Delen via

Zelfstudie: Een beveiligde werkruimte maken met een virtueel Azure-netwerk

  • Artikel

In dit artikel leert u hoe u een beveiligde Azure Machine Learning-werkruimte maakt en er verbinding mee maakt. In de stappen in dit artikel wordt een virtueel Azure-netwerk gebruikt om een beveiligingsgrens te maken rond resources die door Azure Machine Learning worden gebruikt.

Belangrijk

U wordt aangeraden het beheerde virtuele netwerk van Azure Machine Learning te gebruiken in plaats van een virtueel Azure-netwerk. Zie Zelfstudie: Een beveiligde werkruimte maken met een beheerd virtueel netwerk voor een versie van deze zelfstudie die gebruikmaakt van een beheerd virtueel netwerk.

In deze zelfstudie voert u de volgende taken uit:

  • Maak een Virtueel Azure-netwerk (VNet) om de communicatie tussen services in het virtuele netwerk te beveiligen.
  • Maak een Azure Storage-account (blob en bestand) achter het VNet. Deze service wordt gebruikt als standaardopslag voor de werkruimte.
  • Maak een Azure Key Vault achter het VNet. Deze service wordt gebruikt voor het opslaan van geheimen die door de werkruimte worden gebruikt. Bijvoorbeeld de beveiligingsgegevens die nodig zijn voor toegang tot het opslagaccount.
  • Een ACR (Azure Container Registry) maken. Deze service wordt gebruikt als opslagplaats voor Docker-installatiekopieën. Docker-installatiekopieën bieden de rekenomgevingen die nodig zijn bij het trainen van een machine learning-model of het implementeren van een getraind model als eindpunt.
  • Een Azure Machine Learning-werkruimte maken
  • Maak een jumpbox. Een jumpbox is een virtuele Azure-machine die zich achter het VNet bevindt. Omdat het VNet de toegang vanaf het openbare internet beperkt, wordt de jumpbox gebruikt als een manier om verbinding te maken met resources achter het VNet.
  • Configureer Azure Machine Learning-studio om achter een VNet te werken. De studio biedt een webinterface voor Azure Machine Learning.
  • Maak een Azure Machine Learning-rekencluster. Een rekencluster wordt gebruikt bij het trainen van machine learning-modellen in de cloud. In configuraties waar Azure Container Registry zich achter het VNet bevindt, wordt het ook gebruikt om Docker-installatiekopieën te bouwen.
  • Maak verbinding met de jumpbox en gebruik de Azure Machine Learning-studio.

Tip

Als u op zoek bent naar een sjabloon die laat zien hoe u een beveiligde werkruimte maakt, raadpleegt u bicep-sjabloon of Terraform-sjabloon.

Nadat u deze zelfstudie hebt voltooid, hebt u de volgende architectuur:

  • Een virtueel Azure-netwerk met drie subnetten:
    • Training: Bevat de Azure Machine Learning-werkruimte, afhankelijkheidsservices en resources die worden gebruikt voor trainingsmodellen.
    • Scoren: Voor de stappen in deze zelfstudie wordt deze niet gebruikt. Als u deze werkruimte echter blijft gebruiken voor andere zelfstudies, raden we u aan dit subnet te gebruiken bij het implementeren van modellen op eindpunten.
    • AzureBastionSubnet: wordt gebruikt door de Azure Bastion-service om clients veilig te verbinden met Azure Virtual Machines.
  • Een Azure Machine Learning-werkruimte die gebruikmaakt van een privé-eindpunt om te communiceren met behulp van het virtuele netwerk.
  • Een Azure Storage-account dat gebruikmaakt van privé-eindpunten om opslagservices zoals blob en bestand te laten communiceren met behulp van het virtuele netwerk.
  • Een Azure Container Registry die gebruikmaakt van een privé-eindpunt, communiceert met behulp van het virtuele netwerk.
  • Azure Bastion, waarmee u uw browser kunt gebruiken om veilig te communiceren met de jumpbox-VM in het virtuele netwerk.
  • Een virtuele Azure-machine waarmee u op afstand verbinding kunt maken met en toegang kunt krijgen tot resources die zijn beveiligd in het virtuele netwerk.
  • Een Azure Machine Learning-rekenproces en een rekencluster.

