Sdílet prostřednictvím

Kurz: Vytvoření zabezpečeného pracovního prostoru pomocí služby Azure Virtual Network

  • Článek

V tomto článku se dozvíte, jak vytvořit zabezpečený pracovní prostor Azure Machine Learning a připojit se k němu. Kroky v tomto článku používají azure Virtual Network k vytvoření hranice zabezpečení kolem prostředků používaných službou Azure Machine Learning.

Důležité

Místo virtuální sítě Azure Virtual Network doporučujeme používat spravovanou virtuální síť Azure Machine Learning. Verzi tohoto kurzu, která používá spravovanou virtuální síť, najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru se spravovanou virtuální sítí.

V tomto kurzu provedete následující úlohy:

  • Vytvořte virtuální síť Azure pro zabezpečení komunikace mezi službami ve virtuální síti.
  • Vytvořte účet úložiště Azure (objekt blob a soubor) za virtuální sítí. Tato služba se používá jako výchozí úložiště pro pracovní prostor.
  • Vytvořte službu Azure Key Vault za virtuální sítí. Tato služba slouží k ukládání tajných kódů používaných pracovním prostorem. Například informace o zabezpečení potřebné pro přístup k účtu úložiště.
  • Vytvoření služby Azure Container Registry (ACR). Tato služba se používá jako úložiště pro image Dockeru. Image Dockeru poskytují výpočetní prostředí potřebná při trénování modelu strojového učení nebo nasazení natrénovaného modelu jako koncového bodu.
  • Vytvořte pracovní prostor Azure Machine Learning.
  • Vytvořte jump box. Jump box je virtuální počítač Azure, který je za virtuální sítí. Vzhledem k tomu, že virtuální síť omezuje přístup z veřejného internetu, jump box slouží jako způsob připojení k prostředkům za virtuální sítí.
  • Nakonfigurujte studio Azure Machine Learning pro práci za virtuální sítí. Studio poskytuje webové rozhraní pro Azure Machine Learning.
  • Vytvoření výpočetního clusteru Azure Machine Learning Výpočetní cluster se používá při trénování modelů strojového učení v cloudu. V konfiguracích, kde je služba Azure Container Registry za virtuální sítí, se používá také k vytváření imagí Dockeru.
  • Připojte se k jump boxu a použijte studio Azure Machine Learning.

Tip

Pokud hledáte šablonu, která ukazuje, jak vytvořit zabezpečený pracovní prostor, podívejte se na šablonu Bicep nebo šablonu Terraformu.

Po dokončení tohoto kurzu budete mít následující architekturu:

  • Virtuální síť Azure, která obsahuje tři podsítě:
    • Trénování: Obsahuje pracovní prostor Azure Machine Learning, služby závislostí a prostředky používané pro trénovací modely.
    • Bodování: Pro kroky v tomto kurzu se nepoužívá. Pokud ale tento pracovní prostor nadále používáte pro jiné kurzy, doporučujeme tuto podsíť použít při nasazování modelů do koncových bodů.
    • AzureBastionSubnet: Používá se službou Azure Bastion k zabezpečenému připojení klientů k Virtuálním počítačům Azure.
  • Pracovní prostor Azure Machine Learning, který ke komunikaci pomocí virtuální sítě používá privátní koncový bod.
  • Účet služby Azure Storage, který používá privátní koncové body, aby mohly služby úložiště, jako jsou objekty blob a soubor, komunikovat pomocí virtuální sítě.
  • Azure Container Registry, který používá komunikaci privátního koncového bodu pomocí virtuální sítě.
  • Azure Bastion, který umožňuje používat prohlížeč k zabezpečené komunikaci s virtuálním počítačem jump box v rámci virtuální sítě.
  • Virtuální počítač Azure, ke kterému se můžete vzdáleně připojit a přistupovat k prostředkům zabezpečeným uvnitř virtuální sítě.
  • Výpočetní instance a výpočetní cluster služby Azure Machine Learning

Tip

Služba Azure Batch uvedená v diagramu je back-endová služba požadovaná výpočetními clustery a výpočetními instancemi.

Diagram konečné architektury vytvořené v rámci tohoto kurzu

Požadavky

  • Znalost virtuálních sítí Azure a sítí IP Pokud neznáte, vyzkoušejte modul Základy počítačových sítí .
  • Většina kroků v tomto článku používá Azure Portal nebo studio Azure Machine Learning, ale některé kroky používají rozšíření Azure CLI pro Machine Learning verze 2.

