Dela via

Självstudie: Så här skapar du en säker arbetsyta med ett virtuellt Azure-nätverk

  • Artikel

I den här artikeln lär du dig hur du skapar och ansluter till en säker Azure Machine Learning-arbetsyta. Stegen i den här artikeln använder ett virtuellt Azure-nätverk för att skapa en säkerhetsgräns för resurser som används av Azure Machine Learning.

Viktigt!

Vi rekommenderar att du använder det hanterade virtuella Azure Machine Learning-nätverket i stället för ett virtuellt Azure-nätverk. En version av den här självstudien som använder ett hanterat virtuellt nätverk finns i Självstudie: Skapa en säker arbetsyta med ett hanterat virtuellt nätverk.

I den här självstudien utför du följande uppgifter:

  • Skapa ett virtuellt Azure-nätverk (VNet) för att skydda kommunikationen mellan tjänster i det virtuella nätverket.
  • Skapa ett Azure Storage-konto (blob och fil) bakom det virtuella nätverket. Den här tjänsten används som standardlagring för arbetsytan.
  • Skapa ett Azure Key Vault bakom det virtuella nätverket. Den här tjänsten används för att lagra hemligheter som används av arbetsytan. Till exempel den säkerhetsinformation som behövs för att få åtkomst till lagringskontot.
  • Skapa en ACR (Azure Container Registry). Den här tjänsten används som lagringsplats för Docker-avbildningar. Docker-avbildningar tillhandahåller de beräkningsmiljöer som behövs när du tränar en maskininlärningsmodell eller distribuerar en tränad modell som en slutpunkt.
  • Skapa en Azure Machine Learning-arbetsyta.
  • Skapa en hoppruta. En hoppruta är en virtuell Azure-dator som finns bakom det virtuella nätverket. Eftersom det virtuella nätverket begränsar åtkomsten från det offentliga Internet används hopprutan som ett sätt att ansluta till resurser bakom det virtuella nätverket.
  • Konfigurera Azure Machine Learning-studio att fungera bakom ett virtuellt nätverk. Studion tillhandahåller ett webbgränssnitt för Azure Machine Learning.
  • Skapa ett Azure Machine Learning-beräkningskluster. Ett beräkningskluster används när maskininlärningsmodeller tränas i molnet. I konfigurationer där Azure Container Registry ligger bakom det virtuella nätverket används det också för att skapa Docker-avbildningar.
  • Anslut till hopprutan och använd Azure Machine Learning-studio.

Dricks

Om du letar efter en mall som visar hur du skapar en säker arbetsyta kan du läsa Bicep-mallen eller Terraform-mallen.

När du har slutfört den här självstudien har du följande arkitektur:

  • Ett virtuellt Azure-nätverk som innehåller tre undernät:
    • Utbildning: Innehåller Azure Machine Learning-arbetsytan, beroendetjänster och resurser som används för träningsmodeller.
    • Bedömning: För stegen i den här självstudien används den inte. Men om du fortsätter att använda den här arbetsytan för andra självstudier rekommenderar vi att du använder det här undernätet när du distribuerar modeller till slutpunkter.
    • AzureBastionSubnet: Används av Azure Bastion-tjänsten för att på ett säkert sätt ansluta klienter till virtuella Azure-datorer.
  • En Azure Machine Learning-arbetsyta som använder en privat slutpunkt för att kommunicera med det virtuella nätverket.
  • Ett Azure Storage-konto som använder privata slutpunkter för att tillåta lagringstjänster som blob och fil att kommunicera med det virtuella nätverket.
  • Ett Azure Container Registry som använder en privat slutpunkt kommunicerar med det virtuella nätverket.
  • Azure Bastion, som gör att du kan använda webbläsaren för att på ett säkert sätt kommunicera med den virtuella jump box-datorn i det virtuella nätverket.
  • En virtuell Azure-dator som du kan fjärransluta till och komma åt resurser som skyddas i det virtuella nätverket.
  • En Azure Machine Learning-beräkningsinstans och ett beräkningskluster.

Dricks

Azure Batch-tjänsten i diagrammet är en serverdelstjänst som krävs av beräkningskluster och beräkningsinstanser.

Diagram över den slutliga arkitekturen som skapats via den här självstudien.

Förutsättningar

  • Kunskaper om virtuella Azure-nätverk och IP-nätverk. Om du inte är bekant kan du prova modulen Grunderna för datornätverk .
  • De flesta stegen i den här artikeln använder Azure Portal eller Azure Machine Learning-studio, men vissa steg använder Azure CLI-tillägget för Machine Learning v2.

Skapa ett virtuellt nätverk

Använd följande steg för att skapa ett virtuellt nätverk:

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Virtuellt nätverk i sökfältet. Välj posten Virtuellt nätverk och välj sedan Skapa.