Tip

De Azure Batch-service die in het diagram wordt vermeld, is een back-endservice die vereist is voor de rekenclusters en rekeninstanties.

Diagram van de uiteindelijke architectuur die in deze zelfstudie is gemaakt.

Vereisten

  • Bekendheid met virtuele Netwerken en IP-netwerken van Azure. Als u niet bekend bent, probeert u de basisprincipes van de computernetwerkmodule .
  • Hoewel de meeste stappen in dit artikel azure portal of de Azure Machine Learning-studio gebruiken, gebruiken sommige stappen de Azure CLI-extensie voor Machine Learning v2.

Een virtueel netwerk maken

Gebruik de volgende stappen om een virtueel netwerk te maken:

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Virtual Network in het zoekveld in. Selecteer de vermelding Virtueel netwerk en selecteer vervolgens Maken.

    Schermopname van het zoekformulier voor resources met virtueel netwerk geselecteerd.

    Schermopname van het formulier voor het maken van een virtueel netwerk.

  2. Selecteer op het tabblad Basis het Azure-abonnement dat u voor deze resource wilt gebruiken en selecteer of maak vervolgens een nieuwe resourcegroep. Voer onder Instantiedetails een beschrijvende naam in voor uw virtuele netwerk en selecteer de regio waarin u het wilt maken.

    Schermopname van het basisformulier voor de configuratie van een virtueel netwerk.

  3. Selecteer Beveiliging. Selecteer deze optie om Azure Bastion in te schakelen. Azure Bastion biedt in een latere stap een veilige manier om toegang te krijgen tot de VM-jumpbox die u in het virtuele netwerk maakt. Gebruik de volgende waarden voor de resterende velden:

    • Bastion-naam: een unieke naam voor dit Bastion-exemplaar
    • Openbaar IP-adres: maak een nieuw openbaar IP-adres.

    Laat de andere velden op de standaardwaarden staan.

    Schermopname van Bastion-configuratie.

  4. Selecteer IP-adressen. De standaardinstellingen moeten er ongeveer uitzien als in de volgende afbeelding:

    Schermopname van het standaard-IP-adresformulier.

    Gebruik de volgende stappen om het IP-adres te configureren en een subnet te configureren voor trainings- en scorebronnen:

    Tip

    Hoewel u één subnet voor alle Azure Machine Learning-resources kunt gebruiken, laten de stappen in dit artikel zien hoe u twee subnetten maakt om de trainings- en scorebronnen te scheiden.

    De werkruimte en andere afhankelijkheidsservices gaan naar het subnet van de training. Ze kunnen nog steeds worden gebruikt door resources in andere subnetten, zoals het scoresubnet.

    1. Bekijk de standaardwaarde voor de IPv4-adresruimte . In de schermopname is de waarde 172.16.0.0/16. De waarde kan voor u anders zijn. Hoewel u een andere waarde kunt gebruiken, zijn de rest van de stappen in deze zelfstudie gebaseerd op de waarde 172.16.0.0/16.

      Waarschuwing

      Gebruik het IP-adresbereik 172.17.0.0/16 niet voor uw VNet. Dit is het standaardsubnetbereik dat wordt gebruikt door het Docker Bridge-netwerk en resulteert in fouten als deze worden gebruikt voor uw VNet. Andere bereiken kunnen ook conflict veroorzaken, afhankelijk van wat je wilt verbinden met het virtuele netwerk. Als je bijvoorbeeld van plan bent om je on-premises netwerk te verbinden met het VNet en je on-premises netwerk ook het bereik 172.16.0.0/16 gebruikt. Uiteindelijk is het aan u om uw netwerkinfrastructuur te plannen.

    2. Selecteer het standaardsubnet en selecteer vervolgens het bewerkingspictogram.

      Schermopname van het selecteren van het bewerkingspictogram van het standaardsubnet.

    3. Wijzig de naam van het subnet in Training. Laat de andere waarden op de standaardinstellingen staan en selecteer Opslaan om de wijzigingen op te slaan.