Vytvoření virtuální sítě

Pokud chcete vytvořit virtuální síť, postupujte následovně:

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak do vyhledávacího pole zadejte virtuální síť . Vyberte položku Virtuální síť a pak vyberte Vytvořit.

    Snímek obrazovky s formulářem vyhledávání prostředků s vybranou virtuální sítí

    Snímek obrazovky s formulářem pro vytvoření virtuální sítě

  2. Na kartě Základy vyberte předplatné Azure, které chcete pro tento prostředek použít, a pak vyberte nebo vytvořte novou skupinu prostředků. V části Podrobnosti o instanci zadejte popisný název vaší virtuální sítě a vyberte oblast , ve které ji chcete vytvořit.

    Snímek obrazovky se základním konfiguračním formulářem virtuální sítě

  3. Vyberte Zabezpečení. Výběrem této možnosti povolíte Službu Azure Bastion. Azure Bastion poskytuje bezpečný způsob přístupu k jump boxu virtuálního počítače, který vytvoříte v rámci virtuální sítě v pozdějším kroku. Pro zbývající pole použijte následující hodnoty:

    • Název bastionu: Jedinečný název této instance Bastionu
    • Veřejná IP adresa: Vytvořte novou veřejnou IP adresu.

    Ostatní pole ponechte na výchozích hodnotách.

    Snímek obrazovky s konfigurací Bastionu

  4. Vyberte IP adresy. Výchozí nastavení by se mělo podobat následujícímu obrázku:

    Snímek obrazovky s výchozím formulářem IP adresy

    Pomocí následujících kroků nakonfigurujte IP adresu a nakonfigurujte podsíť pro trénovací a bodovací prostředky:

    Tip

    I když můžete použít jednu podsíť pro všechny prostředky Azure Machine Learning, postup v tomto článku ukazuje, jak vytvořit dvě podsítě pro oddělení trénovacích a bodovacích prostředků.

    Pracovní prostor a další závislé služby přejdou do trénovací podsítě. Stále je můžou používat prostředky v jiných podsítích, jako je bodovací podsíť.

    1. Podívejte se na výchozí hodnotu adresního prostoru IPv4. Na snímku obrazovky je hodnota 172.16.0.0/16. Hodnota se pro vás může lišit. I když můžete použít jinou hodnotu, zbytek kroků v tomto kurzu vychází z hodnoty 172.16.0.0/16.

      Upozorňující

      Pro vaši virtuální síť nepoužívejte rozsah IP adres 172.17.0.0/16. Toto je výchozí rozsah podsítě používaný sítí mostu Docker a v případě použití pro vaši virtuální síť dojde k chybám. V závislosti na tom, co chcete k virtuální síti připojit, může docházet ke konfliktu s dalšími rozsahy. Pokud například plánujete k virtuální síti připojit místní síť, která také používá rozsah 172.16.0.0/16. Nakonec je na vás naplánovat síťovou infrastrukturu.

    2. Vyberte výchozí podsíť a pak vyberte ikonu pro úpravy.

      Snímek obrazovky s výběrem ikony pro úpravy výchozí podsítě

    3. Změňte název podsítě na trénování. U ostatních hodnot ponechte výchozí nastavení a pak změny uložte výběrem možnosti Uložit .

    4. Pokud chcete vytvořit podsíť pro výpočetní prostředky používané k určení skóre modelů, vyberte + Přidat podsíť a nastavte název a rozsah adres:

      • Název podsítě: Bodování
      • Počáteční adresa: 172.16.2.0
      • Velikost podsítě: /24 (256 adres)

      Snímek obrazovky s podsítí bodování

    5. Vyberte Přidat a přidejte podsíť.

  5. Vyberte Zkontrolovat a vytvořit.

    Snímek obrazovky s tlačítkem zkontrolovat a vytvořit

  6. Ověřte správnost informací a pak vyberte Vytvořit.

    Snímek obrazovky s kontrolou a vytvořením virtuální sítě

Vytvoření účtu úložiště

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte účet úložiště. Vyberte položku Účet úložiště a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Zadejte jedinečný název účtu úložiště a nastavte redundanci na místně redundantní úložiště (LRS).

