Condividi tramite

Esercitazione: Come creare un'area di lavoro sicura con una rete virtuale Azure

  • Articolo

In questo articolo, apprendere come creare e connettersi a un'area di lavoro Azure Machine Learning sicura. I passaggi descritti in questo articolo utilizzano una rete virtuale Azure per creare un limite di sicurezza attorno alle risorse utilizzate da Azure Machine Learning.

Importante

Si consiglia di utilizzare la rete virtuale gestita di Azure Machine Learning anziché una rete virtuale Azure. Per una versione di questa esercitazione che utilizza una rete virtuale gestita, vedere Esercitazione: Creare un'area di lavoro sicura con una rete virtuale gestita.

In questa esercitazione, si svolgeranno le attività seguenti:

  • Creare una rete virtuale Azure (VNet) per proteggere le comunicazioni tra i servizi nella rete virtuale.
  • Creare un account di archiviazione Azure (BLOB e file) protetto dalla VNet. Questo servizio viene utilizzato come archiviazione predefinita per l'area di lavoro.
  • Creare un Azure Key Vault protetto dalla VNet. Questo servizio viene utilizzato per archiviare segreti utilizzati dall'area di lavoro. Ad esempio, le informazioni di sicurezza necessarie per accedere all'account di archiviazione.
  • Creare un Registro Azure Container (ACR). Questo servizio viene utilizzato come repository per le immagini Docker. Le immagini Docker forniscono gli ambienti di calcolo necessari quando si addestra un modello di Machine Learning o si distribuisce un modello con training come endpoint.
  • Creare un'area di lavoro di Azure Machine Learning.
  • Creare una jump box. Una jump box è una macchina virtuale Azure protetta dalla VNet. Poiché la VNet limita l'accesso da Internet pubblico, la jump box viene utilizzata come modo per connettersi alle risorse protette dalla VNet.
  • Configurare lo studio di Azure Machine Learning per funzionare dietro una VNet. Lo studio fornisce un'interfaccia web per Azure Machine Learning.
  • Creare un cluster di elaborazione di Azure Machine Learning. Un cluster di calcolo viene utilizzato quando si esegue il training di modelli di machine learning nel cloud. In configurazioni in cui il Registro Azure Container si trova protetto dalla VNet, viene utilizzato anche per compilare immagini Docker.
  • Connettersi alla jump box e utilizzare lo studio di Azure Machine Learning.

Suggerimento

Se si sta cercando un modello che illustra come creare un'area di lavoro sicura, vedere Modello Bicepo Modello Terraform.

Dopo aver completato questa esercitazione, si potrà avere l'architettura seguente:

  • Una rete virtuale Azure contenente tre subnet:
    • Training: Contiene l'area di lavoro Azure Machine Learning, i servizi di dipendenza e le risorse utilizzate per il training dei modelli.
    • Valutazione: Per i passaggi di questa esercitazione, non viene utilizzato. Tuttavia, se si continua a utilizzare questa area di lavoro per altre esercitazioni, si consiglia di utilizzare questa subnet quando si effettua l'implementazione dei modelli su endpoint.
    • AzureBastionSubnet: Usatta dal servizio Azure Bastion per connettere in modo sicuro i client alle macchine virtuali Azure.
  • Un'area di lavoro di Azure Machine Learning che usa un endpoint privato per comunicare tramite la rete virtuale.
  • Un account di Archiviazione di Azure che usa endpoint privati per consentire ai servizi di archiviazione, come BLOB e file, di comunicare tramite la rete virtuale.
  • Un'istanza di Registro Azure Container che usa un endpoint privato per comunicare tramite la rete virtuale.
  • Azure Bastion, che consente di usare il proprio browser per comunicare in modo sicuro con la macchina virtuale jump box all'interno della rete virtuale.
  • Una macchina virtuale Azure a cui è possibile collegarsi da remoto e accedere alle risorse protette all'interno della rete virtuale.
  • Un'istanza di ambiente di calcolo Azure Machine Learning e un cluster di elaborazione.