    4. Als u een subnet wilt maken voor rekenresources die worden gebruikt om uw modellen te scoren , selecteert u + Subnet toevoegen en stelt u de naam en het adresbereik in:

      • Subnetnaam: Scoren
      • Beginadres: 172.16.2.0
      • Subnetgrootte: /24 (256 adressen)

      Schermopname van het scoresubnet.

    5. Selecteer Toevoegen om het subnet toe te voegen.

  5. Selecteer Controleren + maken.

    Schermopname van de knop Beoordelen en maken.

  6. Controleer of de informatie juist is en selecteer Vervolgens Maken.

    Schermopname van de pagina voor het controleren en maken van het virtuele netwerk.

Een opslagaccount maken

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer + Een resource maken in het menu en voer vervolgens opslagaccount in. Selecteer de vermelding opslagaccount en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Voer een unieke opslagaccountnaam in en stel Redundantie in op Lokaal redundante opslag (LRS).

    Schermopname van de basisconfiguratie van het opslagaccount.

  3. Selecteer openbare toegang uitschakelen op het tabblad Netwerken en selecteer vervolgens + Privé-eindpunt toevoegen.

    Schermopname van het formulier om het privénetwerk van de blob toe te voegen.

  4. Gebruik in het formulier Privé-eindpunt maken de volgende waarden:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: blob
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Privé-DNS integratie: Ja
    • Privé-DNS zone: privatelink.blob.core.windows.net

    Selecteer Toevoegen om het privé-eindpunt te maken.

  5. Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.

  6. Zodra het opslagaccount is gemaakt, selecteert u Ga naar de resource:

    Schermopname van de knop Naar nieuwe opslagresource gaan.

  7. Selecteer in het linkernavigatievenster Netwerken op het tabblad Privé-eindpuntverbindingen en selecteer vervolgens + Privé-eindpunt:

    Notitie

    Terwijl u in de vorige stappen een privé-eindpunt voor Blob Storage hebt gemaakt, moet u er ook een maken voor File Storage.

    Schermopname van het netwerkformulier van het opslagaccount.

  8. Gebruik in het formulier Een privé-eindpunt maken hetzelfde abonnement, dezelfde resourcegroep en regio die u hebt gebruikt voor eerdere resources. Voer een unieke naam in.

    Schermopname van het basisformulier bij het toevoegen van het privé-eindpunt van het bestand.

  9. Selecteer Volgende: Resource en stel vervolgens doelsubresource in op bestand.

    Schermopname van het resourceformulier bij het selecteren van een subresource van 'bestand'.

  10. Selecteer Volgende: Virtual Network en gebruik vervolgens de volgende waarden:

    • Virtueel netwerk: het netwerk dat u eerder hebt gemaakt
    • Subnet: Training

    Schermopname van het configuratieformulier bij het toevoegen van het privé-eindpunt van het bestand.

  11. Ga door de tabbladen met de standaardinstellingen totdat u Review + Create bereikt. Controleer of de informatie juist is en selecteer Vervolgens Maken.

Tip

Als u van plan bent een batch-eindpunt of een Azure Machine Learning-pijplijn te gebruiken die gebruikmaakt van een ParallelRunStep, is het ook vereist om privé-eindpunten doelwachtrij en tabelsubbronnen te configureren. ParallelRunStep maakt intern gebruik van wachtrij en tabel voor taakplanning en verzending.

Maak een sleutelkluis.

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Key Vault in. Selecteer de sleutelkluisvermelding en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Voer een unieke sleutelkluisnaam in. Laat de andere velden op de standaardwaarde staan.

    Schermopname van het basisformulier bij het maken van een nieuwe sleutelkluis.

  3. Schakel op het tabblad Netwerken deselecteer openbare toegang inschakelen en selecteer vervolgens + maak een privé-eindpunt.

    Schermopname van het netwerkformulier bij het toevoegen van een privé-eindpunt voor de sleutelkluis.