    Snímek obrazovky se základní konfigurací účtu úložiště

  3. Na kartě Sítě vyberte Zakázat veřejný přístup a pak vyberte + Přidat privátní koncový bod.

    Snímek obrazovky formuláře pro přidání privátní sítě objektů blob

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: objekt blob
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • integrace Privátní DNS: Ano
    • zóna Privátní DNS: privatelink.blob.core.windows.net

    Vyberte Přidat a vytvořte privátní koncový bod.

  5. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  6. Po vytvoření účtu úložiště vyberte Přejít k prostředku:

    Snímek obrazovky s tlačítkem Přejít na nový prostředek úložiště

  7. V levém navigačním panelu vyberte Síť na kartě Připojení privátního koncového bodu a pak vyberte + Privátní koncový bod:

    Poznámka:

    Když jste v předchozích krocích vytvořili privátní koncový bod pro úložiště objektů blob, musíte ho také vytvořit pro úložiště File.

    Snímek obrazovky se síťovým formulářem účtu úložiště

  8. Ve formuláři Vytvořit privátní koncový bod použijte stejné předplatné, skupinu prostředků a oblast , které jste použili pro předchozí prostředky. Zadejte jedinečný název.

    Snímek obrazovky se základním formulářem při přidávání privátního koncového bodu souboru

  9. Vyberte Další: Prostředek a pak nastavte cílový dílčí prostředek na soubor.

    Snímek obrazovky s formulářem prostředku při výběru podsourcu souboru

  10. Vyberte Další: Virtuální síť a pak použijte následující hodnoty:

    • Virtuální síť: Síť, kterou jste vytvořili dříve
    • Podsíť: Trénování

    Snímek obrazovky s konfiguračním formulářem při přidávání privátního koncového bodu souboru

  11. Pokračujte na kartách a vyberte výchozí hodnoty, dokud se nedostanete na Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Tip

Pokud plánujete použít dávkový koncový bod nebo kanál Služby Azure Machine Learning, který používá ParallelRunStep, je také nutné nakonfigurovat cílovou frontu privátních koncových bodů a dílčí prostředky tabulky . ParallelRunStep interně používá frontu a tabulku pro plánování a odesílání úkolů.

Vytvořte trezor klíčů.

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Key Vault. Vyberte položku služby Key Vault a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Zadejte jedinečný název trezoru klíčů. Ostatní pole ponechte na výchozí hodnotě.

    Snímek obrazovky se základním formulářem při vytváření nového trezoru klíčů

  3. Na kartě Sítě zrušte výběr možnosti Povolit veřejný přístup a pak vyberte + vytvořit privátní koncový bod.

    Snímek obrazovky síťového formuláře při přidávání privátního koncového bodu pro trezor klíčů

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: Trezor
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • Povolení integrace Privátní DNS: Ano
    • Privátní DNS Zóna: Vyberte skupinu prostředků, která obsahuje virtuální síť a trezor klíčů.

    Vyberte Přidat a vytvořte privátní koncový bod.

    Snímek obrazovky s formulářem konfigurace privátního koncového bodu trezoru klíčů

  5. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Vytvoření registru kontejneru

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Container Registry. Vyberte položku Container Registry a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a umístění , které jste dříve použili pro virtuální síť. Zadejte jedinečný název registru a nastavte skladovou položku na Premium.

    Snímek obrazovky se základním formulářem při vytváření registru kontejneru

  3. Na kartě Sítě vyberte privátní koncový bod a pak vyberte + Přidat.

    Snímek obrazovky síťového formuláře při přidávání privátního koncového bodu registru kontejneru

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: registr
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • integrace Privátní DNS: Ano
    • Skupina prostředků: Vyberte skupinu prostředků, která obsahuje virtuální síť a registr kontejneru.

    Vyberte Přidat a vytvořte privátní koncový bod.

    Snímek obrazovky s konfiguračním formulářem privátního koncového bodu registru kontejneru

  5. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  6. Po vytvoření registru kontejneru vyberte Přejít k prostředku.

    Snímek obrazovky s tlačítkem Přejít k prostředku

  7. Na levé straně stránky vyberte Přístupové klíče a pak povolte uživatele správce. Toto nastavení se vyžaduje při použití služby Azure Container Registry ve virtuální síti se službou Azure Machine Learning.

    Snímek obrazovky s formulářem přístupových klíčů registru kontejneru s povolenou možností správce

Vytvoření pracovního prostoru

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Machine Learning. Vyberte položku Machine Learning a pak vyberte Vytvořit.

