Felsök anslutning till ett projekt med en privat slutpunkt

När du skapar ett projekt i Azure AI Foundry kan du skydda det med en privat slutpunkt. Med en privat slutpunkt kan du ansluta till projektet via ett privat nätverk och skydda dina data och resurser. Om du har problem med att ansluta till ett projekt som använder en privat slutpunkt visas stegen i den här artikeln som hjälper dig att åtgärda problemet.

När du ansluter till ett Azure AI Foundry-projekt som har konfigurerats med en privat slutpunkt kan ett HTTP 403-fel visas eller ett meddelande om att åtkomst är förbjuden. Använd den här artikeln om du vill söka efter vanliga konfigurationsproblem som orsakar det här felet.

Fel vid inläsning av Azure AI Foundry-hubb eller projekt

Om du får ett fel när du läser in din Azure AI Foundry-hubb eller ditt projekt kontrollerar du de här två inställningarna.

1. Hubben har offentlig nätverksåtkomst inställd på Inaktiverad.
2. Hubben har offentlig nätverksåtkomst inställd på Aktivera från valda IP-adresser.

Beroende på inställningen för åtkomst till offentligt nätverk för din Azure AI Foundry-hubb eller ditt projekt vidtar du matchningsåtgärden:

Anslut på ett säkert sätt till din hubb eller ditt projekt

Om du vill ansluta till en hubb eller ett projekt som skyddas av ett virtuellt nätverk använder du någon av följande metoder:

• Azure VPN Gateway-Connect lokala nätverk till det virtuella nätverket via en privat anslutning på det offentliga Internet. Välj mellan två TYPER av VPN-gateway:

  • Punkt-till-plats: Varje klientdator använder en VPN-klient för att ansluta till det virtuella nätverket.
  • Plats-till-plats: En VPN-enhet ansluter det virtuella nätverket till ditt lokala nätverk.

• ExpressRoute-Connect lokala nätverk till Azure via en privat anslutning via en anslutningsleverantör.

• Azure Bastion–Skapa en virtuell Azure-dator (en hoppruta) i det virtuella nätverket och anslut sedan till den via Azure Bastion med RDP eller SSH från webbläsaren. Använd den virtuella datorn som utvecklingsmiljö. Eftersom den finns i det virtuella nätverket kan den komma åt arbetsytan direkt.

DNS-konfiguration

Felsökningsstegen skiljer sig åt beroende på om du använder Azure DNS eller en anpassad DNS. Följ dessa steg för att se vilken du använder:

1. I Azure Portal väljer du den privata slutpunktsresursen för Azure AI Foundry. Om du inte kommer ihåg namnet väljer du din Azure AI Foundry-resurs, Nätverk, Privata slutpunktsanslutningar och väljer sedan länken Privat slutpunkt.

   

2. På sidan Översikt väljer du länken Nätverksgränssnitt .

   

3. Under Inställningar väljer du IP-konfigurationer och sedan länken Virtuellt nätverk .

   

4. I Inställningar väljer du DNS-servrar.

   

   • Om det här värdet är Standard (Tillhandahålls av Azure) använder det virtuella nätverket Azure DNS. Gå till felsökningsavsnittet för Azure DNS .
   • Om det finns en annan IP-adress i listan använder det virtuella nätverket en anpassad DNS-lösning. Hoppa till avsnittet Anpassad DNS-felsökning .

Anpassad DNS-felsökning

Följ de här stegen för att kontrollera om din anpassade DNS-lösning matchar namn till IP-adresser:

1. Öppna en webbläsare på en virtuell dator, bärbar dator, stationär dator eller annan beräkningsresurs som ansluter till den privata slutpunkten. I webbläsaren går du till URL:en för din Azure-region:

   Azure-regionen	Webbadress
   Azure för offentlig sektor	https://portal.azure.us/?feature.privateendpointmanagedns=false
   Microsoft Azure drivs av 21Vianet	https://portal.azure.cn/?feature.privateendpointmanagedns=false
   Alla andra regioner	https://portal.azure.com/?feature.privateendpointmanagedns=false

2. I portalen väljer du den privata slutpunkten för projektet. I avsnittet DNS-konfiguration listar du FQDN för den privata slutpunkten.