  4. Gebruik in het formulier Privé-eindpunt maken de volgende waarden:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: Kluis
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Integratie van Privé-DNS inschakelen: Ja
    • Privé-DNS zone: selecteer de resourcegroep die het virtuele netwerk en de sleutelkluis bevat.

    Selecteer Toevoegen om het privé-eindpunt te maken.

    Schermopname van het configuratieformulier voor het privé-eindpunt van de sleutelkluis.

  5. Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.

Een containerregister maken

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Container Registry in. Selecteer de containerregistervermelding en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de locatie die u eerder hebt gebruikt voor het virtuele netwerk. Voer een unieke registernaam in en stel de SKU in op Premium.

    Schermopname van het basisformulier bij het maken van een containerregister.

  3. Selecteer op het tabblad Netwerken het privé-eindpunt en selecteer vervolgens + Toevoegen.

    Schermopname van het netwerkformulier bij het toevoegen van een privé-eindpunt voor een containerregister.

  4. Gebruik in het formulier Privé-eindpunt maken de volgende waarden:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: register
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Privé-DNS integratie: Ja
    • Resourcegroep: Selecteer de resourcegroep die het virtuele netwerk en het containerregister bevat.

    Selecteer Toevoegen om het privé-eindpunt te maken.

    Schermopname van het configuratieformulier voor het privé-eindpunt van het containerregister.

  5. Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.

  6. Nadat het containerregister is gemaakt, selecteert u Ga naar de resource.

    Schermopname van de knop Ga naar resource.

  7. Selecteer toegangssleutels aan de linkerkant van de pagina en schakel vervolgens de gebruiker Beheerder in. Deze instelling is vereist bij het gebruik van Azure Container Registry in een virtueel netwerk met Azure Machine Learning.

    Schermopname van het formulier toegangssleutels voor het containerregister, waarbij de optie 'gebruiker beheerder' is ingeschakeld.

Een werkruimte maken

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Machine Learning in. Selecteer de machine learning-vermelding en selecteer vervolgens Maken.

    Schermopname van de pagina Maken voor Azure Machine Learning.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Gebruik de volgende waarden voor de andere velden:

    • Naam: Een unieke naam voor uw werkruimte.
    • Opslagaccount: selecteer het opslagaccount dat u eerder hebt gemaakt.
    • Sleutelkluis: selecteer de sleutelkluis die u eerder hebt gemaakt.
    • Application Insights: Gebruik de standaardwaarde.
    • Containerregister: gebruik het containerregister dat u eerder hebt gemaakt.

    Schermopname van het configuratieformulier voor de basiswerkruimte.

  3. Selecteer Privé met uitgaand internet op het tabblad Netwerken. Selecteer + Toevoegen in de sectie Binnenkomende toegang voor werkruimte.

  4. Gebruik in het formulier Privé-eindpunt maken de volgende waarden:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: amlworkspace
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Privé-DNS integratie: Ja
    • Privé-DNS zone: laat de twee privé-DNS-zones staan op de standaardwaarden van privatelink.api.azureml.ms en privatelink.notebooks.azure.net.

    Selecteer OK om het privé-eindpunt te maken.

    Schermopname van het configuratieformulier voor het privénetwerk van de werkruimte.

  5. Selecteer Op het tabblad Netwerken in de sectie Uitgaande toegang voor werkruimte mijn eigen virtuele netwerk gebruiken.

  6. Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.

  7. Zodra de werkruimte is gemaakt, selecteert u Ga naar de resource.

  8. Selecteer in de sectie Instellingen aan de linkerkant netwerken, privé-eindpuntverbindingen en selecteer vervolgens de koppeling in de kolom Privé-eindpunt :

    Schermopname van de privé-eindpuntverbindingen voor de werkruimte.

  9. Zodra de gegevens van het privé-eindpunt worden weergegeven, selecteert u de DNS-configuratie links van de pagina. Sla het IP-adres en de FQDN-gegevens (Fully Qualified Domain Name) op deze pagina op.

    schermopname van de IP- en FQDN-vermeldingen voor de werkruimte.

Belangrijk

Er zijn nog enkele configuratiestappen nodig voordat u de werkruimte volledig kunt gebruiken. Hiervoor moet u echter verbinding maken met de werkruimte.