    Snímek obrazovky se stránkou pro vytvoření služby Azure Machine Learning

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Pro ostatní pole použijte následující hodnoty:

    • Název: Jedinečný název pracovního prostoru.
    • Účet úložiště: Vyberte účet úložiště, který jste vytvořili dříve.
    • Trezor klíčů: Vyberte trezor klíčů, který jste vytvořili dříve.
    • Application Insights: Použijte výchozí hodnotu.
    • Registr kontejneru: Použijte registr kontejneru, který jste vytvořili dříve.

    Snímek obrazovky se základním konfiguračním formulářem pracovního prostoru

  3. Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem. V části Příchozí přístup k pracovnímu prostoru vyberte + Přidat.

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: amlworkspace
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • integrace Privátní DNS: Ano
    • zóna Privátní DNS: Ponechte dvě privátní zóny DNS na výchozích hodnotách privatelink.api.azureml.ms a privatelink.notebooks.azure.net.

    Vyberte OK a vytvořte privátní koncový bod.

    Snímek obrazovky s formulářem konfigurace privátní sítě pracovního prostoru

  5. Na kartě Sítě v části Odchozí přístup k pracovnímu prostoru vyberte Použít vlastní virtuální síť.

  6. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  7. Po vytvoření pracovního prostoru vyberte Přejít k prostředku.

  8. V části Nastavení na levé straně vyberte Sítě, připojení privátního koncového bodu a pak vyberte odkaz ve sloupci Privátní koncový bod:

    Snímek obrazovky s připojením privátního koncového bodu pro pracovní prostor

  9. Jakmile se zobrazí informace o privátním koncovém bodu, vyberte konfiguraci DNS na levé straně stránky. Na této stránce uložte IP adresu a plně kvalifikovaný název domény (FQDN).

    snímek obrazovky s položkami IP a plně kvalifikovaného názvu domény pro pracovní prostor

Důležité

Před úplným použitím pracovního prostoru stále potřebujete několik kroků konfigurace. Ty ale vyžadují, abyste se připojili k pracovnímu prostoru.

Povolení studia

studio Azure Machine Learning je webová aplikace, která umožňuje snadnou správu pracovního prostoru. Před použitím prostředků zabezpečených ve virtuální síti ale potřebuje určitou další konfiguraci. Pomocí následujících kroků povolte studio:

  1. Pokud používáte účet úložiště Azure, který má privátní koncový bod, přidejte instanční objekt pro pracovní prostor jako čtenáře pro privátní koncové body úložiště. Na webu Azure Portal vyberte svůj účet úložiště a pak vyberte Sítě. Dále vyberte připojení privátního koncového bodu.

    Snímek obrazovky s připojením privátního koncového bodu úložiště

  2. Pro každý uvedený privátní koncový bod použijte následující kroky:

    1. Vyberte odkaz ve sloupci Privátní koncový bod .

      Snímek obrazovky s odkazy koncového bodu ve sloupci privátního koncového bodu

    2. Na levé straně vyberte Řízení přístupu (IAM).

    3. Vyberte + Přidat a pak přidejte přiřazení role (Preview).

      Otevře se stránka Řízení přístupu (IAM) s otevřenou nabídkou Přidat přiřazení role.

    4. Na kartě Role vyberte čtenáře.

      Stránka Přidat přiřazení role s vybranou kartou Role

    5. Na kartě Členové vyberte v oblasti Přiřadit přístup uživatele, skupiny nebo instančního objektu a pak vyberte + Vybrat členy. V dialogovém okně Vybrat členy zadejte název jako pracovní prostor služby Azure Machine Learning. Vyberte instanční objekt pro pracovní prostor a pak použijte tlačítko Vybrat .

    6. Na kartě Zkontrolovat a přiřadit vyberte možnost Zkontrolovat a přiřadit a přiřaďte roli.

Zabezpečení služby Azure Monitor a Application Insights

Poznámka:

Další informace o zabezpečení služby Azure Monitor a Application Insights najdete na následujících odkazech:

  1. Na webu Azure Portal vyberte Domovská stránka a vyhledejte private link. Vyberte výsledek oboru služby Azure Monitor Private Link a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte stejné předplatné, skupinu prostředků a oblast skupiny prostředků jako pracovní prostor Služby Azure Machine Learning. Zadejte název instance a pak vyberte Zkontrolovat a vytvořit. Pokud chcete vytvořit instanci, vyberte Vytvořit.

