver is ingesteld, verzendt DNS-server de aanvraag naar het IP-adres van de virtuele Azure DNS-server voor omzetting.

  7. Azure DNS retourneert records uit Privé-DNS zone:

    De bijbehorende records die zijn opgeslagen in de Privé-DNS Zones worden geretourneerd naar DNS-server, wat betekent dat azure DNS Virtual Server de IP-adressen van het privé-eindpunt retourneert.

  8. Aangepaste DNS-server zet de domeinnaam van de werkruimte om in het privé-eindpuntadres:

    Uiteindelijk retourneert de aangepaste DNS-server nu de IP-adressen van het privé-eindpunt naar de client van stap 4. Dit zorgt ervoor dat al het verkeer naar de Azure Machine Learning werkruimte zich via het privé-eindpunt bevindt.

Problemen oplossen

Als u geen toegang hebt tot de werkruimte vanaf een virtuele machine of taken die mislukken op rekenresources in het virtuele netwerk, gebruikt u de volgende stappen om de oorzaak te identificeren:

  1. Zoek de FQDN's van de werkruimte op het privé-eindpunt:

    Navigeer naar de Azure Portal met behulp van een van de volgende koppelingen:

    Navigeer naar het privé-eindpunt naar de Azure Machine Learning werkruimte. De FQDN's van de werkruimte worden weergegeven op het tabblad Overzicht.

  2. Toegang tot rekenresource in Virtual Network topologie:

    Ga verder met het openen van een rekenresource in de Azure Virtual Network-topologie. Hiervoor is waarschijnlijk toegang nodig tot een virtuele machine in een Virtual Network die is gekoppeld aan de Hub-Virtual Network.

  3. FQDN's voor werkruimte oplossen:

    Open een opdrachtprompt, shell of PowerShell. Voer vervolgens voor elk van de werkruimte-FQDN's de volgende opdracht uit:

    nslookup <workspace FQDN>

    Het resultaat van elke nslookup moet een van de twee privé-IP-adressen op het privé-eindpunt retourneren naar de Azure Machine Learning werkruimte. Als dat niet zo is, is er iets onjuist geconfigureerd in de aangepaste DNS-oplossing.

    Mogelijke oorzaken:

    • De rekenresource die de opdrachten voor probleemoplossing uitvoert, gebruikt geen DNS-server voor DNS-resolutie
    • De Privé-DNS-zones die zijn gekozen bij het maken van het privé-eindpunt, zijn niet gekoppeld aan het VNet van de DNS-server
    • Voorwaardelijke doorstuurservers naar HET IP-adres van de virtuele Azure DNS-server zijn niet juist geconfigureerd

Voorbeeld: Aangepaste DNS-server die on-premises wordt gehost

Deze architectuur maakt gebruik van de algemene topologie van het virtuele hub- en spoke-netwerk. ExpressRoute wordt gebruikt om verbinding te maken vanuit uw on-premises netwerk met het virtuele Hub-netwerk. De aangepaste DNS-server wordt on-premises gehost. Een afzonderlijk virtueel netwerk bevat het privé-eindpunt voor de Azure Machine Learning werkruimte en bijbehorende resources. Met deze topologie moet er een ander virtueel netwerk zijn dat als host fungeert voor een DNS-server die aanvragen kan verzenden naar het IP-adres van de virtuele Azure DNS-server.

Diagram of custom DNS hosted on-premises topology

In de volgende stappen wordt beschreven hoe deze topologie werkt:

  1. Maak Privé-DNS zone en maak een koppeling naar dns-server Virtual Network:

    De eerste stap om ervoor te zorgen dat een aangepaste DNS-oplossing werkt met uw Azure Machine Learning-werkruimte, is het maken van twee Privé-DNS zones die zijn geroot in de volgende domeinen:

    Openbare Azure-regio's:

    • privatelink.api.azureml.ms
    • privatelink.notebooks.azure.net

    Azure China-regio's:

    • privatelink.api.ml.azure.cn
    • privatelink.notebooks.chinacloudapi.cn

    Azure US Government-regio's:

    • privatelink.api.ml.azure.us
    • privatelink.notebooks.usgovcloudapi.net

    Na het maken van de Privé-DNS-zone moet deze worden gekoppeld aan het VNet van de DNS-server: de Virtual Network die de DNS-server bevat.

    Notitie

    De DNS-server in het virtuele netwerk staat los van de on-premises DNS-server.