Suggerimento

Il servizio Azure Batch elencato nel diagramma è un servizio back-end richiesto dai cluster di elaborazione e dalle istanze di ambiente di calcolo.

Diagramma dell'architettura finale creata tramite questa esercitazione.

Prerequisiti

  • Acquisire familiarità con le reti virtuali Azure e il networking IP. Se non si è familiari, provare il modulo su Nozioni fondamentali del networking informatico.
  • Sebbene la maggior parte dei passaggi in questo articolo utilizzi il portale Azure o lo studio Azure Machine Learning, alcuni passaggi utilizzano l'estensione dell'interfaccia della riga di comando di Azure per Machine Learning v2.

Creare una rete virtuale

Per creare una rete virtuale, seguire i passaggi seguenti:

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e quindi inserire Rete virtuale nel campo di ricerca. Selezionare la voce Rete virtuale, e quindi selezionare Crea.

    Screenshot del modulo di ricerca risorse con la rete virtuale selezionata.

    Screenshot del modulo di creazione della rete virtuale.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento Azure da usare per questa risorsa e quindi selezionare o creare un nuovo gruppo di risorse. In Dettagli istanza, inserire un nome descrittivo per la propria rete virtuale e selezionare l'area in cui crearla.

    Screenshot del modulo di configurazione di rete virtuale di base.

  3. Seleziona Sicurezza. Selezionare per abilitare Azure Bastion. Azure Bastion offre un modo sicuro per accedere alla jump box della macchina virtuale che viene creata all'interno della rete virtuale in un passaggio successivo. Utilizzare i seguenti valori per i campi rimanenti:

    • Nome Bastion: Un nome univoco per questa istanza di Bastion
    • Indirizzo IP pubblico: Creare un nuovo indirizzo IP pubblico.

    Mantenere i valori predefiniti per gli altri campi.

    Screenshot della configurazione di Bastion.

  4. Selezionare Indirizzi IP. Le impostazioni predefinite dovrebbero essere simili a quelle riportate nell'immagine seguente:

    Screenshot del modulo indirizzo IP predefinito.

    Utilizzare i passaggi seguenti per configurare l'indirizzo IP e configurare una subnet per le risorse di training e valutazione:

    Suggerimento

    Sebbene si possa utilizzare una singola subnet per tutte le risorse di Azure Machine Learning, i passaggi in questo articolo mostrano come creare due subnet per separare le risorse di training e valutazione.

    L'area di lavoro e altri servizi di dipendenza andranno nella subnet di training. Possono comunque essere utilizzati da risorse in altre subnet, come la subnet di valutazione.

    1. Osservare il valore predefinito dello spazio indirizzi IPv4. Nello screenshot, il valore è 172.16.0.0/16. Il valore potrebbe essere diverso nel caso specifico. Sebbene si possa utilizzare un valore diverso, il resto dei passaggi in questa esercitazione si basa sul valore 172.16.0.0/16.

      Avviso

      Non usare l'intervallo di indirizzi IP 172.17.0.0/16 per la rete virtuale. Questo è l'intervallo di subnet predefinito utilizzato dalla rete bridge Docker e, se usato per la rete virtuale, genererà errori. Anche altri intervalli possono essere in conflitto, a seconda di ciò che si vuole collegare alla rete virtuale. Ad esempio, se si intende connettere la propria rete locale alla rete virtuale e la rete locale usa l'intervallo 172.16.0.0/16, è possibile che si verifichi un conflitto. In definitiva, l'utente deve pianificare l'infrastruttura di rete.

    2. Selezionare la subnet Predefinita e quindi selezionare l'icona di modifica.

      Screenshot della selezione dell'icona di modifica della subnet predefinita.

    3. Modificare il Nome della subnet in Training. Non modificare le impostazioni predefinite per gli altri valori, quindi selezionare Salva per salvare le modifiche.

