Tutorial: Como criar um espaço de trabalho seguro com uma Rede Virtual do Azure

Neste artigo, aprenda a criar e conectar-se a um workspace seguro do Azure Machine Learning. As etapas neste artigo usam uma Rede Virtual do Azure para criar um limite de segurança em torno dos recursos usados pelo Azure Machine Learning.

Importante

É recomendável usar a rede virtual gerenciada do Azure Machine Learning em vez de uma Rede Virtual do Azure. Para obter uma versão deste tutorial que usa uma rede virtual gerenciada, consulte Tutorial: Criar um espaço de trabalho seguro com uma rede virtual gerenciada.

Neste tutorial, você realizará as seguintes tarefas:

• Criar uma VNet (Rede Virtual do Azure) para proteger as comunicações entre serviços na rede virtual.
• Criar uma Conta de Armazenamento do Microsoft Azure (blob e arquivo) por trás da VNet. Esse serviço é usado como armazenamento padrão para o workspace.
• Criar um Azure Key Vault por trás da VNet. Esse serviço é usado para armazenar segredos usados pelo workspace. Por exemplo, as informações de segurança necessárias para acessar a conta de armazenamento.
• Criar um ACR (Registro de Contêiner do Azure). Esse serviço é usado como repositório para imagens do Docker. As imagens do Docker fornecem os ambientes de computação necessários para treinar um modelo de machine learning ou implantar um modelo treinado como ponto de extremidade.
• Criar um Workspace de Azure Machine Learning.
• Criar uma jump box. Uma jump box é uma Máquina Virtual do Azure que fica por trás da VNet. Como a VNet restringe o acesso à Internet pública, a jump box é usada como forma de se conectar aos recursos por trás da VNet.
• Configurar o Estúdio do Azure Machine Learning para trabalhar por trás de uma VNet. O Estúdio fornece uma interface Web para o Azure Machine Learning.
• Criar um cluster de cálculo do Azure Machine Learning. Um cluster de cálculo é usado na hora de treinar modelos de machine learning na nuvem. Em configurações em que o Registro de Contêiner do Azure está por trás da VNet, ele também é usado para criar imagens do Docker.
• Conectar-se à jump box e usar o Estúdio do Azure Machine Learning.

Dica

Se você estiver procurando por um modelo que demonstre como criar um espaço de trabalho seguro, veja Modelo Bicep ou Modelo Terraform.

Após concluir este tutorial, você terá a seguinte arquitetura:

• Uma Rede Virtual do Azure, que contém três sub-redes:
  • Treinamento: contém o workspace do Azure Machine Learning, os serviços de dependência e os recursos usados para modelos de treinamento.
  • Pontuação: para as etapas deste tutorial, não será utilizada. No entanto, se continuar usando este espaço de trabalho para outros tutoriais, é recomendável usar essa sub-rede ao implantar modelos em pontos de extremidade.
  • AzureBastionSubnet: usado pelo serviço do Azure Bastion para conectar clientes com segurança em Máquinas Virtuais do Microsoft Azure.
• Um workspace do Azure Machine Learning que usa um ponto de extremidade privado para se comunicar usando a rede virtual.
• Uma conta de armazenamento do Microsoft Azure que usa pontos de extremidade privados para permitir que os serviços de armazenamento, como blobs e arquivos, se comuniquem usando a rede virtual.
• Um Registro de Contêiner do Azure que usa um ponto de extremidade privado se comunica usando a rede virtual.
• O Azure Bastion, que permite que você use seu navegador para se comunicar de forma segura com a VM jump box dentro da rede virtual.
• Uma Máquina Virtual do Azure à qual você pode conectar-se remotamente e acessar recursos protegidos dentro da rede virtual.
• Uma instância de computação do Azure Machine Learning e um cluster de cálculo.

Dica

O Serviço de Lote do Azure listado no diagrama é um serviço back-end exigido por clusters de cálculo e instâncias de computação.

Pré-requisitos

• Familiaridade com as Redes Virtuais do Azure e a rede IP. Se não estiver familiarizado, experimente o módulo Conceitos básicos de sistema de rede de computadores.
• Embora a maioria das etapas deste artigo use o portal do Azure ou o Estúdio do Azure Machine Learning, algumas etapas usam a extensão da CLI do Azure para Machine Learning v2.

Criar uma rede virtual

Para criar uma rede virtual, use as seguintes etapas:

1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Rede Virtual no campo de pesquisa. Selecione a entrada Rede Virtual e selecione Criar.

