Udostępnij za pośrednictwem

Samouczek: jak utworzyć bezpieczny obszar roboczy za pomocą usługi Azure Virtual Network

  • Artykuł

Z tego artykułu dowiesz się, jak utworzyć bezpieczny obszar roboczy usługi Azure Machine Learning i nawiązać z nią połączenie. Kroki opisane w tym artykule używają sieci wirtualnej platformy Azure do utworzenia granicy zabezpieczeń wokół zasobów używanych przez usługę Azure Machine Learning.

Ważne

Zalecamy używanie zarządzanej sieci wirtualnej usługi Azure Machine Learning zamiast sieci wirtualnej platformy Azure. Aby zapoznać się z wersją tego samouczka korzystającą z zarządzanej sieci wirtualnej, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego z zarządzaną siecią wirtualną.

W tym samouczku wykonasz następujące zadania:

  • Utwórz sieć wirtualną platformy Azure w celu zabezpieczenia komunikacji między usługami w sieci wirtualnej.
  • Utwórz konto usługi Azure Storage (obiekt blob i plik) za siecią wirtualną. Ta usługa jest używana jako domyślny magazyn dla obszaru roboczego.
  • Utwórz usługę Azure Key Vault za siecią wirtualną. Ta usługa służy do przechowywania wpisów tajnych używanych przez obszar roboczy. Na przykład informacje o zabezpieczeniach potrzebne do uzyskania dostępu do konta magazynu.
  • Tworzenie rejestru Azure Container Registry (ACR). Ta usługa jest używana jako repozytorium obrazów platformy Docker. Obrazy platformy Docker udostępniają środowiska obliczeniowe potrzebne podczas trenowania modelu uczenia maszynowego lub wdrażania wytrenowanego modelu jako punktu końcowego.
  • Tworzenie obszaru roboczego usługi Azure Machine Learning.
  • Utwórz pole przesiadkowe. Serwer przesiadkowy to maszyna wirtualna platformy Azure, która znajduje się za siecią wirtualną. Ponieważ sieć wirtualna ogranicza dostęp z publicznego Internetu, serwer przesiadkowy jest używany jako sposób łączenia się z zasobami za siecią wirtualną.
  • Skonfiguruj program Azure Machine Learning Studio do pracy za siecią wirtualną. Program Studio udostępnia interfejs internetowy dla usługi Azure Machine Learning.
  • Tworzenie klastra obliczeniowego usługi Azure Machine Learning. Klaster obliczeniowy jest używany podczas trenowania modeli uczenia maszynowego w chmurze. W konfiguracjach, w których usługa Azure Container Registry znajduje się za siecią wirtualną, jest również używana do tworzenia obrazów platformy Docker.
  • Połącz się z serwerem przesiadkowym i użyj programu Azure Machine Learning Studio.

Napiwek

Jeśli szukasz szablonu, który pokazuje, jak utworzyć bezpieczny obszar roboczy, zobacz Szablon Bicep lub Szablon narzędzia Terraform.

Po ukończeniu tego samouczka będziesz mieć następującą architekturę:

  • Sieć wirtualna platformy Azure zawierająca trzy podsieci:
    • Szkolenie: zawiera obszar roboczy usługi Azure Machine Learning, usługi zależności i zasoby używane do trenowania modeli.
    • Ocenianie: w przypadku kroków opisanych w tym samouczku nie jest on używany. Jeśli jednak nadal używasz tego obszaru roboczego w innych samouczkach, zalecamy użycie tej podsieci podczas wdrażania modeli w punktach końcowych.
    • AzureBastionSubnet: używane przez usługę Azure Bastion do bezpiecznego łączenia klientów z usługą Azure Virtual Machines.
  • Obszar roboczy usługi Azure Machine Learning, który używa prywatnego punktu końcowego do komunikowania się przy użyciu sieci wirtualnej.
  • Konto usługi Azure Storage, które używa prywatnych punktów końcowych, aby umożliwić usługom magazynu, takim jak obiekt blob i plik, komunikowanie się przy użyciu sieci wirtualnej.
  • Usługa Azure Container Registry korzystająca z prywatnego punktu końcowego komunikuje się przy użyciu sieci wirtualnej.
  • Usługa Azure Bastion, która umożliwia bezpieczne komunikowanie się z maszyną wirtualną serwera przesiadkowego w sieci wirtualnej przy użyciu przeglądarki.
  • Maszyna wirtualna platformy Azure, z którą można zdalnie łączyć się z zasobami zabezpieczonymi w sieci wirtualnej i uzyskiwać do niej dostęp.
  • Wystąpienie obliczeniowe i klaster obliczeniowy usługi Azure Machine Learning.

Napiwek

Usługa Azure Batch wymieniona na diagramie jest usługą zaplecza wymaganą przez klastry obliczeniowe i wystąpienia obliczeniowe.

Diagram ostatecznej architektury utworzonej w ramach tego samouczka.

