Como usar seu workspace com um servidor DNS personalizado
Ao usar um Workspace do Azure Machine Learning (incluindo hubs de IA do Azure) com um ponto de extremidade privado, há várias maneiras de lidar com a resolução de nomes DNS. Por padrão, o Azure manipula automaticamente a resolução de nomes para seu espaço de trabalho e seu ponto de extremidade privado. Ao usar seu próprio servidor DNS personalizado como alternativa, crie manualmente entradas DNS ou use encaminhadores condicionais para o espaço de trabalho.
Importante
Este artigo mostra como localizar os nomes de domínio totalmente qualificados (FQDN) e os endereços IP para essas entradas se você quiser registrar manualmente os registros DNS na sua solução DNS. Além disso, este artigo fornece recomendações de arquitetura sobre como configurar sua solução DNS personalizada para decidir automaticamente os FQDNs para os endereços IP corretos. Este artigo não fornece informações sobre como configurar os registros DNS para esses itens. Consulte a documentação do software DNS para obter informações sobre como adicionar registros.
Pré-requisitos
- Uma rede virtual do Azure que use seu próprio servidor DNS.
Um workspace do Azure Machine Learning com um ponto de extremidade privado, incluindo workspaces de hub, como os usados pelo Estúdio de IA do Azure. Para saber mais, consulte Criar um espaço de trabalho do Azure Machine Learning.
Se os recursos de dependência do workspace forem protegidos com uma rede virtual do Azure, familiaridade com o artigo Isolamento de rede durante o treinamento e inferência.
- Um espaço de trabalho do Azure Machine Learning com um ponto de extremidade privado. Para saber mais, consulte Criar um espaço de trabalho do Azure Machine Learning.
- Familiaridade com o isolamento de rede durante o treinamento e a inferência.
Familiaridade com a configuração de zona DNS do ponto de extremidade privado do Azure
Familiaridade com o DNS Privado do Azure
Opcionalmente, a CLI do Azure ou o Azure PowerShell.
Integração do servidor DNS automatizado
Introdução
Há duas arquiteturas comuns para usar a integração automatizada do servidor DNS com o Azure Machine Learning:
- Um servidor DNS hospedado em uma Rede Virtual do Azure.
- Um servidor DNS personalizado hospedado no local, conectado ao Azure Machine Learning por meio do ExpressRoute.
Embora sua arquitetura possa ser diferente dos exemplos, você pode usá-las como um ponto de referência. Ambas as arquiteturas de exemplo fornecem etapas de solução de problemas que podem ajudá-lo a identificar componentes que podem estar configurados incorretamente.
Outra opção é modificar o arquivo hosts
no cliente que está se conectando à VNet (rede virtual) do Azure que contém seu espaço de trabalho. Para obter mais informações, confira a seção Arquivo de host.
Caminho de resolução de DNS do espaço de trabalho
O acesso a um determinado espaço de trabalho do Azure Machine Learning via Link Privado é feito comunicando-se com os seguintes domínios totalmente qualificados (chamados de FQDNs do espaço de trabalho) listados abaixo:
Importante
Se você estiver usando um workspace de hub (incluindo o hub do Estúdio de IA do Azure), você terá entradas adicionais para cada workspace de projeto criado a partir do hub.