   

   

2. Na guia Básico, selecione a assinatura do Azure a ser usada nesse recurso e selecione ou crie um grupo de recursos. Em Detalhes de instância, insira um nome amigável para sua rede virtual e selecione a região em que ela será criada.

   

3. Selecione Segurança. Selecione Habilitar o Azure Bastion. O Azure Bastion fornece uma maneira segura de acessar a VM jump box que você criou dentro da rede virtual em uma etapa posterior. Use os seguintes valores nos campos restantes:

   • Nome do bastion: um nome exclusivo para essa instância do Bastion
   • Endereço IP público: crie um endereço IP público.

   Mantenha os valores padrão nos outros campos.

   

4. Selecione Endereços IP. As configurações padrão devem ser semelhantes às da imagem a seguir:

   

   Use as seguintes etapas para configurar o endereço IP e configurar uma sub-rede para treinar e pontuar recursos:

   Dica

   Embora você possa usar uma sub-rede individual para todos os recursos do Azure Machine Learning, as etapas deste artigo mostram como criar duas sub-redes para separar os recursos de treinamento e de pontuação.

   O workspace e outros serviços de dependência entrarão na sub-rede de treinamento. Eles ainda podem ser usados pelos recursos em outras sub-redes, como a sub-rede de pontuação.

   1. Veja o valor padrão de espaço de endereços IPv4. Na captura de tela, o valor é 172.16.0.0/16. O valor pode ser diferente para você. Embora você possa usar um valor diferente, o restante das etapas deste tutorial se baseiam no valor 172.16.0.0/16.

      Aviso

      Não use o intervalo de endereços IP 172.17.0.0/16 para sua VNet. Esse é o intervalo de sub-rede padrão usado pela rede de ponte do Docker e resultará em erros se usado para sua VNet. Outros intervalos também podem entrar em conflito dependendo do que você deseja conectar à rede virtual. Por exemplo, se você planeja conectar sua rede local à VNet e sua rede local também usa o intervalo 172.16.0.0/16. Por fim, cabe a você planejar sua infraestrutura de rede.

   2. Selecione a sub-rede Padrão e, em seguida, selecione o ícone de edição.

      

   3. Altere a sub-rede Nome para Treinamento. Deixe os outros valores com as configurações padrão e selecione Salvar para salvar as alterações.

   4. Para criar uma sub-rede para recursos de computação usados para a pontuação de seus modelos, selecione + Adicionar sub-rede e defina o nome e o intervalo de endereços:

      • Nome da sub-rede: Pontuação
      • Endereço inicial: 172.16.2.0
      • Tamanho da sub-rede: /24 (256 endereços)

      

   5. Selecione Adicionar para adicionar a sub-rede.

5. Selecione Examinar + criar.

   

6. Verifique se as informações estão corretas e selecione Criar.

   

Criar uma conta de armazenamento

1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Conta de armazenamento. Selecione a entrada Conta de Armazenamento e selecione Criar.

2. Na guia Básico, selecione a assinatura, o grupo de recursos e a região usada previamente para a rede virtual. Insira um Nome de conta de armazenamento exclusivo e defina Redundância como LRS (armazenamento com redundância local) .

   

3. Na guia Rede, selecione Desabilitar acesso público e, em seguida, selecione + Adicionar ponto de extremidade privado.

   

4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

   • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
   • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
   • Localização: A mesma região do Azure que contém os recursos anteriores.
   • Nome: um nome exclusivo para esse ponto de extremidade privado.
   • Sub-recurso de destino: blob
   • Rede virtual: a rede virtual que você criou anteriormente.
   • Sub-rede: treinamento (172.16.0.0/24)
   • Integração de DNS privado: sim
   • Zona DNS privada: privatelink.blob.core.windows.net

   Selecione Adicionar para criar o ponto de extremidade privado.

5. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

6. Depois que a conta de armazenamento for criada, selecione Ir para o recurso:

   

7. Na navegação à esquerda, selecione Rede, a guia Conexões de ponto de extremidade privado e selecione + Ponto de extremidade privado:

   Observação

   Embora você tenha criado um ponto de extremidade privado para o armazenamento de blob nas etapas anteriores, também precisa criar um para o armazenamento de arquivos.

   

8. No formulário Criar um ponto de extremidade privado, use o mesma assinatura, o mesmo grupo de recursos e a mesma Região que você usou para os recursos anteriores. Insira um Nome exclusivo.

