Dela via


Självstudie: Så här skapar du en säker arbetsyta med ett hanterat virtuellt nätverk

I den här artikeln lär du dig hur du skapar och ansluter till en säker Azure Machine Learning-arbetsyta. Stegen i den här artikeln använder ett hanterat virtuellt Azure Machine Learning-nätverk för att skapa en säkerhetsgräns för resurser som används av Azure Machine Learning.

I den här självstudien utför du följande uppgifter:

  • Skapa en Azure Machine Learning-arbetsyta som konfigurerats för att använda ett hanterat virtuellt nätverk.
  • Skapa ett Azure Machine Learning-beräkningskluster. Ett beräkningskluster används när maskininlärningsmodeller tränas i molnet.

När du har slutfört den här självstudien har du följande arkitektur:

  • En Azure Machine Learning-arbetsyta som använder en privat slutpunkt för att kommunicera med det hanterade nätverket.
  • Ett Azure Storage-konto som använder privata slutpunkter för att tillåta lagringstjänster som blob och fil att kommunicera med det hanterade nätverket.
  • Ett Azure Container Registry som använder en privat slutpunkt kommunicerar med det hanterade nätverket.
  • Ett Azure Key Vault som använder en privat slutpunkt för att kommunicera med det hanterade nätverket.
  • En Azure Machine Learning-beräkningsinstans och ett beräkningskluster som skyddas av det hanterade nätverket.

Förutsättningar

Skapa en hoppruta (VM)

Det finns flera sätt att ansluta till den skyddade arbetsytan. I den här självstudien används en hoppruta . En hoppruta är en virtuell dator i ett virtuellt Azure-nätverk. Du kan ansluta till den med hjälp av webbläsaren och Azure Bastion.

I följande tabell visas flera andra sätt att ansluta till den säkra arbetsytan:

Metod beskrivning
Azure VPN-gateway Ansluter lokala nätverk till ett virtuellt Azure-nätverk via en privat anslutning. En privat slutpunkt för din arbetsyta skapas i det virtuella nätverket. Anslutningen görs via det offentliga Internet.
ExpressRoute Ansluter lokala nätverk till molnet via en privat anslutning. Anslutningen görs med hjälp av en anslutningsprovider.

Viktigt!

När du använder en VPN-gateway eller ExpressRoute måste du planera hur namnmatchning fungerar mellan dina lokala resurser och dem i molnet. Mer information finns i Använda en anpassad DNS-server.

Använd följande steg för att skapa en virtuell Azure-dator som ska användas som en hoppruta. Från den virtuella datorns skrivbord kan du sedan använda webbläsaren på den virtuella datorn för att ansluta till resurser i det hanterade virtuella nätverket, till exempel Azure Machine Learning-studio. Eller så kan du installera utvecklingsverktyg på den virtuella datorn.

Dricks

Följande steg skapar en virtuell Windows 11-företagsdator. Beroende på dina krav kanske du vill välja en annan VM-avbildning. Företagsavbildningen Windows 11 (eller 10) är användbar om du behöver ansluta den virtuella datorn till organisationens domän.

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Virtuell dator. Välj posten Virtuell dator och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du vill skapa tjänsten i. Ange värden för följande fält:

    • Namn på virtuell dator: Ett unikt namn för den virtuella datorn.

    • Användarnamn: Det användarnamn som du använder för att logga in på den virtuella datorn.

    • Lösenord: Lösenordet för användarnamnet.

    • Säkerhetstyp: Standard.

    • Bild: Windows 11 Enterprise.

      Dricks

      Om Windows 11 Enterprise inte finns med i listan för bildval använder du Visa alla bilder_. Leta upp Posten Windows 11 från Microsoft och använd listrutan Välj för att välja företagsavbildningen.

    Du kan lämna andra fält med standardvärdena.

    Skärmbild av grundkonfigurationen för den virtuella datorn.

  3. Välj Nätverk. Granska nätverksinformationen och kontrollera att den inte använder IP-adressintervallet 172.17.0.0/16. Om det är det väljer du ett annat intervall, till exempel 172.16.0.0/16; intervallet 172.17.0.0/16 kan orsaka konflikter med Docker.

    Kommentar

    Den virtuella Azure-datorn skapar ett eget virtuellt Azure-nätverk för nätverksisolering. Det här nätverket är separat från det hanterade virtuella nätverk som används av Azure Machine Learning.

    Skärmbild av fliken Nätverk för den virtuella datorn.

  4. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

Aktivera Azure Bastion för den virtuella datorn

Med Azure Bastion kan du ansluta till den virtuella datorns skrivbord via webbläsaren.

  1. I Azure Portal väljer du den virtuella dator som du skapade tidigare. I avsnittet Anslut på sidan väljer du Bastion och sedan Distribuera Bastion.

    Skärmbild av alternativet distribuera Bastion.

  2. När Bastion-tjänsten har distribuerats kommer du till en anslutningsdialogruta. Lämna den här dialogrutan tills vidare.

Skapa en arbetsyta

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Azure Machine Learning. Välj posten Azure Machine Learning och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du vill skapa tjänsten i. Ange ett unikt namn för arbetsytans namn. Lämna resten av fälten vid standardvärdena. nya instanser av de nödvändiga tjänsterna skapas för arbetsytan.

