Çalışma alanınızı özel DNS sunucusuyla kullanma

Azure Machine Learning çalışma alanını özel uç noktayla kullanırken, DNS ad çözümlemesini işlemenin çeşitli yolları vardır. Varsayılan olarak, Azure çalışma alanınız ve özel uç noktanız için ad çözümlemesini otomatik olarak işler. Bunun yerine kendi özel DNS sunucunuzu kullanıyorsanız, çalışma alanı için el ile DNS girdileri oluşturmanız veya koşullu ileticiler kullanmanız gerekir.

Önemli

Bu makalede, DNS kayıtlarını DNS çözümünüzde el ile kaydetmek istiyorsanız, bu girdiler için tam etki alanı adlarının (FQDN) ve IP adreslerinin nasıl bulunacağı ele alınıyor. Ayrıca bu makale, FQDN'leri doğru IP adreslerine otomatik olarak çözümlemek için özel DNS çözümünüzü yapılandırmaya yönelik mimari önerileri sağlar. Bu makale, bu öğeler için DNS kayıtlarını yapılandırma hakkında bilgi SAĞLAMAZ. Kayıt ekleme hakkında bilgi için DNS yazılımınızın belgelerine bakın.

İpucu

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

• Sanal ağa genel bakış

• Çalışma alanı kaynaklarının güvenliğini sağlama
• Eğitim ortamının güvenliğini sağlama
• Çıkarım ortamının güvenliğini sağlama

• Stüdyo işlevselliğini etkinleştirme
• Güvenlik duvarı kullanma

Önkoşullar

• Kendi DNS sunucunuzu kullanan bir Azure Sanal Ağ.

• Özel uç noktaya sahip bir Azure Machine Learning çalışma alanı. Daha fazla bilgi için bkz . Azure Machine Learning çalışma alanı oluşturma.

• Eğitim ve çıkarım sırasında Ağ yalıtımını kullanma hakkında bilgi.

• Azure Özel Uç Nokta DNS bölgesi yapılandırması hakkında bilgi

• Azure Özel DNS hakkında bilgi

• İsteğe bağlı olarak, Azure CLI veya Azure PowerShell.

Otomatik DNS sunucusu tümleştirmesi

Giriş

Azure Machine Learning ile otomatik DNS sunucusu tümleştirmesini kullanmak için iki yaygın mimari vardır:

• Azure Sanal Ağ barındırılan özel bir DNS sunucusu.
• ExpressRoute aracılığıyla Azure Machine Learning'e bağlı, şirket içinde barındırılan özel bir DNS sunucusu.

Mimariniz bu örneklerden farklı olsa da, bunları bir başvuru noktası olarak kullanabilirsiniz. Her iki örnek mimari de yanlış yapılandırılmış olabilecek bileşenleri belirlemenize yardımcı olabilecek sorun giderme adımları sağlar.

Bir diğer seçenek de çalışma alanınızı içeren Azure Sanal Ağ (VNet) bağlantısı olan istemcideki dosyayı değiştirmektirhosts. Daha fazla bilgi için Konak dosyası bölümüne bakın.

Çalışma alanı DNS çözümleme yolu

Özel Bağlantı aracılığıyla belirli bir Azure Machine Learning çalışma alanına erişim, aşağıda listelenen aşağıdaki Tam Etki Alanları (çalışma alanı FQDN'leri olarak adlandırılır) ile iletişim kurarak yapılır:

Azure Genel bölgeleri:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
• <compute instance name>.<region the workspace was created in>.instances.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
• <managed online endpoint name>.<region>.inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
• <compute instance name>.<region the workspace was created in>.instances.azureml.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<region>.inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

Azure US Government bölgeleri:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
• <compute instance name>.<region the workspace was created in>.instances.azureml.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<region>.inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

Tam Etki Alanları, FQDN'ler Özel Bağlantı çalışma alanı olarak adlandırılan aşağıdaki Kurallı Adlara (CNAME) çözümlenir:

Azure Genel bölgeleri:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

21Vianet bölgesi tarafından sağlanan Azure:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

Azure US Government bölgeleri:

• <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
• ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
• <managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

FQDN'ler, bu bölgedeki Azure Machine Learning çalışma alanının IP adreslerine çözümlenmiş olur. Ancak, FQDN'ler Özel Bağlantı çalışma alanının çözümlemesi, sanal ağda barındırılan özel bir DNS sunucusu kullanılarak geçersiz kılınabilir. Bu mimari örneği için sanal ağ örneğinde barındırılan özel DNS sunucusuna bakın.