Regiões públicas do Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
<compute instance name>.<region the workspace was created in>.instances.azureml.ms
<compute instance name>-22.<region the workspace was created in>.instances.azureml.ms
– usado pelo comandoaz ml compute connect-ssh
para se conectar a computações em uma rede virtual gerenciada.ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Dica
Se você estiver usando um workspace de hub, também haverá os seguintes FQDNs para cada workspace de projeto criado a partir do workspace do hub:
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.azureml.ms
ml-<project workspacename, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.azure.net
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
<compute instance name>.<region the workspace was created in>.instances.azureml.cn
<compute instance name>-22.<region the workspace was created in>.instances.azureml.cn
– usado pelo comandoaz ml compute connect-ssh
para se conectar a computações em uma rede virtual gerenciada.ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Dica
Se você estiver usando um workspace de hub, também haverá os seguintes FQDNs para cada workspace de projeto criado a partir do workspace do hub:
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.cn
ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
Regiões do Azure Governamental nos EUA:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
<compute instance name>.<region the workspace was created in>.instances.azureml.us
<compute instance name>-22.<region the workspace was created in>.instances.azureml.us
– usado pelo comandoaz ml compute connect-ssh
para se conectar a computações em uma rede virtual gerenciada.ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
Dica
Se você estiver usando um workspace de hub, também haverá os seguintes FQDNs para cada workspace de projeto criado a partir do workspace do hub:
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
<project workspace globally-unique identifier>.workspace.<region the workspace was created in>.cert.api.ml.azure.us
ml-<project workspace name, truncated>-<region>-<project workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
Os domínios totalmente qualificados são resolvidos para os seguintes CNAMEs (Nomes Canônicos) chamados FQDNs de Link Privado do espaço de trabalho:
Regiões públicas do Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.azure.net
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
– usado por pontos de extremidade online gerenciados
Regiões Microsoft Azure operado pela 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.chinacloudapi.cn
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Regiões do Azure Governamental nos EUA:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.privatelink.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.privatelink.notebooks.usgovcloudapi.net
<managed online endpoint name>.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.ml.azure.us
– usado por pontos de extremidade online gerenciados
Os FQDNs apontam para os endereços IP do espaço de trabalho do Azure Machine Learning na região. No entanto, a resolução dos FQDNs de link privado do espaço de trabalho pode ser substituída usando-se um servidor DNS personalizado hospedado na rede virtual. Para obter um exemplo dessa arquitetura, confira o exemplo Servidor DNS personalizado hospedado em uma VNet. Para workspaces de hub e projeto, os FQDNs de todos os workspaces de projeto são resolvidos para o endereço IP do workspace do hub.
Observação
Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms
, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.
Integração manual do servidor DNS
Esta seção discute para quais domínios totalmente qualificados criar registros A em um servidor DNS e para qual endereço IP definir o valor do registro A.
Recuperar FQDNs de ponto de extremidade privado
Região pública do Azure
A lista a seguir contém os FQDNs (nomes de domínio totalmente qualificados) usados pelo seu espaço de trabalho se ele estiver na Nuvem Pública do Azure:
<workspace-GUID>.workspace.<region>.cert.api.azureml.ms
<workspace-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.azure.net
Observação
O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter
ml-<workspace-name, truncated>-<region>-<workspace-guid>
a 63 caracteres ou menos.<instance-name>.<region>.instances.azureml.ms
Observação
- As instâncias de computação só podem ser acessadas na rede virtual.
- O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas
*.api.azureml.ms
).
<instance-name>-22.<region>.instances.azureml.ms
– usado apenas pelo comandoaz ml compute connect-ssh
para se conectar a computação em uma rede virtual gerenciada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.<managed online endpoint name>.<region>.inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Dica
Se você estiver usando workspaces de hub e projeto, cada workspace de projeto terá seu próprio conjunto de FQDNs adicionais. Para obter mais informações, confira a seção de resolução DNS do workspace.
Região Microsoft Azure operado pelo Domínio 21Vianet
Para Microsoft Azure operado por regiões 21Vianet, defina os seguintes nome de domínio totalmente qualificado:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.cn
<workspace-GUID>.workspace.<region>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.chinacloudapi.cn
Observação
O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter
ml-<workspace-name, truncated>-<region>-<workspace-guid>
a 63 caracteres ou menos.<instance-name>.<region>.instances.azureml.cn
- O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas
*.api.azureml.ms
).
- O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas
<instance-name>-22.<region>.instances.azureml.cn
– usado apenas pelo comandoaz ml compute connect-ssh
para se conectar a computação em uma rede virtual gerenciada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.<managed online endpoint name>.<region>.inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Dica
Se você estiver usando workspaces de hub e projeto, cada workspace de projeto terá seu próprio conjunto de FQDNs adicionais. Para obter mais informações, confira a seção de resolução DNS do workspace.
Azure US Government
Os FQDNs a seguir são para as regiões do Azure Governamental nos EUA:
<workspace-GUID>.workspace.<region>.cert.api.ml.azure.us
<workspace-GUID>.workspace.<region>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<workspace-guid>.<region>.notebooks.usgovcloudapi.net
Observação
O nome do espaço de trabalho desse FQDN pode estar truncado. O truncamento é feito para manter
ml-<workspace-name, truncated>-<region>-<workspace-guid>
a 63 caracteres ou menos.<instance-name>.<region>.instances.azureml.us
- O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas
*.api.azureml.ms
).
