Risolvere i problemi di connettività all'endpoint privato
Quando ci si connette a un'area di lavoro di Azure Machine Learning configurata con un endpoint privato, si potrebbe riscontrare un errore 403 o un messaggio che indica che l'accesso è negato. Questo articolo spiega come verificare la presenza di problemi di configurazione comuni che causano questo errore.
Suggerimento
Prima di usare la procedura descritta in questo articolo, provare l'API di diagnostica dell'area di lavoro di Azure Machine Learning. Può essere utile per identificare i problemi di configurazione con l'area di lavoro. Per altre informazioni, vedere Come usare la diagnostica dell'area di lavoro.
Configurazione del DNS
I passaggi per la risoluzione dei problemi per la configurazione DNS variano a seconda che si usi DNS di Azure o un DNS personalizzato. Usare la procedura seguente per determinare il DNS che si sta usando:
Nel portale di Azure selezionare l'endpoint privato per l'area di lavoro di Azure Machine Learning.
Nella pagina Panoramica selezionare il collegamento Interfaccia di rete.
In Impostazioniselezionare Configurazioni IP e quindi selezionare il collegamento Rete virtuale.
Nella sezione Impostazioni a sinistra della pagina selezionare la voce Server DNS.
- Se questo valore è Predefinito (fornito da Azure) o 168.63.129.16, la rete virtuale usa DNS di Azure. Passare alla sezione Risoluzione dei problemi di DNS di Azure.
- Se nell'elenco è presente un indirizzo IP diverso, la rete virtuale usa una soluzione DNS personalizzata. Passare alla sezione Risoluzione dei problemi del DNS personalizzato.
Risoluzione dei problemi del DNS personalizzato
Seguire questa procedura per verificare se la soluzione basata sul DNS personalizzato risolve correttamente i nomi agli indirizzi IP:
Da una macchina virtuale, un portatile, un desktop o un'altra risorsa di calcolo con una connessione funzionante all'endpoint privato, aprire un Web browser. Nel browser usare l'URL per l'area di Azure:
Area di Azure URL Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false Microsoft Azure gestito da 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false Tutte le altre aree https://portal.azure.com/?feature.privateendpointmanagedns=false Nel portale selezionare l'endpoint privato per l'area di lavoro. Creare un elenco di FQDN elencati per l'endpoint privato.
Aprire un prompt dei comandi, PowerShell o un'altra riga di comando ed eseguire il comando seguente per ogni nome di dominio completo restituito dal passaggio precedente. Ogni volta che si esegue il comando, verificare che l'indirizzo IP restituito corrisponda all'indirizzo IP elencato nel portale per il nome di dominio completo:
nslookup <fqdn>
Ad esempio, l'esecuzione del comando
nslookup a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1.workspace.eastus.api.azureml.ms
restituirà un valore simile al testo seguente:Server: yourdnsserver Address: yourdnsserver-IP-address Name: a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1.workspace.eastus.api.azureml.ms Address: 10.3.0.5
Se il comando
nslookup
restituisce un errore o un indirizzo IP diverso rispetto a quello visualizzato nel portale, la soluzione DNS personalizzata non è configurata correttamente. Per altre informazioni, vedere Come usare l'area di lavoro con un server DNS personalizzato.
Risoluzione dei problemi di DNS di Azure
Quando si usa DNS di Azure per la risoluzione dei nomi, seguire questa procedura per verificare che l'integrazione del DNS privato sia configurata correttamente:
Nell'endpoint privato selezionare Configurazione DNS. Per ogni voce nella colonna Zona DNS privato, deve essere presente anche una voce nella colonna Gruppo di zone DNS.
Se è presente una voce Zona DNS privato, ma non la voce Gruppo di zone DNS, eliminare e ricreare l'endpoint privato. Quando si ricrea l'endpoint privato, abilitare Integrazione zona DNS privato.
Se la voce Gruppo di zone DNS non è vuota, selezionare il collegamento associato alla voce Zona DNS privato.
In Zona DNS privato selezionare Collegamenti di rete virtuale. Dovrebbe essere presente un collegamento alla rete virtuale. Se non sono presenti collegamenti di questo tipo, eliminare e ricreare l'endpoint privato. Durante la creazione dell'endpoint, selezionare una zona DNS privato collegata alla rete virtuale o crearne una nuova collegata.
Ripetere i passaggi precedenti per il resto delle voci della zona DNS privato.
Configurazione del browser (DNS su HTTPS)
Controllare se DNS su HTTP è abilitato nel Web browser. DNS su HTTP impedisce a DNS di Azure di rispondere con l'indirizzo IP dell'endpoint privato.
- Mozilla Firefox: per altre informazioni, vedere Disabilitare DNS su HTTPS in Firefox.
- Microsoft Edge:
Selezionare ... nell'angolo in alto a destra, quindi selezionare Impostazioni.
In Impostazioni cercare DNS e quindi disabilitare Usa DNS sicuro per specificare come cercare l'indirizzo di rete per i siti Web.
Configurazione proxy
Se si usa un proxy, ciò potrebbe impedire la comunicazione con un'area di lavoro protetta. Per testare, usare una delle opzioni seguenti:
- Disabilitare temporaneamente l'impostazione proxy e verificare se è possibile connettersi.
- Creare un file di configurazione automatica proxy (PAC) che consenta l'accesso diretto ai nomi di dominio completi elencati nell'endpoint privato. Deve anche consentire l'accesso diretto al nome di dominio completo per qualsiasi istanza di ambiente di calcolo.
- Configurare il server proxy per inoltrare le richieste DNS a DNS di Azure.