    4. Per creare una subnet per le risorse di calcolo usate per assegnare un punteggio ai modelli, selezionare + Aggiungi subnet e impostare il nome e l'intervallo di indirizzi:

      • Nome subnet: Valutazione
      • Indirizzo iniziale: 172.16.2.0
      • Dimensione subnet: /24 (256 indirizzi)

      Screenshot della subnet di assegnazione dei punteggi.

    5. Selezionare Aggiungi per aggiungere la subnet.

  5. Selezionare Rivedi e crea.

    Screenshot del pulsante Rivedi e crea.

  6. Verificare che le informazioni siano corrette e quindi selezionare Crea.

    Screenshot della pagina Rivedi e crea della rete virtuale.

Creare un account di archiviazione

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Account di archiviazione. Selezionare la voce Account di archiviazione e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'area precedentemente utilizzati per la rete virtuale. Inserire un nome univoco per l'account di archiviazione e impostare la Ridondanza su archiviazione con ridondanza locale (LRS).

    Screenshot della configurazione di base dell'account di archiviazione.

  3. Nella scheda Rete selezionare Disabilita l'accesso pubblico e quindi selezionare + Aggiungi endpoint privato.

    Screenshot del modulo per aggiungere la rete privata BLOB.

  4. Nel modulo Endpoint privato, utilizzare i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endopint privato.
    • Risorsa secondaria di destinazione: BLOB
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Training (172.16.0.0/24)
    • Integrazione DNS privato: Sì
    • Zona DNS privato: privatelink.blob.core.windows.net

    Selezionare Aggiungi per creare l'endpoint privato.

  5. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  6. Dopo aver creato l'account di archiviazione, selezionare Vai alla risorsa:

    Screenshot del pulsante Vai alla nuova risorsa di archiviazione.

  7. Nel riquadro di spostamento a sinistra, selezionare Rete, la scheda Connessioni a endpoint privato e quindi selezionare + Endpoint privato:

    Nota

    Sebbene sia stato creato un endpoint privato per l'archiviazione BLOB nei passaggi precedenti, è necessario crearne uno anche per l'archiviazione file.

    Screenshot del modulo di rete dell'account di archiviazione.

  8. Nel modulo Crea un endpoint privato, utilizzare lo stesso abbonamento, gruppo di risorse e Area utilizzati per le risorse precedenti. Immettere un nome univoco.

    Screenshot del modulo di base quando si aggiunge l'endpoint privato del file.

  9. Selezionare Avanti: Risorsa, e quindi impostare Risorsa secondaria di destinazione su file.

    Screenshot del modulo della risorsa quando si seleziona una sotto-risorsa di tipo

  10. Selezionare Avanti : Rete virtuale e quindi usare i valori seguenti:

    • Rete virtuale: La rete creata in precedenza
    • Subnet: Training

    Screenshot del modulo di configurazione quando si aggiunge l'endpoint privato del file.

  11. Continuare a completare le schede selezionando le impostazioni predefinite fino a raggiungere Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

Suggerimento

Se si prevede di utilizzare un endpoint batch o un pipeline di Azure Machine Learning che utilizza un ParallelRunStep, è inoltre necessario configurare gli endpoint privati per le risorse secondarie coda di destinazione e tabella. ParallelRunStep usa internamente la coda e la tabella per la pianificazione e l'invio delle attività.

Creare un insieme di credenziali delle chiavi

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Key Vault. Selezionare la voce Key Vault e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'area precedentemente utilizzati per la rete virtuale. Immettere un nome univoco per il Key vault. Mantenere i valori predefiniti per gli altri campi.

    Screenshot del modulo informazioni di base durante la creazione di un nuovo insieme di credenziali delle chiavi.

  3. Nella scheda Rete deselezionare Abilita l'accesso pubblico e quindi selezionare + Crea un endpoint privato.

    Screenshot del modulo di rete quando si aggiunge un endpoint privato per l'insieme di credenziali delle chiavi.

  4. Nel modulo Endpoint privato, utilizzare i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endopint privato.
    • Risorsa secondaria di destinazione: Vault
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Training (172.16.0.0/24)
    • Abilitare l'integrazione DNS privato: sì
    • Zona DNS privato: selezionare il gruppo di risorse che contiene la rete virtuale e l'insieme di credenziali delle chiavi.