- O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas
<instance-name>-22.<region>.instances.azureml.us
– usado apenas pelo comandoaz ml compute connect-ssh
para se conectar a computação em uma rede virtual gerenciada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.<managed online endpoint name>.<region>.inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
Dica
Se você estiver usando workspaces de hub e projeto, cada workspace de projeto terá seu próprio conjunto de FQDNs adicionais. Para obter mais informações, confira a seção de resolução DNS do workspace.
Encontrar o endereço IP
Para encontrar os endereços IP internos dos FQDNs na VNet, use um dos seguintes métodos:
Observação
Os nomes de domínio totalmente qualificados e os endereços IP serão diferentes com base na sua configuração. Por exemplo, o valor de GUID no nome de domínio será específico de seu espaço de trabalho.
Para obter a ID da interface de rede de ponto de extremidade privado, use o seguinte comando:
az network private-endpoint show --name <endpoint> --resource-group <resource-group> --query 'networkInterfaces[*].id' --output table
Para obter o endereço IP e as informações do FQDN para o workspace ou o workspace do hub, use o comando a seguir. Substitua
<resource-id>
pela ID da etapa anterior:az network nic show --ids <resource-id> --query 'ipConfigurations[*].{IPAddress: privateIpAddress, FQDNs: privateLinkConnectionProperties.fqdns}'
A saída será semelhante ao seguinte texto:
[ { "FQDNs": [ "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms", "fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms" ], "IPAddress": "10.1.0.5" }, { "FQDNs": [ "ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net" ], "IPAddress": "10.1.0.6" }, { "FQDNs": [ "*.eastus.inference.ml.azure.com" ], "IPAddress": "10.1.0.7" } ]
Se você estiver usando um workspace de hub, use as seguintes etapas para cada workspace de projeto criado a partir do hub:
Para obter a ID do workspace do projeto, use o seguinte comando:
az ml workspace show --name <project-workspace-name> --resource-group <resource-group> --query 'discovery_url'
O valor retornado seguirá o formato
https://<project-workspace-id>.workspace.<region>.api.azureml.ms/mlflow/<version>/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<project-workspace-name>
.Pegue os FQDNs retornados do workspace do hub que terminam em
workspace.<region>.api.azureml.ms
eworkspace.<region>.cert.api.azureml.ms
. Substitua o valor GUID no início desses FQDNs pela ID do workspace do projeto. Esses FQDNs são além dos FQDNs do workspace do hub.Pegue o FQDN retornado do workspace do hub que segue o formato em
<workspace-name>-<region>-<GUID>.<region>.notebooks.azure.net
. Substitua o valor GUID pela ID do workspace do projeto. Substitua o nome do workspace do hub pelo nome do workspace do projeto. Talvez seja necessário truncar o nome do workspace para manter esta entrada em 63 caracteres ou menos. Este FQDN é além do FQDN do workspace do hub.
As informações retornadas por todos os métodos são iguais: uma lista de FQDNs e endereços IP privados dos recursos. O exemplo a seguir é da Nuvem Pública do Azure:
FQDN | Endereço IP |
---|---|
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms |
10.1.0.5 |
fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms |
10.1.0.5 |
ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net |
10.1.0.6 |
*.eastus.inference.ml.azure.com |
10.1.0.7 |
A tabela a seguir mostra os IPs de exemplo das regiões do Microsoft Azure operado pela 21Vianet:
FQDN | Endereço IP |
---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.cn |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.cn |
10.1.0.5 |
ml-mype-pltest-chinaeast2-52882c08-ead2-44aa-af65-08a75cf094bd.chinaeast2.notebooks.chinacloudapi.cn |
10.1.0.6 |
*.chinaeast2.inference.ml.azure.cn |
10.1.0.7 |
A tabela a seguir mostra os IPs de exemplo das regiões do Azure Governamental nos EUA:
FQDN | Endereço IP |
---|---|
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.api.ml.azure.us |
10.1.0.5 |
52882c08-ead2-44aa-af65-08a75cf094bd.workspace.chinaeast2.cert.api.ml.azure.us |
10.1.0.5 |
ml-mype-plt-usgovvirginia-52882c08-ead2-44aa-af65-08a75cf094bd.usgovvirginia.notebooks.usgovcloudapi.net |
10.1.0.6 |
*.usgovvirginia.inference.ml.azure.us |
10.1.0.7 |
Observação
Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privadaprivatelink.api.azureml.ms
, um registro A com curinga *.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.