    Een Privé-DNS Zone overschrijft naamomzetting voor alle namen binnen het bereik van de hoofdmap van de zone. Deze onderdrukking is van toepassing op alle virtuele netwerken waaraan de Privé-DNS zone is gekoppeld. Als een Privé-DNS zone die is gerootprivatelink.api.azureml.ms, bijvoorbeeld is gekoppeld aan Virtual Network foo, ontvangen alle resources in Virtual Network foo die worden omgezetbar.workspace.westus2.privatelink.api.azureml.ms, alle records die worden vermeld in de privatelink.api.azureml.ms zone.

    Records die worden vermeld in Privé-DNS Zones worden echter alleen geretourneerd naar apparaten die domeinen omzetten met behulp van het standaard IP-adres van de virtuele Azure DNS-server. Het IP-adres van de virtuele Azure DNS-server is alleen geldig binnen de context van een Virtual Network. Wanneer u een on-premises DNS-server gebruikt, kan deze geen query uitvoeren op het IP-adres van de virtuele Azure DNS-server om records op te halen.

    Als u dit gedrag wilt omzeilen, maakt u een tussenliggende DNS-server in een virtueel netwerk. Deze DNS-server kan een query uitvoeren op het IP-adres van de virtuele Azure DNS-server om records op te halen voor elke Privé-DNS zone die is gekoppeld aan het virtuele netwerk.

    Hoewel de on-premises DNS-server domeinen voor apparaten die zijn verspreid over uw netwerktopologie, worden Azure Machine Learning gerelateerde domeinen omgezet op de DNS-server. De DNS-server zet deze domeinen om vanaf het IP-adres van de virtuele Azure DNS-server.

  2. Maak een privé-eindpunt met privé-DNS-integratie die is gericht op Privé-DNS zone die is gekoppeld aan de DNS-server Virtual Network:

    De volgende stap bestaat uit het maken van een privé-eindpunt voor de Azure Machine Learning werkruimte. Het privé-eindpunt is gericht op beide Privé-DNS Zones die in stap 1 zijn gemaakt. Dit zorgt ervoor dat alle communicatie met de werkruimte wordt uitgevoerd via het privé-eindpunt in de Azure Machine Learning Virtual Network.

    Belangrijk

    Voor dit voorbeeld moet voor het privé-eindpunt Privé-DNS integratie zijn ingeschakeld.

  3. Maak een voorwaardelijke doorstuurserver in DNS-server om door te sturen naar Azure DNS:

    Maak vervolgens een voorwaardelijke doorstuurserver naar de virtuele Azure DNS-server. De voorwaardelijke doorstuurserver zorgt ervoor dat de DNS-server altijd het IP-adres van de virtuele Azure DNS-server opvraagt voor FQDN's die betrekking hebben op uw werkruimte. Dit betekent dat de DNS-server de bijbehorende record retourneert uit de Privé-DNS zone.

    De zones voor voorwaardelijk doorsturen worden hieronder vermeld. Het IP-adres van de virtuele Azure DNS-server is 168.63.129.16.

    Openbare Azure-regio's:

    • api.azureml.ms
    • notebooks.azure.net
    • instances.azureml.ms
    • aznbcontent.net

    Azure China-regio's:

    • api.ml.azure.cn
    • notebooks.chinacloudapi.cn
    • instances.azureml.cn
    • aznbcontent.net

    Azure US Government-regio's:

    • api.ml.azure.us
    • notebooks.usgovcloudapi.net
    • instances.azureml.us
    • aznbcontent.net

    Belangrijk

    Configuratiestappen voor de DNS-server zijn hier niet opgenomen, omdat er veel DNS-oplossingen beschikbaar zijn die kunnen worden gebruikt als een aangepaste DNS-server. Raadpleeg de documentatie voor uw DNS-oplossing voor het op de juiste wijze configureren van voorwaardelijk doorsturen.

  4. Maak voorwaardelijke doorstuurserver in on-premises DNS-server om door te sturen naar DNS-server:

    Maak vervolgens een voorwaardelijke doorstuurserver naar de DNS-server in de DNS-server Virtual Network. Deze doorstuurserver is bedoeld voor de zones die worden vermeld in stap 1. Dit is vergelijkbaar met stap 3, maar in plaats van door te sturen naar het IP-adres van de virtuele Azure DNS-server, is de on-premises DNS-server gericht op het IP-adres van de DNS-server. Omdat de on-premises DNS-server zich niet in Azure bevindt, kan deze records in Privé-DNS zones niet rechtstreeks omzetten. In dit geval vraagt de DNS-serverproxy's van de on-premises DNS-server naar het IP-adres van de virtuele Azure DNS-server. Hierdoor kan de on-premises DNS-server records ophalen in de Privé-DNS zones die zijn gekoppeld aan de DNS-server Virtual Network.