    Selezionare Aggiungi per creare l'endpoint privato.

    Screenshot del modulo di configurazione dell'endpoint privato dell'insieme di credenziali delle chiavi.

  5. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

Creare un registro contenitori

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Registro contenitori. Selezionare la voce Registro contenitori e quindi selezionareCrea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e lalocalità precedentemente utilizzati per la rete virtuale. Immettere un nome univoco per il Registro e impostare lo SKU su Premium.

    Screenshot del modulo di base durante la creazione di un registro contenitori.

  3. Dalla scheda Rete, selezionare Endpoint privato e quindi selezionare + Aggiungi.

    Screenshot del modulo di rete quando si aggiunge un endpoint privato del registro contenitori.

  4. Nel modulo Endpoint privato, utilizzare i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endopint privato.
    • Risorsa secondaria di destinazione: registro
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Training (172.16.0.0/24)
    • Integrazione DNS privato: Sì
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale e il registro contenitori.

    Selezionare Aggiungi per creare l'endpoint privato.

    Screenshot del modulo di configurazione per l'endpoint privato del registro contenitori.

  5. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  6. Dopo la creazione del registro contenitori, selezionare Vai alla risorsa.

    Screenshot del pulsante

  7. Dalla parte sinistra della pagina, selezionare Chiavi di accesso e quindi abilitare Utente amministratore. Questa impostazione è necessaria quando si utilizza il Registro Azure Container all'interno di una rete virtuale con Azure Machine Learning.

    Screenshot del modulo delle chiavi di accesso del registro contenitori con l'opzione

Creare un'area di lavoro

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Machine Learning. Selezionare la voce Machine Learning e quindi selezionare Crea.

    Screenshot della pagina di creazione per Azure Machine Learning.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'Area precedentemente utilizzati per la rete virtuale. Utilizzare i seguenti valori per gli altri campi:

    • Nome: un nome univoco per l'area di lavoro.
    • Account di archiviazione: selezionare l'account di archiviazione creato in precedenza.
    • Insieme di credenziali delle chiavi: selezionare l'insieme di credenziali delle chiavi creato in precedenza.
    • Application insights: usare il valore predefinito.
    • Registro contenitori: usare il registro contenitori creato in precedenza.

    Screenshot del modulo di configurazione dell'area di lavoro di base.

  3. Dalla scheda Rete, selezionare Privato con accesso in uscita a Internet. Nella sezione Accesso in ingresso all'area di lavoro, selezionare + Aggiungi.

  4. Nel modulo Endpoint privato, utilizzare i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endopint privato.
    • Risorsa secondaria di destinazione: amlworkspace
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Training (172.16.0.0/24)
    • Integrazione DNS privato: Sì
    • Zona DNS privato: Lasciare le due zone DNS private ai valori predefiniti di privatelink.api.azureml.ms e privatelink.notebooks.azure.net.

    Selezionare OK per creare l'endpoint privato.

    Screenshot del modulo di configurazione della rete privata dell'area di lavoro.

  5. Dalla scheda rete, nella sezioneAccesso in uscita dall'area di lavoro, selezionare Usa la mia rete virtuale.

  6. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  7. Dopo aver creato l'area di lavoro, selezionare Vai alla risorsa.

  8. Dalla sezione Impostazioni a sinistra selezionare Rete, Connessioni endpoint privato e quindi selezionare il collegamento nella colonna Endpoint privato:

    Screenshot delle connessioni dell'endpoint privato per l'area di lavoro.

  9. Una volta che appaiono le informazioni sull'endpoint privato, selezionare Configurazione DNS sulla sinistra della pagina. Salvare l'indirizzo IP e le informazioni sul nome di dominio completo (FQDN) presenti nella pagina.

    Screenshot delle voci IP e FQDN per l'area di lavoro.

Importante

Ci sono ancora alcuni passaggi di configurazione necessari prima di poter utilizzare pienamente l'area di lavoro. Tuttavia, questi richiedono di connettersi all'area di lavoro.

