Como usar seu workspace com um servidor DNS personalizado

Ao usar um espaço de trabalho do Azure Machine Learning com um ponto de extremidade privado, há várias maneiras de lidar com a resolução de nomes DNS. Por padrão, o Azure manipula automaticamente a resolução de nomes para seu espaço de trabalho e seu ponto de extremidade privado. Ao usar seu próprio servidor DNS personalizado como alternativa, crie manualmente entradas DNS ou use encaminhadores condicionais para o espaço de trabalho.

Importante

Este artigo mostra como localizar os nomes de domínio totalmente qualificados (FQDN) e os endereços IP para essas entradas se você quiser registrar manualmente os registros DNS na sua solução DNS. Além disso, este artigo fornece recomendações de arquitetura sobre como configurar sua solução DNS personalizada para decidir automaticamente os FQDNs para os endereços IP corretos. Este artigo não fornece informações sobre como configurar os registros DNS para esses itens. Consulte a documentação do software DNS para obter informações sobre como adicionar registros.

Dica

Este artigo faz parte de uma série sobre como proteger um fluxo de trabalho do Azure Machine Learning. Confira os outros artigos desta série:

• Visão geral da rede virtual

• Proteger os recursos do workspace
• Proteger o ambiente de treinamento
• Proteger o ambiente de inferência

• Habilitar a funcionalidade do estúdio
• Usar um firewall

Pré-requisitos

• Uma rede virtual do Azure que use seu próprio servidor DNS.

• Um espaço de trabalho do Azure Machine Learning com um ponto de extremidade privado. Para saber mais, consulte Criar um espaço de trabalho do Azure Machine Learning.

• Familiaridade com o isolamento de rede durante o treinamento e a inferência.

• Familiaridade com a configuração de zona DNS do ponto de extremidade privado do Azure

• Familiaridade com o DNS Privado do Azure

• Opcionalmente, a CLI do Azure ou o Azure PowerShell.

Integração do servidor DNS automatizado

Introdução

Há duas arquiteturas comuns para usar a integração automatizada do servidor DNS com o Azure Machine Learning:

• Um servidor DNS hospedado em uma Rede Virtual do Azure.
• Um servidor DNS personalizado hospedado no local, conectado ao Azure Machine Learning por meio do ExpressRoute.

Embora sua arquitetura possa ser diferente dos exemplos, você pode usá-las como um ponto de referência. Ambas as arquiteturas de exemplo fornecem etapas de solução de problemas que podem ajudá-lo a identificar componentes que podem estar configurados incorretamente.

Outra opção é modificar o arquivo hosts no cliente que está se conectando à VNet (rede virtual) do Azure que contém seu espaço de trabalho. Para obter mais informações, confira a seção Arquivo de host.

Caminho de resolução de DNS do espaço de trabalho

O acesso a um determinado espaço de trabalho do Azure Machine Learning via Link Privado é feito comunicando-se com os seguintes domínios totalmente qualificados (chamados de FQDNs do espaço de trabalho) listados abaixo:

Regiões públicas do Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

Regiões Microsoft Azure operado pelo Domínio 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

Regiões do Azure Governamental nos EUA:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

Os domínios totalmente qualificados são resolvidos para os seguintes CNAMEs (Nomes Canônicos) chamados FQDNs de Link Privado do espaço de trabalho:

Regiões públicas do Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms – usado por pontos de extremidade online gerenciados

Regiões Microsoft Azure operado pela 21Vianet:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn – usado por pontos de extremidade online gerenciados

Regiões do Azure Governamental nos EUA:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us – usado por pontos de extremidade online gerenciados

Os FQDNs apontam para os endereços IP do espaço de trabalho do Azure Machine Learning na região. No entanto, a resolução dos FQDNs de link privado do espaço de trabalho pode ser substituída usando-se um servidor DNS personalizado hospedado na rede virtual. Para obter um exemplo dessa arquitetura, confira o exemplo Servidor DNS personalizado hospedado em uma VNet.

Observação

Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

Integração manual do servidor DNS

Esta seção discute para quais domínios totalmente qualificados criar registros A em um servidor DNS e para qual endereço IP definir o valor do registro A.

