你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

排查与具有专用终结点的项目的连接问题

2025-08-28

注释

本文中的信息特定于 基于中心的项目，不适用于 Azure AI Foundry 项目。请参阅如何知道我拥有哪种类型的项目？并创建基于中心的项目。

在 Azure AI Foundry 中创建项目时，请使用专用终结点保护该项目。专用终结点允许通过专用网络连接到项目，并保护数据和资源。如果在连接到使用专用终结点的项目时遇到问题，本文列出了帮助你解决问题的步骤。

连接到使用专用终结点设置的 Azure AI Foundry 项目时，可能会看到 HTTP 403 错误或显示访问被禁止的消息。使用本文检查导致此错误的常见配置问题。

加载 Azure AI Foundry 中心或项目时出错

如果在加载 Azure AI Foundry 中心或项目时遇到错误，请检查这两个设置。

中心的公共网络访问权限设置为 “已禁用”。
中心具有从 所选 IP 设置为“启用”的公共网络访问。

根据 Azure AI Foundry 中心或项目的公用网络访问设置，执行匹配作：

公用网络访问设置	行动
已禁用	创建和批准从虚拟网络到 Azure AI Foundry 中心的入站专用终结点。使用 Azure VPN、ExpressRoute 或 Azure Bastion 安全地连接到中心或项目。
从所选 IP 启用	请确保 IP 地址列在允许访问 Azure AI Foundry 的防火墙 IP 范围中。如果无法添加 IP 地址，请联系 IT 管理员。

安全连接到你的中心或项目

若要连接到受虚拟网络保护的中心或项目，请使用以下方法之一：

Azure VPN 网关通过公共 Internet 上的专用连接将本地网络连接到虚拟网络。从两种 VPN 网关类型中进行选择：
- 点到站点：每台客户端计算机使用 VPN 客户端连接到虚拟网络。
- 站点到站点：VPN 设备将虚拟网络连接到本地网络。
ExpressRoute-Connect 本地网络通过连接提供商通过专用连接连接到 Azure。
Azure Bastion-Create an Azure virtual machine （jump box） in the virtual network， then connect to it through Azure Bastion using RDP or SSH from your browser. 将 VM 用作开发环境。由于它位于虚拟网络中，因此可以直接访问工作区。

DNS 配置

故障排除步骤因使用 Azure DNS 还是自定义 DNS 而异。按照以下步骤查看正在使用的步骤：

在 Azure 门户中，选择 Azure AI Foundry 的专用终结点资源。如果不记得名称，请选择你的 Azure AI Foundry 资源，“网络”，“专用终结点连接”，然后选择“专用终结点”链接。
在“概述”页中，选择“网络接口”链接。
在“设置”下，选择“IP 配置”，然后选择“虚拟网络”链接。
在 “设置”中，选择 DNS 服务器。
- 如果此值为“默认(Azure 提供)”，则虚拟网络使用的是 Azure DNS。跳到 Azure DNS 问题排查部分。
- 如果列出了其他 IP 地址，则虚拟网络使用的是自定义 DNS 解决方案。跳到自定义 DNS 问题排查部分。

自定义 DNS 问题排查

按照以下步骤检查自定义 DNS 解决方案是否将名称解析为 IP 地址：

在连接到专用终结点的 VM、笔记本电脑、台式机或其他计算资源上，打开 Web 浏览器。在浏览器中，转到 Azure 区域的 URL：

Azure 区域	URL
Azure 政府	https://portal.azure.us/?feature.privateendpointmanagedns=false
由世纪互联运营的 Microsoft Azure	https://portal.azure.cn/?feature.privateendpointmanagedns=false
所有其他区域	https://portal.azure.com/?feature.privateendpointmanagedns=false

在门户中，选择项目的专用终结点。在 DNS 配置 部分中，列出专用终结点的 FQDN。
打开命令提示符、PowerShell 或其他命令行，并针对上一步返回的每个 FQDN 运行以下命令。每次运行命令时，验证返回的 IP 地址是否与门户中列出的 FQDN 的 IP 地址一致：

在以下命令中，将占位符文本 <fqdn> 替换为列表中的 FQDN。

nslookup <fqdn>

例如：

nslookup df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms

示例输出：

Server: yourdnsserver
Address: yourdnsserver-IP-address

Name:   df33e049-7c88-4953-8939-aae374adbef9.workspace.eastus2.api.azureml.ms
Address: 10.0.0.4

nslookup如果命令返回错误或与门户显示不同的 IP 地址，则自定义 DNS 解决方案未正确配置。

Azure DNS 问题排查

使用 Azure DNS 进行名称解析时，请按照以下步骤检查是否已正确配置专用 DNS 集成：

在专用终结点上，选择 DNS 配置。
- 如果有专用 DNS 区域条目，但没有 DNS 区域组条目，请删除并重新创建专用终结点。重新创建专用终结点时，启用专用 DNS 区域集成。
- 如果“DNS 区域组”不为空，请选择“专用 DNS 区域”条目的链接。
  
  在专用 DNS 区域中，选择“虚拟网络链接”。应该有一个指向虚拟网络的链接。如果没有，请删除并重新创建专用终结点。重新创建它时，请选择链接到虚拟网络的专用 DNS 区域，或创建新的 DNS 区域并将其链接。
对专用 DNS 区域条目的其余部分重复上述步骤。

浏览器配置（基于 HTTPS 的 DNS）

检查是否在 Web 浏览器中启用了通过 HTTPS 的 DNS。通过 HTTPS 的 DNS 可以防止 Azure DNS 使用专用终结点的 IP 地址进行响应。

Mozilla Firefox：有关在 Firefox 中通过 HTTPS 禁用 DNS 的详细信息。
Microsoft Edge：
1. 在 Microsoft Edge 中，依次选择“...”和“设置”。
2. 在 “设置”中，搜索 DNS ，然后禁用 “使用安全 DNS”指定如何查找网站的网络地址。

代理配置

如果使用代理，它可能会阻止访问受保护的项目。若要测试，请尝试以下选项之一：

暂时禁用代理设置，然后尝试连接。
创建代理自动配置（PAC）文件，允许直接访问专用终结点中列出的完全限定域名（FQDN），以及任何计算实例的 FQDN。
将代理服务器设置为将 DNS 请求转发到 Azure DNS。
确保代理允许连接到 Azure 机器学习（AML） API，例如 *.<region>.api.azureml.ms 和 *.instances.azureml.ms。

排查存储连接问题

创建项目时，Azure 存储会为数据上传和项目存储创建多个连接，包括提示流。如果中心的关联 Azure 存储帐户的公共网络访问权限设置为 “已禁用”，则这些存储连接可能需要更长的时间才能创建。

请尝试以下步骤进行故障排除：

在 Azure 门户中，检查与中心关联的存储帐户的网络设置。

如果公用网络访问设置为 “从所选虚拟网络和 IP 地址启用”，请确保添加了正确的 IP 地址范围，以允许访问存储帐户。
如果公用网络访问设置为 “已禁用”，请确保已将 Azure 虚拟网络中的专用终结点配置为存储帐户，目标子资源设置为 Blob。此外，向托管标识授予存储帐户专用终结点的读取者角色。

在 Azure 门户中，转到 Azure AI Foundry 中心。确保预配托管虚拟网络，并将 Blob 存储的出站专用终结点处于活动状态。详细了解如何为 Azure AI Foundry 中心配置托管网络。
转到 Azure AI Foundry > 项目 > 设置。
刷新页面。将显示多个连接，包括 workspaceblobstore。

反馈

此页面是否有帮助？