Not

Yönetilen çevrimiçi uç noktalar çalışma alanının özel uç noktasını paylaşır. DNS kayıtlarını özel DNS bölgesine privatelink.api.azureml.msel ile ekliyorsanız, çalışma alanının altındaki tüm uç noktaları özel uç noktaya yönlendirmek için joker karakter *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms içeren bir A kaydı eklenmelidir.

El ile DNS sunucusu tümleştirmesi

Bu bölümde, DNS Sunucusunda A kayıtlarının oluşturulacağı Tam Etki Alanları ve A kaydının değerinin ayarlanacağı IP adresi açıklanmıştır.

Özel Uç Nokta FQDN'lerini alma

Azure Genel bölgesi

Aşağıdaki liste, Azure Genel Bulut'taysa çalışma alanınız tarafından kullanılan tam etki alanı adlarını (FQDN) içerir:

• <workspace-GUID>.workspace.<region>.cert.api.azureml.ms

• <workspace-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net

  Not

  Bu FQDN'nin çalışma alanı adı kesilebilir. Kesme işlemi 63 veya daha az karakterde tutmak ml-<workspace-name, truncated>-<region>-<workspace-guid> için yapılır.

• <instance-name>.<region>.instances.azureml.ms

  Not

  • İşlem örneklerine yalnızca sanal ağ içinden erişilebilir.
  • Bu FQDN'nin IP adresi işlem örneğinin IP adresi değildir . Bunun yerine, çalışma alanı özel uç noktasının özel IP adresini (girdilerin IP'sini *.api.azureml.ms ) kullanın.

• <managed online endpoint name>.<region>.inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

21Vianet bölgesi tarafından sağlanan Microsoft Azure

Aşağıdaki FQDN'ler 21Vianet bölgeleri tarafından sağlanan Microsoft Azure'a yöneliktir:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn

• <workspace-GUID>.workspace.<region>.api.ml.azure.cn

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn

  Not

  Bu FQDN'nin çalışma alanı adı kesilebilir. Kesme işlemi 63 veya daha az karakterde tutmak ml-<workspace-name, truncated>-<region>-<workspace-guid> için yapılır.

• <instance-name>.<region>.instances.azureml.cn

  • Bu FQDN'nin IP adresi işlem örneğinin IP adresi değildir . Bunun yerine, çalışma alanı özel uç noktasının özel IP adresini (girdilerin IP'sini *.api.azureml.ms ) kullanın.

• <managed online endpoint name>.<region>.inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

Azure ABD Kamu

Aşağıdaki FQDN'ler Azure ABD Kamu bölgeleri içindir:

• <workspace-GUID>.workspace.<region>.cert.api.ml.azure.us

• <workspace-GUID>.workspace.<region>.api.ml.azure.us

• ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net

  Not

  Bu FQDN'nin çalışma alanı adı kesilebilir. Kesme işlemi 63 veya daha az karakterde tutmak ml-<workspace-name, truncated>-<region>-<workspace-guid> için yapılır.

• <instance-name>.<region>.instances.azureml.us

  • Bu FQDN'nin IP adresi işlem örneğinin IP adresi değildir . Bunun yerine, çalışma alanı özel uç noktasının özel IP adresini (girdilerin IP'sini *.api.azureml.ms ) kullanın.

• <managed online endpoint name>.<region>.inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

IP adreslerini bulma

Sanal ağdaki FQDN'lerin iç IP adreslerini bulmak için aşağıdaki yöntemlerden birini kullanın:

Not

Tam etki alanı adları ve IP adresleri yapılandırmanıza göre farklı olacaktır. Örneğin, etki alanı adındaki GUID değeri çalışma alanınıza özgü olacaktır.

Azure CLI

1. Özel uç nokta ağ arabiriminin kimliğini almak için aşağıdaki komutu kullanın:

   az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
   

2. IP adresi ve FQDN bilgilerini almak için aşağıdaki komutu kullanın. değerini önceki adımdaki kimlikle değiştirin <resource-id> :

   az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
   

   Çıktı şu metinle benzerlik gösterecektir:

   [
       {
           "FQDNs": [
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms",
           "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms"
           ],
           "IPAddress": "10.1.0.5"
       },
       {
           "FQDNs": [
           "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net"
           ],
           "IPAddress": "10.1.0.6"
       },
       {
           "FQDNs": [
           "*.eastus.inference.ml.azure.com"
           ],
           "IPAddress": "10.1.0.7"
       }
   ]
   

Azure PowerShell

$workspaceDns=Get-AzPrivateEndpoint -Name <endpoint> -resourcegroupname <resource-group>
$workspaceDns.CustomDnsConfigs | format-table

Azure portalı

1. Azure portalında Azure Machine Learning çalışma alanınızı seçin.

2. Ayarlar bölümünde Özel uç nokta bağlantıları'nı seçin.

3. Görüntülenen Özel uç nokta sütunundaki bağlantıyı seçin.

4. Çalışma alanı özel uç noktası için tam etki alanı adlarının (FQDN) ve IP adreslerinin listesi sayfanın en altındadır.