    De zones voor voorwaardelijk doorsturen worden hieronder vermeld. De IP-adressen die moeten worden doorgestuurd, zijn de IP-adressen van uw DNS-servers:

    Openbare Azure-regio's:

    • api.azureml.ms
    • notebooks.azure.net
    • instances.azureml.ms

    Azure China-regio's:

    • api.ml.azure.cn
    • notebooks.chinacloudapi.cn
    • instances.azureml.cn

    Azure US Government-regio's:

    • api.ml.azure.us
    • notebooks.usgovcloudapi.net
    • instances.azureml.us

    Belangrijk

    Configuratiestappen voor de DNS-server zijn hier niet opgenomen, omdat er veel DNS-oplossingen beschikbaar zijn die kunnen worden gebruikt als een aangepaste DNS-server. Raadpleeg de documentatie voor uw DNS-oplossing voor het op de juiste wijze configureren van voorwaardelijk doorsturen.

  5. Werkruimtedomein oplossen:

    Op dit moment is alle installatie voltooid. Elke client die gebruikmaakt van on-premises DNS-server voor naamomzetting en een route naar het Azure Machine Learning privé-eindpunt heeft, kan doorgaan met toegang tot de werkruimte.

    De client begint met het uitvoeren van query's op de on-premises DNS-server voor het adres van de volgende FQDN's:

    Openbare Azure-regio's:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.azure.net

    Azure China-regio's:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.chinacloudapi.cn

    Azure US Government-regio's:

    • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
    • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>. notebooks.usgovcloudapi.net
  6. On-premises DNS-server recursief omzetten werkruimtedomein:

    De on-premises DNS-server zet de FQDN's van stap 5 van de DNS-server om. Omdat er een voorwaardelijke doorstuurserver (stap 4) is, verzendt de on-premises DNS-server de aanvraag voor omzetting naar de DNS-server.

  7. DNS-server zet het werkruimtedomein om in CNAME vanuit Azure DNS:

    De DNS-server zet de FQDN's van stap 5 van de Azure DNS om. Azure DNS reageert met een van de domeinen die worden vermeld in stap 1.

  8. On-premises DNS-server recursief omzetten werkruimtedomein CNAME-record van DNS-server:

    De in stap 7 ontvangen CNAME wordt recursief omgezet in de on-premises DNS-server. Omdat er in stap 4 een voorwaardelijke doorstuurserver is ingesteld, verzendt de on-premises DNS-server de aanvraag naar de DNS-server voor omzetting.

  9. DNS Server zet recursief CNAME-record voor werkruimtedomein om vanuit Azure DNS:

    DNS-server gaat door met recursief omzetten van de CNAME die in stap 7 is ontvangen. Omdat er in stap 3 een voorwaardelijke doorstuurserver is ingesteld, verzendt DNS-server de aanvraag naar het IP-adres van de virtuele Azure DNS-server voor omzetting.

  10. Azure DNS retourneert records uit Privé-DNS zone:

    De bijbehorende records die zijn opgeslagen in de Privé-DNS Zones worden geretourneerd naar DNS-server, wat betekent dat de virtuele Azure DNS-server de IP-adressen van het privé-eindpunt retourneert.

  11. Met de on-premises DNS-server wordt de domeinnaam van de werkruimte omgezet in het privé-eindpuntadres:

    De query van on-premises DNS-server naar DNS-server in stap 8 retourneert uiteindelijk de IP-adressen die zijn gekoppeld aan het privé-eindpunt naar de Azure Machine Learning werkruimte. Deze IP-adressen worden geretourneerd naar de oorspronkelijke client, die nu communiceert met de Azure Machine Learning werkruimte via het privé-eindpunt dat in stap 1 is geconfigureerd.

Voorbeeld: Hosts-bestand

Het hosts bestand is een tekstdocument dat Linux, macOS en Windows allemaal gebruiken om naamomzetting voor de lokale computer te overschrijven. Het bestand bevat een lijst met IP-adressen en de bijbehorende hostnaam. Wanneer de lokale computer probeert een hostnaam op te lossen, als de hostnaam in het hosts bestand wordt vermeld, wordt de naam omgezet in het bijbehorende IP-adres.

