Tutorial: Como criar um espaço de trabalho seguro com uma rede virtual gerenciada
Neste artigo, saiba como criar e conectar-se a um espaço de trabalho seguro do Azure Machine Learning. As etapas neste artigo usam uma rede virtual gerenciada do Azure Machine Learning para criar um limite de segurança em torno dos recursos usados pelo Azure Machine Learning.
Neste tutorial, você realiza as seguintes tarefas:
- Crie um espaço de trabalho do Azure Machine Learning configurado para usar uma rede virtual gerenciada.
- Crie um cluster de computação do Azure Machine Learning. Um cluster de computação é usado ao treinar modelos de aprendizado de máquina na nuvem.
Depois de concluir este tutorial, você terá a seguinte arquitetura:
- Um espaço de trabalho do Azure Machine Learning que usa um ponto de extremidade privado para se comunicar usando a rede gerenciada.
- Uma Conta de Armazenamento do Azure que usa pontos de extremidade privados para permitir que serviços de armazenamento, como blob e arquivo, se comuniquem usando a rede gerenciada.
- Um Registro de Contêiner do Azure que usa um ponto de extremidade privado se comunica usando a rede gerenciada.
- Um Cofre da Chave do Azure que usa um ponto de extremidade privado para se comunicar usando a rede gerenciada.
- Uma instância de computação do Azure Machine Learning e um cluster de computação protegidos pela rede gerenciada.
Pré-requisitos
- Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar. Experimente a versão gratuita ou paga do Azure Machine Learning.
Criar uma caixa de salto (VM)
Há várias maneiras de se conectar ao espaço de trabalho seguro. Neste tutorial, uma caixa de salto é usada. Uma caixa de salto é uma máquina virtual em uma Rede Virtual do Azure. Você pode se conectar a ele usando seu navegador da Web e o Azure Bastion.
A tabela a seguir lista várias outras maneiras de se conectar ao espaço de trabalho seguro:
| Método | Description |
|---|---|
| Gateway de VPN do Azure | Conecta redes locais a uma Rede Virtual do Azure por meio de uma conexão privada. Um ponto de extremidade privado para seu espaço de trabalho é criado dentro dessa rede virtual. A conexão é feita através da internet pública. |
| ExpressRoute | Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade. |
Importante
Ao usar um gateway VPN ou Rota Expressa, você precisará planejar como funciona a resolução de nomes entre seus recursos locais e aqueles na nuvem. Para obter mais informações, consulte Usar um servidor DNS personalizado.
Use as etapas a seguir para criar uma Máquina Virtual do Azure para usar como uma caixa de salto. Na área de trabalho da VM, você pode usar o navegador na VM para se conectar a recursos dentro da rede virtual gerenciada, como o estúdio de Aprendizado de Máquina do Azure. Ou você pode instalar ferramentas de desenvolvimento na VM.
Gorjeta
As etapas a seguir criam uma VM corporativa do Windows 11. Dependendo dos seus requisitos, talvez você queira selecionar uma imagem de VM diferente. A imagem corporativa do Windows 11 (ou 10) é útil se você precisar associar a VM ao domínio da sua organização.
No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, digite Máquina Virtual. Selecione a entrada Máquina Virtual e, em seguida, selecione Criar.
Na guia Noções básicas, selecione a assinatura, o grupo de recursos e a região na qual criar o serviço. Forneça valores para os seguintes campos:
Nome da máquina virtual: um nome exclusivo para a VM.
Nome de usuário: o nome de usuário que você usa para entrar na VM.
Senha: A senha para o nome de usuário.
Tipo de segurança: Padrão.
Imagem: Windows 11 Enterprise.
Gorjeta
Se o Windows 11 Enterprise não estiver na lista para seleção de imagens, use Ver todas as imagens_. Encontre a entrada do Windows 11 da Microsoft e use a lista suspensa Selecionar para selecionar a imagem da empresa.
Você pode deixar outros campos nos valores padrão.
Selecione Rede. Reveja as informações de rede e certifique-se de que não está a utilizar o intervalo de endereços IP 172.17.0.0/16. Se estiver, selecione um intervalo diferente, como 172.16.0.0/16; o intervalo 172.17.0.0/16 pode causar conflitos com o Docker.
Nota
A Máquina Virtual do Azure cria sua própria Rede Virtual do Azure para isolamento de rede. Essa rede é separada da rede virtual gerenciada usada pelo Azure Machine Learning.
Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.
Habilitar o Azure Bastion para a VM
O Azure Bastion permite que você se conecte à área de trabalho da VM por meio do navegador.
No portal do Azure, selecione a VM criada anteriormente. Na seção Conectar da página, selecione Bastion e, em seguida , Implantar Bastion.
Depois que o serviço Bastion é implantado, você chega a uma caixa de diálogo de conexão. Deixe esta caixa de diálogo por enquanto.