Criar registros A no servidor DNS personalizado
Depois que a lista de FQDNs e os endereços IP correspondentes forem coletados, crie os registros no servidor DNS configurado. Consulte a documentação do seu servidor DNS para determinar como criar registros. Observe que é recomendável criar uma zona exclusiva para todo o FQDN e criar o registro A na raiz da zona.
Exemplo: Servidor DNS personalizado hospedado na VNet
Essa arquitetura usa o Hub comum e a topologia de rede virtual Spoke. Uma rede virtual contém o servidor DNS e outra contém o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning e os recursos associados. Deve haver uma rota válida entre ambas as redes virtuais. Por exemplo, por meio de uma série de redes virtuais ponto a ponto.
As etapas a seguir descrevem como essa tipologia funciona:
Criar Zona Privada de DNS e vincular à Rede Virtual do Servidor DNS:
A primeira etapa para garantir que uma solução DNS personalizada funcione com seu espaço de trabalho do Azure Machine Learning é criar duas Zonas Privadas de DNS com raiz nos seguintes domínios:
Regiões públicas do Azure:
privatelink.api.azureml.ms
privatelink.notebooks.azure.net
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
privatelink.api.ml.azure.cn
privatelink.notebooks.chinacloudapi.cn
Regiões do Azure Governamental nos EUA:
privatelink.api.ml.azure.us
privatelink.notebooks.usgovcloudapi.net
Observação
Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privada
privatelink.api.azureml.ms
, um registro A com curinga*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.Após a criação da Zona Privada de DNS, ele precisa ser vinculado à Rede Virtual do Servidor DNS. A Rede Virtual que contém o Servidor DNS.
Uma Zona Privada de DNS substitui o direcionamento de nomes para todos os nomes que estão no escopo da raiz da zona. Essa substituição se aplica a todas as redes virtuais às quais a Zona Privada de DNS estiver vinculada. Por exemplo, se uma Zona Privada de DNS com raiz em
privatelink.api.azureml.ms
estiver vinculada à Rede Virtual foo, todos os recursos na Rede Virtual foo que tentarem direcionarbar.workspace.westus2.privatelink.api.azureml.ms
receberão qualquer registro que estiver listado na zonaprivatelink.api.azureml.ms
.No entanto, os registros listados nas Zonas Privadas de DNS retornam somente para dispositivos que direcionem domínios usando o endereço IP padrão do Servidor DNS Virtual do Azure. Portanto, o Servidor DNS personalizado indicará domínios para dispositivos distribuídos em toda a topologia de rede. Mas o servidor DNS personalizado precisará indicar os domínios relacionados ao Azure Machine Learning em confronto com os endereços de IP do Servidor DNS Virtual do Azure.
Crie um ponto de extremidade privado com integração DNS privada direcionada à Zona DNS Privada ligada à Rede Virtual do DNS do Microsoft Azure:
A próxima etapa consiste em criar um Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. O ponto de extremidade privado se destina a ambas as zonas DNS privado criadas na etapa 1. Isso garante que toda a comunicação com o espaço de trabalho seja feita por meio do ponto de extremidade privado na rede virtual do Azure Machine Learning.
Importante
O ponto de extremidade privado deve ter a integração de DNS privado habilitada para que esse exemplo funcione corretamente.
Criar encaminhador condicional no servidor DNS para encaminhar ao DNS do Azure:
Em seguida, crie um encaminhador condicional para o Servidor DNS Virtual do Azure. O encaminhador condicional garante que o servidor DNS sempre consulte o endereço IP do servidor virtual DNS do Azure para FQDNs relacionados ao seu espaço de trabalho. Isso significa que o Servidor DNS retornará o registro correspondente da Zona Privada de DNS.
As zonas para encaminhar condicionalmente são listadas abaixo. O endereço IP do servidor virtual do DNS do Azure é 168.63.129.16:
Regiões públicas do Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
aznbcontent.net
inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Regiões do Azure Governamental nos EUA:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
aznbcontent.net
inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
Importante
As etapas de configuração para o servidor DNS não estão incluídas aqui, pois há muitas soluções de DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.
Direcionar o domínio do espaço de trabalho:
Neste ponto, toda a instalação está pronta. Agora, qualquer cliente que usa o servidor DNS para o direcionamento de nomes e tem uma rota para o Ponto de Extremidade Privado do Azure Machine Learning pode continuar a acessar o espaço de trabalho. O cliente primeiro começará consultando o servidor DNS para o endereço dos seguintes FQDNs:
Regiões públicas do Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Regiões do Azure Governamental nos EUA:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
O DNS do Azure resolve recursivamente o domínio do espaço de trabalho para o CNAME:
O servidor DNS resolverá os FQDNs da etapa 4 do DNS do Azure. O DNS do Azure responderá com um dos domínios listados na etapa 1.