Abilitare lo studio

Lo studio di Azure Machine Learning è un'applicazione web che consente di gestire facilmente l'area di lavoro. Tuttavia, richiede una configurazione aggiuntiva prima di poter essere usato con risorse protette all'interno di una rete virtuale. Utilizzare i seguenti passaggi per abilitare lo studio:

  1. Quando si usa un account di archiviazione Azure che ha un endpoint privato, aggiungere l'entità servizio per l'area di lavoro come Lettore per gli endpoint privati dell'archiviazione. Dal portale di Azure, selezionare il proprio account di archiviazione e quindi selezionare Rete. Successivamente, selezionare Connessioni a endpoint privato.

    Screenshot delle connessioni dell'endpoint privato di archiviazione.

  2. Per ciascun endpoint privato elencato, usare i seguenti passaggi:

    1. Selezionare il collegamento nella colonna Endpoint privato.

      Screenshot dei collegamenti all'endpoint nella colonna endpoint privato.

    2. Selezionare Controllo di accesso (IAM) sul lato sinistro.

    3. Selezionare + Aggiungi e quindi Aggiungi assegnazione ruolo (Anteprima).

      Pagina Controllo di accesso (IAM) con il menu Aggiungi assegnazione di ruolo aperto.

    4. Nella scheda Ruolo selezionare un Lettore.

      Pagina Aggiungi assegnazione di ruolo con la scheda Ruolo selezionata.

    5. Nella scheda Membri selezionare Utente, gruppo o entità servizio nell'area Assegna accesso a e quindi selezionare + Seleziona membri. Nella finestra di dialogo Seleziona membri, inserire il nome come area di lavoro di Azure Machine Learning. Selezionare l'entità servizio per l'area di lavoro, quindi utilizzare il pulsante Seleziona.

    6. Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.

Sicurezza di Monitoraggio di Azure e Application Insights

Nota

Per altre informazioni sulla sicurezza di Monitoraggio di Azure e Application Insights, consultare i collegamenti seguenti:

  1. Nel portale di Azure selezionare Home e quindi cercare Collegamento privato. Selezionare il risultato Ambito collegamento privato di Monitoraggio di Azure e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare lo stesso Abbonamento, Gruppo di risorse e Area del gruppo di risorse come la propria area di lavoro di Azure Machine Learning. Inserire un Nome per l'istanza, poi selezionare Rivedi + Crea. Per creare l'istanza, selezionare Crea.

  3. Dopo la creazione dell'istanza di ambito collegamento privato di Monitoraggio di Azure, selezionarla nel portale di Azure. Dalla sezione Configura, selezionare Risorse di Monitoraggio di Azure e quindi selezionare + Aggiungi.

    Screenshot del pulsante Aggiungi.

  4. Da Seleziona un ambito, utilizzare i filtri per selezionare l'istanza di Application Insights per la propria area di lavoro di Azure Machine Learning. Selezionare Applica per aggiungere l'istanza.

  5. Dalla sezione Configura, selezionare Connessioni endpoint privati e quindi selezionare + Endpoint privato.

    Screenshot del pulsante Aggiungi endpoint privato.

  6. Selezionare la stessa Sottoscrizione, lo stesso Gruppo di risorse e la stessa Area che contiene la rete virtuale. Selezionare Avanti: Risorsa.

    Screenshot delle nozioni di base sull'endpoint privato di Monitoraggio di Azure.

  7. Selezionare Microsoft.insights/privateLinkScopes come Tipo di risorsa. Selezionare l'ambito collegamento privato creato in precedenza come Risorsa. Selezionare azuremonitor come Risorsa secondaria di destinazione. Infine, selezionare Avanti: Rete virtuale per continuare.

    Screenshot delle risorse dell'endpoint privato di Monitoraggio di Azure.

  8. Selezionare la Rete virtuale creata in precedenza e la subnet Training. Selezionare Avanti fino ad arrivare a Rivedi + Crea. Infine, selezionare Crea per creare l'endpoint privato.