Criar uma área de trabalho
No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira o Azure Machine Learning. Selecione a entrada do Azure Machine Learning e, em seguida, selecione Criar.
Na guia Noções básicas, selecione a assinatura, o grupo de recursos e a região na qual criar o serviço. Insira um nome exclusivo para o nome do espaço de trabalho. Deixe o restante dos campos nos valores padrão; Novas instâncias dos serviços necessários são criadas para o espaço de trabalho.
Na guia Rede, selecione Privado com saída da Internet.
Na guia Rede, na seção Acesso de entrada do espaço de trabalho, selecione + Adicionar.
No formulário Criar ponto de extremidade privado, insira um valor exclusivo no campo Nome. Selecione a rede virtual criada anteriormente com a VM e selecione a sub-rede padrão. Deixe o restante dos campos nos valores padrão. Selecione OK para salvar o ponto de extremidade.
Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.
Depois que o espaço de trabalho for criado, selecione Ir para recurso.
Conectar-se à área de trabalho da VM
No portal do Azure, selecione a VM criada anteriormente.
Na seção Conectar, selecione Bastion. Introduza o nome de utilizador e a palavra-passe que configurou para a VM e, em seguida, selecione Ligar.
Conecte-se ao estúdio
Neste ponto, o espaço de trabalho é criado , mas a rede virtual gerenciada não. A rede virtual gerenciada é configurada quando você cria o espaço de trabalho. Para criar a rede virtual gerenciada, crie um recurso de computação ou provisione manualmente a rede.
Use as etapas a seguir para criar uma instância de computação.
Na área de trabalho da VM, use o navegador para abrir o estúdio do Azure Machine Learning e selecione o espaço de trabalho criado anteriormente.
No estúdio, selecione Computação, Instâncias de computação e, em seguida , + Novo.
Na caixa de diálogo Configurar configurações necessárias, insira um valor exclusivo como o Nome da computação. Deixe o restante das seleções no valor padrão.
Selecione Criar. A instância de computação leva alguns minutos para ser criada. A instância de computação é criada dentro da rede gerenciada.
Gorjeta
Pode levar vários minutos para criar o primeiro recurso de computação. Esse atraso ocorre porque a rede virtual gerenciada também está sendo criada. A rede virtual gerenciada não é criada até que o primeiro recurso de computação seja criado. Os recursos de computação gerenciados subsequentes serão criados muito mais rapidamente.
Habilitar o acesso do estúdio ao armazenamento
Como o estúdio do Azure Machine Learning é parcialmente executado no navegador da Web no cliente, o cliente precisa ser capaz de acessar diretamente a conta de armazenamento padrão para que o espaço de trabalho execute operações de dados. Para habilitar o acesso direto, use as seguintes etapas:
No portal do Azure, selecione a VM da caixa de salto que você criou anteriormente. Na seção Visão geral, copie o endereço IP público.
No portal do Azure, selecione o espaço de trabalho criado anteriormente. Na seção Visão geral, selecione o link para a entrada Armazenamento.
Na conta de armazenamento, selecione Rede e adicione o endereço IP público da caixa de salto à seção Firewall.
Gorjeta
Em um cenário em que você usa um gateway VPN ou Rota Expressa em vez de uma caixa de salto, você pode adicionar um ponto de extremidade privado ou ponto de extremidade de serviço para a conta de armazenamento à Rede Virtual do Azure. Usar um ponto de extremidade privado ou um ponto de extremidade de serviço permitiria que vários clientes se conectassem por meio da Rede Virtual do Azure executassem operações de armazenamento com êxito por meio do estúdio.
Neste ponto, você pode usar o estúdio para trabalhar interativamente com blocos de anotações na instância de computação e executar trabalhos de treinamento. Para obter um tutorial, consulte Tutorial: Desenvolvimento de modelos.
Parar instância de computação
Enquanto está em execução (iniciado), a instância de computação continua cobrando sua assinatura. Para evitar o excesso de custos, pare-o quando não estiver em uso.
No estúdio, selecione Computação, Instâncias de computação e, em seguida, selecione a instância de computação. Por fim, selecione Parar na parte superior da página.
Clean up resources (Limpar recursos)
Se você planeja continuar usando o espaço de trabalho seguro e outros recursos, ignore esta seção.
Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:
No portal do Azure, selecione Grupos de recursos.
Na lista, selecione o grupo de recursos que você criou neste tutorial.
Selecione Eliminar grupo de recursos.
Introduza o nome do grupo de recursos e, em seguida, selecione Eliminar.
Próximos passos
Agora que você tem um espaço de trabalho seguro e pode acessar o estúdio, saiba como implantar um modelo em um ponto de extremidade online com isolamento de rede.
Para obter mais informações sobre a rede virtual gerenciada, consulte Proteger seu espaço de trabalho com uma rede virtual gerenciada.