Wymagania wstępne

  • Znajomość sieci wirtualnych platformy Azure i sieci IP. Jeśli nie znasz, wypróbuj moduł Podstawy sieci komputerowej.
  • Większość kroków opisanych w tym artykule korzysta z witryny Azure Portal lub usługi Azure Machine Learning Studio, ale niektóre kroki korzystają z rozszerzenia interfejsu wiersza polecenia platformy Azure dla usługi Machine Learning w wersji 2.

Tworzenie sieci wirtualnej

Aby utworzyć sieć wirtualną, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Sieć wirtualna w polu wyszukiwania. Wybierz wpis Sieć wirtualna, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający formularz wyszukiwania zasobów z wybraną siecią wirtualną.

    Zrzut ekranu przedstawiający formularz tworzenia sieci wirtualnej.

  2. Na karcie Podstawowe wybierz subskrypcję platformy Azure do użycia dla tego zasobu, a następnie wybierz lub utwórz nową grupę zasobów. W obszarze Szczegóły wystąpienia wprowadź przyjazną nazwę sieci wirtualnej i wybierz region , w którym ma zostać utworzona.

    Zrzut ekranu przedstawiający podstawowy formularz konfiguracji sieci wirtualnej.

  3. Kliknij Zabezpieczenia. Wybierz pozycję Włącz usługę Azure Bastion. Usługa Azure Bastion zapewnia bezpieczny sposób uzyskiwania dostępu do serwera przesiadkowego maszyny wirtualnej utworzonego wewnątrz sieci wirtualnej w późniejszym kroku. Użyj następujących wartości dla pozostałych pól:

    • Nazwa bastionu: unikatowa nazwa dla tego wystąpienia usługi Bastion
    • Publiczny adres IP: utwórz nowy publiczny adres IP.

    Pozostaw wartości domyślne pozostałych pól.

    Zrzut ekranu przedstawiający konfigurację usługi Bastion.

  4. Wybierz pozycję Adresy IP. Ustawienia domyślne powinny być podobne do poniższej ilustracji:

    Zrzut ekranu przedstawiający domyślny formularz Adres IP.

    Wykonaj następujące kroki, aby skonfigurować adres IP i skonfigurować podsieć na potrzeby trenowania i oceniania zasobów:

    Napiwek

    Chociaż można użyć jednej podsieci dla wszystkich zasobów usługi Azure Machine Learning, kroki opisane w tym artykule pokazują, jak utworzyć dwie podsieci w celu oddzielenia zasobów trenowania i oceniania.

    Obszar roboczy i inne usługi zależności zostaną wprowadzone do podsieci szkoleniowej. Mogą być one nadal używane przez zasoby w innych podsieciach, takich jak podsieć oceniania.

    1. Przyjrzyj się domyślnej wartości przestrzeni adresowej IPv4. Na zrzucie ekranu wartość to 172.16.0.0/16. Wartość może być inna dla Ciebie. Chociaż możesz użyć innej wartości, pozostałe kroki opisane w tym samouczku są oparte na wartości 172.16.0.0/16.

      Ostrzeżenie

      Nie używaj zakresu adresów IP 172.17.0.0/16 dla sieci wirtualnej. Jest to domyślny zakres podsieci używany przez sieć mostka platformy Docker i spowoduje błędy w przypadku użycia dla sieci wirtualnej. Inne zakresy mogą również powodować konflikt w zależności od tego, co chcesz połączyć z siecią wirtualną. Jeśli na przykład planujesz połączenie sieci lokalnej z siecią wirtualną i sieć lokalna również używa zakresu 172.16.0.0/16. Ostatecznie należy zaplanować infrastrukturę sieci.

    2. Wybierz podsieć Domyślna, a następnie wybierz ikonę edycji.

      Zrzut ekranu przedstawiający wybieranie ikony edycji domyślnej podsieci.

    3. Zmień nazwę podsieci na Trenowanie. Pozostaw inne wartości w ustawieniach domyślnych, a następnie wybierz pozycję Zapisz , aby zapisać zmiany.

    4. Aby utworzyć podsieć dla zasobów obliczeniowych używanych do oceniania modeli, wybierz pozycję + Dodaj podsieć i ustaw nazwę i zakres adresów:

      • Nazwa podsieci: Ocenianie
      • Adres początkowy: 172.16.2.0
      • Rozmiar podsieci: /24 (256 adresów)

      Zrzut ekranu przedstawiający podsieć oceniania.

    5. Wybierz pozycję Dodaj , aby dodać podsieć.

  5. Wybierz pozycję Przejrzyj i utwórz.

    Zrzut ekranu przedstawiający przycisk Przejrzyj i utwórz.

  6. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę przeglądania i tworzenia sieci wirtualnej.

