Freigeben über

Tutorial: Erstellen eines sicheren Arbeitsbereichs mit einem Microsoft Azure Virtual Network

  • Artikel

In diesem Artikel erfahren Sie, wie Sie einen sicheren Arbeitsbereich erstellen und mit einem Azure Machine Learning-Arbeitsbereich verbinden. In den Schritten in diesem Artikel dient ein virtuelles Azure-Netzwerk dazu, eine Sicherheitsgrenze um Ressourcen herum zu erstellen, die von Azure Machine Learning verwendet werden.

Wichtig

Es wird empfohlen, das verwaltete virtuelle Azure Machine Learning-Netzwerk anstelle von Azure Virtual Network zu verwenden. Eine Version dieses Tutorials, die ein verwaltetes virtuelles Netzwerk verwendet, finden Sie unter Tutorial: Erstellen eines sicheren Arbeitsbereichs mit einem verwalteten virtuellen Netzwerk.

Sie führen in diesem Tutorial die folgenden Aufgaben durch:

  • Sie erstellen ein Azure Virtual Network (VNet), um die Kommunikation zwischen Diensten im virtuellen Netzwerk abzusichern.
  • Sie erstellen ein Azure Storage-Konto (Blob und Datei) hinter dem VNet. Dieser Dienst wird als Standardspeicher für den Arbeitsbereich verwendet.
  • Sie erstellen einen Azure Key Vault hinter dem VNet. Dieser Dienst wird zum Speichern der vom Arbeitsbereich verwendeten Geheimnisse verwendet. Beispiel: Sicherheitsinformationen, die für den Zugriff auf das Speicherkonto erforderlich sind.
  • Sie erstellen eine Azure Container Registry(ACR)-Instanz. Dieser Dienst wird als Repository für Docker-Images verwendet. Docker-Images stellen die Computeumgebungen bereit, die beim Trainieren eines Machine Learning-Modells oder beim Bereitstellen eines trainierten Modells als Endpunkt erforderlich sind.
  • Erstellen Sie einen Azure Machine Learning-Arbeitsbereich.
  • Sie erstellen eine Jumpbox. Eine Jumpbox ist ein virtueller Azure-Computer, der sich hinter dem VNet befindet. Da das VNet den Zugriff über das öffentliche Internet einschränkt, wird die Jumpbox als Möglichkeit zum Herstellen einer Verbindung mit Ressourcen hinter dem VNet verwendet.
  • Sie konfigurieren Azure Machine Learning Studio für die Arbeit hinter einem VNet. Azure Machine Learning Studio stellt eine Webschnittstelle für Azure Machine Learning bereit.
  • Erstellen eines Computeclusters für Azure Machine Learning Ein Computecluster wird verwendet, wenn Machine Learning-Modelle in der Cloud trainiert werden. In Konfigurationen, in denen sich Azure Container Registry hinter dem VNet befindet, wird es auch zum Erstellen von Docker-Images verwendet.
  • Sie stellen eine Verbindung zur Jumpbox her und verwenden Azure Machine Learning Studio.

Tipp

Wenn Sie nach einer Vorlage suchen, wie Sie einen sicheren Arbeitsbereich erstellen, sehen Sie sich eine Bicep-Vorlage oder Terraform-Vorlage an.

Nach Abschluss dieses Tutorials verfügen Sie über die folgende Architektur:

  • Ein Azure Virtual Network, das drei Subnetze enthält:
    • Training: Enthält den Azure Machine Learning-Arbeitsbereich, Abhängigkeitsdienste und Ressourcen, die für Trainingsmodelle verwendet werden.
    • Bewertung: Für die Schritte in diesem Tutorial wird sie nicht verwendet. Wenn Sie diesen Arbeitsbereich jedoch weiterhin für andere Tutorials verwenden, wird empfohlen, dieses Subnetz bei der Bereitstellung von Modellen in Endpunkten zu verwenden.
    • AzureBastionSubnet: Wird vom Azure Bastion-Dienst verwendet, um Clients sicher mit Azure Virtual Machines zu verbinden.
  • Ein Azure Machine Learning-Arbeitsbereich, der einen privaten Endpunkt für die Kommunikation über das virtuelle Netzwerk verwendet.
  • Ein Azure Storage-Konto, das private Endpunkte verwendet, um die Kommunikation von Speicherdiensten wie Blob und Datei über das VNet zu ermöglichen.
  • Eine Azure Container Registry-Instanz, die einen privaten Endpunkt für die Kommunikation über das virtuelle Netzwerk verwendet.
  • Azure Bastion-Instanz, mit der Sie über Ihren Browser sicher mit der Jumpbox-VM im virtuellen Netzwerk kommunizieren können.
  • Ein virtueller Azure-Computer, mit dem Sie eine Remoteverbindung herstellen und auf Ressourcen zugreifen können, die im VNet geschützt sind.
  • Ein Azure Machine Learning-Compute-Instanz- und -Computecluster.