    Screenshot della rete di endpoint privati di Monitoraggio di Azure.

  9. Dopo avere creato l'endpoint privato, tornare alla risorsa Ambito collegamento privato di Monitoraggio di Azure nel portale. Dalla sezione Configura, selezionare Modalità di accesso. Selezionare Solo privato per la modalità di accesso inserimento e per la modalità di accesso query, quindi selezionare Salva.

    Screenshot delle modalità di accesso all'ambito del collegamento privato.

Connettersi all'area di lavoro

È possibile connettersi all'area di lavoro protetta in diversi modi. I passaggi descritti in questo articolo usano una jump box, ossia una macchina virtuale nella rete virtuale. È possibile connettersi a questa VM usando il proprio browser web e Azure Bastion. La tabella seguente elenca diversi altri modi in cui è possibile connettersi all'area di lavoro sicura:

metodo Descrizione
Gateway VPN di Azure Connette le reti locali alla rete virtuale di Azure tramite una connessione privata. La connessione viene stabilita nella rete Internet pubblica.
ExpressRoute Connette le reti locali nel cloud tramite una connessione privata. La connessione viene stabilita usando un provider di connettività.

Importante

Quando si utilizza un gateway VPN o ExpressRoute, è necessario pianificare il funzionamento della risoluzione dei nomi tra le risorse locali e quelle presenti nella rete virtuale. Per altre informazioni, vedere Usare un server DNS personalizzato.

Creare una jump box (macchina virtuale)

Usare la procedura seguente per creare una macchina virtuale di Azure da usare come jump box. Azure Bastion consente di connettersi al desktop della macchina virtuale tramite il browser. Dal desktop della macchina virtuale si può quindi usare il browser nella macchina virtuale per connettersi alle risorse all'interno della rete virtuale, come lo studio di Azure Machine Learning. In alternativa, è possibile installare strumenti di sviluppo nella macchina virtuale.

Suggerimento

La procedura seguente consente di creare una macchina virtuale Windows 11 Enterprise. A seconda dei requisiti, potrebbe essere necessario selezionare un'immagine di macchina virtuale diversa. L'immagine di Windows 11 (o 10) Enterprise è utile se occorre aggiungere la macchina virtuale al dominio dell'organizzazione.

  1. Nel portale di Azure selezionare il menu del portale nell'angolo in alto a sinistra. Nel menu selezionare + Crea una risorsa e poi inserire Macchina virtuale. Selezionare la voce Macchina virtuale, e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'Area precedentemente utilizzati per la rete virtuale. Fornire i valori per i campi seguenti:

    • Nome macchina virtuale: un nome univoco per la macchina virtuale.

    • Nome utente: il nome utente usato per accedere alla macchina virtuale.

    • Password: la password del nome utente.

    • Tipo di sicurezza: Standard.

    • Immagine: Windows 11 Enterprise.

      Suggerimento

      Se Windows 11 Enterprise non appare nell'elenco per la selezione dell'immagine, usare Visualizza tutte le immagini. Trovare la voce Windows 11 di Microsoft e usare il menu a discesa di selezione per scegliere l'immagine Enterprise.

    È possibile mantenere i valori predefiniti per gli altri campi.

    Screenshot della configurazione di base della macchina virtuale.

  3. Selezionare Rete e quindi selezionare la scheda Rete virtuale creata in precedenza. Usare le seguenti informazioni per impostare i campi rimanenti:

    • Selezionare la subnet Training.
    • Impostare l'IP pubblico su Nessuno.
    • Mantenere i valori predefiniti per gli altri campi.

    Screenshot della configurazione di rete della macchina virtuale.

  4. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

Connettere la jump box

  1. Dopo avere creato la macchina virtuale, selezionare Vai alla risorsa.

  2. Dalla parte superiore della pagina selezionare Connetti e quindi Connetti tramite Bastion.

    Suggerimento

    Azure Bastion usa la porta 443 per la comunicazione in ingresso. Se si dispone di un firewall che limita il traffico in uscita, assicurarsi che consenta il traffico sulla porta 443 al servizio Azure Bastion. Per altre informazioni, vedere Wroking with NSG and Azure Bastion (Wroking with NSG and Azure Bastion).