Belangrijk

Het hosts bestand overschrijft alleen de naamomzetting voor de lokale computer. Als u een hosts bestand met meerdere computers wilt gebruiken, moet u het afzonderlijk wijzigen op elke computer.

De volgende tabel bevat de locatie van het hosts bestand:

Besturingssysteem Locatie
Linux /etc/hosts
macOS /etc/hosts
Windows %SystemRoot%\System32\drivers\etc\hosts

Tip

De naam van het bestand is hosts zonder extensie. Wanneer u het bestand bewerkt, gebruikt u beheerderstoegang. In Linux of macOS kunt u bijvoorbeeld gebruiken sudo vi. Voer kladblok in Windows uit als beheerder.

Hier volgt een voorbeeld van hosts bestandsvermeldingen voor Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.notebooks.azure.net

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Zie voor meer informatie over het hosts bestand https://wikipedia.org/wiki/Hosts_(file).

DNS-resolutie voor afhankelijkhedenservices

De services waarvoor uw werkruimte afhankelijk is, kunnen ook worden beveiligd met behulp van een privé-eindpunt. Zo ja, dan moet u mogelijk een aangepaste DNS-record maken als u rechtstreeks met de service moet communiceren. Als u bijvoorbeeld rechtstreeks wilt werken met de gegevens in een Azure Storage-account dat wordt gebruikt door uw werkruimte.

Notitie

Sommige services hebben meerdere privé-eindpunten voor subservices of functies. Een Azure Storage-account kan bijvoorbeeld afzonderlijke privé-eindpunten hebben voor Blob, Bestand en DFS. Als u toegang nodig hebt tot zowel Blob- als File Storage, moet u de oplossing inschakelen voor elk specifiek privé-eindpunt.

Zie DNS-configuratie van Azure Private Endpoint voor meer informatie over de services en DNS-omzetting.

Problemen oplossen

Als u na het uitvoeren van de bovenstaande stappen geen toegang hebt tot de werkruimte vanaf een virtuele machine of taken mislukt op rekenresources in de Virtual Network met het privé-eindpunt naar de Azure Machine Learning-werkruimte, volgt u de onderstaande stappen om de oorzaak te achterhalen.

  1. Zoek de FQDN's van de werkruimte op het privé-eindpunt:

    Navigeer naar de Azure Portal met behulp van een van de volgende koppelingen:

    Navigeer naar het privé-eindpunt naar de Azure Machine Learning werkruimte. De FQDN's van de werkruimte worden weergegeven op het tabblad Overzicht.

  2. Toegang tot rekenresource in Virtual Network topologie:

    Ga verder met het openen van een rekenresource in de Azure Virtual Network-topologie. Hiervoor is waarschijnlijk toegang nodig tot een virtuele machine in een Virtual Network die is gekoppeld aan de Hub-Virtual Network.

  3. FQDN's voor werkruimte oplossen:

    Open een opdrachtprompt, shell of PowerShell. Voer vervolgens voor elk van de werkruimte-FQDN's de volgende opdracht uit:

    nslookup <workspace FQDN>

    Het resultaat van elke nslookup moet een van de twee privé-IP-adressen op het privé-eindpunt opleveren voor de Azure Machine Learning-werkruimte. Als dat niet zo is, is er iets onjuist geconfigureerd in de aangepaste DNS-oplossing.

    Mogelijke oorzaken:

    • De rekenresource die de opdrachten voor probleemoplossing uitvoert, gebruikt geen DNS-server voor DNS-resolutie
    • De Privé-DNS-zones die zijn gekozen bij het maken van het privé-eindpunt, zijn niet gekoppeld aan het VNet van de DNS-server
    • Voorwaardelijke doorschakelaars van DNS-server naar Azure DNS virtuele-server-IP zijn niet juist geconfigureerd
    • Voorwaardelijke doorschakelaars van on-premises DNS-server naar DNS-server zijn niet juist geconfigureerd

Volgende stappen

Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks:

Zie dns-configuratie van Azure Private Endpoint voor meer informatie over het integreren van privé-eindpunten in uw DNS-configuratie.

Zie Beveiligde webservices met TLS voor informatie over het implementeren van modellen met een aangepaste DNS-naam of TLS-beveiliging.