Tipp

Der im Diagramm aufgeführte Azure Batch-Dienst ist ein Back-End-Dienst, der für die Computecluster und Compute-Instanzen erforderlich ist.

Diagramm der endgültigen Architektur, die in diesem Tutorial erstellt wurde.

Voraussetzungen

  • Vertrautheit mit virtuellen Azure-Netzwerken und IP-Netzwerken Wenn Sie damit nicht vertraut sind, probieren Sie das Modul Grundlagen zu Computernetzwerken aus.
  • Während für die meisten Schritte in diesem Artikel das Azure-Portal oder Azure Machine Learning Studio verwendet wird, wird bei einigen Schritten die Azure CLI-Erweiterung für Machine Learning v2 eingesetzt.

Erstellen eines virtuellen Netzwerks

Führen Sie die folgenden Schritte aus, um ein virtuelles Netzwerk zu erstellen:

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie anschließend im Suchfeld den Eintrag Virtuelles Netzwerk ein. Suchen Sie nach dem Eintrag Virtuelles Netzwerk, und wählen Sie dann Erstellen aus.

    Screenshot: Formular zum Suchen von Ressourcen, in dem ein virtuelles Netzwerk ausgewählt ist

    Screenshot: Formular zum Erstellen des virtuellen Netzwerks

  2. Wählen Sie auf der Registerkarte Grundlagen das Azure-Abonnement aus, das für diese Ressource verwendet werden soll, und wählen Sie dann eine Ressourcengruppe aus, oder erstellen Sie eine neue. Geben Sie unter Instanzdetails einen benutzerfreundlichen Namen für Ihr virtuelles Netzwerk ein, und wählen Sie die Region aus, in der es erstellt werden soll.

    Screenshot: Formular für die grundlegende Konfiguration eines virtuellen Netzwerks

  3. Wählen Sie Sicherheit aus. Wählen Sie Azure Bastion aktivieren aus. Azure Bastion bietet eine sichere Möglichkeit für den Zugriff auf die VM-Jumpbox, die Sie in einem späteren Schritt im VNet erstellen. Verwenden Sie die folgenden Werte für die restlichen Felder:

    • Bastion-Name: Ein eindeutiger Name für diese Bastion-Instanz
    • Öffentliche IP-Adresse: Erstellen Sie eine neue öffentliche IP-Adresse.

    Behalten Sie für die anderen Felder den Standardwert bei.

    Screenshot: Bastion-Konfiguration

  4. Wählen Sie IP-Adressen aus. Die Standardeinstellungen sollten der folgenden Abbildung ähneln:

    Screenshot: Standardformular für IP Adresse.

    Führen Sie die folgenden Schritte aus, um die IP-Adresse und ein Subnetz für Trainings- und Bewertungsressourcen zu konfigurieren:

    Tipp

    Sie können zwar ein einzelnes Subnetz für alle Azure Machine Learning-Ressourcen verwenden, die Schritte in diesem Artikel zeigen jedoch, wie Sie zwei Subnetze erstellen, um die Trainings- und die Bewertungsressourcen zu trennen.

    Der Arbeitsbereich und andere Abhängigkeitsdienste werden im Trainingssubnetz eingerichtet. Sie können weiterhin von Ressourcen in anderen Subnetzen verwendet werden, z. B. dem Bewertungssubnetz.

    1. Beachten Sie den Standardwert des IPv4-Adressraums. Im Screenshot lautet der Wert 172.16.0.0/16. Der Wert kann für Sie anders lauten. Sie können zwar einen anderen Wert verwenden, die restlichen Schritte in diesem Tutorial basieren jedoch auf dem Wert 172.16.0.0/16.

      Warnung

      Verwenden Sie nicht den IP-Adressbereich 172.17.0.0/16 für Ihr VNet. Dies ist der standardmäßige Subnetzbereich, der vom Docker-Brückennetzwerk verwendet wird, und führt zu Fehlern, wenn Sie ihn für Ihr VNet verwenden. Andere Bereiche können ebenfalls Konflikte verursachen, je nachdem, was Sie mit dem virtuellen Netzwerk verbinden möchten. Beispiel: Sie möchten Ihr lokales Netzwerk mit dem VNet verbinden und Ihr lokales Netzwerk nutzt auch den Bereich 172.16.0.0/16. Letztendlich liegt es an Ihnen, Ihre Netzwerkinfrastruktur zu planen.

