Partager via

Tutoriel : Comment créer un espace de travail sécurisé avec un réseau virtuel Azure

  • Article

Dans cet article, vous allez apprendre à créer un espace de travail Azure Machine Learning sécurisé et à vous y connecter. Les étapes de cet article utilisent un Réseau virtuel Microsoft Azure pour créer une limite de sécurité autour des ressources utilisées par Azure Machine Learning.

Important

Nous vous recommandons d’utiliser le réseau virtuel managé Azure Machine Learning au lieu d’un réseau virtuel Azure. Pour obtenir une version de ce tutoriel qui utilise un réseau virtuel managé, consultez le tutoriel Créer un espace de travail sécurisé avec un réseau virtuel managé.

Dans ce tutoriel, vous accomplissez les tâches suivantes :

  • Créer un réseau virtuel (VNet) Azure pour sécuriser les communications entre les services du réseau virtuel.
  • Créer un compte de stockage Azure (blob et fichier) derrière le réseau virtuel. Ce service est utilisé comme stockage par défaut pour l’espace de travail.
  • Créer un coffre de clés Azure derrière le réseau virtuel. Ce service est utilisé pour stocker les secrets utilisés par l’espace de travail. Par exemple, les informations de sécurité nécessaires pour accéder au compte de stockage.
  • Créer un registre de conteneurs Azure. Ce service est utilisé comme référentiel pour les images Docker. Les images Docker fournissent les environnements Compute nécessaires à la formation d’un modèle Machine Learning ou au déploiement d’un modèle formé en tant que point de terminaison.
  • Créez un espace de travail Machine Learning.
  • Créer un serveur de rebond. Un serveur de rebond est une machine virtuelle Azure qui se trouve derrière le réseau virtuel. Étant donné que le réseau virtuel restreint l’accès à l’Internet public, le serveur de rebond est utilisé comme moyen de se connecter aux ressources derrière le réseau virtuel.
  • Configurer Azure Machine Learning studio pour qu’il fonctionne derrière un réseau virtuel. Le studio fournit une interface web pour Azure Machine Learning.
  • Créer un cluster de calcul Azure Machine Learning Un cluster de calcul est utilisé pour former des modèles Machine Learning dans le cloud. Dans les configurations où Azure Container Registry se trouve derrière le réseau virtuel, il est également utilisé pour créer des images Docker.
  • Se connecter au serveur de rebond et utiliser Azure Machine Learning studio.

Conseil

Si vous recherchez un modèle qui montre comment créer un espace de travail sécurisé, consultez les articles Modèle Bicep ou Modèle Terraform.

Une fois ce didacticiel terminé, vous disposez de l’architecture suivante :

  • Un réseau virtuel Azure, qui contient trois sous-réseaux :
    • Formation : contient l’espace de travail Azure Machine Learning, les services de dépendance et les ressources utilisés pour les modèles d’apprentissage.
    • Scoring : pour les étapes de ce didacticiel, il n’est pas utilisé. Toutefois, si vous continuez à utiliser cet espace de travail pour d’autres didacticiels, nous vous recommandons d’utiliser ce sous-réseau lors du déploiement de modèles sur des points de terminaison.
    • AzureBastionSubnet : utilisé par le service Azure Bastion pour connecter en toute sécurité les clients aux machines virtuelles Azure.
  • Un espace de travail Azure Machine Learning qui utilise un point de terminaison privé pour communiquer à l’aide du réseau virtuel.
  • Un compte de stockage Azure qui utilise des points de terminaison privés pour permettre aux services de stockage tels que l’objet blob et le fichier de communiquer à l’aide du réseau virtuel.
  • Un Azure Container Registry qui utilise un point de terminaison privé communique à l’aide du réseau virtuel.
  • Azure Bastion, qui vous permet d’utiliser votre navigateur pour communiquer en toute sécurité avec la machine virtuelle jumpbox à l’intérieur du réseau virtuel.
  • Une machine virtuelle Azure à laquelle vous pouvez vous connecter à distance et accéder aux ressources sécurisées à l’intérieur du réseau virtuel.
  • Une instance de calcul et de cluster de calcul Azure Machine Learning.