Recuperar FQDNs de ponto de extremidade privado

Região pública do Azure

A lista a seguir contém os FQDNs (nomes de domínio totalmente qualificados) usados pelo seu espaço de trabalho se ele estiver na Nuvem Pública do Azure:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Observação

  O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.ms

  Observação

  • As instâncias de computação só podem ser acessadas na rede virtual.
  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

Região Microsoft Azure operado pelo Domínio 21Vianet

Para Microsoft Azure operado por regiões 21Vianet, defina os seguintes nome de domínio totalmente qualificado:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Observação

  O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.cn

  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

Azure US Government

Os FQDNs a seguir são para as regiões do Azure Governamental nos EUA:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Observação

  O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.us

  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

Encontrar o endereço IP

Para encontrar os endereços IP internos dos FQDNs na VNet, use um dos seguintes métodos:

Observação

Os nomes de domínio totalmente qualificados e os endereços IP serão diferentes com base na sua configuração. Por exemplo, o valor de GUID no nome de domínio será específico de seu espaço de trabalho.

CLI do Azure

1. Para obter a ID da interface de rede de ponto de extremidade privado, use o seguinte comando:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. Para obter o endereço IP e as informações de FQDN, use o comando a seguir. Substitua <resource-id> pela ID da etapa anterior:

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   A saída será semelhante ao seguinte texto:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

PowerShell do Azure

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure portal

1. No portal do Azure, selecione o espaço de trabalho do Azure Machine Learning.

2. Na seção Configurações, selecione Conexões de ponto de extremidade privado.

3. Selecione o link na coluna Ponto de extremidade privado que é exibida.

4. Uma lista de FQDNs (nomes de domínio totalmente qualificados) e endereços IP do ponto de extremidade privado do espaço de trabalho é exibida na parte inferior da página.

   

   Dica

   Se as configurações de DNS não aparecerem na parte inferior da página, use o link configuração de DNS do lado esquerdo da página para exibir os FQDNs.

As informações retornadas por todos os métodos são iguais: uma lista de FQDNs e endereços IP privados dos recursos. O exemplo a seguir é da Nuvem Pública do Azure:

FQDN	Endereço IP
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

A tabela a seguir mostra os IPs de exemplo das regiões do Microsoft Azure operado pela 21Vianet:

FQDN	Endereço IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

A tabela a seguir mostra os IPs de exemplo das regiões do Azure Governamental nos EUA:

FQDN	Endereço IP
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Observação

Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

Criar registros A no servidor DNS personalizado

Depois que a lista de FQDNs e os endereços IP correspondentes forem coletados, crie os registros no servidor DNS configurado. Consulte a documentação do seu servidor DNS para determinar como criar registros. Observe que é recomendável criar uma zona exclusiva para todo o FQDN e criar o registro A na raiz da zona.

Exemplo: Servidor DNS personalizado hospedado na VNet

Essa arquitetura usa o Hub comum e a topologia de rede virtual Spoke. Uma rede virtual contém o servidor DNS e outra contém o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning e os recursos associados. Deve haver uma rota válida entre ambas as redes virtuais. Por exemplo, por meio de uma série de redes virtuais ponto a ponto.

As etapas a seguir descrevem como essa tipologia funciona:

1. Criar Zona Privada de DNS e vincular à Rede Virtual do Servidor DNS:

   A primeira etapa para garantir que uma solução DNS personalizada funcione com seu espaço de trabalho do Azure Machine Learning é criar duas Zonas Privadas de DNS com raiz nos seguintes domínios:

   Regiões públicas do Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Regiões do Azure Governamental nos EUA:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Observação

   Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

   Após a criação da Zona Privada de DNS, ele precisa ser vinculado à Rede Virtual do Servidor DNS. A Rede Virtual que contém o Servidor DNS.

   Uma Zona Privada de DNS substitui o direcionamento de nomes para todos os nomes que estão no escopo da raiz da zona. Essa substituição se aplica a todas as redes virtuais às quais a Zona Privada de DNS estiver vinculada. Por exemplo, se uma Zona Privada de DNS com raiz em privatelink.api.azureml.ms estiver vinculada à Rede Virtual foo, todos os recursos na Rede Virtual foo que tentarem direcionar bar.workspace.westus2.privatelink.api.azureml.ms receberão qualquer registro que estiver listado na zona privatelink.api.azureml.ms.

   No entanto, os registros listados nas Zonas Privadas de DNS retornam somente para dispositivos que direcionem domínios usando o endereço IP padrão do Servidor DNS Virtual do Azure. Portanto, o Servidor DNS personalizado indicará domínios para dispositivos distribuídos em toda a topologia de rede. Mas o servidor DNS personalizado precisará indicar os domínios relacionados ao Azure Machine Learning em confronto com os endereços de IP do Servidor DNS Virtual do Azure.