    2. Wählen Sie das Standardsubnetz und dann das Bearbeitungssymbol aus.

      Screenshot: Auswählen des Bearbeitungssymbols für das Standardsubnetz

    3. Ändern Sie unter Name den Subnetznamen in Training. Übernehmen Sie für die anderen Werte die Standardeinstellungen, und wählen Sie dann Speichern aus, um die Änderungen zu speichern.

    4. Wählen Sie + Subnetz hinzufügen aus, und legen Sie den Namen und den Adressbereich fest, um ein Subnetz für Computeressourcen zu erstellen, die zur Bewertung Ihrer Modelle verwendet werden:

      • Subnetzname: Bewertung
      • Startadresse: 172.16.2.0
      • Subnetzgröße: /24 (256 Adressen)

      Screenshot: Bewertungssubnetz

    5. Wählen Sie Hinzufügen aus, um das Subnetz hinzuzufügen.

  5. Klicken Sie auf Überprüfen + erstellen.

    Screenshot: Schaltfläche „Überprüfen und erstellen“

  6. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

    Screenshot: Seite „Überprüfen und erstellen“ für das virtuelle Netzwerk

Erstellen eines Speicherkontos

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Speicherkonto ein. Wählen Sie den Speicherkonto-Eintrag und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Geben Sie einen eindeutigen Speicherkontonamen ein, und legen Sie Redundanz auf Lokal redundanter Speicher (LRS) fest.

    Screenshot: Grundlegende Konfiguration des Speicherkontos

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff deaktivieren und dann + Privaten Endpunkt hinzufügen aus.

    Screenshot: Formular zum Hinzufügen des privaten Netzwerks „blob“

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: Blob
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Private DNS-Integration: Ja
    • Private DNS-Zone: privatelink.blob.core.windows.net

    Wählen Sie Hinzufügen aus, um den privaten Endpunkt zu erstellen.

  5. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  6. Wählen Sie nach dem Erstellen des Speicherkontos Zu Ressource wechseln aus:

    Screenshot: Schaltfläche „Zu neuer Speicherressource wechseln“

  7. Wählen Sie im linken Navigationsbereich die Option Netzwerk, die Registerkarte Private Endpunktverbindungenund dann + Privater Endpunkt aus:

    Hinweis

    Während Sie in den vorherigen Schritten einen privaten Endpunkt für Blob Storage erstellt haben, müssen Sie auch einen für File Storage erstellen.

    Screenshot: Netzwerkformular des Speicherkontos

  8. Verwenden Sie im Formular Privaten Endpunkt erstellen dieselben Einträge für Abonnement, Ressourcengruppe und Region, die Sie für vorherige Ressourcen verwendet haben. Geben Sie einen eindeutigen Namen ein.

    Screenshot: Grundlegendes Formular zum Hinzufügen des privaten Endpunkts „file“

  9. Wählen Sie Next : Resource (Weiter : Ressource) aus, und legen Sie dann Untergeordnete Zielressource auf Datei fest.

    Screenshot: Ressourcenformular bei Auswahl einer Unterressource „file“

  10. Wählen Sie Weiter: Virtuelles Netzwerk aus, und verwenden Sie die folgenden Werte:

    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training

    Screenshot: Konfigurationsformular zum Hinzufügen des privaten Endpunkts „file“

  11. Gehen Sie die Registerkarten durch, und wählen Sie die Standardwerte aus, bis Sie zu Überprüfen und erstellen gelangen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Tipp

Wenn Sie planen, einen Batchendpunkt oder eine Azure Machine Learning-Pipeline zu verwenden, die einen ParallelRunStep verwendet, ist diese auch benötigt, um die Zielwarteschlange und Tabellenunterressourcen für private Endpunkte zu konfigurieren. „ParallelRunStep“ verwendet intern Warteschlangen und Tabellen für die Planung und Verteilung von Aufgaben.

Erstellen eines Schlüsseltresors

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Schlüsseltresor ein. Wählen Sie den Schlüsseltresor-Eintrag und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Geben Sie einen eindeutigen Namen für Schlüsseltresorname an. Behalten Sie für die anderen Felder den Standardwert bei.

    Screenshot: Grundlegendes Formular zum Hinzufügen eines neuen Schlüsseltresors

  3. Deaktivieren Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff deaktivieren, wählen Sie dann + Privaten Endpunkt erstellen aus.

    Screenshot: Netzwerkformular zum Hinzufügen eines privaten Endpunkts für den Schlüsseltresor

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: Tresor
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Integration von privatem DNS aktivieren: Ja
    • Private DNS-Zone: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk und den Schlüsseltresor enthält.

