次の方法で共有

プライベート エンドポイントを使用したプロジェクトへの接続のトラブルシューティング

この記事の情報は ハブ ベースのプロジェクトに固有であり、 Foundry プロジェクトには適用されません。 「 自分が持っているプロジェクトの種類を確認する方法 」と 「ハブ ベースのプロジェクトを作成する」を参照してください。

Azure AI Foundry でプロジェクトを作成するときに、プライベート エンドポイントを使用してプロジェクトをセキュリティで保護することを選択できます。 プライベート エンドポイントを使用すると、プライベート ネットワーク経由でプロジェクトに接続できます。これは、データとリソースを保護するのに役立ちます。 ただし、プライベート エンドポイントを使用するプロジェクトへの接続で問題が発生した場合は、この記事で問題の解決に役立つトラブルシューティング手順について説明します。

プライベート エンドポイントで構成されている Azure AI Foundry プロジェクトに接続すると、403 またはアクセスが禁止されているというメッセージが表示される場合があります。 この記事の情報を使用して、このエラーの原因となる可能性がある一般的な構成の問題を確認します。

Azure AI Hub または Project の読み込み中にエラーが発生しました

Azure AI ハブまたはプロジェクトの読み込み中にエラーが発生した場合は、2 つの原因のいずれかが考えられます。

  1. ハブでパブリック ネットワーク アクセスを [無効] に設定します。
  2. パブリック ネットワーク アクセスを、ハブ上 の選択した IP から有効に 設定します。

Azure AI ハブとプロジェクトへのパブリック アクセス用に選択した設定に応じて、次のことを確認します。

パブリック ネットワーク アクセス設定 アクション
障害者 受信プライベート エンドポイントが作成され、仮想ネットワークから Azure AI Foundry ハブに承認されていることを確認します。 Azure VPN、ExpressRoute、または Azure Bastion を使用して、ハブまたはプロジェクトに安全に接続していることを確認します。
選択した IP から有効にする Azure AI Foundry へのアクセスが許可されているファイアウォール IP 範囲に IP アドレスが一覧表示されていることを確認します。 IP アドレスを追加できない場合は、IT 管理者に問い合わせてください。

ハブまたはプロジェクトに安全に接続する

仮想ネットワークの背後でセキュリティ保護されたハブまたはプロジェクトに接続するには、次のいずれかの方法を使用します。

  • Azure VPN ゲートウェイ - オンプレミスのネットワークをプライベート接続を介して仮想ネットワークに接続します。 接続は、パブリック インターネットを介して行われます。 使用できる VPN ゲートウェイには、次の 2 種類があります。

    • ポイント対サイト: 各クライアント コンピューターは、VPN クライアントを使用して仮想ネットワークに接続します。
    • サイト間: VPN デバイスにより、仮想ネットワークがオンプレミス ネットワークに接続されます。

  • ExpressRoute - オンプレミスのネットワークをプライベート接続を介してクラウドに接続します。 接続は、接続プロバイダーを使用して行われます。

  • Azure Bastion - このシナリオでは、仮想ネットワーク内に Azure 仮想マシン (ジャンプ ボックスと呼ばれることもある) を作成します。 次に、Azure Bastion を使用して VM に接続します。 Bastion を使用すると、ローカル Web ブラウザーから RDP または SSH セッションを使用して VM に接続できます。 続いて、開発環境としてジャンプ ボックスを使用します。 これは仮想ネットワーク内にあるため、ワークスペースに直接アクセスできます。

DNS の構成

DNS 構成のトラブルシューティング手順は、Azure DNS とカスタム DNS のどちらを使用しているかによって異なります。 次の手順を使用して、どちらを使用しているかを確認します。

  1. Azure portal で、Azure AI Foundry のプライベート エンドポイント リソースを選択します。 名前を覚えていない場合は、Azure AI Foundry リソース、[ネットワーク][プライベート エンドポイント接続] を選択し、[プライベート エンドポイント] リンクを選びます。

    リソースのプライベート エンドポイント接続のスクリーンショット。

  2. [概要] ページで、[ネットワーク インターフェイス] リンクを選択します。

    ネットワーク インターフェイス リンクが強調表示されているプライベート エンドポイントの概要のスクリーンショット。

  3. [設定] で、[IP 構成] を選択し、[仮想ネットワーク] のリンクを選択します。

    仮想ネットワーク リンクが強調表示されている IP 構成のスクリーンショット。

  4. ページの左側にある [設定] セクションで、[DNS サーバー] エントリを選択します。

    DNS サーバー構成のスクリーンショット。

カスタム DNS に関するトラブルシューティング

カスタム DNS ソリューションで名前が IP アドレスに正しく解決されているかどうかを確認するには、次の手順に従います。

  1. プライベート エンドポイントへの接続が機能している仮想マシン、ノート PC、デスクトップ、またはその他のコンピューティング リソースから、Web ブラウザーを開きます。 ブラウザーで、ご利用の Azure リージョンの URL を使用します。

    Azure リージョン URL
    Azure Government(アジュール・ガバメント) https://portal.azure.us/?feature.privateendpointmanagedns=false
    21Vianet によって運営される Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false
    その他のすべてのリージョン https://portal.azure.com/?feature.privateendpointmanagedns=false

  2. ポータルで、ワークスペースのプライベート エンドポイントを選択します。 [DNS 構成] セクションで、プライベート エンドポイントの FQDN の一覧を作成します。