   

   İpucu

   DNS ayarları sayfanın en altında görünmüyorsa, FQDN'leri görüntülemek için sayfanın sol tarafındaki DNS yapılandırma bağlantısını kullanın.

Tüm yöntemlerden döndürülen bilgiler aynıdır; kaynaklar için FQDN ve özel IP adresinin listesi. Aşağıdaki örnek Azure Genel Bulutu'ndandır:

FQDN	IP Adresi
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms	10.1.0.5
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms	10.1.0.5
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net	10.1.0.6
*.eastus.inference.ml.azure.com	10.1.0.7

Aşağıdaki tabloda, 21Vianet bölgeleri tarafından çalıştırılan Microsoft Azure'dan alınan örnek IP'ler gösterilmektedir:

FQDN	IP Adresi
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn	10.1.0.5
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn	10.1.0.6
*.chinaeast2.inference.ml.azure.cn	10.1.0.7

Aşağıdaki tabloda Azure ABD Kamu bölgelerinden örnek IP'ler gösterilmektedir:

FQDN	IP Adresi
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us	10.1.0.5
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us	10.1.0.5
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net	10.1.0.6
*.usgovvirginia.inference.ml.azure.us	10.1.0.7

Not

Yönetilen çevrimiçi uç noktalar çalışma alanı özel uç noktasını paylaşır. Dns kayıtlarını özel DNS bölgesine privatelink.api.azureml.msel ile ekliyorsanız, çalışma alanının altındaki tüm uç noktaları özel uç noktaya yönlendirmek için joker karakter *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms içeren bir A kaydı eklenmelidir.

Özel DNS sunucusunda A kayıtları oluşturma

FQDN'lerin listesi ve buna karşılık gelen IP adresleri toplandıktan sonra, yapılandırılan DNS Sunucusunda A kayıtları oluşturmaya devam edin. A kayıtlarının nasıl oluşturulacağını belirlemek için DNS sunucunuzun belgelerine bakın. FQDN'nin tamamı için benzersiz bir bölge oluşturmanız ve bölgenin kökünde A kaydı oluşturmanız önerilir.

Örnek: Sanal ağda barındırılan özel DNS Sunucusu

Bu mimari ortak Hub ve Spoke sanal ağ topolojisini kullanır. Bir sanal ağ DNS sunucusunu, bir sanal ağ ise Azure Machine Learning çalışma alanının ve ilişkili kaynakların özel uç noktasını içerir. Her iki sanal ağ arasında geçerli bir yol olmalıdır. Örneğin, bir dizi eşlenmiş sanal ağ aracılığıyla.

Aşağıdaki adımlarda bu topolojinin nasıl çalıştığı açıklanmaktadır:

1. Özel DNS Bölgesi oluşturma ve DNS Sunucusu Sanal Ağ bağlantı:

   Bir Özel DNS çözümünün Azure Machine Learning çalışma alanınızla çalıştığından emin olmak için ilk adım, aşağıdaki etki alanlarında köke sahip iki Özel DNS Bölgesi oluşturmaktır:

   Azure Genel bölgeleri:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government bölgeleri:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Not

   Yönetilen çevrimiçi uç noktalar çalışma alanı özel uç noktasını paylaşır. Dns kayıtlarını özel DNS bölgesine privatelink.api.azureml.msel ile ekliyorsanız, çalışma alanının altındaki tüm uç noktaları özel uç noktaya yönlendirmek için joker karakter *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms içeren bir A kaydı eklenmelidir.

   Özel DNS Bölgesi oluşturuldu sonra DNS Sunucusu Sanal Ağ bağlanmalıdır. DNS Sunucusunu içeren Sanal Ağ.

   Özel DNS Bölgesi, bölgenin kökü kapsamındaki tüm adlar için ad çözümlemesini geçersiz kılar. Bu geçersiz kılma, Özel DNS Bölgesi'nin bağlı olduğu tüm Sanal Ağ için geçerlidir. Örneğin, kökü privatelink.api.azureml.ms Özel DNS bir Bölge Sanal Ağ foo'ya bağlıysa, Sanal Ağ foo'daki çözümlemeye bar.workspace.westus2.privatelink.api.azureml.ms çalışan tüm kaynaklar bölgede privatelink.api.azureml.ms listelenen tüm kayıtları alır.