Conseil

Le service Azure Batch répertorié dans le diagramme est un service principal requis par les clusters de calcul et les instances de calcul.

Diagramme de l’architecture finale créée dans le cadre de ce didacticiel.

Configuration requise

  • Connaissance des réseaux virtuels Azure et des réseaux IP. Si vous ne disposez pas des connaissances requises, essayez le module Notions de base des réseaux informatiques.
  • Bien que la plupart des étapes décrites dans cet article utilisent le portail Azure ou Azure Machine Learning studio, certaines étapes utilisent l’extension Azure CLI pour Machine Learning v2.

Créez un réseau virtuel

Pour créer un réseau virtuel, procédez comme suit :

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Réseau virtuel dans le champ de recherche. Sélectionnez l’entrée Réseau virtuel, puis sélectionnez Créer.

    Capture d’écran du formulaire de recherche de ressources avec le réseau virtuel sélectionné.

    Capture d’écran du formulaire de création d’un réseau virtuel.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement Azure à utiliser pour cette ressource, puis sélectionnez ou créez un groupe de ressources. Sous Détails de l’instance, saisissez un nom convivial pour votre réseau virtuel et sélectionnez la région dans laquelle le créer.

    Capture d’écran du formulaire de configuration d’un réseau virtuel de base.

  3. Sélectionnez Sécurité. Sélectionnez l’option pour Activer Azure Bastion. Azure Bastion fournit un moyen sécurisé d’accéder à la machine virtuelle jumpbox que vous créerez à l’intérieur du réseau virtuel à une étape ultérieure. Utilisez les valeurs suivantes pour les champs restants :

    • Nom Bastion : nom unique pour cette instance Bastion
    • IP publique : créez une nouvelle IP publique

    Pour les autres champs, utilisez les valeurs par défaut.

    Capture d’écran de la configuration de Bastion.

  4. Sélectionnez Adresses IP. Les paramètres par défaut doivent être similaires à l’image suivante :

    Capture d’écran du formulaire d’adresse IP par défaut.

    Procédez comme suit pour configurer l’adresse IP et configurer un sous-réseau pour les ressources de formation et de scoring :

    Conseil

    Même si vous pouvez utiliser un seul sous-réseau pour toutes les ressources Azure Machine Learning, les étapes décrites dans cet article montrent comment créer deux sous-réseaux pour séparer les ressources d’entraînement et de scoring.

    L’espace de travail et les autres services de dépendance iront dans le sous-réseau de formation. Ils peuvent toujours être utilisés par des ressources dans d’autres sous-réseaux, comme le sous-réseau de scoring.

    1. Regardez la valeur de l’espace d’adressage IPv4 par défaut. Dans la capture d’écran, la valeur est 172.16.0.0/16. Cette valeur peut être différente pour vous. Bien que vous puissiez utiliser une valeur différente, le reste des étapes de ce tutoriel est basé sur la valeur 172.16.0.0/16.

      Avertissement

      N’utilisez pas la plage d’adresses IP 172.17.0.0/16 pour votre réseau virtuel. Il s’agit de la plage de sous-réseaux par défaut utilisée par le réseau de pont Docker. Si vous l’utilisez pour votre réseau virtuel, des erreurs se produisent. D’autres plages peuvent également être en conflit, en fonction de ce que vous souhaitez connecter au réseau virtuel. Par exemple, si vous envisagez de connecter votre réseau local au réseau virtuel, et que votre réseau local utilise également la plage 172.16.0.0/16. Au bout du compte, il vous appartient de planifier votre infrastructure réseau.

    2. Sélectionnez le sous-réseau Par défaut, puis l’icône Modifier.

      Capture d’écran de la sélection de l’icône Modifier du sous-réseau par défaut.

    3. Changez le Nom du sous-réseau en le remplaçant par Training. Conservez les paramètres par défaut pour les autres valeurs, puis sélectionnez Enregistrer pour enregistrer les modifications.

    4. Pour créer un sous-réseau pour les ressources de calcul utilisées pour obtenir le score de vos modèles, sélectionnez + Ajouter un sous-réseau, puis définissez le nom et la plage d’adresses :

      • Nom du sous-réseau : Scoring
      • Adresse de départ : 172.16.2.0
      • Taille du sous-réseau : /24 (256 adresses)

      Capture d’écran du sous-réseau Scoring.