    Skärmbild av resurssökningsformuläret med det virtuella nätverket valt.

    Skärmbild av formuläret för att skapa det virtuella nätverket.

  2. På fliken Grundläggande väljer du den Azure-prenumeration som ska användas för den här resursen och väljer eller skapar sedan en ny resursgrupp. Under Instansinformation anger du ett eget namn för det virtuella nätverket och väljer den region som du vill skapa det i.

    Skärmbild av konfigurationsformuläret för det grundläggande virtuella nätverket.

  3. Välj Säkerhet. Välj för att aktivera Azure Bastion. Azure Bastion är ett säkert sätt att komma åt den virtuella datorns hoppruta som du skapar i det virtuella nätverket i ett senare steg. Använd följande värden för de återstående fälten:

    • Bastion-namn: Ett unikt namn för den här Bastion-instansen
    • Offentlig IP-adress: Skapa en ny offentlig IP-adress.

    Lämna de andra fälten som standardvärden.

    Skärmbild av Bastion-konfiguration.

  4. Välj IP-adresser. Standardinställningarna bör likna följande bild:

    Skärmbild av standardformuläret för IP-adresser.

    Använd följande steg för att konfigurera IP-adressen och konfigurera ett undernät för tränings- och bedömningsresurser:

    Dricks

    Du kan använda ett enda undernät för alla Azure Machine Learning-resurser, men stegen i den här artikeln visar hur du skapar två undernät för att separera tränings- och bedömningsresurserna.

    Arbetsytan och andra beroendetjänster kommer att gå in i träningsundernätet. De kan fortfarande användas av resurser i andra undernät, till exempel bedömningsundernätet.

    1. Titta på standardvärdet för IPv4-adressutrymme . På skärmbilden är värdet 172.16.0.0/16. Värdet kan vara annorlunda för dig. Även om du kan använda ett annat värde baseras resten av stegen i den här självstudien på värdet 172.16.0.0/16.

      Varning

      Använd inte IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket och resulterar i fel om det används för ditt virtuella nätverk. Andra intervall kan också vara i konflikt beroende på vad du vill ansluta till det virtuella nätverket. Om du till exempel planerar att ansluta ditt lokala nätverk till det virtuella nätverket och ditt lokala nätverk också använder intervallet 172.16.0.0/16. I slutändan är det upp till dig att planera din nätverksinfrastruktur.

    2. Välj undernätet Standard och välj sedan redigeringsikonen.

      Skärmbild av att välja redigeringsikonen för standardundernätet.

    3. Ändra undernätets namn till Utbildning. Lämna de andra värdena i standardinställningarna och välj sedan Spara för att spara ändringarna.

    4. Om du vill skapa ett undernät för beräkningsresurser som används för att poängsätta dina modeller väljer du + Lägg till undernät och anger namn och adressintervall:

      • Undernätsnamn: Bedömning
      • Startadress: 172.16.2.0
      • Undernätsstorlek: /24 (256 adresser)

      Skärmbild av bedömningsundernätet.

    5. Välj Lägg till för att lägga till undernätet.

  5. Välj Granska + skapa.

    Skärmbild av knappen granska + skapa.

  6. Kontrollera att informationen är korrekt och välj sedan Skapa.

    Skärmbild av granskningssidan för virtuellt nätverk + skapa.

Skapa ett lagringskonto

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Lagringskonto. Välj posten Lagringskonto och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du tidigare använde för det virtuella nätverket. Ange ett unikt lagringskontonamn och ange Redundans till Lokalt redundant lagring (LRS)..

    Skärmbild av grundläggande konfiguration av lagringskonto.

  3. På fliken Nätverk väljer du Inaktivera offentlig åtkomst och sedan + Lägg till privat slutpunkt.

    Skärmbild av formuläret för att lägga till det privata blobnätverket.

  4. Använd följande värden i formuläret Skapa privat slutpunkt :

    • Prenumeration: Samma Azure-prenumeration som innehåller tidigare resurser.
    • Resursgrupp: Samma Azure-resursgrupp som innehåller tidigare resurser.
    • Plats: Samma Azure-region som innehåller tidigare resurser.
    • Namn: Ett unikt namn för den här privata slutpunkten.
    • Underresurs för mål: blob
    • Virtuellt nätverk: Det virtuella nätverk som du skapade tidigare.
    • Undernät: Utbildning (172.16.0.0/24)
    • Privat DNS integrering: Ja
    • Privat DNS zon: privatelink.blob.core.windows.net

    Välj Lägg till för att skapa den privata slutpunkten.

  5. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

  6. När lagringskontot har skapats väljer du Gå till resurs:

    Skärmbild av knappen Gå till ny lagringsresurs.