Tworzenie konta magazynu

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź pozycję Konto magazynu. Wybierz wpis Konto magazynu, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i region, który wcześniej był używany dla sieci wirtualnej. Wprowadź unikatową nazwę konta magazynu i ustaw opcję Nadmiarowość na Magazyn lokalnie nadmiarowy (LRS).

    Zrzut ekranu przedstawiający podstawową konfigurację konta magazynu.

  3. Na karcie Sieć wybierz pozycję Wyłącz dostęp publiczny, a następnie wybierz pozycję + Dodaj prywatny punkt końcowy.

    Zrzut ekranu przedstawiający formularz umożliwiający dodanie sieci prywatnej obiektu blob.

  4. W formularzu Tworzenie prywatnego punktu końcowego użyj następujących wartości:

    • Subskrypcja: ta sama subskrypcja platformy Azure, która zawiera poprzednie zasoby.
    • Grupa zasobów: ta sama grupa zasobów platformy Azure zawierająca poprzednie zasoby.
    • Lokalizacja: ten sam region świadczenia usługi Azure, który zawiera poprzednie zasoby.
    • Nazwa: unikatowa nazwa dla tego prywatnego punktu końcowego.
    • Docelowy zasób podrzędny: obiekt blob
    • Sieć wirtualna: utworzona wcześniej sieć wirtualna.
    • Podsieć: Szkolenie (172.16.0.0/24)
    • integracja Prywatna strefa DNS: Tak
    • strefa Prywatna strefa DNS: privatelink.blob.core.windows.net

    Wybierz pozycję Dodaj , aby utworzyć prywatny punkt końcowy.

  5. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

  6. Po utworzeniu konta magazynu wybierz pozycję Przejdź do zasobu:

    Zrzut ekranu przedstawiający przycisk Przejdź do nowego zasobu magazynu.

  7. W obszarze nawigacji po lewej stronie wybierz pozycję Sieć na karcie Połączenia prywatnego punktu końcowego, a następnie wybierz pozycję + Prywatny punkt końcowy:

    Uwaga

    Podczas tworzenia prywatnego punktu końcowego dla usługi Blob Storage w poprzednich krokach należy również utworzyć go dla magazynu plików.

    Zrzut ekranu przedstawiający formularz sieciowy konta magazynu.

  8. W formularzu Tworzenie prywatnego punktu końcowego użyj tej samej subskrypcji, grupy zasobów i regionu , które zostały użyte dla poprzednich zasobów. Wprowadź unikatową nazwę.

    Zrzut ekranu przedstawiający formularz podstaw podczas dodawania prywatnego punktu końcowego pliku.

  9. Wybierz pozycję Dalej: Zasób, a następnie ustaw docelowy zasób podrzędny na plik.

    Zrzut ekranu przedstawiający formularz zasobu podczas wybierania podźródła

  10. Wybierz pozycję Dalej: Sieć wirtualna, a następnie użyj następujących wartości:

    • Sieć wirtualna: sieć utworzona wcześniej
    • Podsieć: trenowanie

    Zrzut ekranu przedstawiający formularz konfiguracji podczas dodawania prywatnego punktu końcowego pliku.

  11. Przejdź przez karty wybierające wartości domyślne, dopóki nie osiągniesz pozycji Przeglądanie i tworzenie. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

Napiwek

Jeśli planujesz użyć punktu końcowego wsadowego lub potoku usługi Azure Machine Learning korzystającego z elementu ParallelRunStep, konieczne jest również skonfigurowanie kolejki docelowej prywatnych punktów końcowych i zasobów podrzędnych tabeli. Funkcja ParallelRunStep wewnętrznie używa kolejki i tabeli do planowania i wysyłania zadań.

Tworzenie magazynu kluczy

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Key Vault. Wybierz wpis Key Vault, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i region, który wcześniej był używany dla sieci wirtualnej. Wprowadź unikatową nazwę magazynu kluczy. Pozostaw inne pola na wartości domyślnej.

    Zrzut ekranu przedstawiający formularz podstaw podczas tworzenia nowego magazynu kluczy.

  3. Na karcie Sieć usuń zaznaczenie pozycji Włącz dostęp publiczny, a następnie wybierz pozycję + Utwórz prywatny punkt końcowy.

    Zrzut ekranu przedstawiający formularz sieci podczas dodawania prywatnego punktu końcowego dla magazynu kluczy.

  4. W formularzu Tworzenie prywatnego punktu końcowego użyj następujących wartości:

    • Subskrypcja: ta sama subskrypcja platformy Azure, która zawiera poprzednie zasoby.
    • Grupa zasobów: ta sama grupa zasobów platformy Azure zawierająca poprzednie zasoby.
    • Lokalizacja: ten sam region świadczenia usługi Azure, który zawiera poprzednie zasoby.
    • Nazwa: unikatowa nazwa dla tego prywatnego punktu końcowego.
    • Docelowy zasób podrzędny: magazyn
    • Sieć wirtualna: utworzona wcześniej sieć wirtualna.
    • Podsieć: Szkolenie (172.16.0.0/24)
    • Włącz integrację Prywatna strefa DNS: Tak
    • Prywatna strefa DNS Strefa: wybierz grupę zasobów zawierającą sieć wirtualną i magazyn kluczy.