    5. Sélectionnez Ajouter pour ajouter le sous-réseau.

  5. Sélectionnez Revoir + créer.

    Capture d’écran du bouton Vérifier + créer.

  6. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

    Capture d’écran de la page Vérifier + créer d’un réseau virtuel.

Créez un compte de stockage.

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Compte de stockage. Sélectionnez l’entrée Compte de stockage, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Entrez un nom de compte de stockage unique et définissez Redondance sur Stockage localement redondant (LRS) .

    Capture d’écran de la configuration de base d’un compte de stockage.

  3. Sous l’onglet Mise en réseau, sélectionnez Désactiver l’accès public, puis + Ajouter un point de terminaison privé.

    Capture d’écran du formulaire permettant d’ajouter le réseau privé blob.

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : le même abonnement Azure qui contient les ressources précédentes.
    • Groupe de ressources : le même groupe de ressources Azure qui contient les ressources précédentes.
    • Emplacement : la même région Azure qui contient les ressources précédentes.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : blob.
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Zone DNS privée : privatelink.blob.core.windows.net.

    Sélectionnez Ajouter pour créer le point de terminaison privé.

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  6. Une fois le compte de stockage créé, sélectionnez Aller à la ressource :

    Capture d’écran du bouton Aller à la nouvelle ressource de stockage.

  7. Dans la navigation de gauche, sélectionnez Mise en réseau puis l’onglet Connexions de point de terminaison privé, puis sélectionnez + Point de terminaison privé :

    Notes

    Si vous avez créé un point de terminaison privé pour le stockage Blob dans les étapes précédentes, vous devez également en créer un pour le stockage Fichier.

    Capture d’écran du formulaire de mise en réseau d’un compte de stockage.

  8. Dans le formulaire Créer un point de terminaison privé, utilisez les mêmes abonnement, groupe de ressources et région que ceux que vous avez utilisés pour les ressources précédentes. Entrez un nom unique.

    Capture d’écran du formulaire des informations de base lors de l’ajout du point de terminaison privé de fichier.

  9. Sélectionnez Suivant : Ressource, puis définissez Sous-ressource cible sur fichier.

    Capture d’écran du formulaire de ressource lors de la sélection d’une sous-ressource de « fichier ».

  10. Sélectionnez Suivant : Réseau virtuel, puis utilisez les valeurs suivantes :

    • Réseau virtuel : réseau virtuel que vous avez créé précédemment
    • Sous-réseau : Formation

    Capture d’écran du formulaire de configuration lors de l’ajout du point de terminaison privé de fichier.

  11. Passez par les onglets en sélectionnant les valeurs par défaut jusqu’à atteindre Vérifier + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Conseil

Si vous envisagez d’utiliser un point de terminaison de traitement par lots ou un pipeline Azure Machine Learning qui utilise un ParallelRunStep, il est également nécessaire de configurer les sous-ressources de file d’attente et de table cibles des points de terminaison privés. ParallelRunStep utilise en interne les options de file d’attente et de table pour la planification et la distribution des tâches.

Création d’un coffre de clés

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Coffre de clés. Sélectionnez l’entrée Coffre de clés, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Entrez un nom de coffre de clés unique. Conservez la valeur par défaut dans les autres champs.

    Capture d’écran du formulaire des informations de base lors de la création d’un coffre de clés.

  3. Sous l’onglet Mise en réseau, désélectionnez Activer l’accès public, puis sélectionnez + Créer un point de terminaison privé.

    Capture d’écran du formulaire de mise en réseau lors de l’ajout d’un point de terminaison privé pour le coffre de clés.

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : le même abonnement Azure qui contient les ressources précédentes.
    • Groupe de ressources : le même groupe de ressources Azure qui contient les ressources précédentes.
    • Emplacement : la même région Azure qui contient les ressources précédentes.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : coffre
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Activer l’intégration DNS privée : oui
    • Zone DNS privée : sélectionnez le groupe de ressources qui contient le réseau virtuel et le coffre de clés.

    Sélectionnez Ajouter pour créer le point de terminaison privé.

