Självstudie: Så här skapar du en säker arbetsyta med ett hanterat virtuellt nätverk
I den här artikeln lär du dig hur du skapar och ansluter till en säker Azure Machine Learning-arbetsyta. Stegen i den här artikeln använder ett hanterat virtuellt Azure Machine Learning-nätverk för att skapa en säkerhetsgräns för resurser som används av Azure Machine Learning.
I den här självstudien utför du följande uppgifter:
- Skapa en Azure Machine Learning-arbetsyta som konfigurerats för att använda ett hanterat virtuellt nätverk.
- Skapa ett Azure Machine Learning-beräkningskluster. Ett beräkningskluster används när maskininlärningsmodeller tränas i molnet.
När du har slutfört den här självstudien har du följande arkitektur:
- En Azure Machine Learning-arbetsyta som använder en privat slutpunkt för att kommunicera med det hanterade nätverket.
- Ett Azure Storage-konto som använder privata slutpunkter för att tillåta lagringstjänster som blob och fil att kommunicera med det hanterade nätverket.
- Ett Azure Container Registry som använder en privat slutpunkt kommunicerar med det hanterade nätverket.
- Ett Azure Key Vault som använder en privat slutpunkt för att kommunicera med det hanterade nätverket.
- En Azure Machine Learning-beräkningsinstans och ett beräkningskluster som skyddas av det hanterade nätverket.
Förutsättningar
- En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar. Prova den kostnadsfria eller betalda versionen av Azure Machine Learning.
Skapa en hoppruta (VM)
Det finns flera sätt att ansluta till den skyddade arbetsytan. I den här självstudien används en hoppruta . En hoppruta är en virtuell dator i ett virtuellt Azure-nätverk. Du kan ansluta till den med hjälp av webbläsaren och Azure Bastion.
I följande tabell visas flera andra sätt att ansluta till den säkra arbetsytan:
Metod | beskrivning |
---|---|
Azure VPN-gateway | Ansluter lokala nätverk till ett virtuellt Azure-nätverk via en privat anslutning. En privat slutpunkt för din arbetsyta skapas i det virtuella nätverket. Anslutningen görs via det offentliga Internet. |
ExpressRoute | Ansluter lokala nätverk till molnet via en privat anslutning. Anslutningen görs med hjälp av en anslutningsprovider. |
Viktigt!
När du använder en VPN-gateway eller ExpressRoute måste du planera hur namnmatchning fungerar mellan dina lokala resurser och dem i molnet. Mer information finns i Använda en anpassad DNS-server.
Använd följande steg för att skapa en virtuell Azure-dator som ska användas som en hoppruta. Från den virtuella datorns skrivbord kan du sedan använda webbläsaren på den virtuella datorn för att ansluta till resurser i det hanterade virtuella nätverket, till exempel Azure Machine Learning-studio. Eller så kan du installera utvecklingsverktyg på den virtuella datorn.
Dricks
Följande steg skapar en virtuell Windows 11-företagsdator. Beroende på dina krav kanske du vill välja en annan VM-avbildning. Företagsavbildningen Windows 11 (eller 10) är användbar om du behöver ansluta den virtuella datorn till organisationens domän.
I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Virtuell dator. Välj posten Virtuell dator och välj sedan Skapa.
På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du vill skapa tjänsten i. Ange värden för följande fält:
Namn på virtuell dator: Ett unikt namn för den virtuella datorn.
Användarnamn: Det användarnamn som du använder för att logga in på den virtuella datorn.
Lösenord: Lösenordet för användarnamnet.
Säkerhetstyp: Standard.
Bild: Windows 11 Enterprise.
Dricks
Om Windows 11 Enterprise inte finns med i listan för bildval använder du Visa alla bilder_. Leta upp Posten Windows 11 från Microsoft och använd listrutan Välj för att välja företagsavbildningen.
Du kan lämna andra fält med standardvärdena.
Välj Nätverk. Granska nätverksinformationen och kontrollera att den inte använder IP-adressintervallet 172.17.0.0/16. Om det är det väljer du ett annat intervall, till exempel 172.16.0.0/16; intervallet 172.17.0.0/16 kan orsaka konflikter med Docker.
Kommentar
Den virtuella Azure-datorn skapar ett eget virtuellt Azure-nätverk för nätverksisolering. Det här nätverket är separat från det hanterade virtuella nätverk som används av Azure Machine Learning.
Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.
Aktivera Azure Bastion för den virtuella datorn
Med Azure Bastion kan du ansluta till den virtuella datorns skrivbord via webbläsaren.
I Azure Portal väljer du den virtuella dator som du skapade tidigare. I avsnittet Anslut på sidan väljer du Bastion och sedan Distribuera Bastion.
När Bastion-tjänsten har distribuerats kommer du till en anslutningsdialogruta. Lämna den här dialogrutan tills vidare.