    Wybierz pozycję Dodaj , aby utworzyć prywatny punkt końcowy.

    Zrzut ekranu przedstawiający formularz konfiguracji prywatnego punktu końcowego magazynu kluczy.

  5. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

Tworzenie rejestru kontenerów

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Container Registry. Wybierz wpis Container Registry, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i lokalizację, która była wcześniej używana dla sieci wirtualnej. Wprowadź unikatową nazwę rejestru i ustaw jednostkę SKU na Premium.

    Zrzut ekranu przedstawiający formularz podstaw podczas tworzenia rejestru kontenerów.

  3. Na karcie Sieć wybierz pozycję Prywatny punkt końcowy, a następnie wybierz pozycję + Dodaj.

    Zrzut ekranu przedstawiający formularz sieci podczas dodawania prywatnego punktu końcowego rejestru kontenerów.

  4. W formularzu Tworzenie prywatnego punktu końcowego użyj następujących wartości:

    • Subskrypcja: ta sama subskrypcja platformy Azure, która zawiera poprzednie zasoby.
    • Grupa zasobów: ta sama grupa zasobów platformy Azure zawierająca poprzednie zasoby.
    • Lokalizacja: ten sam region świadczenia usługi Azure, który zawiera poprzednie zasoby.
    • Nazwa: unikatowa nazwa dla tego prywatnego punktu końcowego.
    • Docelowy zasób podrzędny: rejestr
    • Sieć wirtualna: utworzona wcześniej sieć wirtualna.
    • Podsieć: Szkolenie (172.16.0.0/24)
    • integracja Prywatna strefa DNS: Tak
    • Grupa zasobów: wybierz grupę zasobów zawierającą sieć wirtualną i rejestr kontenerów.

    Wybierz pozycję Dodaj , aby utworzyć prywatny punkt końcowy.

    Zrzut ekranu przedstawiający formularz konfiguracji prywatnego punktu końcowego rejestru kontenerów.

  5. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

  6. Po utworzeniu rejestru kontenerów wybierz pozycję Przejdź do zasobu.

    Zrzut ekranu przedstawiający przycisk

  7. Z lewej strony wybierz pozycję Klucze dostępu, a następnie włącz użytkownika administratora. To ustawienie jest wymagane w przypadku korzystania z usługi Azure Container Registry w sieci wirtualnej z usługą Azure Machine Learning.

    Zrzut ekranu przedstawiający formularz kluczy dostępu rejestru kontenerów z włączoną opcją

Tworzenie obszaru roboczego

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Machine Learning. Wybierz wpis Machine Learning, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę tworzenia usługi Azure Machine Learning.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i region, który był wcześniej używany dla sieci wirtualnej. Użyj następujących wartości dla innych pól:

    • Nazwa: unikatowa nazwa obszaru roboczego.
    • Konto magazynu: wybierz utworzone wcześniej konto magazynu.
    • Magazyn kluczy: wybierz utworzony wcześniej magazyn kluczy.
    • Application Insights: użyj wartości domyślnej.
    • Rejestr kontenerów: użyj utworzonego wcześniej rejestru kontenerów.

    Zrzut ekranu przedstawiający podstawowy formularz konfiguracji obszaru roboczego.

  3. Na karcie Sieć wybierz pozycję Prywatna z internetem wychodzącym. W sekcji Dostęp przychodzący obszaru roboczego wybierz pozycję + Dodaj.

  4. W formularzu Tworzenie prywatnego punktu końcowego użyj następujących wartości:

    • Subskrypcja: ta sama subskrypcja platformy Azure, która zawiera poprzednie zasoby.
    • Grupa zasobów: ta sama grupa zasobów platformy Azure zawierająca poprzednie zasoby.
    • Lokalizacja: ten sam region świadczenia usługi Azure, który zawiera poprzednie zasoby.
    • Nazwa: unikatowa nazwa dla tego prywatnego punktu końcowego.
    • Docelowy zasób podrzędny: amlworkspace
    • Sieć wirtualna: utworzona wcześniej sieć wirtualna.
    • Podsieć: Szkolenie (172.16.0.0/24)
    • integracja Prywatna strefa DNS: Tak
    • Prywatna strefa DNS Strefy: pozostaw dwie prywatne strefy DNS z wartościami domyślnymi privatelink.api.azureml.ms i privatelink.notebooks.azure.net.

    Wybierz przycisk OK , aby utworzyć prywatny punkt końcowy.

    Zrzut ekranu przedstawiający formularz konfiguracji sieci prywatnej obszaru roboczego.