    Capture d’écran du formulaire de configuration du point de terminaison privé du coffre de clés.

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Créer un registre de conteneur

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Registre de conteneurs. Sélectionnez l’entrée Registre de conteneurs, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la localisation que vous avez précédemment utilisés pour le réseau virtuel. Entrez un nom de registre unique et définissez le niveau tarifaire sur Premium.

    Capture d’écran du formulaire des informations de base lors de la création d’un registre de conteneurs.

  3. Dans l’onglet Mise en réseau, sélectionnez Point de terminaison privé, puis + Ajouter.

    Capture d’écran du formulaire de mise en réseau lors de l’ajout d’un point de terminaison privé pour un registre de conteneurs.

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : le même abonnement Azure qui contient les ressources précédentes.
    • Groupe de ressources : le même groupe de ressources Azure qui contient les ressources précédentes.
    • Emplacement : la même région Azure qui contient les ressources précédentes.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : registre
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Groupe de ressources : sélectionnez le groupe de ressources qui contient le réseau virtuel et le registre de conteneurs.

    Sélectionnez Ajouter pour créer le point de terminaison privé.

    Capture d’écran du formulaire de configuration du point de terminaison privé d’un registre de conteneurs.

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  6. Une fois le registre de conteneurs créé, sélectionnez Accéder à la ressource.

    Capture d’écran du bouton « Accéder à la ressource ».

  7. Dans la partie gauche de la page, sélectionnez Clés d’accès, puis activez Utilisateur administrateur. Ce paramètre est nécessaire lorsque vous utilisez Azure Container Registry à l’intérieur d’un réseau virtuel avec Azure Machine Learning.

    Capture d’écran du formulaire de clés d’accès d’un registre de conteneurs, avec l’option « Utilisateur administrateur » activée.

Créer un espace de travail

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Machine Learning. Sélectionnez l’entrée Machine Learning, puis sélectionnez Créer.

    Capture d’écran de la page de création pour Azure Machine Learning.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Utilisez les valeurs suivantes pour les autres champs :

    • Nom : nom unique de votre espace de travail.
    • Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment.
    • Coffre de clés : sélectionnez le coffre de clés que vous avez créé précédemment.
    • Application Insights : utilisez la valeur par défaut.
    • Registre des conteneurs : utilisez le registre de conteneurs que vous avez créé précédemment.

    Capture d’écran du formulaire de configuration d’un espace de travail de base.

  3. Sous l’onglet Mise en réseau, sélectionnez Privé avec Internet Sortant. Dans la section Accès entrant à l’espace de travail, sélectionnez + Ajouter.

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : le même abonnement Azure qui contient les ressources précédentes.
    • Groupe de ressources : le même groupe de ressources Azure qui contient les ressources précédentes.
    • Emplacement : la même région Azure qui contient les ressources précédentes.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : amlworkspace
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Zone DNS privée : Laissez les deux zones DNS privées aux valeurs par défaut de privatelink.api.azureml.ms et privatelink.notebooks.azure.net.

    Sélectionnez OK pour créer le point de terminaison privé.

    Capture d’écran du formulaire de configuration d’un réseau privé pour un espace de travail.

  5. Sous l’onglet Mise en réseau, dans la section Accès sortant à l’espace de travail, sélectionnez Utiliser mon propre réseau virtuel.

  6. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  7. Une fois l’espace de travail créé, sélectionnez Accéder à la ressource.

  8. Dans la section Paramètres à gauche, sélectionnez Mise en réseau, Connexions de point de terminaison privé, puis le lien dans la colonne Point de terminaison privé :

    Capture d’écran des connexions de point de terminaison privé pour l’espace de travail.

  9. Une fois les informations sur le point de terminaison privé affichées, sélectionnez Configuration DNS dans la partie gauche de la page. Prenez note de l’adresse IP et du nom de domaine complet (FQDN) qui figurent sur cette page.

    Capture d’écran des entrées IP et FQDN de l’espace de travail.

Important

Certaines étapes de configuration sont encore nécessaires avant que vous puissiez utiliser pleinement l’espace de travail. Toutefois, celles-ci nécessitent que vous vous connectiez à l’espace de travail.