   Ancak, Özel DNS Bölgelerinde listelenen kayıtlar yalnızca varsayılan Azure DNS Sanal Sunucusu IP adresi kullanılarak etki alanlarını çözümlenen cihazlara döndürülür. Bu nedenle özel DNS Sunucusu, ağ topolojinize yayılmış cihazlar için etki alanlarını çözümler. Ancak özel DNS Sunucusunun Azure Machine Learning ile ilgili etki alanlarını Azure DNS Sanal Sunucusu IP adresiyle çözümlemesi gerekir.

2. DNS Sunucusu Sanal Ağ bağlı Özel DNS Bölgesini hedefleyen özel DNS tümleştirmesi ile özel uç nokta oluşturun:

   Sonraki adım, Azure Machine Learning çalışma alanı için bir Özel Uç Nokta oluşturmaktır. Özel uç nokta, 1. adımda oluşturulan her iki Özel DNS Bölgesini de hedefler. Bu, çalışma alanıyla tüm iletişimin Azure Machine Learning Sanal Ağ Özel Uç Nokta üzerinden yapılmasını sağlar.

   Önemli

   Bu örneğin düzgün çalışması için özel uç noktanın Özel DNS tümleştirmesi etkinleştirilmelidir.

3. Azure DNS'ye iletmek için DNS Sunucusunda koşullu iletici oluşturma:

   Ardından, Azure DNS Sanal Sunucusu'na bir koşullu iletici oluşturun. Koşullu iletici, DNS sunucusunun her zaman çalışma alanınızla ilgili FQDN'ler için Azure DNS Sanal Sunucu IP adresini sorgulamasını sağlar. Bu, DNS Sunucusunun ilgili kaydı Özel DNS Bölgesinden döndüreceği anlamına gelir.

   Koşullu olarak iletecek bölgeler aşağıda listelenmiştir. Azure DNS Sanal Sunucusu IP adresi 168.63.129.16'dır:

   Azure Genel bölgeleri:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Azure US Government bölgeleri:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Önemli

   Özel DNS Sunucusu olarak kullanılabilecek birçok DNS çözümü olduğundan, DNS Sunucusu yapılandırma adımları buraya eklenmez. Koşullu iletmeyi uygun şekilde yapılandırmaya yönelik DNS çözümünüzün belgelerine bakın.

4. Çalışma alanı etki alanını çözümleme:

   Bu noktada, tüm kurulum yapılır. Artık ad çözümlemesi için DNS Sunucusu kullanan ve Azure Machine Learning Özel Uç Noktasına giden bir yolu olan tüm istemciler çalışma alanına erişmeye devam edebilir. İstemci ilk olarak aşağıdaki FQDN'lerin adresi için DNS Sunucusu'nu sorgulayarak başlar:

   Azure Genel bölgeleri:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Azure US Government bölgeleri:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

5. Azure DNS çalışma alanı etki alanını CNAME olarak yinelemeli olarak çözümler:

   DNS Sunucusu, Azure DNS'nin 4. adımındaki FQDN'leri çözümler. Azure DNS, 1. adımda listelenen etki alanlarından biriyle yanıt verir.

6. DNS Sunucusu, Azure DNS'den çalışma alanı etki alanı CNAME kaydını yinelemeli olarak çözümler:

   DNS Sunucusu, 5. adımda alınan CNAME'yi yinelemeli olarak çözümlemeye devam edecektir. 3. adımda bir koşullu iletici kurulumu olduğundan, DNS Sunucusu çözüm için isteği Azure DNS Sanal Sunucusu IP adresine gönderir.

7. Azure DNS, Özel DNS bölgeden kayıtları döndürür:

   Özel DNS Bölgelerinde depolanan ilgili kayıtlar DNS Sunucusu'na döndürülür; bu da Azure DNS Sanal Sunucusu'nun Özel Uç Noktanın IP adreslerini döndürdüğü anlamına gelir.

8. Özel DNS Sunucusu, çalışma alanı etki alanı adını özel uç nokta adresine çözümler:

   Sonuçta Özel DNS Sunucusu artık 4. adımdaki istemciye Özel Uç Nokta'nın IP adreslerini döndürür. Bu, Azure Machine Learning çalışma alanına yönelik tüm trafiğin Özel Uç Nokta üzerinden olmasını sağlar.

Sorun giderme

Çalışma alanına sanal makineden erişemiyorsanız veya işler sanal ağdaki işlem kaynaklarında başarısız oluyorsa, nedenini belirlemek için aşağıdaki adımları kullanın:

1. Özel Uç Nokta'da çalışma alanı FQDN'lerini bulun:

   Aşağıdaki bağlantılardan birini kullanarak Azure portalına gidin:

   • Azure Genel bölgeleri
   • 21Vianet bölgeleri tarafından sağlanan Microsoft Azure
   • Azure US Government bölgeleri

   Özel Uç Nokta'ya gidip Azure Machine Learning çalışma alanına gidin. Çalışma alanı FQDN'leri "Genel Bakış" sekmesinde listelenir.