  3. Po vytvoření instance oboru služby Azure Monitor Private Link vyberte instanci na webu Azure Portal. V části Konfigurace vyberte Prostředky služby Azure Monitor a pak vyberte + Přidat.

    Snímek obrazovky s tlačítkem přidat

  4. V části Vyberte obor pomocí filtrů vyberte instanci Application Insights pro váš pracovní prostor Azure Machine Learning. Pokud chcete přidat instanci, vyberte Použít .

  5. V části Konfigurace vyberte připojení privátního koncového bodu a pak vyberte + privátní koncový bod.

    Snímek obrazovky s tlačítkem přidat privátní koncový bod

  6. Vyberte stejné předplatné, skupinu prostředků a oblast , která obsahuje vaši virtuální síť. Vyberte Další: Prostředek.

    Snímek obrazovky se základy privátního koncového bodu služby Azure Monitor

  7. Vyberte Microsoft.insights/privateLinkScopes jako typ prostředku. Vyberte obor služby Private Link, který jste vytvořili dříve jako prostředek. Vyberte azuremonitor jako dílčí prostředek Cíl. Nakonec vyberte Další: Virtuální síť a pokračujte.

    Snímek obrazovky s prostředky privátního koncového bodu služby Azure Monitor

  8. Vyberte virtuální síť, kterou jste vytvořili dříve, a podsíť trénování. Vyberte Další , dokud nedorazíte na zkontrolovat a vytvořit. Výběrem možnosti Vytvořit vytvořte privátní koncový bod.

    Snímek obrazovky se sítí privátních koncových bodů služby Azure Monitor

  9. Po vytvoření privátního koncového bodu se vraťte k prostředku oboru služby Azure Monitor na portálu. V části Konfigurovat vyberte režimy přístupu. V režimu přístupu k příjmu dat a režimu přístupu k dotazům vyberte Možnost Soukromé pouze pro režim přístupu k příjmu dat a pak vyberte Uložit.

    Snímek obrazovky s režimy přístupu k oboru privátního propojení

Připojení k pracovnímu prostoru

K zabezpečenému pracovnímu prostoru se můžete připojit několika způsoby. Kroky v tomto článku používají jump box, což je virtuální počítač ve virtuální síti. K němu se můžete připojit pomocí webového prohlížeče a služby Azure Bastion. Následující tabulka uvádí několik dalších způsobů, jak se můžete připojit k zabezpečenému pracovnímu prostoru:

metoda Popis
Azure VPN Gateway Připojí místní sítě k virtuální síti přes privátní připojení. Připojení se provádí přes veřejný internet.
ExpressRoute Připojí místní sítě k cloudu přes privátní připojení. Připojení se provádí pomocí poskytovatele připojení.

Důležité

Pokud používáte bránu VPN nebo ExpressRoute, budete muset naplánovat fungování překladu ip adres mezi místními prostředky a prostředky ve virtuální síti. Další informace najdete v tématu Použití vlastního serveru DNS.

Vytvoření jump boxu (virtuální počítač)

Pomocí následujících kroků vytvořte virtuální počítač Azure, který se použije jako jump box. Azure Bastion umožňuje připojení k ploše virtuálního počítače prostřednictvím prohlížeče. Z plochy virtuálního počítače pak můžete pomocí prohlížeče na virtuálním počítači připojit k prostředkům ve virtuální síti, jako je například studio Azure Machine Learning. Nebo můžete na virtuální počítač nainstalovat vývojové nástroje.

Tip

Následující kroky vytvoří virtuální počítač s Windows 11 Enterprise. V závislosti na vašich požadavcích můžete chtít vybrat jinou image virtuálního počítače. Image Windows 11 (nebo 10) Enterprise je užitečná, pokud potřebujete připojit virtuální počítač k doméně vaší organizace.

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte virtuální počítač. Vyberte položku Virtuální počítač a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Zadejte hodnoty pro následující pole:

    • Název virtuálního počítače: Jedinečný název virtuálního počítače.

    • Uživatelské jméno: Uživatelské jméno, které používáte pro přihlášení k virtuálnímu počítači.

    • Heslo: Heslo pro uživatelské jméno.

    • Typ zabezpečení: Standardní.

    • Obrázek: Windows 11 Enterprise.