Activer le studio

Azure Machine Learning studio est une application web qui vous permet de gérer facilement votre espace de travail. Toutefois, elle nécessite une configuration supplémentaire avant de pouvoir être utilisée avec des ressources sécurisées à l’intérieur d’un réseau virtuel. Suivez les étapes suivantes pour activer le studio :

  1. Lorsque vous utilisez un compte stockage Azure disposant d’un point de terminaison privé, ajoutez le principal du service pour l’espace de travail en tant que Lecteur pour les points de terminaison privés de stockage. À partir du portail Azure, sélectionnez votre compte de stockage, puis sélectionnez Mise en réseau. Ensuite, sélectionnez Connexions de point de terminaison privé.

    Capture d’écran des connexions de point de terminaison privé de stockage.

  2. Pour chaque point de terminaison privé répertorié, procédez comme suit :

    1. Sélectionnez le lien dans la colonne Point de terminaison privé.

      Capture d’écran des liens de point de terminaison dans la colonne de point de terminaison privé.

    2. Sélectionnez Contrôle d’accès (IAM) sur le côté gauche.

    3. Sélectionnez + Ajouter, puis Ajouter une attribution de rôle (préversion) .

      Page Contrôle d’accès (IAM) avec le menu Ajouter une attribution de rôle ouvert.

    4. Dans l’onglet Rôle, sélectionnez Lecteur.

      Page Ajouter une attribution de rôle avec l’onglet Rôle sélectionné.

    5. Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal de service dans la zone Attribuer l’accès à, puis sélectionnez + Sélectionner des membres. Dans la boîte de dialogue Sélectionner des membres, entrez le nom de votre espace de travail Azure Machine Learning. Sélectionnez le principal de service de l’espace de travail, puis utilisez le bouton Sélectionner.

    6. Dans l’onglet Passer en revue + affecter, sélectionnez Passer en revue + affecter pour affecter le rôle.

Sécurisation d’Azure Monitor et Application Insights

Notes

Pour plus d’informations sur la sécurisation d’Azure Monitor et d’Application Insights, consultez les liens suivants :

  1. Dans le Portail Azure, sélectionnez Accueil, puis recherchez Liaison privée. Sélectionnez le résultat d’Azure Monitor Private Link Étendue, puis sélectionnez Créer.

  2. Sous l’onglet Informations de base , sélectionnez Abonnement, Groupe de ressources et Région du groupe de ressources que votre espace de travail Azure Machine Learning. Entrez un Nom pour l’instance, puis sélectionnez Vérifier + Créer. Pour créer l’instance, sélectionnez Créer.

  3. Une fois l’instance d’étendue de liaison privée Azure Monitor créée, sélectionnez-la dans le Portail Azure. Dans la section Configurer , sélectionnez Ressources Azure Monitor , puis + Ajouter.

    Capture d'écran du bouton d'ajout.

  4. Dans Sélectionner une étendue, utilisez les filtres pour sélectionner l’instance Application Insights pour votre espace de travail Azure Machine Learning. Sélectionnez Appliquer pour ajouter l’instance.

  5. Dans Configurer, sélectionnez Connexions des points de terminaison privés, puis + Point de terminaison privé.

    Capture d’écran du bouton Ajouter un point de terminaison privé.

  6. Sélectionnez les mêmes Abonnement, Groupe de ressources et Région qui contiennent votre réseau virtuel. Sélectionnez Suivant : Ressource.

    Capture d’écran des principes de base du point de terminaison privé Azure Monitor.

  7. Sélectionnez Microsoft.insights/privateLinkScopes comme Type de ressource. Sélectionnez l’étendue de liaison privée que vous avez créée précédemment en tant que Ressource. Sélectionnez azuremonitor comme Sous-ressource cible. Enfin, sélectionnez Suivant : Réseau virtuel pour continuer.

    Capture d’écran des ressources de point de terminaison privé Azure Monitor.

  8. Sélectionnez le Réseau virtuel que vous avez créé précédemment et le sous-réseau Formation . Sélectionnez Suivant jusqu’à ce que vous arriviez à Vérifier + Créer. Sélectionnez Vérifier + créer pour créer le point de terminaison privé.

    Capture d’écran du réseau du point de terminaison privé Azure Monitor.