    Wählen Sie Hinzufügen aus, um den privaten Endpunkt zu erstellen.

    Screenshot: Konfigurationsformular für den privaten Endpunkt des Schlüsseltresors

  5. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Erstellen einer Containerregistrierung

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Containerregistrierung ein. Wählen Sie den Eintrag Containerregistrierung und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Ort aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Geben Sie einen eindeutigen Wert für Registrierungsname ein, und legen Sie die SKU auf Premium fest.

    Screenshot: Grundlegendes Formular zum Erstellen einer Containerregistrierung

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Privater Endpunkt und dann + Hinzufügen aus.

    Screenshot: Netzwerkformular zum Hinzufügen eines privaten Endpunkts für die Containerregistrierung

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: Registrierung
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Private DNS-Integration: Ja
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk und die Containerregistrierung enthält.

    Wählen Sie Hinzufügen aus, um den privaten Endpunkt zu erstellen.

    Screenshot: Konfigurationsformular für den privaten Endpunkt der Containerregistrierung

  5. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  6. Nachdem die Containerregistrierung erstellt wurde, wählen Sie Zu Ressource wechseln aus.

    Screenshot: Schaltfläche „Zu Ressource wechseln“

  7. Wählen Sie im linken Bereich der Seite die Option Zugriffsschlüssel aus, und aktivieren Sie dann den Administratorbenutzer. Diese Einstellung ist erforderlich, wenn Sie Azure Container Registry in einem virtuellen Netzwerk mit Azure Machine Learning verwenden.

    Screenshot: Formular für die Zugriffsschlüssel der Containerregistrierung, in dem die Option „Administratorbenutzer“ aktiviert ist

Erstellen eines Arbeitsbereichs

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Machine Learning ein. Wählen Sie den Eintrag Machine Learning und dann Erstellen aus.

    Screenshot: Seite „Erstellen“ für Azure Machine Learning

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Verwenden Sie für die übrigen Felder die folgenden Werte:

    • Name: Ein eindeutiger Name für den Arbeitsbereich
    • Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben.
    • Schlüsseltresor: Wählen Sie den Schlüsseltresor aus, den Sie zuvor erstellt haben.
    • Application Insights: Verwenden Sie den Standardwert.
    • Containerregistrierung: Verwenden Sie die zuvor erstellte Containerregistrierung.

    Screenshot des Formulars zur grundlegenden Konfiguration des Arbeitsbereichs

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit ausgehendem Internetdatenverkehr aus. Wählen Sie im Abschnitt Eingehender Zugriff des Arbeitsbereichs die Option + Hinzufügen aus.

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: amlworkspace
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Private DNS-Integration: Ja
    • Private DNS-Zone: Lassen Sie die beiden privaten DNS-Zonen auf die Standardwerte privatelink.api.azureml.ms und privatelink.notebooks.azure.net festgelegt.

    Wählen Sie OK aus, um den privaten Endpunkt zu erstellen.

    Screenshot: Formular zur Konfiguration des privaten Netzwerks des Arbeitsbereichs

  5. Wählen Sie auf der Registerkarte Netzwerk im Abschnitt Ausgehender Zugriff des Arbeitsbereichs die Option Eigenes virtuelles Netzwerk verwenden aus.

  6. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  7. Wählen Sie nach der Erstellung des Arbeitsbereichs die Option Zu Ressource wechseln aus.

  8. Wählen Sie links im Abschnitt Einstellungen die Option Netzwerk > Private Endpunktverbindungen und dann den Link in der Spalte Privater Endpunkt aus:

    Screenshot: Verbindungen mit privaten Endpunkten für den Arbeitsbereich

  9. Sobald die Informationen zum privaten Endpunkt angezeigt werden, wählen Sie links auf der Seite die Option DNS-Konfiguration aus. Speichern Sie die IP-Adresse und den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) auf dieser Seite.

    Screenshot: Einträge für IP-Adresse und FQDN des Arbeitsbereichs

Wichtig

Es sind noch einige Konfigurationsschritte erforderlich, bevor Sie den Arbeitsbereich vollständig verwenden können. Für diese müssen Sie jedoch eine Verbindung mit dem Arbeitsbereich herstellen.