O servidor DNS direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Azure:
O Servidor DNS prosseguirá para direcionar repetidamente o CNAME recebido na etapa 5. Como houve uma configuração de encaminhador condicional na etapa 3, o Servidor DNS enviará a solicitação para o DNS do Azure IP do Servidor Virtual para resolução.
O DNS do Azure retorna registros da Zona DNS Privada:
Os registros correspondentes armazenados nas zonas de DNS privado serão retornados ao Servidor DNS, o que significa que o DNS do Azure Virtual Server retorna os endereços de IP do ponto de extremidade privado.
O servidor DNS personalizado direciona o nome de domínio do espaço de trabalho para o endereço do ponto de extremidade privado:
Por fim, o Servidor DNS Personalizado agora retorna os endereços IP do ponto de extremidade privado para o cliente da etapa 4. Isso garante que todo o tráfego para o espaço de trabalho do Azure Machine Learning ocorra por meio do ponto de extremidade privado.
Solução de problemas
Se você não conseguir acessar o espaço de trabalho de uma máquina virtual ou trabalhos falharem nos recursos de computação na rede virtual, use as seguintes etapas para identificar a causa:
Localize os FQDNs do espaço de trabalho no Ponto de Extremidade Privado:
Navegue até o portal do Azure usando um dos seguintes links:
- Regiões públicas do Azure
- Regiões Microsoft Azure operado pelo 21Vianet
- Regiões do Azure Governamental nos EUA
Navegue até o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning. Os FQDNs do espaço de trabalho serão listados na guia "Visão Geral".
Acessar recurso de computação na Topologia de Rede Virtual:
Siga em frente para acessar um recurso de computação na topologia da Rede Virtual do Azure. Isso provavelmente exigirá o acesso a uma Máquina Virtual em uma Rede Virtual que está pareada com a Rede Virtual do Hub.
Direcionar os FQDNs do espaço de trabalho:
Abra um prompt de comando, do shell ou PowerShell. Em seguida, para cada um dos FQDNs do espaço de trabalho, execute o seguinte comando:
nslookup <workspace FQDN>
O resultado de cada nslookup deve retornar um dos dois endereços IP privados no Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Caso contrário, há algo configurado de forma incorreta na solução DNS personalizada.
Possíveis causas:
- O recurso de computação que executa os comandos de solução de problemas não está usando o Servidor DNS para resolução DNS
- As Zonas Privadas de DNS escolhidas ao criar o Ponto de Extremidade Privado não estão vinculadas à VNet do Servidor DNS
- Os encaminhadores condicionais para o IP do Servidor Virtual do DNS do Azure não foram configurados corretamente
Exemplo: Servidor DNS personalizado hospedado no local
Essa arquitetura usa o Hub comum e a topologia de rede virtual Spoke. O ExpressRoute é usado para se conectar de sua rede local à rede virtual do Hub. O Servidor DNS personalizado é hospedado localmente. Uma rede virtual separada contém o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning e os recursos associados. Com essa topologia, precisa haver outra rede virtual que hospede um servidor DNS que possa enviar solicitações para o endereço IP do Servidor Virtual do DNS do Azure.
As etapas a seguir descrevem como essa tipologia funciona:
Criar Zona Privada de DNS e vincular à Rede Virtual do Servidor DNS:
A primeira etapa para garantir que uma solução DNS personalizada funcione com seu espaço de trabalho do Azure Machine Learning é criar duas Zonas Privadas de DNS com raiz nos seguintes domínios:
Regiões públicas do Azure:
privatelink.api.azureml.ms
privatelink.notebooks.azure.net
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
privatelink.api.ml.azure.cn
privatelink.notebooks.chinacloudapi.cn
Regiões do Azure Governamental nos EUA:
privatelink.api.ml.azure.us
privatelink.notebooks.usgovcloudapi.net
Observação
Os pontos de extremidade online gerenciados compartilham o ponto de extremidade privado do workspace. Se você estiver adicionando manualmente registros DNS à zona DNS privada
privatelink.api.azureml.ms
, um registro A com curinga*.<per-workspace globally-unique identifier>.inference.<region>.privatelink.api.azureml.ms
deverá ser adicionado para rotear todos os pontos de extremidade no workspace para o ponto de extremidade privado.Após a criação da Zona de DNS Privado, ela precisa estar vinculada à VNet do Servidor DNS – a Rede Virtual que contém o Servidor DNS.