  5. Na karcie Sieć w sekcji Dostęp wychodzący obszaru roboczego wybierz pozycję Użyj własnej sieci wirtualnej.

  6. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

  7. Po utworzeniu obszaru roboczego wybierz pozycję Przejdź do zasobu.

  8. W sekcji Ustawienia po lewej stronie wybierz pozycję Sieć, Połączenia prywatnego punktu końcowego, a następnie wybierz link w kolumnie Prywatny punkt końcowy:

    Zrzut ekranu przedstawiający połączenia prywatnego punktu końcowego dla obszaru roboczego.

  9. Po pojawieniu się informacji o prywatnym punkcie końcowym wybierz pozycję Konfiguracja DNS po lewej stronie. Zapisz informacje o adresie IP i w pełni kwalifikowanej nazwie domeny (FQDN) na tej stronie.

    zrzut ekranu przedstawiający wpisy IP i FQDN dla obszaru roboczego.

Ważne

Przed pełnym użyciem obszaru roboczego należy wykonać pewne czynności konfiguracyjne. Wymagają one jednak nawiązania połączenia z obszarem roboczym.

Włączanie programu Studio

Azure Machine Learning Studio to aplikacja internetowa, która umożliwia łatwe zarządzanie obszarem roboczym. Wymaga jednak dodatkowej konfiguracji, zanim będzie można jej używać z zasobami zabezpieczonymi wewnątrz sieci wirtualnej. Aby włączyć program Studio, wykonaj następujące czynności:

  1. W przypadku korzystania z konta usługi Azure Storage, które ma prywatny punkt końcowy, dodaj jednostkę usługi dla obszaru roboczego jako czytelnik dla prywatnych punktów końcowych magazynu. W witrynie Azure Portal wybierz konto magazynu, a następnie wybierz pozycję Sieć. Następnie wybierz pozycję Połączenia prywatnego punktu końcowego.

    Zrzut ekranu przedstawiający połączenia prywatnego punktu końcowego magazynu.

  2. Dla każdego prywatnego punktu końcowego na liście wykonaj następujące czynności:

    1. Wybierz link w kolumnie Prywatny punkt końcowy .

      Zrzut ekranu przedstawiający linki punktu końcowego w kolumnie prywatnego punktu końcowego.

    2. Po lewej stronie wybierz pozycję Kontrola dostępu (IAM).

    3. Wybierz pozycję + Dodaj, a następnie pozycję Dodaj przypisanie roli (wersja zapoznawcza).

      Strona Kontrola dostępu (IAM) z otwartym menu Dodaj przypisanie roli.

    4. Na karcie Rola wybierz pozycję Czytelnik.

      Dodaj stronę przypisania roli z wybraną kartą Rola.

    5. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi w obszarze Przypisz dostęp do obszaru, a następnie wybierz pozycję + Wybierz członków. W oknie dialogowym Wybieranie członków wprowadź nazwę obszaru roboczego usługi Azure Machine Learning. Wybierz jednostkę usługi dla obszaru roboczego, a następnie użyj przycisku Wybierz .

    6. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę.

Zabezpieczanie usług Azure Monitor i Application Insights

Uwaga

Aby uzyskać więcej informacji na temat zabezpieczania usług Azure Monitor i Application Insights, zobacz następujące linki:

  1. W witrynie Azure Portal wybierz pozycję Strona główna, a następnie wyszukaj pozycję Łącze prywatne. Wybierz wynik zakresu usługi Private Link usługi Azure Monitor, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz ten sam region Subskrypcja, Grupa zasobów i Grupa zasobów co obszar roboczy usługi Azure Machine Learning. Wprowadź nazwę wystąpienia, a następnie wybierz pozycję Przejrzyj i utwórz. Aby utworzyć wystąpienie, wybierz pozycję Utwórz.

  3. Po utworzeniu wystąpienia zakresu usługi Private Link usługi Azure Monitor wybierz wystąpienie w witrynie Azure Portal. W sekcji Konfigurowanie wybierz pozycję Zasoby usługi Azure Monitor, a następnie wybierz pozycję + Dodaj.

    Zrzut ekranu przedstawiający przycisk dodawania.

  4. W obszarze Wybierz zakres użyj filtrów, aby wybrać wystąpienie usługi Application Insights dla obszaru roboczego usługi Azure Machine Learning. Wybierz pozycję Zastosuj , aby dodać wystąpienie.

  5. W sekcji Konfigurowanie wybierz pozycję Połączenia prywatnego punktu końcowego, a następnie wybierz pozycję + Prywatny punkt końcowy.

    Zrzut ekranu przedstawiający przycisk Dodaj prywatny punkt końcowy.

  6. Wybierz tę samą subskrypcję, grupę zasobów i region , który zawiera sieć wirtualną. Wybierz pozycję Dalej: Zasób.

    Zrzut ekranu przedstawiający podstawy prywatnego punktu końcowego usługi Azure Monitor.