   

3. Öppna en kommandotolk, PowerShell eller en annan kommandorad och kör följande kommando för varje fullständigt domännamn som returnerades från föregående steg. Varje gång du kör kommandot kontrollerar du att IP-adressen som returneras matchar den IP-adress som anges i portalen för det fullständiga domännamnet:

   I följande kommando ersätter du platshållartexten <fqdn> med ett FQDN från listan.

   nslookup <fqdn>

Till exempel:

nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms

Exempel på utdata:

Server: yourdnsserver
Address: yourdnsserver-IP-address

Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
Address: 10.0.0.4

1. nslookup Om kommandot returnerar ett fel eller en annan IP-adress än vad portalen visar är din anpassade DNS-lösning inte korrekt konfigurerad.

Felsökning av Azure DNS

När du använder Azure DNS för namnmatchning följer du dessa steg för att kontrollera att privat DNS-integrering är korrekt konfigurerad:

1. På den privata slutpunkten väljer du DNS-konfiguration.

   

   • Om det finns en Privat DNS zonpost, men ingen DNS-zongruppspost, tar du bort och återskapar den privata slutpunkten. När du återskapar den privata slutpunkten aktiverar du Privat DNS zonintegrering.

   • Om DNS-zongruppen inte är tom väljer du länken för posten Privat DNS zon.

     I zonen Privat DNS väljer du Länkar till virtuellt nätverk. Det bör finnas en länk till det virtuella nätverket. Om det inte finns någon tar du bort och återskapar den privata slutpunkten. När du återskapar den väljer du en privat DNS-zon som är länkad till det virtuella nätverket eller skapar en ny och länkar den.

     

2. Upprepa föregående steg för resten av Privat DNS zonposter.

Webbläsarkonfiguration (DNS via HTTPS)

Kontrollera om DNS via HTTPS är aktiverat i webbläsaren. DNS via HTTPS kan förhindra att Azure DNS svarar med IP-adressen för den privata slutpunkten.

• Mozilla Firefox: Mer om att inaktivera DNS via HTTPS i Firefox.
• Microsoft Edge:

  1. I Microsoft Edge väljer du ... och sedan Inställningar.

  2. I Inställningar söker du efter DNS och inaktiverar Sedan Använd säker DNS för att ange hur nätverksadressen ska slås upp för webbplatser.

     

Proxykonfiguration

Om du använder en proxyserver kan det blockera åtkomsten till ett skyddat projekt. Testa genom att prova något av följande alternativ:

• Inaktivera proxyinställningen tillfälligt och försök sedan ansluta.
• Skapa en PAC-fil (Proxy auto-config) som ger direkt åtkomst till de fullständigt kvalificerade domännamnen (FQDN) som anges på den privata slutpunkten och till det fullständiga domännamnet för alla beräkningsinstanser.
• Konfigurera proxyservern för att vidarebefordra DNS-begäranden till Azure DNS.
• Kontrollera att proxyn tillåter anslutningar till AML-API:er (Azure Machine Learning), till exempel *.<region>.api.azureml.ms och *.instances.azureml.ms.

Felsöka problem med lagringsanslutning

När du skapar ett projekt skapar Azure Storage flera anslutningar för datauppladdning och artefaktlagring, inklusive promptflöde. Om hubbens associerade Azure Storage-konto har offentlig nätverksåtkomst inställd på Inaktiverad kan det ta längre tid att skapa dessa lagringsanslutningar.

Prova följande steg för att felsöka:

1. I Azure-portalen kontrollerar du nätverksinställningarna för det lagringskonto som är associerat med din hubb.

• Om offentlig nätverksåtkomst har angetts till Aktiverad från valda virtuella nätverk och IP-adresser kontrollerar du att rätt IP-adressintervall har lagts till för att tillåta åtkomst till ditt lagringskonto.
• Om åtkomst till offentligt nätverk är inställt på Inaktiverad kontrollerar du att en privat slutpunkt från ditt virtuella Azure-nätverk till ditt lagringskonto har konfigurerats med underresursen Target inställd på blob. Bevilja även rollen Läsare för lagringskontots privata slutpunkt till den hanterade identiteten.

1. Gå till azure AI Foundry-hubben i Azure-portalen. Kontrollera att det hanterade virtuella nätverket har etablerats och att den utgående privata slutpunkten till bloblagringen är Aktiv. Läs mer i Konfigurera ett hanterat nätverk för Azure AI Foundry-hubbar.
2. Gå till Azure AI Foundry > dina projektinställningar > .
3. Uppdatera sidan. Flera anslutningar visas, inklusive workspaceblobstore.