   

9. Selecione Avançar: recurso e defina Sub-recurso de destino como arquivo.

   

10. Selecione Avançar : Virtual Network e use os seguintes valores:

    • Rede virtual: a rede virtual criada anteriormente
    • Sub-rede: Treinamento

    

11. Continue pelas guias selecionando os padrões até chegar a Revisar + Criar. Verifique se as informações estão corretas e selecione Criar.

Dica

Se você planeja usar um ponto de extremidade em lote ou um pipeline do Azure Machine Learning que usa um ParallelRunStep, também será necessário configurar a fila de destino dos pontos de extremidade privados e os sub-recursos da tabela. O ParallelRunStep usa internamente a fila e a tabela para agendar e despachar tarefas.

Criar um cofre de chaves

1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Key Vault. Selecione a entrada Key Vault e selecione Criar.

2. Na guia Básico, selecione a assinatura, o grupo de recursos e a região usada previamente para a rede virtual. Insira um Nome de cofre de chaves exclusivo. Mantenha os outros campos com os valores padrão.

   

3. Na guia Rede, desmarque Ativar acesso público e selecione + Criar um ponto de extremidade privado.

   

4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

   • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
   • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
   • Localização: A mesma região do Azure que contém os recursos anteriores.
   • Nome: um nome exclusivo para esse ponto de extremidade privado.
   • Sub-recurso de destino: cofre
   • Rede virtual: a rede virtual que você criou anteriormente.
   • Sub-rede: treinamento (172.16.0.0/24)
   • Habilitar a integração do DNS Privado: Sim
   • Zona DNS Privada: Selecione o grupo de recursos que contém a rede virtual e o cofre de chaves.

   Selecione Adicionar para criar o ponto de extremidade privado.

   

5. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

Criar um registro de contêiner

1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Registro de Contêiner. Selecione a entrada Registro de Contêiner e selecione Criar.

2. Na guia Básico, selecione a assinatura, o grupo de recursos e a localização usada previamente para a rede virtual. Insira um Nome de registro exclusivo e defina a SKU como Premium.

   

3. Na guia Rede, selecione Ponto de extremidade privado e selecione + Adicionar.

   

4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

   • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
   • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
   • Localização: A mesma região do Azure que contém os recursos anteriores.
   • Nome: um nome exclusivo para esse ponto de extremidade privado.
   • Sub-recurso de destino: registro
   • Rede virtual: a rede virtual que você criou anteriormente.
   • Sub-rede: treinamento (172.16.0.0/24)
   • Integração de DNS privado: sim
   • Grupo de recursos: Selecione o grupo de recursos que contém a rede virtual e o registro de contêineres.

   Selecione Adicionar para criar o ponto de extremidade privado.

   

5. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

6. Depois que o registro de contêineres for criado, selecione Ir para o recurso.

   

7. No lado esquerdo da página, selecione Chaves de acesso e habilite Usuário administrador. Essa configuração é necessária no uso do Registro de Contêiner do Azure em uma rede virtual com o Azure Machine Learning.

   

Criar um workspace

1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Machine Learning. Selecione a entrada Machine Learning e selecione Criar.

   

2. Na guia Básico, selecione a assinatura, o grupo de recursos e a Região usada previamente para a rede virtual. Use os seguintes valores para os outros campos:

   • Name: Um nome exclusivo para seu espaço de trabalho.
   • Conta de armazenamento: selecione a conta de armazenamento que você criou anteriormente.
   • Cofre de chaves: selecione o cofre de chaves que você criou anteriormente.
   • Insights de aplicativo: use o valor padrão.
   • Registro de contêiner: use o registro de contêiner que você criou anteriormente.

   

3. Na guia Rede , selecione Privado com Saída da Internet. Na seção Acesso de entrada ao espaço de trabalho, selecione + Adicionar.

4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

   • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
   • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
   • Localização: A mesma região do Azure que contém os recursos anteriores.
   • Nome: um nome exclusivo para esse ponto de extremidade privado.
   • Sub-recurso de destino: amlworkspace
   • Rede virtual: a rede virtual que você criou anteriormente.
   • Sub-rede: treinamento (172.16.0.0/24)
   • Integração de DNS privado: sim
   • Zona DNS privada: deixe os valores padrão privatelink.api.azureml.ms e privatelink.notebooks.azure.net nas zonas DNS privadas.

   Selecione OK para criar o ponto de extremidade privado.