  7. Wybierz Microsoft.insights/privateLinkScopes jako typ zasobu. Wybierz utworzony wcześniej zakres łącza prywatnego jako zasób. Wybierz azuremonitor jako docelowy zasób podrzędny. Na koniec wybierz pozycję Dalej: Sieć wirtualna , aby kontynuować.

    Zrzut ekranu przedstawiający zasoby prywatnego punktu końcowego usługi Azure Monitor.

  8. Wybierz utworzoną wcześniej sieć wirtualną i podsieć Trenowanie. Wybierz przycisk Dalej , dopóki nie pojawi się na stronie Przeglądanie + tworzenie. Wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

    Zrzut ekranu przedstawiający sieć prywatnego punktu końcowego usługi Azure Monitor.

  9. Po utworzeniu prywatnego punktu końcowego wróć do zasobu Zakres usługi Private Link usługi Azure Monitor w portalu. W sekcji Konfigurowanie wybierz pozycję Tryby dostępu. Wybierz pozycję Tylko prywatny w obszarze Tryb dostępu do pozyskiwania i Tryb dostępu do zapytań, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający tryby dostępu zakresu łącza prywatnego.

Nawiązywanie połączenia z obszarem roboczym

Istnieje kilka sposobów łączenia się z zabezpieczonym obszarem roboczym. Kroki opisane w tym artykule używają serwera przesiadkowego, który jest maszyną wirtualną w sieci wirtualnej. Możesz nawiązać z nim połączenie przy użyciu przeglądarki internetowej i usługi Azure Bastion. W poniższej tabeli wymieniono kilka innych sposobów łączenia się z bezpiecznym obszarem roboczym:

Metoda opis
Brama sieci VPN platformy Azure Łączy sieci lokalne z siecią wirtualną za pośrednictwem połączenia prywatnego. Połączenie odbywa się za pośrednictwem publicznego Internetu.
ExpressRoute Łączy sieci lokalne z chmurą za pośrednictwem połączenia prywatnego. Połączenie jest wykonywane przy użyciu dostawcy łączności.

Ważne

W przypadku korzystania z bramy sieci VPN lub usługi ExpressRoute należy zaplanować sposób działania rozpoznawania nazw między zasobami lokalnymi a tymi w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Używanie niestandardowego serwera DNS.

Tworzenie urządzenia przesiadkowego (VM)

Wykonaj poniższe kroki, aby utworzyć maszynę wirtualną platformy Azure do użycia jako pole przesiadkowe. Usługa Azure Bastion umożliwia łączenie się z pulpitem maszyny wirtualnej za pośrednictwem przeglądarki. Na pulpicie maszyny wirtualnej możesz następnie użyć przeglądarki na maszynie wirtualnej, aby połączyć się z zasobami wewnątrz sieci wirtualnej, takimi jak Azure Machine Learning Studio. Możesz też zainstalować narzędzia programistyczne na maszynie wirtualnej.

Napiwek

Poniższe kroki umożliwiają utworzenie maszyny wirtualnej z systemem Windows 11 Enterprise. W zależności od wymagań możesz wybrać inny obraz maszyny wirtualnej. Obraz systemu Windows 11 (lub 10) przedsiębiorstwa jest przydatny, jeśli musisz dołączyć maszynę wirtualną do domeny organizacji.

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Maszyna wirtualna. Wybierz wpis Maszyna wirtualna, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i region, który był wcześniej używany dla sieci wirtualnej. Podaj wartości dla następujących pól:

    • Nazwa maszyny wirtualnej: unikatowa nazwa maszyny wirtualnej.

    • Nazwa użytkownika: nazwa użytkownika używana do logowania się do maszyny wirtualnej.

    • Hasło: hasło dla nazwy użytkownika.

    • Typ zabezpieczeń: Standardowa.

    • Obraz: Windows 11 Enterprise.

      Napiwek

      Jeśli system Windows 11 Enterprise nie znajduje się na liście do wyboru obrazu, użyj opcji Zobacz wszystkie obrazy_. Znajdź wpis systemu Windows 11 od firmy Microsoft i użyj listy rozwijanej Wybierz, aby wybrać obraz przedsiębiorstwa.

    Możesz pozostawić inne pola w wartościach domyślnych.

    Zrzut ekranu przedstawiający konfigurację podstawową maszyny wirtualnej.

  3. Wybierz pozycję Sieć, a następnie wybierz utworzoną wcześniej sieć wirtualną. Użyj następujących informacji, aby ustawić pozostałe pola:

    • Wybierz podsieć Trenowanie.
    • Ustaw publiczny adres IP na Wartość Brak.
    • Pozostaw inne pola na wartości domyślnej.

    Zrzut ekranu przedstawiający konfigurację sieci maszyny wirtualnej.