Skapa en arbetsyta
I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Azure Machine Learning. Välj posten Azure Machine Learning och välj sedan Skapa.
På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du vill skapa tjänsten i. Ange ett unikt namn för arbetsytans namn. Lämna resten av fälten vid standardvärdena. nya instanser av de nödvändiga tjänsterna skapas för arbetsytan.
På fliken Nätverk väljer du Privat med Utgående Internet.
På fliken Nätverk går du till avsnittet Arbetsyta för inkommande åtkomst och väljer + Lägg till.
I formuläret Skapa privat slutpunkt anger du ett unikt värde i fältet Namn . Välj det virtuella nätverk som skapades tidigare med den virtuella datorn och välj standardundernätet. Låt resten av fälten vara kvar som standardvärden. Välj OK för att spara slutpunkten.
Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.
När arbetsytan har skapats väljer du Gå till resurs.
Ansluta till den virtuella datorns skrivbord
Från Azure Portal väljer du den virtuella dator som du skapade tidigare.
I avsnittet Anslut väljer du Bastion. Ange användarnamnet och lösenordet som du konfigurerade för den virtuella datorn och välj sedan Anslut.
Ansluta till studio
Nu skapas arbetsytan, men det hanterade virtuella nätverket är det inte. Det hanterade virtuella nätverket konfigureras när du skapar arbetsytan. Skapa det hanterade virtuella nätverket genom att skapa en beräkningsresurs eller etablera nätverket manuellt.
Använd följande steg för att skapa en beräkningsinstans.
Från den virtuella datorns skrivbord använder du webbläsaren för att öppna Azure Machine Learning-studio och välja den arbetsyta som du skapade tidigare.
Från studio väljer du Beräkning, Beräkningsinstanser och sedan + Ny.
I dialogrutan Konfigurera nödvändiga inställningar anger du ett unikt värde som beräkningsnamn. Låt resten av valen vara kvar som standardvärde.
Välj Skapa. Det tar några minuter att skapa beräkningsinstansen. Beräkningsinstansen skapas i det hanterade nätverket.
Dricks
Det kan ta flera minuter att skapa den första beräkningsresursen. Den här fördröjningen beror på att det hanterade virtuella nätverket också skapas. Det hanterade virtuella nätverket skapas inte förrän den första beräkningsresursen har skapats. Efterföljande hanterade beräkningsresurser skapas mycket snabbare.
Aktivera studioåtkomst till lagring
Eftersom Azure Machine Learning-studio delvis körs i webbläsaren på klienten måste klienten kunna komma åt standardlagringskontot direkt för att arbetsytan ska kunna utföra dataåtgärder. Använd följande steg för att aktivera direkt åtkomst:
Från Azure Portal väljer du den virtuella jump box-dator som du skapade tidigare. I avsnittet Översikt kopierar du den offentliga IP-adressen.
Från Azure Portal väljer du den arbetsyta som du skapade tidigare. I avsnittet Översikt väljer du länken för posten Lagring .
Från lagringskontot väljer du Nätverk och lägger till jump boxens offentliga IP-adress i avsnittet Brandvägg .
Dricks
I ett scenario där du använder en VPN-gateway eller ExpressRoute i stället för en hoppruta kan du lägga till en privat slutpunkt eller tjänstslutpunkt för lagringskontot i Azure Virtual Network. Om du använder en privat slutpunkt eller tjänstslutpunkt skulle flera klienter som ansluter via Azure Virtual Network kunna utföra lagringsåtgärder via studio.
Nu kan du använda studion för att interaktivt arbeta med notebook-filer på beräkningsinstansen och köra träningsjobb. En självstudiekurs finns i Självstudie: Modellutveckling.
Stoppa beräkningsinstans
Medan den körs (startad) fortsätter beräkningsinstansen att debitera din prenumeration. För att undvika överskjutande kostnader stoppar du den när den inte används.
I Studio väljer du Beräkning, Beräkningsinstanser och sedan beräkningsinstansen. Välj slutligen Stoppa överst på sidan.
Rensa resurser
Om du planerar att fortsätta använda den skyddade arbetsytan och andra resurser hoppar du över det här avsnittet.
Om du vill ta bort alla resurser som skapats i den här självstudien använder du följande steg:
I Azure Portal väljer du Resursgrupper.
I listan väljer du den resursgrupp som du skapade i den här självstudien.
Välj Ta bort resursgrupp.
Ange resursgruppens namn och välj sedan Ta bort.
Nästa steg
Nu när du har en säker arbetsyta och kan komma åt studio kan du lära dig hur du distribuerar en modell till en onlineslutpunkt med nätverksisolering.
Mer information om det hanterade virtuella nätverket finns i Skydda din arbetsyta med ett hanterat virtuellt nätverk.