Studio inschakelen

Azure Machine Learning-studio is een webtoepassing waarmee u uw werkruimte eenvoudig kunt beheren. Er is echter een extra configuratie nodig voordat deze kan worden gebruikt met resources die zijn beveiligd in een virtueel netwerk. Gebruik de volgende stappen om studio in te schakelen:

  1. Wanneer u een Azure Storage-account gebruikt dat een privé-eindpunt heeft, voegt u de service-principal voor de werkruimte toe als lezer voor de privé-eindpunten van de opslag. Selecteer uw opslagaccount in Azure Portal en selecteer Vervolgens Netwerken. Selecteer vervolgens Privé-eindpuntverbindingen.

    Schermopname van privé-eindpuntverbindingen voor opslag.

  2. Gebruik de volgende stappen voor elk privé-eindpunt dat wordt vermeld:

    1. Selecteer de koppeling in de kolom Privé-eindpunt .

      Schermopname van de eindpuntkoppelingen in de kolom met privé-eindpunten.

    2. Selecteer Toegangsbeheer (IAM) aan de linkerzijde.

    3. Selecteer + Toevoegen en voeg vervolgens roltoewijzing toe (preview).

      De pagina Toegangsbeheer (IAM) met het menu Roltoewijzing toevoegen geopend.

    4. Selecteer de lezer op het tabblad Rol.

      Pagina Roltoewijzing toevoegen met het tabblad Rol geselecteerd.

    5. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal in het gebied Toegang toewijzen en selecteer vervolgens + Leden selecteren. Voer in het dialoogvenster Leden selecteren de naam in als uw Azure Machine Learning-werkruimte. Selecteer de service-principal voor de werkruimte en gebruik vervolgens de knop Selecteren .

    6. Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.

Azure Monitor en Application Insights beveiligen

Notitie

Zie de volgende koppelingen voor meer informatie over het beveiligen van Azure Monitor en Application Insights:

  1. Selecteer In Azure Portal de optie Start en zoek vervolgens naar Private Link. Selecteer het resultaat van het Private Link-bereik van Azure Monitor en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis hetzelfde abonnement, dezelfde resourcegroep en dezelfde resourcegroepregio als uw Azure Machine Learning-werkruimte. Voer een naam in voor het exemplaar en selecteer Vervolgens Beoordelen en maken. Selecteer Maken om het exemplaar te maken.

  3. Zodra het Azure Monitor Private Link-bereikexemplaren zijn gemaakt, selecteert u het exemplaar in Azure Portal. Selecteer Azure Monitor-resources in de sectie Configureren en selecteer vervolgens + Toevoegen.

    Schermopname van de knop Toevoegen.

  4. Gebruik de filters in Select a scope om het Application Insights-exemplaar voor uw Azure Machine Learning-werkruimte te selecteren. Selecteer Toepassen om het exemplaar toe te voegen.

  5. Selecteer in de sectie Configureren verbindingen met privé-eindpunten en selecteer vervolgens + Privé-eindpunt.

    Schermopname van de knop Privé-eindpunt toevoegen.

  6. Selecteer hetzelfde abonnement, dezelfde resourcegroep en dezelfde regio die uw virtuele netwerk bevat. Selecteer Volgende: Resource.

    Schermopname van de basisbeginselen van azure Monitor-privé-eindpunten.

  7. Selecteer Microsoft.insights/privateLinkScopes dit als het resourcetype. Selecteer het Private Link-bereik dat u eerder hebt gemaakt als de resource. Selecteer azuremonitor deze optie als de doelsubresource. Selecteer ten slotte Volgende: Virtueel netwerk om door te gaan.

    Schermopname van de privé-eindpuntbronnen van Azure Monitor.

  8. Selecteer het virtuele netwerk dat u eerder hebt gemaakt en het subnet Training . Selecteer Volgende totdat u bij Beoordelen + Maken aankomt. Selecteer Maken om het privé-eindpunt te maken.

    Schermopname van het privé-eindpuntnetwerk van Azure Monitor.