    カスタム DNS 設定が強調表示されているプライベート エンドポイントのスクリーンショット。

  3. コマンド プロンプト、PowerShell、またはその他のコマンド ラインを開き、前の手順で返された FQDN ごとに次のコマンドを実行します。 コマンドを実行するたびに、返された IP アドレスが、ポータルに表示されている、その FQDN に対する IP アドレスと一致することを確認します。

    nslookup <fqdn>

    たとえば、コマンド nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms を実行すると、次のテキストのような値が返されます。

    Server: yourdnsserver
Address: yourdnsserver-IP-address

Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
Address: 10.0.0.4

  4. nslookup コマンドでエラーが返されるか、ポータルに表示されているものとは異なる IP アドレスが返された場合、カスタム DNS ソリューションは正しく構成されていません。

Azure DNS に関するトラブルシューティング

名前解決に Azure DNS を使用している場合は、次の手順を使用して、プライベート DNS 統合が正しく構成されていることを確認します。

  1. プライベート エンドポイントで、[DNS の構成] を選択します。 [プライベート DNS ゾーン] 列の各エントリに対して、[DNS ゾーン グループ] 列にもエントリが存在する必要があります。

    プライベート DNS ゾーンとグループが強調表示されている DNS 構成のスクリーンショット。

    • プライベート DNS ゾーン エントリはあるが、DNS ゾーン グループ エントリがない場合は、プライベート エンドポイントを削除して再作成します。 プライベート エンドポイントを再作成するときは、プライベート DNS ゾーン統合を有効にします

    • [DNS ゾーン グループ] が空でない場合は、[プライベート DNS ゾーン] エントリのリンクを選択します。

      プライベート DNS ゾーンから、[仮想ネットワーク リンク] を選択します。 該当の仮想ネットワークへのリンクが存在するはずです。 存在しない場合は、プライベート エンドポイントを削除して再作成します。 再作成を行う際には、仮想ネットワークにリンクされているプライベート DNS ゾーンを選択するか、仮想ネットワークにリンクされた新しいプライベート DNS ゾーンを作成します。

      プライベート DNS ゾーンの仮想ネットワーク リンクのスクリーンショット。

  2. プライベート DNS ゾーン エントリの残りについて、前の手順を繰り返します。

ブラウザーの構成 (HTTPS 経由の DNS)

Web ブラウザーで HTTP 経由の DNS が有効になっているかどうかを確認します。 HTTP 経由の DNS により、Azure DNS がプライベート エンドポイントの IP アドレスで応答できない可能性があります。

  • Mozilla Firefox: 詳細については、Firefox での HTTPS 経由の DNS の無効化に関する記事を参照してください。
  • Microsoft Edge:

    1. Microsoft Edge で ... を選択し、[設定] を選択します。

    2. 設定から、DNS を検索し、 セキュリティで保護された DNS を使用して、web サイトのネットワーク アドレスを検索する方法を指定するを無効にします。

      Microsoft Edge の [セキュア DNS を使用する] 設定のスクリーンショット。

[プロキシ構成]

プロキシを使用すると、セキュリティで保護されたプロジェクトとの通信が妨げられる場合があります。 テストするには、次のいずれかのオプションを使用します。

  • プロキシ設定を一時的に無効にして、接続できるかどうかを確認します。
  • プライベート エンドポイントにリストされている FQDN への直接アクセスを許可するプロキシ自動構成 (PAC) ファイルを作成します。 すべてのコンピューティング インスタンスの FQDN への直接アクセスも許可する必要があります。
  • DNS 要求を Azure DNS に転送するようにプロキシ サーバーを構成します。
  • ".<region>.api.azureml.ms" や ".instances.azureml.ms" などの AML API に対する接続をプロキシが許可していることを確認します

ストレージへの接続に関する構成のトラブルシューティング

プロジェクトを作成すると、データ アップロード用と成果物ストレージ用 (プロンプト フローを含む) に、Azure ストレージへの接続がいくつか自動的に作成されます。 ハブに関連付けられた Azure Storage アカウントのパブリック ネットワーク アクセスが '無効' に設定されている場合、これらのストレージ接続の作成に遅延が生じる可能性があります。

トラブルシューティングを行うには、次の手順を試してみてください。

  1. Azure portal で、ハブに関連付けられているストレージ アカウントのネットワーク設定を確認します。
  • パブリック ネットワーク アクセスが、[選択した仮想ネットワークと IP アドレスから有効] に設定されている場合、ストレージ アカウントにアクセスするために正しい IP アドレス範囲が追加されていることを確認します。
  • パブリック ネットワーク アクセスが、[無効化] に設定されている場合、Azure 仮想ネットワークから、ターゲット サブリソースが BLOB のストレージ アカウントに対してプライベート エンドポイントが構成されていることを確認します。 さらに、ストレージ アカウントのプライベート エンドポイントの閲覧者ロールを、マネージド ID に対して付与する必要があります。
  1. Azure portal で、Azure AI Foundry ハブに移動します。 マネージド仮想ネットワークがプロビジョニングされ、Blob Storage への送信プライベート エンドポイントがアクティブであることを確認します。 マネージド仮想ネットワークのプロビジョニングの詳細については、「Azure AI Foundry ハブ用にマネージド ネットワークを構成する方法」を参照してください。
  2. [Azure AI Foundry] > [プロジェクト ] > [プロジェクトの設定] の順に移動します。
  3. ページを最新の情報に更新します。 'workspaceblobstore' など、いくつかの接続が作成されています。