2. Sanal Ağ topolojisinde işlem kaynağına erişme:

   Azure Sanal Ağ topolojisindeki bir işlem kaynağına erişmeye devam edin. Bu büyük olasılıkla Hub Sanal Ağ ile eşlenen bir Sanal Ağ Sanal Makineye erişmeyi gerektirir.

3. Çalışma alanı FQDN'lerini çözme:

   Bir komut istemi, kabuk veya PowerShell açın. Ardından her çalışma alanı FQDN'si için aşağıdaki komutu çalıştırın:

   nslookup <workspace FQDN>

   Her nslookup sonucunun, Azure Machine Learning çalışma alanına Özel Uç Nokta üzerindeki iki özel IP adreslerinden birini döndürmesi gerekir. Bunu yapmazsa özel DNS çözümünde yanlış yapılandırılmış bir şey vardır.

   Olası nedenler:

   • Sorun giderme komutlarını çalıştıran işlem kaynağı DNS çözümlemesi için DNS Sunucusunu kullanmıyor
   • Özel Uç Nokta oluşturulurken seçilen Özel DNS Bölgeleri DNS Sunucusu Sanal Ağına bağlı değil
   • Azure DNS Sanal Sunucusu IP'sine koşullu ileticiler doğru yapılandırılmadı

Örnek: Şirket içinde barındırılan özel DNS Sunucusu

Bu mimari ortak Hub ve Spoke sanal ağ topolojisini kullanır. ExpressRoute, şirket içi ağınızdan Hub sanal ağına bağlanmak için kullanılır. Özel DNS sunucusu şirket içinde barındırılır. Ayrı bir sanal ağ, Azure Machine Learning çalışma alanının ve ilişkili kaynakların özel uç noktasını içerir. Bu topolojiyle, Azure DNS Sanal Sunucusu IP adresine istek gönderebilen bir DNS sunucusunu barındıran başka bir sanal ağ olması gerekir.

Aşağıdaki adımlarda bu topolojinin nasıl çalıştığı açıklanmaktadır:

1. Özel DNS Bölgesi oluşturma ve DNS Sunucusu Sanal Ağ bağlantı:

   Bir Özel DNS çözümünün Azure Machine Learning çalışma alanınızla çalıştığından emin olmak için ilk adım, aşağıdaki etki alanlarında köke sahip iki Özel DNS Bölgesi oluşturmaktır:

   Azure Genel bölgeleri:

   • privatelink.api.azureml.ms
   • privatelink.notebooks.azure.net

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • privatelink.api.ml.azure.cn
   • privatelink.notebooks.chinacloudapi.cn

   Azure US Government bölgeleri:

   • privatelink.api.ml.azure.us
   • privatelink.notebooks.usgovcloudapi.net

   Not

   Yönetilen çevrimiçi uç noktalar çalışma alanı özel uç noktasını paylaşır. Dns kayıtlarını özel DNS bölgesine privatelink.api.azureml.msel ile ekliyorsanız, çalışma alanının altındaki tüm uç noktaları özel uç noktaya yönlendirmek için joker karakter *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms içeren bir A kaydı eklenmelidir.

   Özel DNS Bölgesinin oluşturulmasının ardından DNS Sunucusu sanal ağında (DNS Sunucusunu içeren Sanal Ağ) bağlanması gerekir.

   Not

   Sanal ağdaki DNS Sunucusu, Şirket İçi DNS Sunucusu'ndan ayrıdır.

   Özel DNS Bölgesi, bölgenin kökü kapsamındaki tüm adlar için ad çözümlemesini geçersiz kılar. Bu geçersiz kılma, Özel DNS Bölgesi'nin bağlı olduğu tüm Sanal Ağ için geçerlidir. Örneğin, kökü privatelink.api.azureml.ms Özel DNS bir Bölge Sanal Ağ foo'ya bağlıysa, Sanal Ağ foo'daki çözümlemeye bar.workspace.westus2.privatelink.api.azureml.ms çalışan tüm kaynaklar privatelink.api.azureml.ms bölgesinde listelenen tüm kayıtları alır.

   Ancak, Özel DNS Bölgelerinde listelenen kayıtlar yalnızca varsayılan Azure DNS Sanal Sunucusu IP adresi kullanılarak etki alanlarını çözümlenen cihazlara döndürülür. Azure DNS Sanal Sunucusu IP adresi yalnızca bir Sanal Ağ bağlamında geçerlidir. Şirket içi DNS sunucusu kullanırken, kayıtları almak için Azure DNS Sanal Sunucusu IP adresini sorgulayamaz.