2. Crie um ponto de extremidade privado com integração DNS privada direcionada à Zona DNS Privada ligada à Rede Virtual do DNS do Microsoft Azure:

   A próxima etapa consiste em criar um Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. O ponto de extremidade privado se destina a ambas as zonas DNS privado criadas na etapa 1. Isso garante que toda a comunicação com o espaço de trabalho seja feita por meio do ponto de extremidade privado na rede virtual do Azure Machine Learning.

   Importante

   O ponto de extremidade privado deve ter a integração de DNS privado habilitada para que esse exemplo funcione corretamente.

3. Criar encaminhador condicional no servidor DNS para encaminhar ao DNS do Azure:

   Em seguida, crie um encaminhador condicional para o Servidor DNS Virtual do Azure. O encaminhador condicional garante que o servidor DNS sempre consulte o endereço IP do servidor virtual DNS do Azure para FQDNs relacionados ao seu espaço de trabalho. Isso significa que o Servidor DNS retornará o registro correspondente da Zona Privada de DNS.

   As zonas para encaminhar condicionalmente são listadas abaixo. O endereço IP do servidor virtual do DNS do Azure é 168.63.129.16:

   Regiões públicas do Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – usado por pontos de extremidade online gerenciados

   Importante

   As etapas de configuração para o servidor DNS não estão incluídas aqui, pois há muitas soluções de DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.

4. Direcionar o domínio do espaço de trabalho:

   Neste ponto, toda a instalação está pronta. Agora, qualquer cliente que usa o servidor DNS para o direcionamento de nomes e tem uma rota para o Ponto de Extremidade Privado do Azure Machine Learning pode continuar a acessar o espaço de trabalho. O cliente primeiro começará consultando o servidor DNS para o endereço dos seguintes FQDNs:

   Regiões públicas do Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

5. O DNS do Azure resolve recursivamente o domínio do espaço de trabalho para o CNAME:

   O servidor DNS resolverá os FQDNs da etapa 4 do DNS do Azure. O DNS do Azure responderá com um dos domínios listados na etapa 1.

6. O servidor DNS direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Azure:

   O Servidor DNS prosseguirá para direcionar repetidamente o CNAME recebido na etapa 5. Como houve uma configuração de encaminhador condicional na etapa 3, o Servidor DNS enviará a solicitação para o DNS do Azure IP do Servidor Virtual para resolução.

7. O DNS do Azure retorna registros da Zona DNS Privada:

   Os registros correspondentes armazenados nas zonas de DNS privado serão retornados ao Servidor DNS, o que significa que o DNS do Azure Virtual Server retorna os endereços de IP do ponto de extremidade privado.

8. O servidor DNS personalizado direciona o nome de domínio do espaço de trabalho para o endereço do ponto de extremidade privado:

   Por fim, o Servidor DNS Personalizado agora retorna os endereços IP do ponto de extremidade privado para o cliente da etapa 4. Isso garante que todo o tráfego para o espaço de trabalho do Azure Machine Learning ocorra por meio do ponto de extremidade privado.

Solução de problemas

Se você não conseguir acessar o espaço de trabalho de uma máquina virtual ou trabalhos falharem nos recursos de computação na rede virtual, use as seguintes etapas para identificar a causa:

1. Localize os FQDNs do espaço de trabalho no Ponto de Extremidade Privado:

   Navegue até o portal do Azure usando um dos seguintes links:

   • Regiões públicas do Azure
   • Regiões Microsoft Azure operado pelo 21Vianet
   • Regiões do Azure Governamental nos EUA

   Navegue até o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning. Os FQDNs do espaço de trabalho serão listados na guia "Visão Geral".

2. Acessar recurso de computação na Topologia de Rede Virtual:

   Siga em frente para acessar um recurso de computação na topologia da Rede Virtual do Azure. Isso provavelmente exigirá o acesso a uma Máquina Virtual em uma Rede Virtual que está pareada com a Rede Virtual do Hub.

3. Direcionar os FQDNs do espaço de trabalho:

   Abra um prompt de comando, do shell ou PowerShell. Em seguida, para cada um dos FQDNs do espaço de trabalho, execute o seguinte comando:

   nslookup <workspace FQDN>

   O resultado de cada nslookup deve retornar um dos dois endereços IP privados no Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Caso contrário, há algo configurado de forma incorreta na solução DNS personalizada.