Aktivieren von Studio

Azure Machine Learning Studio ist eine webbasierte Anwendung, mit der Sie Ihren Arbeitsbereich problemlos verwalten können. Es ist jedoch eine zusätzliche Konfiguration erforderlich, bevor die Anwendung mit Ressourcen verwendet werden kann, die in einem VNet abgesichert sind. Führen Sie die folgenden Schritte aus, um Studio zu aktivieren:

  1. Wenn Sie ein Azure Storage-Konto verwenden, das über einen privaten Endpunkt verfügt, fügen Sie den Dienstprinzipal für den Arbeitsbereich als Leser für die privaten Speicherendpunkte hinzu. Wählen Sie im Azure-Portal Ihr Speicherkonto und dann Netzwerk aus. Wählen Sie als Nächstes Private Endpunktverbindungen aus.

    Screenshot:Verbindungen mit dem privaten Endpunkt des Speichers

  2. Führen Sie für jeden aufgeführten privaten Endpunkt die folgenden Schritte aus:

    1. Wählen Sie den Link in der Spalte Privater Endpunkt aus.

      Screenshot: Endpunktlinks in der Spalte für private Endpunkte

    2. Wählen Sie auf der linken Seite Zugriffssteuerung (IAM) aus.

    3. Wählen Sie + Hinzufügen und dann Rollenzuweisung hinzufügen (Vorschau) aus.

      Seite „Zugriffssteuerung (IAM)“ mit geöffnetem Menü „Rollenzuweisung hinzufügen“

    4. Wählen Sie auf der Registerkarte Rollen die Rolle Leser aus.

      Seite „Rollenzuweisung hinzufügen“ mit ausgewählter Registerkarte „Rolle“

    5. Wählen Sie auf der Registerkarte Mitglieder im Bereich Zugriff zuweisen zu die Option Benutzer, Gruppe oder Dienstprinzipal und dann die Option + Mitglieder auswählen aus. Geben Sie im Dialogfeld Mitglieder auswählen den Namen als Azure Machine Learning-Arbeitsbereich ein. Wählen Sie den Dienstprinzipal für den Arbeitsbereich aus, und verwenden Sie dann die Schaltfläche Auswählen.

    6. Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

Schützen von Azure Monitor und Application Insights

Hinweis

Weitere Informationen zum Schützen von Azure Monitor und Application Insights finden Sie unter den folgenden Links:

  1. Wählen Sie im Azure-Portal die Option Start aus, und suchen Sie dann nach Private Link. Wählen Sie das Ergebnis Azure Monitor-Private Link-Bereich und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen dasselbe Abonnement, diesselbe Ressourcengruppe und Region für Ressourcengruppe wie in Ihrem Azure Machine Learning-Arbeitsbereich aus. Geben Sie einen Namen für die Instanz ein, und wählen Sie dann Überprüfen + Erstellen aus. Um die Instanz zu erstellen, wählen Sie Erstellen aus.

  3. Sobald die Instanz für den Azure Monitor-Private Link-Bereich erstellt ist, wählen Sie die Instanz im Azure-Portal aus. Wählen Sie im Abschnitt Konfigurieren die Option Azure Monitor-Ressourcen und dann + Hinzufügen aus.

    Screenshot der Schaltfläche „Hinzufügen“.

  4. Verwenden Sie unter Bereich auswählen die Filter, um die Application Insights-Instanz für Ihren Azure Machine Learning-Arbeitsbereich auszuwählen. Wählen Sie Anwenden aus, um die Instanz hinzuzufügen.

  5. Wählen Sie im Abschnitt Konfigurieren die Option Private Endpunktverbindungen und dann + Privater Endpunkt aus.

    Screenshot der Schaltfläche „Privaten Endpunkt hinzufügen“.

  6. Wählen Sie dasselbe Abonnement, dieselbe Ressourcengruppe und dieselbe Region wie für Ihr virtuelles Netzwerk aus. Klicken Sie auf Weiter: Ressource aus.

    Screenshot der Grundlagen des privaten Azure Monitor-Endpunkts.

  7. Wählen Sie Microsoft.insights/privateLinkScopes als Ressourcentyp aus. Wählen Sie den Private Link-Bereich aus, den Sie zuvor als Ressource erstellt haben. Wählen Sie als Untergeordnete Zielressource die Option azuremonitor aus. Wählen Sie abschließend Weiter: Virtual Network aus, um fortzufahren.

    Screenshot der Ressourcen des privaten Azure Monitor-Endpunkts.

  8. Wählen Sie das zuvor erstellte Virtuelle Netzwerk und das Subnetz Training aus. Wählen Sie Weiter aus, bis Sie zu Überprüfen + Erstellen gelangen. Wählen Sie Überprüfen + erstellen aus, um den privaten Endpunkt zu erstellen.

    Screenshot des Netzwerks des privaten Azure Monitor-Endpunkts.