   Bu davranışı geçici olarak çözmek için sanal ağda bir aracı DNS Sunucusu oluşturun. Bu DNS sunucusu, sanal ağa bağlı herhangi bir Özel DNS Bölgesinin kayıtlarını almak için Azure DNS Sanal Sunucusu IP adresini sorgulayabilir.

   Şirket içi DNS Sunucusu, ağ topolojinize yayılmış cihazlar için etki alanlarını çözümlese de, Azure Machine Learning ile ilgili etki alanlarını DNS Sunucusu'na karşı çözümler. DNS Sunucusu, bu etki alanlarını Azure DNS Sanal Sunucusu IP adresinden çözümler.

2. DNS Sunucusu Sanal Ağ bağlı Özel DNS Bölgesini hedefleyen özel DNS tümleştirmesi ile özel uç nokta oluşturun:

   Sonraki adım, Azure Machine Learning çalışma alanı için bir Özel Uç Nokta oluşturmaktır. Özel uç nokta, 1. adımda oluşturulan her iki Özel DNS Bölgesini de hedefler. Bu, çalışma alanıyla tüm iletişimin Azure Machine Learning Sanal Ağ Özel Uç Nokta üzerinden yapılmasını sağlar.

   Önemli

   Bu örneğin düzgün çalışması için özel uç noktanın Özel DNS tümleştirmesi etkinleştirilmelidir.

3. Azure DNS'ye iletmek için DNS Sunucusunda koşullu iletici oluşturma:

   Ardından, Azure DNS Sanal Sunucusu'na bir koşullu iletici oluşturun. Koşullu iletici, DNS sunucusunun her zaman çalışma alanınızla ilgili FQDN'ler için Azure DNS Sanal Sunucu IP adresini sorgulamasını sağlar. Bu, DNS Sunucusunun ilgili kaydı Özel DNS Bölgesinden döndüreceği anlamına gelir.

   Koşullu olarak iletecek bölgeler aşağıda listelenmiştir. Azure DNS Sanal Sunucusu IP adresi 168.63.129.16'dır.

   Azure Genel bölgeleri:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • aznbcontent.net
   • inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • aznbcontent.net
   • inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Azure US Government bölgeleri:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • aznbcontent.net
   • inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Önemli

   Özel DNS Sunucusu olarak kullanılabilecek birçok DNS çözümü olduğundan, DNS Sunucusu yapılandırma adımları buraya eklenmez. Koşullu iletmeyi uygun şekilde yapılandırmaya yönelik DNS çözümünüzün belgelerine bakın.

4. DNS Sunucusu'na iletmek için Şirket içi DNS Sunucusu'nda koşullu iletici oluşturun:

   Ardından, DNS Sunucusu Sanal Ağ DNS Sunucusu'na bir koşullu iletici oluşturun. Bu iletici, 1. adımda listelenen bölgelere yöneliktir. Bu, 3. adıma benzer, ancak Şirket İçi DNS Sunucusu, Azure DNS Sanal Sunucusu IP adresine iletmek yerine DNS Sunucusunun IP adresini hedefler. Şirket içi DNS Sunucusu Azure'da olmadığından, Özel DNS Bölgelerindeki kayıtları doğrudan çözümleyemez. Bu durumda, DNS Sunucusu proxy'leri Şirket İçi DNS Sunucusundan Azure DNS Sanal Sunucusu IP'sine istekte bulunur. Bu, Şirket İçi DNS Sunucusunun DNS Sunucusu Sanal Ağ bağlı Özel DNS Bölgelerindeki kayıtları almasını sağlar.

   Koşullu olarak iletecek bölgeler aşağıda listelenmiştir. İletilecek IP adresleri, DNS Sunucularınızın IP adresleridir:

   Azure Genel bölgeleri:

   • api.azureml.ms
   • notebooks.azure.net
   • instances.azureml.ms
   • inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • api.ml.azure.cn
   • notebooks.chinacloudapi.cn
   • instances.azureml.cn
   • inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Azure US Government bölgeleri:

   • api.ml.azure.us
   • notebooks.usgovcloudapi.net
   • instances.azureml.us
   • inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Önemli

   Özel DNS Sunucusu olarak kullanılabilecek birçok DNS çözümü olduğundan, DNS Sunucusu yapılandırma adımları buraya eklenmez. Koşullu iletmeyi uygun şekilde yapılandırmaya yönelik DNS çözümünüzün belgelerine bakın.