  9. Nadat het privé-eindpunt is gemaakt, gaat u terug naar de Azure Monitor Private Link Scope-resource in de portal. Selecteer Access-modi in de sectie Configureren. Selecteer Alleen privé voor opnametoegangsmodus en querytoegangsmodus en selecteer Vervolgens Opslaan.

    Schermopname van de toegangsmodi voor privékoppelingsbereiken.

Verbinding maken met de werkruimte

Er zijn verschillende manieren waarop u verbinding kunt maken met de beveiligde werkruimte. In de stappen in dit artikel wordt een jumpbox gebruikt. Dit is een virtuele machine in het virtuele netwerk. U kunt er verbinding mee maken via uw webbrowser en Azure Bastion. De volgende tabel bevat verschillende andere manieren waarop u verbinding kunt maken met de beveiligde werkruimte:

Wijze Description
Azure VPN-gateway On-premises netwerken verbinden met het virtuele netwerk via een privéverbinding. Er wordt verbinding gemaakt via het openbare internet.
ExpressRoute On-premises netwerken verbinden met de cloud via een privéverbinding. Verbinding wordt gemaakt met behulp van een connectiviteitsprovider.

Belangrijk

Wanneer u een VPN-gateway of ExpressRoute gebruikt, moet u plannen hoe naamomzetting werkt tussen uw on-premises resources en die in het VNet. Zie Een aangepaste DNS-server gebruiken voor meer informatie.

Een jumpbox maken (VM)

Gebruik de volgende stappen om een virtuele Azure-machine te maken die u als jumpbox wilt gebruiken. Met Azure Bastion kunt u verbinding maken met het vm-bureaublad via uw browser. Vanuit het VM-bureaublad kunt u vervolgens de browser op de VIRTUELE machine gebruiken om verbinding te maken met resources in het virtuele netwerk, zoals Azure Machine Learning-studio. U kunt ook ontwikkelhulpprogramma's installeren op de VIRTUELE machine.

Tip

Met de volgende stappen maakt u een virtuele Windows 11-onderneming. Afhankelijk van uw vereisten wilt u mogelijk een andere VM-installatiekopieën selecteren. De bedrijfsinstallatiekopieën van Windows 11 (of 10) zijn handig als u de VIRTUELE machine wilt toevoegen aan het domein van uw organisatie.

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Virtuele machine in. Selecteer de vermelding virtuele machine en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Geef waarden op voor de volgende velden:

    • Naam van virtuele machine: een unieke naam voor de virtuele machine.

    • Gebruikersnaam: de gebruikersnaam die u gebruikt om u aan te melden bij de virtuele machine.

    • Wachtwoord: het wachtwoord voor de gebruikersnaam.

    • Beveiligingstype: Standaard.

    • Afbeelding: Windows 11 Enterprise.

      Tip

      Als Windows 11 Enterprise niet in de lijst staat voor de selectie van installatiekopieën, gebruikt u Alle images_weergeven. Zoek de Windows 11-vermelding van Microsoft en gebruik de vervolgkeuzelijst Selecteren om de bedrijfsinstallatiekopieën te selecteren.

    U kunt andere velden op de standaardwaarden laten staan.

    Schermopname van de basisconfiguratie van de virtuele machine.

  3. Selecteer Netwerken en selecteer vervolgens het virtuele netwerk dat u eerder hebt gemaakt. Gebruik de volgende informatie om de resterende velden in te stellen:

    • Selecteer het subnet Training .
    • Stel het openbare IP-adres in op Geen.
    • Laat de andere velden op de standaardwaarde staan.

    Schermopname van de netwerkconfiguratie van de virtuele machine.

  4. Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.

Verbinding maken met de jumpbox

  1. Zodra de virtuele machine is gemaakt, selecteert u Ga naar de resource.

  2. Selecteer bovenaan de pagina Verbinding maken en vervolgens verbinding maken via Bastion.

    Tip

    Azure Bastion maakt gebruik van poort 443 voor binnenkomende communicatie. Als u een firewall hebt die uitgaand verkeer beperkt, moet u ervoor zorgen dat verkeer op poort 443 naar de Azure Bastion-service wordt toegestaan. Zie Wroking met NSG's en Azure Bastion voor meer informatie.