   

5. Na guia Rede, na seção Acesso de saída do espaço de trabalho, selecione Usar minha própria rede virtual.

6. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

7. Assim que o workspace for criado, escolha Ir para o recurso.

8. Na seção Configurações à esquerda, selecione Conectividade de rede, Conexões de ponto de extremidade privado e, em seguida, selecione o link na coluna Ponto de extremidade privado:

   

9. Quando as informações de ponto de extremidade privado aparecerem, selecione Configuração de DNS no lado esquerdo da página. Salve as informações de endereço IP e nome de domínio totalmente qualificado (FQDN) nesta página.

   

Importante

Ainda faltam algumas etapas de configuração antes de você poder usar o workspace por completo. No entanto, elas exigem que você se conecte ao workspace.

Habilitar o Estúdio

O Estúdio do Azure Machine Learning é um aplicativo baseado na Web que permite gerenciar o workspace com facilidade. No entanto, ele precisa de algumas configurações adicionais antes de poder ser usado com recursos protegidos dentro de uma rede virtual. Use as seguintes etapas para habilitar o Estúdio:

1. Ao usar uma conta de armazenamento do Microsoft Azure que tenha um ponto de extremidade privado, adicione a entidade de serviço do espaço de trabalho como Leitor para os pontos de extremidade privados de armazenamento. No portal do Azure, selecione a conta de armazenamento e selecione Rede. Em seguida, selecione Conexões de ponto de extremidade privado.

   

2. Para cada ponto de extremidade privado listado, use as seguintes etapas:

   1. Selecione o link na coluna Ponto de extremidade privado.

      

   2. Selecione Controle de acesso (IAM) no lado esquerdo.

   3. Selecione + Adicionar e Adicionar atribuição de função (pré-visualização) .

      

   4. Na guia Função, selecione Leitor.

      

   5. Na guia Membros, selecione Usuário, grupo ou entidade de serviço na área Atribuir acesso a e selecione + Selecionar membros. No diálogo Selecionar membros, insira o nome do seu workspace do Azure Machine Learning. Selecione a entidade de serviço para o workspace e use o botão Selecionar.

   6. Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.

Proteger o Azure Monitor e o Application Insights

Observação

Para obter mais informações sobre como proteger o Azure Monitor e o Application Insights, confira os seguintes links:

• Migrar para os recursos baseados em workspace do Application Insights.
• Configurar o link privado do Azure Monitor.

1. No portal do Microsoft Azure, selecione Página Inicial e pesquise Link privado. Selecione o resultado do Escopo de Link Privado do Azure Monitor e escolha Criar.

2. Na guia Informações básicas, selecione a mesma Assinatura, Grupo de recursos e Região do grupo de recursos do workspace do Azure Machine Learning. Insira um Nome para a instância e selecione Revisar + Criar. Para criar a instância, selecione Criar.

3. Uma vez criada a instância do Escopo de Link Privado do Azure Monitor, selecione a instância no portal do Microsoft Azure. Na seção Configurar, selecione Recursos do Azure Monitor e selecione + Adicionar.

   

4. Em Selecionar um escopo, use os filtros para selecionar a instância do Application Insights para seu workspace do Azure Machine Learning. Escolha Aplicar para adicionar a instância.

5. Na seção Configurar, selecione Conexões de ponto de extremidade privado e escolha + Ponto de Extremidade Privado.

   

6. Selecione a mesma Assinatura, Grupo de Recursos e Região que contém sua rede virtual. Selecione Avançar: Recurso.

   

7. Selecione Microsoft.insights/privateLinkScopes como o Tipo de recurso. Escolha o Escopo de Link Privado criado anteriormente como o Recurso. Selecione azuremonitor como o Sub-recurso de destino. Por fim, selecione Avançar: Rede Virtual para continuar.

   

8. Selecione a Rede virtual que você criou anteriormente e a sub-rede Treinamento. Escolha Avançar até chegar em Revisar + Criar. Selecione Criar para criar o ponto de extremidade privado.

   

9. Depois que o ponto de extremidade privado for criado, retorne ao recurso Escopo do Link Privado do Azure Monitor no portal. Na seção Configurar, selecione Modos de acesso. Escolha Somente privado para Modo de acesso de ingestão e Modo de acesso de consulta e selecione Salvar.