5. Çalışma alanı etki alanını çözümleme:

   Bu noktada, tüm kurulum yapılır. Ad çözümlemesi için şirket içi DNS Sunucusu kullanan ve Azure Machine Learning Özel Uç Noktasına giden bir yolu olan tüm istemciler çalışma alanına erişmeye devam edebilir.

   İstemci ilk olarak aşağıdaki FQDN'lerin adresi için Şirket İçi DNS Sunucusu'nu sorgulayarak başlar:

   Azure Genel bölgeleri:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
   • <managed online endpoint name>.<region>.inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   21Vianet bölgeleri tarafından sağlanan Microsoft Azure:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
   • <managed online endpoint name>.<region>.inference.ml.azure.cn - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

   Azure US Government bölgeleri:

   • <per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
   • ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
   • <managed online endpoint name>.<region>.inference.ml.azure.us - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

6. Şirket içi DNS sunucusu, çalışma alanı etki alanını yinelemeli olarak çözümler:

   Şirket içi DNS Sunucusu, DNS Sunucusu'ndan 5. adımdaki FQDN'leri çözümler. Koşullu iletici (4. adım) olduğundan, şirket içi DNS Sunucusu isteği çözümlemek üzere DNS Sunucusu'na gönderir.

7. DNS Sunucusu, çalışma alanı etki alanını Azure DNS'den CNAME olarak çözümler:

   DNS sunucusu, Azure DNS'nin 5. adımındaki FQDN'leri çözümler. Azure DNS, 1. adımda listelenen etki alanlarından biriyle yanıt verir.

8. Şirket içi DNS Sunucusu, DNS Sunucusundan çalışma alanı etki alanı CNAME kaydını yinelemeli olarak çözümler:

   Şirket içi DNS Sunucusu, 7. adımda alınan CNAME'yi yinelemeli olarak çözümlemeye devam edecektir. 4. adımda koşullu iletici kurulumu olduğundan, Şirket içi DNS Sunucusu çözümleme için isteği DNS Sunucusu'na gönderir.

9. DNS Sunucusu, Azure DNS'den çalışma alanı etki alanı CNAME kaydını yinelemeli olarak çözümler:

   DNS Sunucusu, 7. adımda alınan CNAME'yi yinelemeli olarak çözümlemeye devam edecektir. 3. adımda bir koşullu iletici kurulumu olduğundan, DNS Sunucusu çözüm için isteği Azure DNS Sanal Sunucusu IP adresine gönderir.

10. Azure DNS, Özel DNS bölgeden kayıtları döndürür:

    Özel DNS Bölgelerinde depolanan ilgili kayıtlar DNS Sunucusu'na döndürülür; bu da Azure DNS Sanal Sunucusu'nun Özel Uç Noktanın IP adreslerini döndürdüğü anlamına gelir.

11. Şirket içi DNS Sunucusu, çalışma alanı etki alanı adını özel uç nokta adresine çözümler:

    8. adımda Şirket İçi DNS Sunucusu'ndan DNS Sunucusu'na yapılan sorgu, son olarak Özel Uç Nokta ile ilişkili IP adreslerini Azure Machine Learning çalışma alanına döndürür. Bu IP adresleri özgün istemciye döndürülür ve bu istemci artık 1. adımda yapılandırılan Özel Uç Nokta üzerinden Azure Machine Learning çalışma alanıyla iletişim kurar.

    Önemli

    Vpn Gateway, sanal ağ üzerindeki özel DNS Sunucusu IP'leriyle birlikte bu kurulumda kullanılıyorsa, kesintisiz iletişimin sürdürülebilmesi için Azure DNS IP'sinin (168.63.129.16) listeye eklenmesi gerekir.

Örnek: Konaklar dosyası

Dosya hosts , Linux, macOS ve Windows'un yerel bilgisayar için ad çözümlemesini geçersiz kılmak için kullandığı bir metin belgesidir. Dosya, IP adreslerinin listesini ve buna karşılık gelen ana bilgisayar adını içerir. Yerel bilgisayar bir ana bilgisayar adını çözümlemeye çalıştığında, ana bilgisayar adı dosyada hosts listeleniyorsa, ad ilgili IP adresine çözümlenir.

Önemli

Dosya hosts yalnızca yerel bilgisayar için ad çözümlemesini geçersiz kılar. Bir dosyayı birden çok bilgisayarla kullanmak hosts istiyorsanız, dosyayı her bilgisayarda ayrı ayrı değiştirmeniz gerekir.