Observação
O Servidor DNS na rede virtual é separado do Servidor DNS Local.
Uma Zona Privada de DNS substitui o direcionamento de nomes para todos os nomes que estão no escopo da raiz da zona. Essa substituição se aplica a todas as redes virtuais às quais a Zona Privada de DNS estiver vinculada. Por exemplo, se uma Zona de DNS Privado com raiz em
privatelink.api.azureml.ms
estiver vinculada à Rede Virtual foo, todos os recursos na Rede Virtual foo que tentarem resolverbar.workspace.westus2.privatelink.api.azureml.ms
receberão qualquer registro listado na zona privatelink.api.azureml.ms.No entanto, os registros listados nas Zonas Privadas de DNS retornam somente para dispositivos que direcionem domínios usando o endereço IP padrão do Servidor DNS Virtual do Azure. O endereço de IP do Servidor DNS Virtual do Azure é válido apenas dentro do contexto de uma Rede Virtual. Ao usar um Servidor DNS local, ele não é capaz de consultar o endereço IP do Servidor DNS Virtual do Azure para recuperar registros.
Para driblar esse comportamento, crie um Servidor DNS intermediário em uma rede virtual. Esse servidor DNS pode consultar o endereço IP do Servidor DNS Virtual do Azure para recuperar registros de qualquer Zona DNS Privada vinculada à rede virtual.
Embora o Servidor DNS local direcione os domínios para os dispositivos distribuídos por toda a topologia de rede, ele indicará os domínios relacionados ao Azure Machine Learning em confronto com o servidor DNS. O Servidor DNS irá direcionar esses domínios a partir do endereço IP do Servidor DNS Virtual do Azure.
Crie um ponto de extremidade privado com integração DNS privada direcionada à Zona DNS Privada ligada à Rede Virtual do DNS do Microsoft Azure:
A próxima etapa consiste em criar um Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. O ponto de extremidade privado se destina a ambas as zonas DNS privado criadas na etapa 1. Isso garante que toda a comunicação com o espaço de trabalho seja feita por meio do ponto de extremidade privado na rede virtual do Azure Machine Learning.
Importante
O ponto de extremidade privado deve ter a integração de DNS privado habilitada para que esse exemplo funcione corretamente.
Criar encaminhador condicional no servidor DNS para encaminhar ao DNS do Azure:
Em seguida, crie um encaminhador condicional para o Servidor DNS Virtual do Azure. O encaminhador condicional garante que o servidor DNS sempre consulte o endereço IP do servidor virtual DNS do Azure para FQDNs relacionados ao seu espaço de trabalho. Isso significa que o Servidor DNS retornará o registro correspondente da Zona Privada de DNS.
As zonas para encaminhar condicionalmente são listadas abaixo. O endereço IP do Servidor DNS Virtual do Azure é 168.63.129.16.
Regiões públicas do Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
aznbcontent.net
inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
aznbcontent.net
inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Regiões do Azure Governamental nos EUA:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
aznbcontent.net
inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
Importante
As etapas de configuração para o servidor DNS não estão incluídas aqui, pois há muitas soluções de DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.
Criar encaminhador condicional no Servidor DNS Local para encaminhar ao Servidor DNS:
Em seguida, crie um encaminhador condicional para o Servidor DNS na Rede Virtual do Servidor DNS. Esse encaminhador é para as zonas listadas na etapa 1. Isso é semelhante à etapa 3, mas, em vez de encaminhar para o endereço IP do Servidor DNS Virtual do Azure, o Servidor DNS Local será direcionado para o endereço IP do Servidor DNS. Como o Servidor DNS Local não está no Azure, não é possível direcionar diretamente os registros em Zonas DNS Privadas. Nesse caso, os proxies do Servidor DNS solicitam do Servidor DNS Local para o IP do Servidor DNS Virtual do Azure. Isso permite que o Servidor DNS local recupere registros nas Zonas de DNS Privadas vinculadas à Rede Virtual do Servidor DNS.