    Schermopname van de lijst Verbinding maken, met Bastion geselecteerd.

  3. Geef uw verificatiegegevens op voor de virtuele machine en er wordt een verbinding tot stand gebracht in uw browser.

Een rekencluster en -exemplaar maken

Een rekenproces biedt een Jupyter Notebook-ervaring op een gedeelde rekenresource die is gekoppeld aan uw werkruimte.

  1. Open vanuit een Azure Bastion-verbinding met de jumpbox de Microsoft Edge-browser op het externe bureaublad.

  2. Ga in de sessie van de externe browser naar https://ml.azure.com. Wanneer u hierom wordt gevraagd, moet u zich verifiëren met uw Microsoft Entra-account.

  3. Selecteer in het scherm Welkom bij Studio! de Machine Learning-werkruimte die u eerder hebt gemaakt en selecteer vervolgens Aan de slag.

    Tip

    Als uw Microsoft Entra-account toegang heeft tot meerdere abonnementen of mappen, gebruikt u de vervolgkeuzelijst Directory en Abonnement om de map en het abonnement te selecteren die de werkruimte bevat.

    Schermopname van het formulier Machine Learning-werkruimte selecteren.

  4. Selecteer in studio Compute- en Compute-clusters en vervolgens + Nieuw.

    Schermopname van de pagina Rekenclusters, met de knop Nieuw geselecteerd.

  5. Selecteer in het dialoogvenster Virtuele machine de optie Volgende om de standaardconfiguratie van de virtuele machine te accepteren.

    Schermopname van de configuratie van de virtuele machine van het rekencluster.

  6. Voer in het dialoogvenster Instellingen configureren cpu-cluster in als rekennaam. Stel het subnet in op Training en selecteer vervolgens Maken om het cluster te maken.

    Tip

    Rekenclusters schalen de knooppunten in het cluster dynamisch naar behoefte. We raden u aan om het minimale aantal knooppunten op 0 te laten om de kosten te verlagen wanneer het cluster niet in gebruik is.

    Schermopname van het formulier Instellingen configureren.

  7. Selecteer in Studio Compute, Compute-exemplaar en vervolgens + Nieuw.

    Schermopname van de pagina Rekeninstanties, met de knop Nieuw geselecteerd.

  8. Voer in De vereiste instellingen een unieke computernaam in en selecteer Volgende.

    Schermopname van de configuratie van de virtuele machine van het rekenexemplaren.

  9. Ga door met het selecteren van Volgende totdat u bij het dialoogvenster Beveiliging aankomt, selecteer het virtuele netwerk en stel het subnet in op Training. Selecteer Controleren en maken en selecteer vervolgens Maken.

    Schermopname van de geavanceerde instellingen.

Tip

Wanneer u een rekencluster of rekenproces maakt, voegt Azure Machine Learning dynamisch een netwerkbeveiligingsgroep (NSG) toe. Deze NSG bevat de volgende regels, die specifiek zijn voor het rekencluster en rekenproces:

  • Binnenkomend TCP-verkeer toestaan op poorten 29876-29877 vanaf de BatchNodeManagement servicetag.
  • Binnenkomend TCP-verkeer toestaan op poort 44224 vanuit de AzureMachineLearning servicetag.

In de volgende schermopname ziet u een voorbeeld van deze regels:

Schermopname van NSG

Zie de volgende artikelen voor meer informatie over het maken van een rekencluster en rekencluster, waaronder hoe u dit doet met Python en de CLI:

Builds van installatiekopieën configureren

VAN TOEPASSING OP: Azure CLI ml-extensie v2 (huidige)

Wanneer Azure Container Registry zich achter het virtuele netwerk bevindt, kan Azure Machine Learning het niet gebruiken om rechtstreeks Docker-installatiekopieën te bouwen (gebruikt voor training en implementatie). Configureer in plaats daarvan de werkruimte voor het gebruik van het rekencluster dat u eerder hebt gemaakt. Gebruik de volgende stappen om een rekencluster te maken en de werkruimte zo te configureren dat deze wordt gebruikt om installatiekopieën te bouwen:

  1. Ga naar https://shell.azure.com/ de Azure Cloud Shell om de Azure Cloud Shell te openen.

  2. Gebruik vanuit Cloud Shell de volgende opdracht om de 2.0 CLI voor Azure Machine Learning te installeren:

    az extension add -n ml

  3. Als u de werkruimte wilt bijwerken om het rekencluster te gebruiken om Docker-installatiekopieën te bouwen. Vervang docs-ml-rg door uw resourcegroep. Vervang docs-ml-ws door uw werkruimte. Vervang door cpu-cluster de naam van het rekencluster:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Notitie

    U kunt hetzelfde rekencluster gebruiken om modellen te trainen en Docker-installatiekopieën voor de werkruimte te bouwen.

De werkruimte gebruiken

Belangrijk

In de stappen in dit artikel wordt Azure Container Registry achter het VNet geplaatst. In deze configuratie kunt u geen model implementeren in Azure Container Instances in het VNet. We raden u niet aan Azure Container Instances te gebruiken met Azure Machine Learning in een virtueel netwerk. Zie De deductieomgeving (SDK/CLI v1) beveiligen voor meer informatie.

Als alternatief voor Azure Container Instances kunt u azure Machine Learning beheerde online-eindpunten proberen. Zie Netwerkisolatie inschakelen voor beheerde online-eindpunten voor meer informatie.

Op dit moment kunt u de studio gebruiken om interactief te werken met notebooks in het rekenproces en trainingstaken uit te voeren op het rekencluster. Zie Zelfstudie: Azure Machine Learning in een dag voor een zelfstudie over het gebruik van het rekenproces en het rekencluster.

Rekenproces stoppen en jumpbox

Waarschuwing

Terwijl het wordt uitgevoerd (gestart), blijven de rekeninstantie en jumpbox uw abonnement in rekening brengen. Als u overtollige kosten wilt voorkomen, moet u ze stoppen wanneer ze niet in gebruik zijn.

Het rekencluster wordt dynamisch geschaald tussen het minimum- en maximumaantal knooppunten dat is ingesteld toen u het maakte. Als u de standaardwaarden hebt geaccepteerd, is het minimum 0, waardoor het cluster effectief wordt uitgeschakeld wanneer het niet wordt gebruikt.

Het rekenproces stoppen

Selecteer in studio Compute- en Compute-clusters en selecteer vervolgens het rekenproces. Selecteer ten slotte Stoppen boven aan de pagina.

Schermopname van de stopknop voor het rekenproces.

Stop de jump box

Nadat u de virtuele machine in Azure Portal hebt gemaakt, selecteert u de virtuele machine en gebruikt u vervolgens de knop Stoppen . Wanneer u klaar bent om het opnieuw te gebruiken, gebruikt u de knop Start om deze te starten.

Schermopname van de stopknop voor de jump box virtual machine.

U kunt de jumpbox ook zo configureren dat deze op een bepaald moment automatisch wordt afgesloten. Hiervoor selecteert u Automatisch afsluiten, Inschakelen, een tijd instellen en vervolgens Opslaan selecteren.

Schermopname van de optie voor automatisch afsluiten.

Resources opschonen

Als u van plan bent om de beveiligde werkruimte en andere resources te blijven gebruiken, slaat u deze sectie over.

Als u alle resources wilt verwijderen die in deze zelfstudie zijn gemaakt, gebruikt u de volgende stappen:

  1. Selecteer Resourcegroepen links in Azure Portal.

  2. Selecteer in de lijst de resourcegroep die u in deze zelfstudie hebt gemaakt.

  3. Selecteer Resourcegroep verwijderen.

    Schermopname van de koppeling resourcegroep verwijderen.

  4. Voer de naam van de resourcegroep in en selecteer Vervolgens Verwijderen.

Volgende stappen

Nu u een beveiligde werkruimte hebt en toegang hebt tot Studio, leert u hoe u een model implementeert op een online-eindpunt met netwerkisolatie.

Nu u een beveiligde werkruimte hebt, leert u hoe u een model implementeert.