Aşağıdaki tabloda dosyanın konumu hosts listelenir:

İşletim sistemi	Konum
Linux	/etc/hosts
macOS	/etc/hosts
Windows	%SystemRoot%\System32\drivers\etc\hosts

İpucu

Dosyanın hosts adı uzantısız. Dosyayı düzenlerken yönetici erişimini kullanın. Örneğin, Linux veya macOS'ta kullanabilirsiniz sudo vi. Windows'ta, not defteri'ni yönetici olarak çalıştırın.

Aşağıda Azure Machine Learning için dosya girdilerine bir örnek hosts verilmiştir:

# For core Azure Machine Learning hosts
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5    fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6    ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net

# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7    mymanagedendpoint.eastus.inference.ml.azure.com

# For a compute instance named 'mycomputeinstance'
10.1.0.5    mycomputeinstance.eastus.instances.azureml.ms

Dosya hakkında hosts daha fazla bilgi için bkz https://wikipedia.org/wiki/Hosts_(file). .

Bağımlılık hizmetleri DNS çözümlemesi

Çalışma alanınızın kullandığı hizmetler de özel bir uç nokta kullanılarak güvenli hale getirilebilir. Öyleyse, hizmetle doğrudan iletişim kurmanız gerekiyorsa özel bir DNS kaydı oluşturmanız gerekebilir. Örneğin, çalışma alanınız tarafından kullanılan azure Depolama hesabındaki verilerle doğrudan çalışmak istiyorsanız.

Not

Bazı hizmetlerin alt hizmetler veya özellikler için birden çok özel uç noktası vardır. Örneğin, bir Azure Depolama Hesabı Blob, Dosya ve DFS için ayrı ayrı özel uç noktalara sahip olabilir. Hem Blob hem de Dosya depolamaya erişmeniz gerekiyorsa, her özel uç nokta için çözümlemeyi etkinleştirmeniz gerekir.

Hizmetler ve DNS çözümlemesi hakkında daha fazla bilgi için bkz . Azure Özel Uç Nokta DNS yapılandırması.

Sorun giderme

Yukarıdaki adımları izledikten sonra sanal makineden çalışma alanına erişemiyorsanız veya işler Azure Machine Learning çalışma alanına Özel Uç Nokta'yı içeren Sanal Ağ işlem kaynaklarında başarısız oluyorsa, nedenini belirlemeye çalışmak için aşağıdaki adımları izleyin.

1. Özel Uç Nokta'da çalışma alanı FQDN'lerini bulun:

   Aşağıdaki bağlantılardan birini kullanarak Azure portalına gidin:

   • Azure Genel bölgeleri
   • 21Vianet bölgeleri tarafından sağlanan Microsoft Azure
   • Azure US Government bölgeleri

   Özel Uç Nokta'ya gidip Azure Machine Learning çalışma alanına gidin. Çalışma alanı FQDN'leri "Genel Bakış" sekmesinde listelenir.

2. Sanal Ağ topolojisinde işlem kaynağına erişme:

   Azure Sanal Ağ topolojisindeki bir işlem kaynağına erişmeye devam edin. Bu büyük olasılıkla Hub Sanal Ağ ile eşlenen bir Sanal Ağ Sanal Makineye erişmeyi gerektirir.

3. Çalışma alanı FQDN'lerini çözme:

   Bir komut istemi, kabuk veya PowerShell açın. Ardından her çalışma alanı FQDN'si için aşağıdaki komutu çalıştırın:

   nslookup <workspace FQDN>

   Her nslookup işlevinin sonucu Azure Machine Learning çalışma alanına Özel Uç Noktadaki iki özel IP adresinden birini vermelidir. Bunu yapmazsa özel DNS çözümünde yanlış yapılandırılmış bir şey vardır.

   Olası nedenler:

   • Sorun giderme komutlarını çalıştıran işlem kaynağı DNS çözümlemesi için DNS Sunucusunu kullanmıyor
   • Özel Uç Nokta oluşturulurken seçilen Özel DNS Bölgeleri DNS Sunucusu Sanal Ağına bağlı değil
   • DNS Sunucusundan Azure DNS Sanal Sunucusu IP'sine koşullu ileticiler doğru yapılandırılmadı
   • Şirket İçi DNS Sunucusundan DNS Sunucusuna koşullu ileticiler doğru yapılandırılmadı

Sonraki adımlar

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

• Sanal ağa genel bakış

• Çalışma alanı kaynaklarının güvenliğini sağlama
• Eğitim ortamının güvenliğini sağlama
• Çıkarım ortamının güvenliğini sağlama

• Stüdyo işlevselliğini etkinleştirme
• Güvenlik duvarı kullanma

Özel Uç Noktaları DNS yapılandırmanızla tümleştirme hakkında bilgi için bkz . Azure Özel Uç Nokta DNS yapılandırması.