   Possíveis causas:

   • O recurso de computação que executa os comandos de solução de problemas não está usando o Servidor DNS para resolução DNS
   • As Zonas Privadas de DNS escolhidas ao criar o Ponto de Extremidade Privado não estão vinculadas à VNet do Servidor DNS
   • Os encaminhadores condicionais para o IP do Servidor Virtual do DNS do Azure não foram configurados corretamente

Exemplo: Servidor DNS personalizado hospedado no local

Essa arquitetura usa o Hub comum e a topologia de rede virtual Spoke. O ExpressRoute é usado para se conectar de sua rede local à rede virtual do Hub. O Servidor DNS personalizado é hospedado localmente. Uma rede virtual separada contém o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning e os recursos associados. Com essa topologia, precisa haver outra rede virtual que hospede um servidor DNS que possa enviar solicitações para o endereço IP do Servidor Virtual do DNS do Azure.

As etapas a seguir descrevem como essa tipologia funciona:

1. Criar Zona Privada de DNS e vincular à Rede Virtual do Servidor DNS:

   A primeira etapa para garantir que uma solução DNS personalizada funcione com seu espaço de trabalho do Azure Machine Learning é criar duas Zonas Privadas de DNS com raiz nos seguintes domínios:

   Regiões públicas do Azure:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Regiões do Azure Governamental nos EUA:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Observação

   Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.

   Após a criação da Zona de DNS Privado, ela precisa estar vinculada à VNet do Servidor DNS – a Rede Virtual que contém o Servidor DNS.

   Observação

   O Servidor DNS na rede virtual é separado do Servidor DNS Local.

   Uma Zona Privada de DNS substitui o direcionamento de nomes para todos os nomes que estão no escopo da raiz da zona. Essa substituição se aplica a todas as redes virtuais às quais a Zona Privada de DNS estiver vinculada. Por exemplo, se uma Zona de DNS Privado com raiz em privatelink.api.azureml.ms estiver vinculada à Rede Virtual foo, todos os recursos na Rede Virtual foo que tentarem resolver bar.workspace.westus2.privatelink.api.azureml.ms receberão qualquer registro listado na zona privatelink.api.azureml.ms.

   No entanto, os registros listados nas Zonas Privadas de DNS retornam somente para dispositivos que direcionem domínios usando o endereço IP padrão do Servidor DNS Virtual do Azure. O endereço de IP do Servidor DNS Virtual do Azure é válido apenas dentro do contexto de uma Rede Virtual. Ao usar um Servidor DNS local, ele não é capaz de consultar o endereço IP do Servidor DNS Virtual do Azure para recuperar registros.

   Para driblar esse comportamento, crie um Servidor DNS intermediário em uma rede virtual. Esse servidor DNS pode consultar o endereço IP do Servidor DNS Virtual do Azure para recuperar registros de qualquer Zona DNS Privada vinculada à rede virtual.

   Embora o Servidor DNS local direcione os domínios para os dispositivos distribuídos por toda a topologia de rede, ele indicará os domínios relacionados ao Azure Machine Learning em confronto com o servidor DNS. O Servidor DNS irá direcionar esses domínios a partir do endereço IP do Servidor DNS Virtual do Azure.

2. Crie um ponto de extremidade privado com integração DNS privada direcionada à Zona DNS Privada ligada à Rede Virtual do DNS do Microsoft Azure:

   A próxima etapa consiste em criar um Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. O ponto de extremidade privado se destina a ambas as zonas DNS privado criadas na etapa 1. Isso garante que toda a comunicação com o espaço de trabalho seja feita por meio do ponto de extremidade privado na rede virtual do Azure Machine Learning.

   Importante

   O ponto de extremidade privado deve ter a integração de DNS privado habilitada para que esse exemplo funcione corretamente.

3. Criar encaminhador condicional no servidor DNS para encaminhar ao DNS do Azure:

   Em seguida, crie um encaminhador condicional para o Servidor DNS Virtual do Azure. O encaminhador condicional garante que o servidor DNS sempre consulte o endereço IP do servidor virtual DNS do Azure para FQDNs relacionados ao seu espaço de trabalho. Isso significa que o Servidor DNS retornará o registro correspondente da Zona Privada de DNS.