  9. Une fois le point de terminaison privé créé, revenez à la ressource Étendue de liaison privée Azure Monitor dans le portail. Dans la section Configurer , sélectionnez Modes d’accès. Sélectionnez Privé uniquement pour Mode d’accès d’ingestion et Mode d’accès de requête, puis sélectionnez Enregistrer.

    Capture d’écran des modes d’accès à l’étendue de liaison privée.

Se connecter à l’espace de travail

Il existe plusieurs façons de se connecter à l’espace de travail sécurisé. Les étapes de cet article utilisent une jumpbox (un serveur de rebond), qui est une machine virtuelle dans le réseau virtuel. Vous pouvez vous y connecter à l’aide de votre navigateur web et d’Azure Bastion. Le tableau suivant répertorie plusieurs autres façons de se connecter à l’espace de travail sécurisé :

Méthode Description
Passerelle VPN Azure Elle connecte des réseaux locaux à un réseau virtuel Azure via une connexion privée. La connexion est établie via l’Internet public.
ExpressRoute Permet de connecter des réseaux locaux au cloud via une connexion privée. La connexion est établie à l’aide d’un fournisseur de connectivité.

Important

Quand vous utilisez une passerelle VPN ou ExpressRoute, vous devez planifier le fonctionnement de la résolution de noms entre vos ressources locales et celles se trouvant dans le réseau virtuel. Pour plus d’informations, consultez Utiliser un serveur DNS personnalisé.

Créer un serveur de rebond (machine virtuelle)

Utilisez les étapes suivantes pour créer une machine virtuelle Azure à utiliser comme serveur de rebond. Azure Bastion vous permet de vous connecter au bureau de la machine virtuelle via votre navigateur. Depuis le bureau de la machine virtuelle, vous pouvez utiliser le navigateur sur la machine virtuelle pour vous connecter aux ressources du réseau virtuel, par exemple Azure Machine Learning studio. Vous pouvez également installer des outils de développement sur la machine virtuelle.

Conseil

Les étapes ci-dessous créent une machine virtuelle d’entreprise Windows 11. Selon vos besoins, vous pouvez sélectionner une autre image de machine virtuelle. L’image d’entreprise Windows 11 (ou 10) est utile si vous devez joindre la machine virtuelle au domaine de votre organisation.

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez +Créer une ressource, puis entrez Machine Learning. Sélectionnez l’entrée Machine virtuelle, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Fournissez des valeurs pour les champs suivants :

    • Nom de la machine virtuelle : Nom unique pour la machine virtuelle.

    • Nom d’utilisateur : nom d’utilisateur que vous utilisez pour vous connecter à la machine virtuelle.

    • Mot de passe : Mot de passe pour le nom d’utilisateur.

    • Type de sécurité : Standard.

    • Image : Windows 11 Entreprise.

      Conseil

      Si Windows 11 Entreprise n’est pas dans la liste pour la sélection d’images, utilisez Afficher toutes les images_. Recherchez l’entrée Windows 11 sur Microsoft et utilisez la liste déroulante Sélectionner pour sélectionner l’image d’entreprise.

    Pour les autres champs, vous pouvez laisser les valeurs par défaut.

    Capture d’écran de la configuration des paramètres de base d’une machine virtuelle.

  3. Sélectionnez Mise en réseau, puis sélectionnez le réseau virtuel que vous avez créé précédemment. Utilisez les informations suivantes pour définir les champs restants :

    • Sélectionnez le sous-réseau Formation.
    • Définissez l’IP publique sur Aucune.
    • Conservez la valeur par défaut dans les autres champs.

    Capture d’écran de la configuration du réseau d’une machine virtuelle.

  4. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Se connecter au serveur de rebond

  1. Une fois la machine virtuelle créée, sélectionnez Accéder à la ressource.

  2. En haut de la page, sélectionnez Se connecter et ensuite Se connecter via Bastion.

    Conseil

    Azure Bastion utilise le port 443 pour les communications entrantes. Si votre pare-feu restreint le trafic sortant, assurez-vous qu’il autorise le trafic sur le port 443 vers le service Azure Bastion. Pour plus d’informations, consultez Travailler avec des groupes de sécurité réseau et Azure Bastion.

