注释
本文中的信息特定于 基于中心的项目,不适用于 Foundry 项目。 请参阅 如何知道我拥有哪种类型的项目? 并 创建基于中心的项目。
在 Azure AI Foundry 中创建项目时,可以选择使用专用终结点保护它。 专用终结点允许通过专用网络连接到项目,这有助于保护数据和资源。 但是,如果在连接到使用专用终结点的项目时遇到问题,本文提供了故障排除步骤来帮助解决问题。
连接到配置有专用终结点的 Azure AI Foundry 项目时,可能会遇到 403 或指示禁止访问的消息。 使用本文中的信息检查可能导致此错误的常见配置问题。
加载 Azure AI 中心或项目时出错
如果加载 Azure AI 中心或项目时收到错误,则可能有两个原因之一。
- 在您的中心上将公共网络访问设置为“已禁用”。
- 你在你的中心上将公用网络访问设置为“从所选 IP 启用”。
根据为 Azure AI 中心和项目的公共访问选择的设置,请确保满足以下条件:
| 公用网络访问设置 | 行动 |
|---|---|
| 禁用 | 确保在您的虚拟网络中创建并批准一个入站专用终结点,以连接到您的 Azure AI Foundry 中心。 确保使用 Azure VPN、ExpressRoute 或 Azure Bastion 安全地连接到中心或项目。 |
| 从所选 IP 启用 | 确保 IP 地址列在允许访问 Azure AI Foundry 的防火墙 IP 范围中。 如果无法添加 IP 地址,请联系 IT 管理员。 |
安全连接到你的中心或项目
若要连接到在虚拟网络后面保护的中心或项目,请使用以下方法之一:
Azure VPN 网关 - 通过专用连接将本地网络连接到虚拟网络。 通过公共 Internet 建立连接。 可以使用两种类型的 VPN 网关:
ExpressRoute - 通过专用连接将本地网络连接到云。 通过连接提供商建立连接。
Azure Bastion - 在此方案中,将在虚拟网络内部创建一个 Azure 虚拟机(有时称作 Jump Box)。 然后使用 Azure Bastion 连接到 VM。 Bastion 允许在本地 Web 浏览器中使用 RDP 或 SSH 会话连接到 VM。 然后使用 Jump Box 作为开发环境。 由于它位于虚拟网络内部,因此可以直接访问工作区。
DNS 配置
DNS 配置的问题排查步骤因使用的是 Azure DNS 还是自定义 DNS 而异。 使用以下步骤确定所使用的步骤:
在 Azure 门户中,选择 Azure AI Foundry 的专用终结点资源。 如果不记得名称,请选择你的 Azure AI Foundry 资源,“网络”,“专用终结点连接”,然后选择“专用终结点”链接。
在“概述”页中,选择“网络接口”链接。
在“设置”下,选择“IP 配置”,然后选择“虚拟网络”链接。
在页面左侧的“设置”部分,选择“DNS 服务器”条目。
- 如果此值为“默认(Azure 提供)”,则虚拟网络使用的是 Azure DNS。 跳到 Azure DNS 问题排查部分。
- 如果列出了其他 IP 地址,则虚拟网络使用的是自定义 DNS 解决方案。 跳到自定义 DNS 问题排查部分。
自定义 DNS 问题排查
使用以下步骤验证自定义 DNS 解决方案是否正确将名称解析为 IP 地址:
子与专用端点有有效连接的虚拟机、笔记本电脑、台式机或其他计算资源中,打开 Web 浏览器。 在浏览器中,使用 Azure 区域的 URL:
Azure 云区域 网址 Azure 政府云 https://portal.azure.us/?feature.privateendpointmanagedns=false 由世纪互联运营的 Microsoft Azure https://portal.azure.cn/?feature.privateendpointmanagedns=false 所有其他区域 https://portal.azure.com/?feature.privateendpointmanagedns=false 在门户中,选择项目的专用终结点。 在 DNS 配置部分中,列出专用终结点的 FQDN。