  9. Sobald der private Endpunkt erstellt ist, kehren Sie zur Ressource Azure Monitor-Private Link-Bereich im Portal zurück. Wählen Sie im Abschnitt Konfigurieren die Option Zugriffsmodi aus. Wählen Sie Nur Privat für den Erfassungszugriffsmodus sowie Abfragezugriffsmodus und dann Speichern aus.

    Screenshot: Zugriffsmodi des Private Link-Bereichs.

Herstellen einer Verbindung mit dem Arbeitsbereich

Es gibt mehrere Möglichkeiten, eine Verbindung mit dem geschützten Arbeitsbereich herzustellen. In den Schritten in diesem Artikel wird eine Jumpbox verwendet, bei der es sich um einen virtuellen Computer im VNet handelt. Sie können über den Webbrowser und Azure Bastion eine Verbindung damit herstellen. In der folgenden Tabelle sind mehrere andere Möglichkeiten aufgeführt, wie Sie eine Verbindung mit dem sicheren Arbeitsbereich herstellen können:

Methode BESCHREIBUNG
Azure VPN Gateway Stellt eine private Verbindung zwischen lokalen Netzwerken und dem virtuellen Netzwerk her. Die Verbindung erfolgt über das öffentliche Internet.
ExpressRoute Stellt über eine private Verbindung eine Verbindung zwischen lokalen Netzwerken und der Cloud her. Die Verbindung erfolgt mithilfe eines Konnektivitätsanbieters.

Wichtig

Wenn Sie ein VPN-Gateway oder ExpressRoute verwenden, müssen Sie planen, wie die Namensauflösung zwischen den lokalen Ressourcen und denen im VNet funktioniert. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten DNS-Servers.

Erstellen einer Jumpbox (VM)

Verwenden Sie die folgenden Schritte, um eine Azure Virtual Machine für die Verwendung als Jumpbox zu erstellen. Mit Azure Bastion können Sie über Ihren Browser eine Verbindung mit dem VM-Desktop herstellen. Vom VM-Desktop aus können Sie dann den Browser auf der VM verwenden, um eine Verbindung mit Ressourcen innerhalb des virtuellen Netzwerks herzustellen, z. B. mit Azure Machine Learning Studio. Sie können auch Entwicklungstools auf der VM installieren.

Tipp

Mit den folgenden Schritten erstellen Sie eine Windows 11 Enterprise-VM. Je nach Ihren Anforderungen möchten Sie vielleicht ein anderes VM-Bild auswählen. Das Windows 11- oder Windows 10-Enterprise-Bild ist nützlich, wenn Sie der Domäne Ihrer Organisation beitreten müssen.

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Virtual Machine ein. Suchen Sie nach dem Eintrag Virtual Machine, und wählen Sie dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Stellen Sie Werte für die folgenden Felder bereit:

    • Name des virtuellen Computers: Ein eindeutiger Name für den virtuellen Computer.

    • Benutzername: Der Benutzername, den Sie für die Anmeldung beim virtuellen Computer verwenden.

    • Kennwort: Das Kennwort für den Benutzernamen.

    • Sicherheitstyp: Standard.

    • Bild: Windows 11 Enterprise

      Tipp

      Wenn Windows 11 Enterprise nicht in der Liste für die Bildauswahl enthalten ist, verwenden SieAlle Bilder anzeigen_. Suchen Sie den Windows 11-Eintrag von Microsoft und verwenden Sie die Dropdownliste Auswählen, um das Enterprise-Bild auszuwählen.

    Für die anderen Felder können Sie die Standardwerte belassen.

    Screenshot: Grundlegende Konfiguration einer VM

  3. Wählen Sie Netzwerk und dann das zuvor erstellte Virtuelle Netzwerk aus. Legen Sie die übrigen Felder mithilfe folgender Informationen fest:

    • Wählen Sie das Subnetz Training aus.
    • Legen Sie das Feld Öffentliche IP-Adresse auf Keine fest.
    • Behalten Sie für die anderen Felder den Standardwert bei.

    Screenshot: Netzwerkkonfiguration einer VM

  4. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Herstellen einer Verbindung mit der Jumpbox

  1. Nachdem der virtuelle Computer erstellt wurde, wählen Sie Zu Ressource wechseln aus.

  2. Wählen Sie oben auf der Seite die Option Verbinden und dann Über Bastion verbinden aus.

    Screenshot: Liste „Verbinden“, in der „Bastion“ ausgewählt ist

  3. Geben Sie Ihre Authentifizierungsinformationen für den virtuellen Computer an. Daraufhin wird im Browser eine Verbindung hergestellt.