    Skärmbild av formuläret för att skapa arbetsytan.

  3. På fliken Nätverk väljer du Privat med Utgående Internet.

    Skärmbild av fliken för arbetsytans nätverk med utgående Internet valt.

  4. På fliken Nätverk går du till avsnittet Arbetsyta för inkommande åtkomst och väljer + Lägg till.

    Skärmbild som visar knappen Lägg till för inkommande åtkomst.

  5. I formuläret Skapa privat slutpunkt anger du ett unikt värde i fältet Namn . Välj det virtuella nätverk som skapades tidigare med den virtuella datorn och välj standardundernätet. Låt resten av fälten vara kvar som standardvärden. Välj OK för att spara slutpunkten.

    Skärmbild av formuläret för att skapa en privat slutpunkt.

  6. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

  7. När arbetsytan har skapats väljer du Gå till resurs.

Ansluta till den virtuella datorns skrivbord

  1. Från Azure Portal väljer du den virtuella dator som du skapade tidigare.

  2. I avsnittet Anslut väljer du Bastion. Ange användarnamnet och lösenordet som du konfigurerade för den virtuella datorn och välj sedan Anslut.

    Skärmbild av bastionens anslutningsformulär.

Ansluta till studio

Nu skapas arbetsytan, men det hanterade virtuella nätverket är det inte. Det hanterade virtuella nätverket konfigureras när du skapar arbetsytan. Skapa det hanterade virtuella nätverket genom att skapa en beräkningsresurs eller etablera nätverket manuellt.

Använd följande steg för att skapa en beräkningsinstans.

  1. Från den virtuella datorns skrivbord använder du webbläsaren för att öppna Azure Machine Learning-studio och välja den arbetsyta som du skapade tidigare.

  2. Från studio väljer du Beräkning, Beräkningsinstanser och sedan + Ny.

    Skärmbild av det nya beräkningsalternativet i studio.

  3. I dialogrutan Konfigurera nödvändiga inställningar anger du ett unikt värde som beräkningsnamn. Låt resten av valen vara kvar som standardvärde.

  4. Välj Skapa. Det tar några minuter att skapa beräkningsinstansen. Beräkningsinstansen skapas i det hanterade nätverket.

    Dricks

    Det kan ta flera minuter att skapa den första beräkningsresursen. Den här fördröjningen beror på att det hanterade virtuella nätverket också skapas. Det hanterade virtuella nätverket skapas inte förrän den första beräkningsresursen har skapats. Efterföljande hanterade beräkningsresurser skapas mycket snabbare.

Aktivera studioåtkomst till lagring

Eftersom Azure Machine Learning-studio delvis körs i webbläsaren på klienten måste klienten kunna komma åt standardlagringskontot direkt för att arbetsytan ska kunna utföra dataåtgärder. Använd följande steg för att aktivera direkt åtkomst:

  1. Från Azure Portal väljer du den virtuella jump box-dator som du skapade tidigare. I avsnittet Översikt kopierar du den offentliga IP-adressen.

  2. Från Azure Portal väljer du den arbetsyta som du skapade tidigare. I avsnittet Översikt väljer du länken för posten Lagring .

  3. Från lagringskontot väljer du Nätverk och lägger till jump boxens offentliga IP-adress i avsnittet Brandvägg .

    Dricks

    I ett scenario där du använder en VPN-gateway eller ExpressRoute i stället för en hoppruta kan du lägga till en privat slutpunkt eller tjänstslutpunkt för lagringskontot i Azure Virtual Network. Om du använder en privat slutpunkt eller tjänstslutpunkt skulle flera klienter som ansluter via Azure Virtual Network kunna utföra lagringsåtgärder via studio.

    Nu kan du använda studion för att interaktivt arbeta med notebook-filer på beräkningsinstansen och köra träningsjobb. En självstudiekurs finns i Självstudie: Modellutveckling.

Stoppa beräkningsinstans

Medan den körs (startad) fortsätter beräkningsinstansen att debitera din prenumeration. För att undvika överskjutande kostnader stoppar du den när den inte används.

I Studio väljer du Beräkning, Beräkningsinstanser och sedan beräkningsinstansen. Välj slutligen Stoppa överst på sidan.

Skärmbild av stoppknappen för beräkningsinstansen

Rensa resurser

Om du planerar att fortsätta använda den skyddade arbetsytan och andra resurser hoppar du över det här avsnittet.

Om du vill ta bort alla resurser som skapats i den här självstudien använder du följande steg:

  1. I Azure Portal väljer du Resursgrupper.

  2. I listan väljer du den resursgrupp som du skapade i den här självstudien.

  3. Välj Ta bort resursgrupp.

    Skärmbild av knappen Ta bort resursgrupp

  4. Ange resursgruppens namn och välj sedan Ta bort.

Nästa steg

Nu när du har en säker arbetsyta och kan komma åt studio kan du lära dig hur du distribuerar en modell till en onlineslutpunkt med nätverksisolering.

Mer information om det hanterade virtuella nätverket finns i Skydda din arbetsyta med ett hanterat virtuellt nätverk.