打开命令提示符、PowerShell 或其他命令行,并针对上一步返回的每个 FQDN 运行以下命令。 每次运行命令时,验证返回的 IP 地址是否与门户中列出的 FQDN 的 IP 地址一致:
nslookup <fqdn>例如,运行
nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms命令将返回类似于以下文本的值:Server: yourdnsserver Address: yourdnsserver-IP-address Name: df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms Address: 10.0.0.4如果
nslookup命令返回错误,或返回与门户中显示的 IP 地址不同的 IP 地址,则自定义 DNS 解决方案未正确配置。
Azure DNS 问题排查
使用 Azure DNS 进行名称解析时,请使用以下步骤验证是否已正确配置专用 DNS 集成:
在专用终结点上,选择“DNS 配置”。 对于“专用 DNS 区域”列中的每个条目,“DNS 区域组”列中也应该有一个条目。
如果有专用 DNS 区域条目,但没有 DNS 区域组条目,请删除并重新创建专用终结点。 重新创建专用终结点时,启用专用 DNS 区域集成。
如果“DNS 区域组”不为空,请选择“专用 DNS 区域”条目的链接。
在专用 DNS 区域中,选择“虚拟网络链接”。 应该有一个指向虚拟网络的链接。 如果没有,请删除并重新创建专用终结点。 重新创建它时,请选择链接到虚拟网络的专用 DNS 区域,或创建链接到该虚拟网络的新区域。
对专用 DNS 区域条目的其余部分重复上述步骤。
浏览器配置(基于 HTTPS 的 DNS)
检查是否在 Web 浏览器中启用了基于 HTTP 的 DNS。 基于 HTTP 的 DNS 可阻止 Azure DNS 通过专用终结点的 IP 地址进行响应。
- Mozilla Firefox:有关详细信息,请参阅在 Firefox 中禁用基于 HTTPS 的 DNS。
- Microsoft Edge:
在 Microsoft Edge 中,依次选择“...”和“设置”。
在“设置”中搜索
DNS,然后禁用“使用安全 DNS 指定如何查找网站的网络地址”。
代理配置
如果使用代理,它可能会阻止与受保护项目的通信。 要进行测试,请使用以下任一选项:
- 暂时禁用代理设置,查看是否可以连接。
- 创建代理自动配置 (PAC) 文件,以允许直接访问专用终结点上列出的 FQDN。 它还应该允许直接访问任何计算实例的 FQDN。
- 配置代理服务器以将 DNS 请求转发到 Azure DNS。
- 请确保代理允许连接到 AML API,例如“.<region>.api.azureml.ms”和“.instances.azureml.ms”
排查连接到存储的配置问题
创建项目时,会自动为数据上传和工件存储(包括提示流)创建与 Azure 存储的多个连接。 当中心的关联 Azure 存储帐户将公用网络访问设置为“禁用”时,这些存储连接的创建可能会延迟。
请尝试以下步骤进行故障排除:
- 在 Azure 门户中,检查与中心关联的存储帐户的网络设置。
- 如果公用网络访问设置为“从所选虚拟网络和 IP 地址启用”,请确保添加了正确的 IP 地址范围以访问存储帐户。
- 如果公用网络访问设置为“禁用”,请确保已将专用终结点从 Azure 虚拟网络配置为存储帐户,其中目标子资源为 blob。 此外,必须向托管标识授予存储帐户专用终结点的读取者角色。
- 在 Azure 门户中,导航到你的 Azure AI Foundry 中心。 务必要预配托管虚拟网络,并且 Blob 存储的出站专用终结点需处于“活动”状态。 有关如何预配托管虚拟网络的详细信息,请参阅如何为 Azure AI Foundry 中心配置托管网络。
- 导航到 Azure AI Foundry > 你的项目 > 项目设置。
- 刷新页面。 应会创建多个连接,包括“workspaceblobstore”。