Erstellen eines Computeclusters und einer Compute-Instanz

Eine Compute-Instanz ermöglicht eine Jupyter Notebook-Nutzung auf einer freigegebenen Computeressource, die an Ihren Arbeitsbereich angefügt ist.

  1. Öffnen Sie über eine Azure Bastion-Verbindung mit der Jumpbox den Microsoft Edge-Browser auf dem Remotedesktop.

  2. Wechseln Sie in der Remotebrowsersitzung zu https://ml.azure.com . Authentifizieren Sie sich mit Ihrem Microsoft Entra-Konto, wenn Sie dazu aufgefordert werden.

  3. Wählen Sie auf der Seite Willkommen bei Studio den zuvor erstellten Machine Learning-Arbeitsbereich und anschließend Erste Schritte aus.

    Tipp

    Wenn Ihr Microsoft Entra-Konto Zugriff auf mehrere Abonnements oder Verzeichnisse hat, wählen Sie in der Dropdownliste Verzeichnis und Abonnement dasjenige aus, das den Arbeitsbereich enthält.

    Screenshot: Formular zum Auswählen des Machine Learning-Arbeitsbereichs

  4. Wählen Sie in Studio die Optionen Compute, Computecluster und anschließend + Neu aus.

    Screenshot: Seite für Computecluster, auf der die Schaltfläche „Neu“ ausgewählt ist

  5. Wählen Sie im Dialogfeld Virtueller Computer die Option Weiter aus, um die Standardkonfiguration des virtuellen Computers zu akzeptieren.

    Screenshot: VM-Konfiguration für Computecluster

  6. Geben Sie im Dialogfeld Einstellungen konfigurieren den Eintrag cpu-cluster als Computenamen ein. Legen Sie das Subnetz auf Training fest, und wählen Sie dann Erstellen aus, um den Cluster zu erstellen.

    Tipp

    Von Computeclustern werden die Knoten im Cluster nach Bedarf dynamisch skaliert. Es wird empfohlen, die Mindestanzahl von Knoten bei 0 zu belassen, um die Kosten zu senken, wenn der Cluster nicht verwendet wird.

    Screenshot: Seite „Einstellungen konfigurieren“

  7. Wählen Sie in Studio die Optionen Compute, Compute-Instanz und dann + Neu aus.

    Screenshot: Seite für Compute-Instanzen, auf der die Schaltfläche „Neu“ ausgewählt ist

  8. Geben Sie unter Erforderliche Einstellungen einen eindeutigen Namen für Computername ein, und wählen Sie Weiter aus.

    Screenshot: VM-Konfiguration für Compute-Instanz

  9. Wählen Sie weiterhin Weiter aus, bis Sie zum Dialogfeld Sicherheit gelangen. Wählen Sie unter virtuelles Netzwerk ein VNet aus, und legen Sie Subnetz auf Training fest. Wählen Sie Überprüfen + erstellen und anschließend Erstellen aus.

    Screenshot: „Erweiterte Einstellungen“

Tipp

Wenn Sie einen Computecluster oder eine Compute-Instanz erstellen, wird von Azure Machine Learning eine Netzwerksicherheitsgruppe (NSG) dynamisch hinzugefügt. Diese NSG enthält die folgenden Regeln, die spezifisch für Computecluster und Compute-Instanzen sind:

  • Zulassen des eingehenden TCP-Datenverkehrs an den Ports 29876-29877 vom Diensttag BatchNodeManagement.
  • Zulassen des eingehenden TCP-Datenverkehrs am Port 44224 vom Diensttag AzureMachineLearning.

Im folgenden Screenshot sehen Sie ein Beispiel für diese Regeln:

Screenshot: NSG

Weitere Informationen zum Erstellen von Computeclustern und Compute-Instanzen, einschließlich der diesbezüglichen Verwendung von Python und der CLI, finden Sie in den folgenden Artikeln:

Konfigurieren der Imageerstellung

GILT FÜR Azure CLI-ML-Erweiterung v2 (aktuell)

Wenn sich Azure Container Registry hinter dem virtuellen Netzwerk befindet, kann es von Azure Machine Learning nicht dazu verwendet werden, (für Training und Bereitstellung verwendete) Docker-Images direkt zu erstellen. Konfigurieren Sie stattdessen den Arbeitsbereich für die Verwendung des Computeclusters, den Sie zuvor erstellt haben. Führen Sie die folgenden Schritte aus, um einen Computecluster zu erstellen und den Arbeitsbereich so zu konfigurieren, dass er zum Erstellen von Images verwendet wird:

  1. Navigieren Sie zu https://shell.azure.com/, um Azure Cloud Shell zu öffnen.

  2. Verwenden Sie in Cloud Shell den folgenden Befehl, um die CLI 2.0 für Azure Machine Learning zu installieren:

    az extension add -n ml

  3. So aktualisieren Sie den Arbeitsbereich, um den Computecluster zum Erstellen von Docker-Images zu verwenden. Ersetzen Sie docs-ml-rg durch die Ressourcengruppe. Ersetzen Sie docs-ml-ws durch den Arbeitsbereich. Ersetzen Sie cpu-cluster durch den Namen des Computeclusters:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Hinweis

    Sie können denselben Computecluster verwenden, um Modelle zu trainieren und Docker-Images für den Arbeitsbereich zu erstellen.