As zonas para encaminhar condicionalmente são listadas abaixo. Os endereços IP aos quais encaminhar são os endereços IP dos seus Servidores DNS:
Regiões públicas do Azure:
api.azureml.ms
notebooks.azure.net
instances.azureml.ms
inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
api.ml.azure.cn
notebooks.chinacloudapi.cn
instances.azureml.cn
inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Regiões do Azure Governamental nos EUA:
api.ml.azure.us
notebooks.usgovcloudapi.net
instances.azureml.us
inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
Importante
As etapas de configuração para o servidor DNS não estão incluídas aqui, pois há muitas soluções de DNS disponíveis que podem ser usadas como um servidor DNS personalizado. Consulte a documentação da solução de DNS para saber como configurar adequadamente o encaminhamento condicional.
Direcionar o domínio do espaço de trabalho:
Neste ponto, toda a instalação está pronta. Qualquer cliente que usa o Servidor DNS local para o direcionamento de nomes e tem uma rota para o Ponto de Extremidade Privado do Azure Machine Learning, pode continuar a acessar o espaço de trabalho.
O cliente primeiro começará consultando o servidor DNS Local a respeito do endereço dos seguintes FQDNs:
Regiões públicas do Azure:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.azure.net
<managed online endpoint name>.<region>.inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Regiões Microsoft Azure operado pelo Domínio 21Vianet:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.cn
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.chinacloudapi.cn
<managed online endpoint name>.<region>.inference.ml.azure.cn
– usado por pontos de extremidade online gerenciados
Regiões do Azure Governamental nos EUA:
<per-workspace globally-unique identifier>.workspace.<region the workspace was created in>.api.ml.azure.us
ml-<workspace-name, truncated>-<region>-<per-workspace globally-unique identifier>.<region>.notebooks.usgovcloudapi.net
<managed online endpoint name>.<region>.inference.ml.azure.us
– usado por pontos de extremidade online gerenciados
O servidor DNS local resolve recursivamente o domínio do espaço de trabalho:
O servidor DNS local resolverá os FQDNs da etapa 5 do servidor DNS. Como houve um encaminhador condicional (etapa 4), o Servidor DNS local enviará a solicitação ao Servidor DNS para resolução.
O servidor DNS resolve o domínio do espaço de trabalho para CNAME do DNS do Azure:
O servidor DNS resolverá os FQDNs da etapa 5 do DNS do Azure. O DNS do Azure responderá com um dos domínios listados na etapa 1.
O Servidor DNS Local direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Servidor DNS:
O Servidor DNS local continuará direcionando repetidamente o CNAME recebido na etapa 7. Como houve uma configuração de encaminhador condicional na etapa 4, o Servidor DNS local enviará a solicitação ao Servidor DNS para o direcionamento.
O servidor DNS direciona repetidamente o registro CNAME do domínio do espaço de trabalho do DNS a partir do Azure:
O Servidor DNS prosseguirá para direcionar repetidamente o CNAME recebido na etapa 7. Como houve uma configuração de encaminhador condicional na etapa 3, o Servidor DNS enviará a solicitação para o DNS do Azure IP do Servidor Virtual para resolução.
O DNS do Azure retorna registros da Zona DNS Privada:
Os registros correspondentes armazenados nas Zonas DNS privado serão retornados ao Servidor DNS, o que significa que o servidor virtual DNS do Azure retorna os endereços IP do ponto de extremidade privado.
O Servidor DNS Local direciona o nome de domínio do espaço de trabalho para o endereço do ponto de extremidade privado:
A consulta do Servidor DNS local ao Servidor DNS na etapa 8, por fim, retorna os endereços IP associados ao Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Esses endereços IP são retornados para o cliente original, que agora se comunicará com o espaço de trabalho do Azure Machine Learning através Ponto de Extremidade Privado configurado na etapa 1.
Importante
Se o Gateway de VPN estiver sendo usado nessa configuração junto com IP de servidor DNS personalizado na VNet, o IP do DNS do Azure (168.63.129.16) também precisará ser adicionado à lista para manter a comunicação ininterrupta.
Exemplo: arquivo de hosts
O arquivo hosts
é um documento de texto que o Linux, o macOS e o Windows usam para substituir a resolução de nomes do computador local. O arquivo contém uma lista de endereços IP e o nome de host correspondente. Quando o computador local tentar resolver um nome de host, se o nome do host estiver listado no arquivo hosts
, o nome será resolvido para o endereço IP correspondente.
Importante
O arquivo hosts
substitui apenas a resolução de nomes do computador local. Se você quiser usar um arquivo hosts
com vários computadores, deverá modificá-lo individualmente em cada computador.
