Risolvere i problemi di connettività all'endpoint privato

Quando ci si connette a un'area di lavoro di Azure Machine Learning configurata con un endpoint privato, si potrebbe riscontrare un errore 403 o un messaggio che indica che l'accesso è negato. Questo articolo spiega come verificare la presenza di problemi di configurazione comuni che causano questo errore.

Suggerimento

Prima di usare la procedura descritta in questo articolo, provare l'API di diagnostica dell'area di lavoro di Azure Machine Learning. Può essere utile per identificare i problemi di configurazione con l'area di lavoro. Per altre informazioni, vedere Come usare la diagnostica dell'area di lavoro.

Configurazione del DNS

I passaggi per la risoluzione dei problemi per la configurazione DNS variano a seconda che si usi DNS di Azure o un DNS personalizzato. Usare la procedura seguente per determinare il DNS che si sta usando:

  1. Nel portale di Azure selezionare l'endpoint privato per l'area di lavoro di Azure Machine Learning.

  2. Nella pagina Panoramica selezionare il collegamento Interfaccia di rete.

    Screenshot della panoramica dell'endpoint privato con il collegamento dell'interfaccia di rete evidenziato.

  3. In Impostazioniselezionare Configurazioni IP e quindi selezionare il collegamento Rete virtuale.

    Screenshot della configurazione IP con il collegamento di rete virtuale evidenziato.

  4. Nella sezione Impostazioni a sinistra della pagina selezionare la voce Server DNS.

    Screenshot della configurazione dei server DNS.

Risoluzione dei problemi del DNS personalizzato

Seguire questa procedura per verificare se la soluzione basata sul DNS personalizzato risolve correttamente i nomi agli indirizzi IP:

  1. Da una macchina virtuale, un portatile, un desktop o un'altra risorsa di calcolo con una connessione funzionante all'endpoint privato, aprire un Web browser. Nel browser usare l'URL per l'area di Azure:

    Area di Azure URL
    Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false
    Microsoft Azure gestito da 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false
    Tutte le altre aree https://portal.azure.com/?feature.privateendpointmanagedns=false
  2. Nel portale selezionare l'endpoint privato per l'area di lavoro. Creare un elenco di FQDN elencati per l'endpoint privato.

    Screenshot dell'endpoint privato con le impostazioni DNS personalizzate evidenziate.

  3. Aprire un prompt dei comandi, PowerShell o un'altra riga di comando ed eseguire il comando seguente per ogni nome di dominio completo restituito dal passaggio precedente. Ogni volta che si esegue il comando, verificare che l'indirizzo IP restituito corrisponda all'indirizzo IP elencato nel portale per il nome di dominio completo:

    nslookup <fqdn>

    Ad esempio, l'esecuzione del comando nslookup a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1.workspace.eastus.api.azureml.ms restituirà un valore simile al testo seguente:

    Server: yourdnsserver
    Address: yourdnsserver-IP-address
    
    Name: a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1.workspace.eastus.api.azureml.ms
    Address: 10.3.0.5
    
  4. Se il comando nslookup restituisce un errore o un indirizzo IP diverso rispetto a quello visualizzato nel portale, la soluzione DNS personalizzata non è configurata correttamente. Per altre informazioni, vedere Come usare l'area di lavoro con un server DNS personalizzato.

Risoluzione dei problemi di DNS di Azure

Quando si usa DNS di Azure per la risoluzione dei nomi, seguire questa procedura per verificare che l'integrazione del DNS privato sia configurata correttamente:

  1. Nell'endpoint privato selezionare Configurazione DNS. Per ogni voce nella colonna Zona DNS privato, deve essere presente anche una voce nella colonna Gruppo di zone DNS.

    Screenshot della configurazione DNS con la zona e il gruppo del DNS privato evidenziati.

    • Se è presente una voce Zona DNS privato, ma non la voce Gruppo di zone DNS, eliminare e ricreare l'endpoint privato. Quando si ricrea l'endpoint privato, abilitare Integrazione zona DNS privato.

    • Se la voce Gruppo di zone DNS non è vuota, selezionare il collegamento associato alla voce Zona DNS privato.

      In Zona DNS privato selezionare Collegamenti di rete virtuale. Dovrebbe essere presente un collegamento alla rete virtuale. Se non sono presenti collegamenti di questo tipo, eliminare e ricreare l'endpoint privato. Durante la creazione dell'endpoint, selezionare una zona DNS privato collegata alla rete virtuale o crearne una nuova collegata.

      Screenshot dei collegamenti di rete virtuale per la zona del DNS privato.

  2. Ripetere i passaggi precedenti per il resto delle voci della zona DNS privato.

Configurazione del browser (DNS su HTTPS)

Controllare se DNS su HTTP è abilitato nel Web browser. DNS su HTTP impedisce a DNS di Azure di rispondere con l'indirizzo IP dell'endpoint privato.

  • Mozilla Firefox: per altre informazioni, vedere Disabilitare DNS su HTTPS in Firefox.
  • Microsoft Edge:
    1. Selezionare ... nell'angolo in alto a destra, quindi selezionare Impostazioni.

    2. In Impostazioni cercare DNS e quindi disabilitare Usa DNS sicuro per specificare come cercare l'indirizzo di rete per i siti Web.

      Screenshot dell'impostazione usa DNS sicuro in Microsoft Edge.

Configurazione proxy

Se si usa un proxy, ciò potrebbe impedire la comunicazione con un'area di lavoro protetta. Per testare, usare una delle opzioni seguenti:

  • Disabilitare temporaneamente l'impostazione proxy e verificare se è possibile connettersi.
  • Creare un file di configurazione automatica proxy (PAC) che consenta l'accesso diretto ai nomi di dominio completi elencati nell'endpoint privato. Deve anche consentire l'accesso diretto al nome di dominio completo per qualsiasi istanza di ambiente di calcolo.
  • Configurare il server proxy per inoltrare le richieste DNS a DNS di Azure.