      Tip

      Pokud Windows 11 Enterprise není v seznamu pro výběr obrázku, použijte možnost Zobrazit všechny image_. Najděte položku Windows 11 od Microsoftu a pomocí rozevíracího seznamu Vybrat vyberte podnikovou image.

    Ostatní pole můžete ponechat na výchozích hodnotách.

    Snímek obrazovky se základní konfigurací virtuálního počítače

  3. Vyberte Sítě a pak vyberte virtuální síť , kterou jste vytvořili dříve. K nastavení zbývajících polí použijte následující informace:

    • Vyberte podsíť trénování.
    • Nastavte veřejnou IP adresu na Žádné.
    • Ostatní pole ponechte na výchozí hodnotě.

    Snímek obrazovky s konfigurací sítě virtuálních počítačů

  4. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Připojení k jump boxu

  1. Po vytvoření virtuálního počítače vyberte Přejít k prostředku.

  2. V horní části stránky vyberte Připojit a pak připojit přes Bastion.

    Snímek obrazovky se seznamem connect a vybranou možností Bastion

  3. Zadejte ověřovací informace pro virtuální počítač a v prohlížeči se vytvoří připojení.

Vytvoření výpočetního clusteru a instance

Výpočetní instance poskytuje prostředí Poznámkového bloku Jupyter u sdíleného výpočetního prostředku připojeného k vašemu pracovnímu prostoru.

  1. Z připojení služby Azure Bastion k jump boxu otevřete prohlížeč Microsoft Edge na vzdálené ploše.

  2. V relaci vzdáleného prohlížeče přejděte na https://ml.azure.com. Po zobrazení výzvy se ověřte pomocí účtu Microsoft Entra.

  3. Na obrazovce Vítejte v studiu! vyberte pracovní prostor Machine Learning, který jste vytvořili dříve, a pak vyberte Začínáme.

    Tip

    Pokud má váš účet Microsoft Entra přístup k více předplatným nebo adresářům, použijte rozevírací seznam Adresář a předplatné a vyberte ten, který obsahuje pracovní prostor.

    Snímek obrazovky s vybraným formulářem pracovního prostoru Machine Learning

  4. V sadě Studio vyberte Compute, Compute clustery a pak + Nový.

    Snímek obrazovky se stránkou výpočetních clusterů s vybraným tlačítkem Nový

  5. V dialogovém okně Virtuální počítač vyberte Další a přijměte výchozí konfiguraci virtuálního počítače.

    Snímek obrazovky s konfigurací virtuálního počítače výpočetního clusteru

  6. V dialogovém okně Konfigurovat nastavení zadejte jako název výpočetních prostředků cluster procesoru. Nastavte podsíť na trénování a pak vyberte Vytvořit, aby se cluster vytvořil.

    Tip

    Výpočetní clustery dynamicky škálují uzly v clusteru podle potřeby. Pokud se cluster nepoužívá, doporučujeme ponechat minimální počet uzlů na 0, abyste snížili náklady.

    Snímek obrazovky s formulářem konfigurace nastavení

  7. V sadě Studio vyberte Compute, Compute instance a pak + Nový.

    Snímek obrazovky se stránkou výpočetních instancí s vybraným tlačítkem Nový

  8. V části Požadované nastavení zadejte jedinečný název počítače a vyberte Další.

    Snímek obrazovky s konfigurací virtuálního počítače výpočetní instance

  9. Pokračujte výběrem možnosti Další, dokud nedorazíte do dialogového okna Zabezpečení, vyberte virtuální síť a nastavte podsíť na trénování. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

    Snímek obrazovky s rozšířeným nastavením

Tip

Když vytvoříte výpočetní cluster nebo výpočetní instanci, Azure Machine Learning dynamicky přidá skupinu zabezpečení sítě (NSG). Tato skupina zabezpečení sítě obsahuje následující pravidla, která jsou specifická pro výpočetní cluster a výpočetní instanci:

  • Povolte příchozí provoz TCP na portech 29876-29877 ze značky BatchNodeManagement služby.
  • Povolte příchozí provoz TCP na portu 44224 ze značky AzureMachineLearning služby.