  4. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

Nawiązywanie połączenia z serwerem przesiadkowym

  1. Po utworzeniu maszyny wirtualnej wybierz pozycję Przejdź do zasobu.

  2. W górnej części strony wybierz pozycję Połącz, a następnie pozycję Połącz za pośrednictwem usługi Bastion.

    Napiwek

    Usługa Azure Bastion używa portu 443 do komunikacji przychodzącej. Jeśli masz zaporę, która ogranicza ruch wychodzący, upewnij się, że zezwala na ruch na porcie 443 do usługi Azure Bastion. Aby uzyskać więcej informacji, zobacz Artykuł Wroking with NSGs and Azure Bastion (Wroking with NSGs and Azure Bastion( Wroking with NSGs and Azure Bastion (Obsługa sieciowych grup zabezpieczeń i usługi Azure

    Zrzut ekranu przedstawiający listę

  3. Podaj informacje o uwierzytelnianiu dla maszyny wirtualnej, a połączenie zostanie nawiązane w przeglądarce.

Tworzenie klastra obliczeniowego i wystąpienia

Wystąpienie obliczeniowe zapewnia środowisko notesu Jupyter Notebook w udostępnionym zasobie obliczeniowym dołączonym do obszaru roboczego.

  1. Z poziomu połączenia usługi Azure Bastion z serwerem przesiadkowym otwórz przeglądarkę Microsoft Edge na pulpicie zdalnym.

  2. W sesji przeglądarki zdalnej przejdź do strony https://ml.azure.com. Po wyświetleniu monitu uwierzytelnij się przy użyciu konta Microsoft Entra.

  3. Na ekranie Witamy w programie Studio! wybierz utworzony wcześniej obszar roboczy usługi Machine Learning, a następnie wybierz pozycję Rozpocznij.

    Napiwek

    Jeśli Twoje konto Microsoft Entra ma dostęp do wielu subskrypcji lub katalogów, użyj listy rozwijanej Katalog i subskrypcja , aby wybrać konto zawierające obszar roboczy.

    Zrzut ekranu przedstawiający formularz wybierania obszaru roboczego usługi Machine Learning.

  4. W programie Studio wybierz pozycję Obliczenia, Klastry obliczeniowe, a następnie pozycję + Nowy.

    Zrzut ekranu przedstawiający stronę klastrów obliczeniowych z wybranym przyciskiem

  5. W oknie dialogowym Maszyna wirtualna wybierz pozycję Dalej, aby zaakceptować domyślną konfigurację maszyny wirtualnej.

    Zrzut ekranu przedstawiający konfigurację maszyny wirtualnej klastra obliczeniowego.

  6. W oknie dialogowym Konfigurowanie ustawień wprowadź wartość cpu-cluster jako nazwę obliczeniową. Ustaw podsieć na Trenowanie, a następnie wybierz pozycję Utwórz, aby utworzyć klaster.

    Napiwek

    Klastry obliczeniowe dynamicznie skaluj węzły w klastrze zgodnie z potrzebami. Zalecamy pozostawienie minimalnej liczby węzłów na 0, aby zmniejszyć koszty, gdy klaster nie jest używany.

    Zrzut ekranu przedstawiający formularz konfigurowania ustawień.

  7. W programie Studio wybierz pozycję Obliczenia, Wystąpienie obliczeniowe, a następnie pozycję + Nowy.

    Zrzut ekranu przedstawiający stronę wystąpień obliczeniowych z wybranym przyciskiem

  8. W obszarze Wymagane ustawienia wprowadź unikatową nazwę komputera i wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający konfigurację maszyny wirtualnej wystąpienia obliczeniowego.

  9. Kontynuuj wybieranie pozycji Dalej, dopóki nie pojawi się okno dialogowe Zabezpieczenia, wybierz sieć wirtualną i ustaw podsieć na Trenowanie. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający ustawienia zaawansowane.

Napiwek

Podczas tworzenia klastra obliczeniowego lub wystąpienia obliczeniowego usługa Azure Machine Learning dynamicznie dodaje sieciową grupę zabezpieczeń. Ta sieciowa grupa zabezpieczeń zawiera następujące reguły specyficzne dla klastra obliczeniowego i wystąpienia obliczeniowego:

  • Zezwalaj na przychodzący ruch TCP na portach 29876-29877 z tagu BatchNodeManagement usługi.
  • Zezwalaj na przychodzący ruch TCP na porcie 44224 z tagu AzureMachineLearning usługi.