    Capture d’écran de la liste de « connexion », avec l’option « Bastion » sélectionnée.

  3. Fournissez vos informations d’authentification pour la machine virtuelle et une connexion est établie dans votre navigateur.

Créer un cluster de calcul et une instance

Une instance de calcul fournit une expérience Jupyter Notebook sur une ressource de calcul partagée jointe à votre espace de travail.

  1. À partir d’une connexion Azure Bastion au serveur de rebond, ouvrez le navigateur Microsoft Edge sur le bureau distant.

  2. Dans la session de navigation à distance, accédez à https://ml.azure.com . Lorsque vous y êtes invité, authentifiez-vous à l’aide de votre compte Microsoft Entra.

  3. Dans l’écran Bienvenue dans Studio !, sélectionnez l’espace de travail Machine Learning que vous avez créé précédemment, puis sélectionnez Démarrage.

    Conseil

    Si votre compte Microsoft Entra a accès à plusieurs abonnements ou répertoires, utilisez la liste déroulante Annuaire et abonnement pour sélectionner celui qui contient l’espace de travail.

    Capture d’écran du formulaire de sélection d’un espace de travail Machine Learning.

  4. Dans le studio, sélectionnez Calcul, Clusters de calcul, puis + Nouveau.

    Capture d’écran de la page des clusters de calcul, avec le bouton « Nouveau » sélectionné.

  5. Dans la boîte de dialogue Machine virtuelle, sélectionnez Suivant pour accepter la configuration par défaut de la machine virtuelle.

    Capture d’écran de la configuration d’une machine virtuelle de cluster de calcul.

  6. Dans la boîte de dialogue Configurer les paramètres, entrez cpu-cluster comme nom de cluster. Définissez le sous-réseau sur Formation, puis sélectionnez Créer pour créer le cluster.

    Conseil

    Les clusters de calcul mettent à l’échelle les nœuds du cluster dynamiquement selon les besoins. Nous recommandons de laisser le nombre minimum de nœuds à 0 pour réduire les coûts lorsque le cluster n’est pas utilisé.

    Capture d’écran du formulaire de configuration des paramètres.

  7. Dans le studio, sélectionnez Calcul, Instance de calcul, puis + Nouveau.

    Capture d’écran de la page des instances de calcul, avec le bouton « Nouveau » sélectionné.

  8. Dans Paramètres obligatoires, entrez un Nom d’ordinateur unique, puis sélectionnez Suivant.

    Capture d’écran de la configuration d’une machine virtuelle d’instance de calcul.

  9. Continuez à sélectionner Suivant jusqu’à ce que vous arriviez à la boîte de dialogue Sécurité. Sélectionnez ensuite le Réseau virtuel et définissez le Sous-réseau sur Training. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

    Capture d’écran des paramètres avancés.

Conseil

Lorsque vous créez un cluster de calcul ou une instance de calcul, Azure Machine Learning ajoute dynamiquement un groupe de sécurité réseau (NSG). Ce groupe de sécurité réseau contient les règles suivantes, qui sont spécifiques au cluster de calcul et à l’instance de calcul :

  • Autoriser le trafic TCP entrant sur les ports 29876-29877 depuis l’étiquette de service BatchNodeManagement.
  • Autoriser le trafic TCP entrant sur le port 44224 depuis l’étiquette de service AzureMachineLearning.

La capture d’écran suivante présente un exemple de ces règles :

Capture d’écran de NSG

Pour plus d’informations sur la création d’un cluster de calcul et d’une instance de calcul, y compris sur la façon de le faire avec Python et l’interface CLI, consultez les articles suivants :

Configurer des builds d’image

S’APPLIQUE À :Extension ml Azure CLI v2 (actuelle)

Lorsqu’Azure Container Registry se trouve derrière le réseau virtuel, Azure Machine Learning ne peut pas l’utiliser pour générer directement des images Docker (utilisées pour la formation et le déploiement). Au lieu de cela, configurez l’espace de travail pour utiliser le cluster de calcul que vous avez créé précédemment. Utilisez les étapes suivantes pour créer un cluster de calcul et configurer l’espace de travail pour l’utiliser afin de générer des images :