   

Conectar-se ao workspace

Existem várias maneiras de se conectar ao workspace seguro. As etapas deste artigo usam um jump box, que é uma máquina virtual na rede virtual. Você pode se conectar a ela usando seu navegador da Web e o Azure Bastion. A tabela abaixo lista várias outras maneiras de se conectar ao workspace seguro:

Método	Descrição
Gateway de VPN do Azure	Conecta as redes locais à rede virtual por meio de uma conexão privada. A conexão é feita pela Internet pública.
ExpressRoute	Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.

Importante

Ao usar um Gateway de VPN ou ExpressRoute, você precisará planejar como a resolução de nomes funciona entre os recursos locais e os recursos na VNet. Para obter mais informações, confira Usar um servidor DNS personalizado.

Criar uma jump box (VM)

Use as etapas abaixo para criar uma Máquina Virtual do Azure e usá-la como uma jump box. O Azure Bastion permite que você se conecte à área de trabalho da VM por meio do navegador. Na área de trabalho da VM, você pode usar o navegador na VM para conectar-se a recursos dentro da rede virtual, como o Estúdio do Azure Machine Learning. Ou você pode instalar ferramentas de desenvolvimento na VM.

Dica

As etapas a seguir criam uma VM corporativa do Windows 11. Dependendo de seus requisitos, é aconselhável selecionar uma imagem de VM diferente. A imagem corporativa do Windows 11 (ou 10) é útil se você precisar ingressar a VM no domínio da sua organização.

1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Máquina virtual. Selecione a entrada Máquina virtual e selecione Criar.

2. Na guia Básico, selecione a assinatura, o grupo de recursos e a Região usada previamente para a rede virtual. Forneça valores para os seguintes campos:

   • Nome da máquina virtual: um nome exclusivo para a VM.

   • Nome de usuário: o nome de usuário que você deve usar para entrar na VM.

   • Senha: a senha para o nome de usuário.

   • Tipo de segurança: padrão.

   • Imagem: Windows 11 Enterprise.

     Dica

     Se o Windows 11 corporativo não estiver na lista de seleção de imagens, use Ver todas as imagens_. Localize a entrada Windows 11 da Microsoft e use a lista suspensa Selecionar para selecionar a imagem corporativa.

   Mantenha os valores padrão nos outros campos.

   

3. Selecione Rede e selecione a Rede virtual que você criou anteriormente. Use as seguintes informações para definir os outros campos:

   • Selecione a sub-rede Treinamento.
   • Defina o IP público como Nenhum.
   • Mantenha os outros campos com os valores padrão.

   

4. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

Conectar-se à jump box

1. Depois que a máquina virtual for criada, selecione Ir para o recurso.

2. Na parte superior da página, selecione Conectar e, em seguida, Conectar-se pelo Bastion.

   

3. Forneça suas informações de autenticação para a máquina virtual e uma conexão será estabelecida no navegador.

Criar um cluster de computação e uma instância

Uma instância de computação fornece uma experiência de Jupyter Notebook em um recurso de computação compartilhado anexado ao seu workspace.

1. Em uma conexão do Azure Bastion à jump box, abra o navegador Microsoft Edge na área de trabalho remota.

2. Na sessão remota do navegador, vá para https://ml.azure.com . Quando solicitado, autentique-se usando sua conta do Microsoft Entra.

3. Na tela Bem-vindo ao estúdio!, selecione o workspace do Machine Learning criado anteriormente e escolha Introdução.

   Dica

   Se sua conta do Microsoft Entra tiver acesso a várias assinaturas ou diretórios, use a lista suspensa Diretório e Assinatura para selecionar aquela que contiver o espaço de trabalho.

   

4. No Estúdio, selecione Computação, Clusters de cálculo e + Novo.

   

5. No diálogo Máquina Virtual, selecione Avançar para aceitar a configuração padrão da máquina virtual.

   

6. No diálogo Definir Configurações, insira cpu-cluster como o Nome de computação. Defina a Sub-rede como Treinamento e selecione Criar para criar o cluster.

   Dica

   Os clusters de cálculo escalam dinamicamente os nós no cluster conforme a necessidade. Recomendamos deixar o número mínimo de nós em 0 para reduzir os custos quando o cluster não estiver em uso.

   

7. No Estúdio, selecione Computação, Instância de computação e + Novo.

   

8. Em Configurações necessárias, insira um Nome do computador exclusivo e selecione Avançar.

   

9. Continue selecionando Avançar até chegar à caixa de diálogo Segurança, selecione Rede virtual e defina Sub-rede como Treinamento. Selecione Examinar + Criar e Criar.