Poniższy zrzut ekranu przedstawia przykład tych reguł:

Zrzut ekranu przedstawiający sieciową grupę zabezpieczeń

Aby uzyskać więcej informacji na temat tworzenia klastra obliczeniowego i klastra obliczeniowego, w tym tego, jak to zrobić za pomocą języka Python i interfejsu wiersza polecenia, zobacz następujące artykuły:

Konfigurowanie kompilacji obrazu

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure ml w wersji 2 (bieżąca)

Gdy usługa Azure Container Registry znajduje się za siecią wirtualną, usługa Azure Machine Learning nie może jej używać do bezpośredniego kompilowania obrazów platformy Docker (używanych do trenowania i wdrażania). Zamiast tego skonfiguruj obszar roboczy tak, aby używał utworzonego wcześniej klastra obliczeniowego. Wykonaj następujące kroki, aby utworzyć klaster obliczeniowy i skonfigurować obszar roboczy do kompilowania obrazów:

  1. Przejdź do witryny , https://shell.azure.com/ aby otworzyć usługę Azure Cloud Shell.

  2. W usłudze Cloud Shell użyj następującego polecenia, aby zainstalować interfejs wiersza polecenia 2.0 dla usługi Azure Machine Learning:

    az extension add -n ml

  3. Aby zaktualizować obszar roboczy do tworzenia obrazów platformy Docker przy użyciu klastra obliczeniowego. Zastąp docs-ml-rg element grupą zasobów. Zastąp docs-ml-ws element obszarem roboczym. Zastąp cpu-cluster ciąg nazwą klastra obliczeniowego:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Uwaga

    Możesz użyć tego samego klastra obliczeniowego do trenowania modeli i tworzenia obrazów platformy Docker dla obszaru roboczego.

Korzystanie z obszaru roboczego

Ważne

Kroki opisane w tym artykule obejmują usługę Azure Container Registry za siecią wirtualną. W tej konfiguracji nie można wdrożyć modelu w usłudze Azure Container Instances wewnątrz sieci wirtualnej. Nie zalecamy używania usługi Azure Container Instances z usługą Azure Machine Learning w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Zabezpieczanie środowiska wnioskowania (ZESTAW SDK/interfejs wiersza polecenia w wersji 1).

Alternatywą dla usługi Azure Container Instances jest wypróbowanie zarządzanych punktów końcowych online usługi Azure Machine Learning. Aby uzyskać więcej informacji, zobacz Włączanie izolacji sieciowej dla zarządzanych punktów końcowych online.

W tym momencie możesz użyć programu Studio do interaktywnej pracy z notesami w wystąpieniu obliczeniowym i uruchamiania zadań szkoleniowych w klastrze obliczeniowym. Aby zapoznać się z samouczkiem dotyczącym korzystania z wystąpienia obliczeniowego i klastra obliczeniowego, zobacz Samouczek: usługa Azure Machine Learning w ciągu dnia.

Zatrzymywanie wystąpienia obliczeniowego i serwera przesiadkowego

Ostrzeżenie

Gdy jest uruchomiona (uruchomiona), wystąpienie obliczeniowe i serwer przesiadkowy będą nadal ładować subskrypcję. Aby uniknąć nadmiernego kosztu, zatrzymaj je, gdy nie są używane.

Klaster obliczeniowy dynamicznie skaluje się między minimalnym i maksymalnym zestawem liczby węzłów podczas jego tworzenia. Jeśli zaakceptowano wartości domyślne, wartość minimalna to 0, co skutecznie wyłącza klaster, gdy nie jest używany.

Zatrzymywanie wystąpienia obliczeniowego

W programie Studio wybierz pozycję Obliczenia, Klastry obliczeniowe, a następnie wybierz wystąpienie obliczeniowe. Na koniec wybierz pozycję Zatrzymaj w górnej części strony.

Zrzut ekranu przedstawiający przycisk zatrzymania dla wystąpienia obliczeniowego.

Zatrzymaj pole przesiadkowe

Po utworzeniu wybierz maszynę wirtualną w witrynie Azure Portal, a następnie użyj przycisku Zatrzymaj. Gdy wszystko będzie gotowe do ponownego użycia, użyj przycisku Uruchom , aby go uruchomić.

Zrzut ekranu przedstawiający przycisk zatrzymania maszyny wirtualnej serwera przesiadkowego.

Możesz również skonfigurować pole przesiadkowe tak, aby było automatycznie zamykane w określonym czasie. W tym celu wybierz pozycję Automatyczne zamykanie, Włącz, ustaw czas, a następnie wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający opcję automatycznego zamykania.

Czyszczenie zasobów

Jeśli planujesz nadal korzystać z zabezpieczonego obszaru roboczego i innych zasobów, pomiń tę sekcję.

Aby usunąć wszystkie zasoby utworzone w tym samouczku, wykonaj następujące kroki:

  1. W witrynie Azure Portal na końcu z lewej strony wybierz pozycję Grupy zasobów.

  2. Z listy wybierz grupę zasobów utworzoną w tym samouczku.

  3. Wybierz pozycję Usuń grupę zasobów.

    Zrzut ekranu przedstawiający link usuń grupę zasobów.

  4. Wprowadź nazwę grupy zasobów, a następnie wybierz pozycję Usuń.

Następne kroki

Teraz, gdy masz bezpieczny obszar roboczy i masz dostęp do programu Studio, dowiedz się, jak wdrożyć model w punkcie końcowym online z izolacją sieci.

Teraz, gdy masz bezpieczny obszar roboczy, dowiedz się, jak wdrożyć model.