Verwenden des Arbeitsbereichs

Wichtig

Mit den Schritten in diesem Artikel platzieren Sie Azure Container Registry hinter dem VNet. In dieser Konfiguration können Sie kein Modell in Azure Container Instances innerhalb des VNet bereitstellen. Es wird nicht empfohlen, Azure Container Instances mit Azure Machine Learning in einem virtuellen Netzwerk zu verwenden. Weitere Informationen finden Sie unter Schützen der Rückschlussumgebung (SDK/CLI v1).

Als Alternative zu Azure Container Instances können Sie verwaltete Onlineendpunkte von Azure Machine Learning ausprobieren. Weitere Informationen finden Sie unter Aktivieren der Netzwerkisolation für verwaltete Onlineendpunkte.

An diesem Punkt können Sie das Studio verwenden, um interaktiv mit Notebooks in der Compute-Instanz zu arbeiten und Trainingsaufträge im Computecluster ausführen zu können. Ein Tutorial zur Verwendung der Compute-Instanz und des Computeclusters finden Sie unter Tutorial: Azure Machine Learning in einem Tag.

Beenden von Compute-Instanz und Jumpbox

Warnung

Während der Ausführung (nach dem Start) fallen durch Compute-Instanz und Jumpbox weiterhin Kosten für Ihr Abonnement an. Beenden Sie zur Vermeidung übermäßiger Kosten Compute-Instanz und Jumpbox, wenn diese nicht verwendet werden.

Der Computecluster wird dynamisch zwischen der minimalen und maximalen Knotenanzahl skaliert, die Sie beim Erstellen festgelegt haben. Wenn Sie die Standardwerte akzeptiert haben, ist der Mindestwert 0, wodurch der Cluster praktisch deaktiviert wird, wenn er nicht verwendet wird.

Beenden der Compute-Instanz

Wählen Sie in Studio die Optionen Compute, Computecluster und anschließend die Compute-Instanz aus. Wählen Sie abschließend oben auf der Seite die Option Beenden aus.

Screenshot: Schaltfläche „Beenden“ für die Compute-Instanz

Beenden der Jumpbox

Wählen Sie nach dem Erstellen des virtuellen Computers den virtuellen Computer im Azure-Portal aus, und verwenden Sie dann die Schaltfläche Beenden. Wenn Sie den virtuellen Computer wiederverwenden möchten, klicken Sie auf die Schaltfläche Starten, um ihn zu starten.

Screenshot: Schaltfläche „Stopp“ für die VM „Jump box“

Sie können die Jumpbox auch so konfigurieren, dass sie zu einem bestimmten Zeitpunkt automatisch heruntergefahren wird. Wählen Sie dazu Automatisch herunterfahren aus, aktivieren Sie die Funktion, legen Sie eine Zeit fest, und wählen Sie Speichern aus.

Screenshot: Option für das automatische Herunterfahren

Bereinigen von Ressourcen

Wenn Sie den geschützten Arbeitsbereich und andere Ressourcen weiterhin verwenden möchten, überspringen Sie diesen Abschnitt.

Führen Sie die folgenden Schritte aus, um alle in diesem Tutorial erstellten Ressourcen zu löschen:

  1. Wählen Sie ganz links im Azure-Portal Ressourcengruppen aus.

  2. Wählen Sie in der Liste die Ressourcengruppe aus, die Sie in diesem Tutorial erstellt haben.

  3. Klicken Sie auf Ressourcengruppe löschen.

    Screenshot: Link „Ressourcengruppe löschen“

  4. Geben Sie den Ressourcengruppennamen ein, und wählen Sie die Option Löschen aus.

Nächste Schritte

Das Sie nun einen sicheren Arbeitsbereich haben und auf Studio zugreifen können, erfahren Sie, wie Sie einModell für einen Online-Endpunkt mit Netzwerkisolation bereitstellen.

Nachdem Sie nun einen sicheren Arbeitsbereich besitzen, informieren Sie sich darüber, wie Sie ein Modell bereitstellen.