   As zonas para encaminhar condicionalmente são listadas abaixo. O endereço IP do Servidor DNS Virtual do Azure é 168.63.129.16.

   Regiões públicas do Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us – usado por pontos de extremidade online gerenciados

   Importante

   As etapas de configuração para o servidor DNS não estão incluídas aqui, pois há muitas soluções de DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.

4. Criar encaminhador condicional no Servidor DNS Local para encaminhar ao Servidor DNS:

   Em seguida, crie um encaminhador condicional para o Servidor DNS na Rede Virtual do Servidor DNS. Esse encaminhador é para as zonas listadas na etapa 1. Isso é semelhante à etapa 3, mas, em vez de encaminhar para o endereço IP do Servidor DNS Virtual do Azure, o Servidor DNS Local será direcionado para o endereço IP do Servidor DNS. Como o Servidor DNS Local não está no Azure, não é possível direcionar diretamente os registros em Zonas DNS Privadas. Nesse caso, os proxies do Servidor DNS solicitam do Servidor DNS Local para o IP do Servidor DNS Virtual do Azure. Isso permite que o Servidor DNS local recupere registros nas Zonas de DNS Privadas vinculadas à Rede Virtual do Servidor DNS.

   As zonas para encaminhar condicionalmente são listadas abaixo. Os endereços IP aos quais encaminhar são os endereços IP dos seus Servidores DNS:

   Regiões públicas do Azure:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us – usado por pontos de extremidade online gerenciados

   Importante

   As etapas de configuração para o servidor DNS não estão incluídas aqui, pois há muitas soluções de DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.

5. Direcionar o domínio do espaço de trabalho:

   Neste ponto, toda a instalação está pronta. Qualquer cliente que usa o Servidor DNS local para o direcionamento de nomes e tem uma rota para o Ponto de Extremidade Privado do Azure Machine Learning, pode continuar a acessar o espaço de trabalho.

   O cliente primeiro começará consultando o servidor DNS Local a respeito do endereço dos seguintes FQDNs:

   Regiões públicas do Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

   Regiões Microsoft Azure operado pelo Domínio 21Vianet:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn – usado por pontos de extremidade online gerenciados

   Regiões do Azure Governamental nos EUA:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us – usado por pontos de extremidade online gerenciados

6. O servidor DNS local resolve recursivamente o domínio do espaço de trabalho:

   O servidor DNS local resolverá os FQDNs da etapa 5 do servidor DNS. Como houve um encaminhador condicional (etapa 4), o Servidor DNS local enviará a solicitação ao Servidor DNS para resolução.

7. O servidor DNS resolve o domínio do espaço de trabalho para CNAME do DNS do Azure:

   O servidor DNS resolverá os FQDNs da etapa 5 do DNS do Azure. O DNS do Azure responderá com um dos domínios listados na etapa 1.

8. O Servidor DNS Local direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Servidor DNS:

   O Servidor DNS local continuará direcionando repetidamente o CNAME recebido na etapa 7. Como houve uma configuração de encaminhador condicional na etapa 4, o Servidor DNS local enviará a solicitação ao Servidor DNS para o direcionamento.

9. O servidor DNS direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Azure:

   O Servidor DNS prosseguirá para direcionar repetidamente o CNAME recebido na etapa 7. Como houve uma configuração de encaminhador condicional na etapa 3, o Servidor DNS enviará a solicitação para o DNS do Azure IP do Servidor Virtual para resolução.

10. O DNS do Azure retorna registros da Zona DNS Privada:

    Os registros correspondentes armazenados nas Zonas DNS privado serão retornados ao Servidor DNS, o que significa que o servidor virtual DNS do Azure retorna os endereços IP do ponto de extremidade privado.

11. O Servidor DNS Local direciona o nome de domínio do espaço de trabalho para o endereço do ponto de extremidade privado:

    A consulta do Servidor DNS local ao Servidor DNS na etapa 8, por fim, retorna os endereços IP associados ao Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Esses endereços IP são retornados para o cliente original, que agora se comunicará com o espaço de trabalho do Azure Machine Learning através Ponto de Extremidade Privado configurado na etapa 1.

    Importante

    Se o Gateway de VPN estiver sendo usado nessa configuração junto com IP de servidor DNS personalizado na VNet, o IP do DNS do Azure (168.63.129.16) também precisará ser adicionado à lista para manter a comunicação ininterrupta.