Následující snímek obrazovky ukazuje příklad těchto pravidel:

Snímek obrazovky se skupinou zabezpečení sítě

Další informace o vytvoření výpočetního clusteru a výpočetního clusteru, včetně postupu při použití Pythonu a rozhraní příkazového řádku, najdete v následujících článcích:

Konfigurace sestavení imagí

PLATÍ PRO: Rozšíření Azure CLI ml v2 (aktuální)

Když je Azure Container Registry za virtuální sítí, Azure Machine Learning ji nemůže použít k přímému sestavování imagí Dockeru (používá se k trénování a nasazení). Místo toho nakonfigurujte pracovní prostor tak, aby používal výpočetní cluster, který jste vytvořili dříve. Pomocí následujících kroků vytvořte výpočetní cluster a nakonfigurujte pracovní prostor tak, aby ho používal k vytváření imagí:

  1. Přejděte a https://shell.azure.com/ otevřete Azure Cloud Shell.

  2. Z Cloud Shellu pomocí následujícího příkazu nainstalujte rozhraní příkazového řádku 2.0 pro Azure Machine Learning:

    az extension add -n ml

  3. Pokud chcete pracovní prostor aktualizovat tak, aby používal výpočetní cluster k vytváření imagí Dockeru. Nahraďte docs-ml-rg svojí skupinou prostředků. Nahraďte docs-ml-ws pracovním prostorem. Nahraďte cpu-cluster názvem výpočetního clusteru:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Poznámka:

    Stejný výpočetní cluster můžete použít k trénování modelů a vytváření imagí Dockeru pro pracovní prostor.

Použití pracovního prostoru

Důležité

Kroky v tomto článku umístí službu Azure Container Registry za virtuální síť. V této konfiguraci nemůžete nasadit model do služby Azure Container Instances uvnitř virtuální sítě. Nedoporučujeme používat službu Azure Container Instances se službou Azure Machine Learning ve virtuální síti. Další informace najdete v tématu Zabezpečení prostředí pro odvozování (SDK/CLI v1).

Jako alternativu ke službě Azure Container Instances vyzkoušejte online koncové body spravované službou Azure Machine Learning. Další informace najdete v tématu Povolení izolace sítě pro spravované online koncové body.

V tomto okamžiku můžete pomocí studia interaktivně pracovat s poznámkovými bloky ve výpočetní instanci a spouštět úlohy trénování na výpočetním clusteru. Kurz použití výpočetní instance a výpočetního clusteru najdete v kurzu : Azure Machine Learning za den.

Zastavení výpočetní instance a jump boxu

Upozorňující

Když běží (spuštěno), výpočetní instance a jump box budou dál účtovat vaše předplatné. Abyste se vyhnuli nadbytečným nákladům, zastavte je, když se nepoužívají.

Výpočetní cluster se dynamicky škáluje mezi minimálním a maximálním počtem uzlů nastaveným při jeho vytvoření. Pokud jste přijali výchozí hodnoty, minimum je 0, což efektivně vypne cluster, když se nepoužívá.

Zastavení výpočetní instance

V sadě Studio vyberte Compute, Compute clustery a pak vyberte výpočetní instanci. Nakonec v horní části stránky vyberte Zastavit .

Snímek obrazovky s tlačítkem Zastavit pro výpočetní instanci

Zastavení jump boxu

Po vytvoření vyberte virtuální počítač na webu Azure Portal a pak použijte tlačítko Zastavit . Až budete připravení ho znovu použít, spusťte ho tlačítkem Start .

Snímek obrazovky s tlačítkem Zastavit pro virtuální počítač jump box

Můžete také nakonfigurovat jump box tak, aby se automaticky vypnul v určitém čase. Uděláte to tak, že vyberete automatické vypnutí, povolíte, nastavíte čas a pak vyberete Uložit.

Snímek obrazovky s možností automatického vypnutí

Vyčištění prostředků

Pokud chcete pokračovat v používání zabezpečeného pracovního prostoru a dalších prostředků, přeskočte tuto část.

Pokud chcete odstranit všechny prostředky vytvořené v tomto kurzu, postupujte takto:

  1. Úplně nalevo na webu Azure Portal vyberte Skupiny prostředků.

  2. V seznamu vyberte skupinu prostředků, kterou jste vytvořili v tomto kurzu.

  3. Vyberte Odstranit skupinu prostředků.

    Snímek obrazovky s odkazem odstranit skupinu prostředků

  4. Zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

Teď, když máte zabezpečený pracovní prostor a máte přístup k studiu, zjistěte, jak nasadit model do online koncového bodu s izolací sítě.

Teď, když máte zabezpečený pracovní prostor, se dozvíte, jak nasadit model.