   

Dica

Quando você cria um cluster de cálculo ou uma instância de computação, o Azure Machine Learning adiciona dinamicamente um NSG (Grupo de Segurança de Rede). Este NSG contém as seguintes regras, que são específicas para computação de cluster e instância de computação:

• Permitir o tráfego TCP de entrada nas portas 29876-29877 da marca de serviço BatchNodeManagement.
• Permitir o tráfego TCP de entrada na porta 44224 da marca de serviço AzureMachineLearning.

A captura de tela abaixo mostra um exemplo das regras:

Para obter mais informações sobre como criar um cluster de cálculo e uma instância de computação, incluindo como fazer isso com Python e CLI, confira os seguintes artigos:

• Criar um cluster de cálculo
• Criar uma instância de computação

Configurar builds de imagem

APLICA-SE A: Extensão de ML da CLI do Azurev2 (atual)

Quando o Registro de Contêiner do Azure está por trás da rede virtual, o Azure Machine Learning não pode usá-lo para criar imagens do Docker diretamente (usadas para treinamento e implantação). Configure, então, o workspace para usar o cluster de cálculo criado anteriormente. Use as seguintes etapas para criar um cluster de cálculo e configurar o workspace a fim de usá-lo para criar imagens:

1. Navegue até https://shell.azure.com/ para abrir o Azure Cloud Shell.

2. No Cloud Shell, use o seguinte comando para instalar a CLI 2.0 do Azure Machine Learning:

   az extension add -n ml
   

3. Para atualizar o workspace a fim de usar o cluster de cálculo na criação de imagens do Docker. Substitua docs-ml-rg pelo grupo de recursos. Substitua docs-ml-ws pelo workspace. Substitua cpu-cluster pelo nome do cluster de computação:

   az ml workspace update \
     -n docs-ml-ws \
     -g docs-ml-rg \
     -i cpu-cluster
   

   Observação

   Você pode usar o mesmo cluster de cálculo para treinar modelos e criar imagens do Docker para o workspace.

Usar o workspace

Importante

As etapas neste artigo colocam Registro de Contêiner do Azure atrás da VNet. Nessa configuração, você não pode implantar um modelo para Instâncias de Contêiner do Azure dentro da VNet. Não recomendamos usar Instâncias de Contêiner do Azure com o Azure Machine Learning em uma rede virtual. Para obter mais informações, confira Proteger o ambiente de inferência (SDK/CLI v1).

Como alternativa às Instâncias de Contêiner do Azure, tente os pontos de extremidade online gerenciados do Azure Machine Learning. Para obter mais informações, confira Habilitar o isolamento de rede para pontos de extremidade online gerenciados.

Aqui, você pode usar o estúdio para trabalhar interativamente com notebooks na instância de computação e executar trabalhos de treinamento no cluster de cálculo. Para obter um tutorial sobre como usar a instância de computação e o cluster de computação, consulte Tutorial: Azure Machine Learning em um dia.

Para a instância de computação e a jump box

Aviso

Enquanto estiverem em execução (iniciado), a instância de computação e a jump box continuaram a gerar cobrança na sua assinatura. Para evitar custos excessivos, pare esses recursos quando não estiverem em uso.

O cluster de cálculo escala dinamicamente entre as contagens de nó mínima e máxima definidas quando você o criou. Se você aceitou os padrões, o mínimo é 0, o que desliga o cluster quando não está em uso.

Parar a instância de computação

No Estúdio, selecione Computação, Clusters de cálculo e selecione a instância de computação. Por fim, selecione Parar no início da página.

Parar a jump box

Uma vez criada, selecione a máquina virtual no portal do Microsoft Azure e use o botão Parar. Quando estiver pronto para usá-la novamente, use o botão Iniciar para iniciá-la.

Você também pode configurar a jump box para desligar automaticamente em uma hora específica. Para isso, selecione Desligamento automático, Habilitar, defina uma hora e selecione Salvar.

Limpar os recursos

Se você planeja continuar a usar o workspace seguro e outros recursos, ignore esta seção.

Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:

1. No portal do Azure, selecione Grupos de recursos no canto esquerdo.

2. Selecione o grupo de recursos que você criou neste tutorial por meio da lista.

3. Selecione Excluir grupo de recursos.

   

4. Insira o nome do grupo de recursos e selecione Excluir.

Próximas etapas

Agora que você tem um workspace seguro e pode acessar o estúdio, saiba como implantar um modelo em um ponto de extremidade online com isolamento de rede.