Exemplo: arquivo de hosts

O arquivo hosts é um documento de texto que o Linux, o macOS e o Windows usam para substituir a resolução de nomes do computador local. O arquivo contém uma lista de endereços IP e o nome de host correspondente. Quando o computador local tentar resolver um nome de host, se o nome do host estiver listado no arquivo hosts, o nome será resolvido para o endereço IP correspondente.

Importante

O arquivo hosts substitui apenas a resolução de nomes do computador local. Se você quiser usar um arquivo hosts com vários computadores, deverá modificá-lo individualmente em cada computador.

A tabela a seguir lista a localização do arquivo hosts:

Sistema operacional	Local
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

Dica

O nome do arquivo é hosts sem extensão. Ao editar o arquivo, use o acesso de administrador. Por exemplo, no Linux ou no macOS, você pode usar sudo vi. No Windows, execute o bloco de notas como administrador.

Veja a seguir um exemplo de entradas de arquivo de hosts para o Azure Machine Learning:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Para obter mais informações sobre o arquivo hosts, confira https://wikipedia.org/wiki/Hosts_(file).

Resolução de DNS dos serviços de dependência

Os serviços dos quais seu workspace depende também podem ser protegidos por meio de um ponto de extremidade privado. Nesse caso, talvez seja necessário criar um registro DNS personalizado caso você precise se comunicar diretamente com o serviço. Por exemplo, se você quiser trabalhar diretamente com os dados em uma conta do Armazenamento do Azure usada pelo workspace.

Observação

Alguns serviços têm vários pontos de extremidade privados para serviços de assinatura ou recursos. Por exemplo, uma conta do Armazenamento do Azure pode ter pontos de extremidade privados individuais para Blob, Arquivo e DFS. Caso precise acessar o Armazenamento de Blobs e Arquivos, habilite a resolução para cada ponto de extremidade privado específico.

Para obter mais informações sobre os serviços e a resolução de DNS, confira Configuração de DNS do ponto de extremidade privado do Azure.

Solução de problemas

Se, depois de executar as etapas acima, você não conseguir acessar o espaço de trabalho a partir de uma máquina virtual ou os trabalhos falharem nos recursos de computação na Rede Virtual que contém o Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning, siga as etapas abaixo para tentar identificar a causa.

1. Localize os FQDNs do espaço de trabalho no Ponto de Extremidade Privado:

   Navegue até o portal do Azure usando um dos seguintes links:

   • Regiões públicas do Azure
   • Regiões Microsoft Azure operado pelo 21Vianet
   • Regiões do Azure Governamental nos EUA

   Navegue até o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning. Os FQDNs do espaço de trabalho serão listados na guia "Visão Geral".

2. Acessar recurso de computação na Topologia de Rede Virtual:

   Siga em frente para acessar um recurso de computação na topologia da Rede Virtual do Azure. Isso provavelmente exigirá o acesso a uma Máquina Virtual em uma Rede Virtual que está pareada com a Rede Virtual do Hub.

3. Direcionar os FQDNs do espaço de trabalho:

   Abra um prompt de comando, do shell ou PowerShell. Em seguida, para cada um dos FQDNs do espaço de trabalho, execute o seguinte comando:

   nslookup <workspace FQDN>

   O resultado de cada nslookup deve produzir um dos dois endereços IP privados no Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Caso contrário, há algo configurado de forma incorreta na solução DNS personalizada.

   Possíveis causas:

   • O recurso de computação que executa os comandos de solução de problemas não está usando o Servidor DNS para resolução DNS
   • As Zonas Privadas de DNS escolhidas ao criar o Ponto de Extremidade Privado não estão vinculadas à VNet do Servidor DNS
   • Os encaminhadores condicionais do Servidor DNS para o IP do Servidor DNS Virtual do Azure não foram configurados corretamente
   • Os encaminhadores condicionais do Servidor DNS local para o Servidor DNS não foram configurados corretamente

Próximas etapas

Este artigo faz parte de uma série sobre como proteger um fluxo de trabalho do Azure Machine Learning. Confira os outros artigos desta série:

• Visão geral da rede virtual

• Proteger os recursos do workspace
• Proteger o ambiente de treinamento
• Proteger o ambiente de inferência

• Habilitar a funcionalidade do estúdio
• Usar um firewall

Para informações sobre como integrar pontos de extremidade privados à sua configuração de DNS, confira Configuração de DNS do ponto de extremidade privado do Azure.