    Screenshot dell'elenco

  3. Fornire le informazioni di autenticazione per la macchina virtuale. Verrà stabilita una connessione nel browser.

Creare un cluster e un'istanza di elaborazione

Un'istanza di ambiente di calcolo fornisce un'esperienza Jupyter Notebook su una risorsa di calcolo condivisa collegata all'area di lavoro.

  1. Da una connessione Azure Bastion alla jump box, aprire il browser Microsoft Edge sul desktop remoto.

  2. Nella sessione del browser remoto, andare su https://ml.azure.com. Quando richiesto, autenticarsi utilizzando il proprio account Microsoft Entra.

  3. Dalla schermata di Benvenuto in studio!, selezionare l'area di lavoro di Machine Learning creata in precedenza e quindi selezionare Inizia.

    Suggerimento

    Se il proprio account Microsoft Entra ha accesso a più abbonamenti o directory, utilizzare il menu a tendina per Directory e Abbonamenti al fine di selezionare quella che contiene l'area di lavoro.

    Screenshot del modulo selezionare l'area di lavoro di Machine Learning.

  4. Da Studio, selezionare Calcolo, Cluster di calcolo e successivamente + Nuovo.

    Screenshot della pagina cluster di calcolo con il pulsante

  5. Nella finestra di dialogo della Macchina Virtuale, selezionare Avanti per accettare la configurazione predefinita della macchina virtuale.

    Screenshot della configurazione della macchina virtuale del cluster di calcolo.

  6. Nella finestra di dialogo Configura Impostazioni, inserire cpu-cluster come Nome del calcolo. Impostare la Subnet su Training e quindi selezionare Crea per creare il cluster.

    Suggerimento

    I cluster di calcolo scalano dinamicamente i nodi nel cluster a seconda delle necessità. Si consiglia di mantenere il numero minimo di nodi a 0 per ridurre i costi quando il cluster non è in uso.

    Screenshot del modulo di configurazione delle impostazioni.

  7. Da Studio, selezionare Calcolo, Istanza di calcolo e successivamente + Nuovo.

    Screenshot della pagina delle istanze di calcolo con il pulsante

  8. In Impostazioni necessarie immettere un Nome computer univoco e selezionare Avanti.

    Screenshot della configurazione della macchina virtuale dell'istanza di calcolo.

  9. Continuare a selezionare Avanti fino a visualizzare la finestra di dialogo Sicurezza, selezionare Rete virtuale e impostare Subnet su Training. Selezionare Rivedi e crea e quindi Crea.

    Screenshot delle impostazioni avanzate.

Suggerimento

Quando si crea un cluster di elaborazione o un'istanza di calcolo, Azure Machine Learning aggiunge dinamicamente un Gruppo di Sicurezza di Rete (NSG). Questo NSG contiene le seguenti regole, specifiche per il cluster di elaborazione e l'istanza di calcolo:

  • Consentire il traffico TCP in entrata sulle porte 29876-29877 dal tag del servizio BatchNodeManagement.
  • Consentire il traffico TCP in entrata sulla porta 44224 dal tag del servizio AzureMachineLearning.

Lo screenshot seguente mostra un esempio di queste regole:

Screenshot del gruppo di sicurezza di rete

Per altre informazioni sulla creazione di un cluster di elaborazione e un'istanza di calcolo, inclusi i modi per farlo con Python e CLI, consultare i seguenti articoli:

Configurare la creazione di immagini

SI APPLICA A:estensione ML dell'interfaccia della riga di comando di Azure v2 (corrente)

Quando Registro Azure Container è protetto dalla rete virtuale, Azure Machine Learning non può utilizzarlo direttamente per compilare immagini Docker (utilizzate per il training e la distribuzione). Invece, configurare l'area di lavoro per utilizzare il cluster di elaborazione creato in precedenza. Utilizzare i seguenti passaggi per creare un cluster di elaborazione e configurare l'area di lavoro per usarlo per compilare immagini:

  1. Passare a https://shell.azure.com/ per aprire Azure Cloud Shell.

  2. Dalla Cloud Shell, utilizzare il seguente comando per installare la CLI 2.0 per Azure Machine Learning:

    az extension add -n ml

  3. Per aggiornare l'area di lavoro per usare il cluster di elaborazione per compilare immagini Docker. Sostituire docs-ml-rg con il gruppo di risorse. Sostituire docs-ml-ws con l'area di lavoro. Sostituire cpu-cluster con il nome del cluster di elaborazione:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Nota

    È possibile utilizzare lo stesso cluster di elaborazione per eseguire il training di modelli e compilare immagini Docker per l'area di lavoro.

Usare l'area di lavoro

Importante

I passaggi in questo articolo configurano Registro Azure Container protetto dalla rete virtuale. In questa configurazione, non è possibile distribuire un modello su Istanze di Azure Container all'interno della VNet. Non si consiglia l'uso di Istanze di Azure Container con Azure Machine Learning in una rete virtuale. Per maggiori informazioni, vedere Sicurezza dell'ambiente di inferenza (SDK/CLI v1).

Come alternativa a Istanze di Azure Container, provare gli endpoint online gestiti di Azure Machine Learning. Per altre informazioni, vedere Abilitare l'isolamento rete per gli endpoint online gestiti.

A questo punto, è possibile utilizzare lo studio per lavorare interattivamente con i notebook sull'istanza di calcolo e eseguire lavori di training sul cluster di elaborazione. Per un'esercitazione sull'uso dell'istanza di calcolo e del cluster di elaborazione, vedere Esercitazione: Azure Machine Learning in un giorno.

Arrestare l'istanza di calcolo e la jump box

Avviso

Durante l'esecuzione (avviamento), l'istanza di calcolo e la jump box proseguiranno con l'addebito sull'abbonamento. Per evitare costi eccessivi, arrestarli quando non sono in uso.

Il cluster di calcolo si adatta dinamicamente tra il numero minimo e massimo di nodi impostato al momento della sua creazione. Se si sono accettati i valori predefiniti, il minimo è 0, il che effettivamente spegne il cluster quando non è in uso.

Arrestare l'istanza di calcolo

Da Studio, selezionare Calcolo, Cluster di calcolo e quindi selezionare l'istanza di calcolo. Infine, selezionare Arresta nella parte superiore della pagina.

Screenshot del pulsante di arresto per l'istanza di calcolo.

Arrestare la jump box

Dopo la creazione, selezionare la macchina virtuale nel portale di Azure e poi usare il pulsante Arresta. Quando si è pronti ad utilizzarla di nuovo, utilizzare il pulsante Avvia per avviarla.

Screenshot del pulsante di arresto per la macchina virtuale jump box.

È possibile anche configurare la jump box in modo che si arresti automaticamente in un orario specifico. Per fare ciò, selezionare Arresto automatico, Abilita, impostare un orario e quindi selezionare Salva.

Screenshot dell'opzione di arresto automatico.

Pulire le risorse

Se si prevede di continuare a usare l'area di lavoro protetta e altre risorse, saltare questa sezione.

Per eliminare tutte le risorse create in questa esercitazione, seguire i seguenti passaggi:

  1. Nel portale di Azure fare clic su Gruppi di risorse all'estrema sinistra.

  2. Dall'elenco, selezionare il gruppo di risorse creato in questa esercitazione.

  3. Selezionare Elimina gruppo di risorse.

    Screenshot del collegamento elimina gruppo di risorse.

  4. Immetti il nome del gruppo di risorse, quindi seleziona Elimina.

Passaggi successivi

Ora che è disponibile un'area di lavoro sicura e che si può accedere allo studio, imparare come distribuire un modello in un endpoint online con isolamento di rete.

Ora che è disponibile un'area di lavoro sicura, imparare come distribuire un modello.