A tabela a seguir lista a localização do arquivo hosts
:
Sistema operacional | Local |
---|---|
Linux | /etc/hosts |
macOS | /etc/hosts |
Windows | %SystemRoot%\System32\drivers\etc\hosts |
Dica
O nome do arquivo é hosts
sem extensão. Ao editar o arquivo, use o acesso de administrador. Por exemplo, no Linux ou no macOS, você pode usar sudo vi
. No Windows, execute o bloco de notas como administrador.
Veja a seguir um exemplo de entradas de arquivo de hosts
para o Azure Machine Learning:
# For core Azure Machine Learning hosts
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.api.azureml.ms
10.1.0.5 fb7e20a0-8891-458b-b969-55ddb3382f51.workspace.eastus.cert.api.azureml.ms
10.1.0.6 ml-myworkspace-eastus-fb7e20a0-8891-458b-b969-55ddb3382f51.eastus.notebooks.azure.net
# For a managed online/batch endpoint named 'mymanagedendpoint'
10.1.0.7 mymanagedendpoint.eastus.inference.ml.azure.com
# For a compute instance named 'mycomputeinstance'
10.1.0.5 mycomputeinstance.eastus.instances.azureml.ms
Para obter mais informações sobre o arquivo hosts
, confira https://wikipedia.org/wiki/Hosts_(file).
Resolução de DNS dos serviços de dependência
Os serviços dos quais seu workspace depende também podem ser protegidos por meio de um ponto de extremidade privado. Nesse caso, talvez seja necessário criar um registro DNS personalizado caso você precise se comunicar diretamente com o serviço. Por exemplo, se você quiser trabalhar diretamente com os dados em uma conta do Armazenamento do Azure usada pelo workspace.
Observação
Alguns serviços têm vários pontos de extremidade privados para serviços de assinatura ou recursos. Por exemplo, uma conta do Armazenamento do Azure pode ter pontos de extremidade privados individuais para Blob, Arquivo e DFS. Caso precise acessar o Armazenamento de Blobs e Arquivos, habilite a resolução para cada ponto de extremidade privado específico.
Para obter mais informações sobre os serviços e a resolução de DNS, confira Configuração de DNS do ponto de extremidade privado do Azure.
Solução de problemas
Se, depois de executar as etapas acima, você não conseguir acessar o espaço de trabalho a partir de uma máquina virtual ou os trabalhos falharem nos recursos de computação na Rede Virtual que contém o Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning, siga as etapas abaixo para tentar identificar a causa.
Localize os FQDNs do espaço de trabalho no Ponto de Extremidade Privado:
Navegue até o portal do Azure usando um dos seguintes links:
- Regiões públicas do Azure
- Regiões Microsoft Azure operado pelo 21Vianet
- Regiões do Azure Governamental nos EUA
Navegue até o ponto de extremidade privado para o espaço de trabalho do Azure Machine Learning. Os FQDNs do espaço de trabalho serão listados na guia "Visão Geral".
Acessar recurso de computação na Topologia de Rede Virtual:
Siga em frente para acessar um recurso de computação na topologia da Rede Virtual do Azure. Isso provavelmente exigirá o acesso a uma Máquina Virtual em uma Rede Virtual que está pareada com a Rede Virtual do Hub.
Direcionar os FQDNs do espaço de trabalho:
Abra um prompt de comando, do shell ou PowerShell. Em seguida, para cada um dos FQDNs do espaço de trabalho, execute o seguinte comando:
nslookup <workspace FQDN>
O resultado de cada nslookup deve produzir um dos dois endereços IP privados no Ponto de Extremidade Privado para o espaço de trabalho do Azure Machine Learning. Caso contrário, há algo configurado de forma incorreta na solução DNS personalizada.
Possíveis causas:
- O recurso de computação que executa os comandos de solução de problemas não está usando o Servidor DNS para resolução DNS
- As Zonas Privadas de DNS escolhidas ao criar o Ponto de Extremidade Privado não estão vinculadas à VNet do Servidor DNS
- Os encaminhadores condicionais do Servidor DNS para o IP do Servidor DNS Virtual do Azure não foram configurados corretamente
- Os encaminhadores condicionais do Servidor DNS local para o Servidor DNS não foram configurados corretamente
Conteúdo relacionado
Para informações sobre como integrar pontos de extremidade privados à sua configuração de DNS, confira Configuração de DNS do ponto de extremidade privado do Azure.