  1. Accédez à https://shell.azure.com/ pour ouvrir Azure Cloud Shell.

  2. À partir de Cloud Shell, utilisez la commande suivante pour installer l’interface CLI 2.0 pour Azure Machine Learning :

    az extension add -n ml

  3. Pour mettre à jour l’espace de travail afin d’utiliser le cluster de calcul pour générer des images Docker : Remplacez docs-ml-rg par votre groupe de ressources. Remplacez docs-ml-ws par votre espace de travail. Remplacez cpu-cluster par le nom du cluster de calcul :

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Remarque

    Vous pouvez utiliser le même cluster de calcul pour effectuer l’apprentissage de modèles et générer des images Docker pour l’espace de travail.

Utiliser l'espace de travail

Important

Les étapes décrites dans cet article placent Azure Container Registry derrière le réseau virtuel. Dans cette configuration, vous ne pouvez pas déployer un modèle dans Azure Container Instances à l’intérieur du réseau virtuel. Nous vous déconseillons d’utiliser Azure Container Instances avec Azure Machine Learning dans un réseau virtuel. Pour plus d’informations, consultez Sécuriser l’environnement d’inférence (SDK/CLI v1).

En guise d’alternative à Azure Container Instances, essayez les points de terminaison en ligne managés Azure Machine Learning. Pour plus d’informations, consultez Activer l’isolement réseau pour les points de terminaison en ligne managés.

À ce stade, vous pouvez utiliser le studio pour travailler de manière interactive avec les notebooks sur l’instance de calcul et exécuter des tâches de formation sur le cluster de calcul. Pour obtenir un didacticiel sur l’utilisation de l’instance de calcul et du cluster de calcul, consultez Tutoriel : Azure Machine Learning en un jour.

Arrêter l’instance de calcul et le serveur de rebond

Avertissement

Tant qu’ils sont en cours d’exécution (démarrés), l’instance de calcul et le serveur de rebond continuent de facturer votre abonnement. Pour éviter tout coût excessif, arrêtez-les lorsqu’ils ne sont pas utilisés.

Le cluster de calcul effectue une mise à l’échelle dynamique entre le nombre de nœuds minimum et maximum défini lors de sa création. Si vous avez accepté les valeurs par défaut, la valeur minimale est 0, ce qui a pour effet de désactiver le cluster en cas de non-utilisation.

Arrêter l’instance de calcul

Dans le studio, sélectionnez Calcul, Clusters de calcul, puis sélectionnez l’instance de calcul. Enfin, sélectionnez Arrêter en haut de la page.

Capture d’écran du bouton Arrêter de l’instance de calcul.

Arrêter le serveur de rebond

Une fois qu’elle a été créée, sélectionnez la machine virtuelle dans le Portail Azure, puis utilisez le bouton Arrêter. Lorsque vous êtes prêt à l’utiliser à nouveau, utilisez le bouton Démarrer pour la démarrer.

Capture d’écran du bouton Arrêter de la machine virtuelle de serveur de rebond.

Vous pouvez également configurer le serveur de rebond pour qu’il s’arrête automatiquement à une heure précise. Pour ce faire, sélectionnez Arrêt automatique, Activer, définissez une heure, puis sélectionnez Enregistrer.

Capture d’écran de l’option d’arrêt automatique.

Nettoyer les ressources

Si vous prévoyez de continuer à utiliser l’espace de travail sécurisé et les autres ressources, passez cette section.

Pour supprimer toutes les ressources créées dans ce tutoriel, procédez comme suit :

  1. Dans le portail Azure, sélectionnez Groupes de ressources tout à gauche.

  2. Dans la liste, sélectionnez le groupe de ressources que vous avez créé dans ce tutoriel.

  3. Sélectionnez Supprimer le groupe de ressources.

    Capture d’écran du lien de suppression du groupe de ressources.

  4. Entrez le nom du groupe de ressources, puis sélectionnez Supprimer.

Étapes suivantes

Maintenant que vous disposez d’un espace de travail sécurisé et que vous pouvez accéder à Studio, découvrez comment déployer un modèle sur un point de terminaison en ligne avec isolation réseau.

Maintenant que vous avez créé un espace de travail sécurisé, découvrez comment déployer un modèle.