  7. I det vänstra navigeringsfältet väljer du Nätverk fliken Privata slutpunktsanslutningar och väljer sedan + Privat slutpunkt:

    Kommentar

    När du skapade en privat slutpunkt för Blob Storage i föregående steg måste du också skapa en för Fillagring.

    Skärmbild av lagringskontots nätverksformulär.

  8. I formuläret Skapa en privat slutpunkt använder du samma prenumeration, resursgrupp och region som du har använt för tidigare resurser. Ange ett unikt namn.

    Skärmbild av grundformuläret när du lägger till filens privata slutpunkt.

  9. Välj Nästa: Resurs och ange sedan Målunderresurs till fil.

    Skärmbild av resursformuläret när du väljer en underresurs av

  10. Välj Nästa: Virtuellt nätverk och använd sedan följande värden:

    • Virtuellt nätverk: Det nätverk som du skapade tidigare
    • Undernät: Utbildning

    Skärmbild av konfigurationsformuläret när du lägger till filens privata slutpunkt.

  11. Fortsätt genom flikarna och välj standardvärden tills du når Granska + Skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

Dricks

Om du planerar att använda en batchslutpunkt eller en Azure Machine Learning-pipeline som använder en ParallelRunStep måste du även konfigurera målkön för privata slutpunkter och tabellunderresurser. ParallelRunStep använder kö och tabell internt för schemaläggning och sändning av uppgifter.

Skapa ett nyckelvalv

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Key Vault. Välj posten Key Vault och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du tidigare använde för det virtuella nätverket. Ange ett unikt Nyckelvalvnamn. Lämna de andra fälten som standardvärde.

    Skärmbild av grundformuläret när du skapar ett nytt nyckelvalv.

  3. På fliken Nätverk avmarkerar du Aktivera offentlig åtkomst och väljer sedan + skapa en privat slutpunkt.

    Skärmbild av nätverksformuläret när du lägger till en privat slutpunkt för nyckelvalvet.

  4. Använd följande värden i formuläret Skapa privat slutpunkt :

    • Prenumeration: Samma Azure-prenumeration som innehåller tidigare resurser.
    • Resursgrupp: Samma Azure-resursgrupp som innehåller tidigare resurser.
    • Plats: Samma Azure-region som innehåller tidigare resurser.
    • Namn: Ett unikt namn för den här privata slutpunkten.
    • Underresurs för mål: Valv
    • Virtuellt nätverk: Det virtuella nätverk som du skapade tidigare.
    • Undernät: Utbildning (172.16.0.0/24)
    • Aktivera Privat DNS integrering: Ja
    • Privat DNS Zon: Välj den resursgrupp som innehåller det virtuella nätverket och nyckelvalvet.

    Välj Lägg till för att skapa den privata slutpunkten.

    Skärmbild av konfigurationsformuläret för privat slutpunkt för nyckelvalvet.

  5. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

Skapa ett containerregister

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Container Registry. Välj posten Container Registry och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och plats som du tidigare använde för det virtuella nätverket. Ange ett unikt registernamn och ange SKU:n till Premium.

    Skärmbild av grundformuläret när du skapar ett containerregister.

  3. På fliken Nätverk väljer du Privat slutpunkt och sedan + Lägg till.

    Skärmbild av nätverksformuläret när du lägger till en privat slutpunkt för containerregistret.

  4. Använd följande värden i formuläret Skapa privat slutpunkt :

    • Prenumeration: Samma Azure-prenumeration som innehåller tidigare resurser.
    • Resursgrupp: Samma Azure-resursgrupp som innehåller tidigare resurser.
    • Plats: Samma Azure-region som innehåller tidigare resurser.
    • Namn: Ett unikt namn för den här privata slutpunkten.
    • Underresurs för mål: register
    • Virtuellt nätverk: Det virtuella nätverk som du skapade tidigare.
    • Undernät: Utbildning (172.16.0.0/24)
    • Privat DNS integrering: Ja
    • Resursgrupp: Välj den resursgrupp som innehåller det virtuella nätverket och containerregistret.

    Välj Lägg till för att skapa den privata slutpunkten.

    Skärmbild av konfigurationsformuläret för den privata slutpunkten för containerregistret.

  5. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

  6. När containerregistret har skapats väljer du Gå till resurs.

    Skärmbild av knappen

  7. Till vänster på sidan väljer du Åtkomstnycklar och aktiverar sedan Administratörsanvändare. Den här inställningen krävs när du använder Azure Container Registry i ett virtuellt nätverk med Azure Machine Learning.

    Skärmbild av formuläret för åtkomstnycklar för containerregistret med alternativet

Skapa en arbetsyta

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Machine Learning. Välj posten Machine Learning och välj sedan Skapa.

    Skärmbild av sidan skapa för Azure Machine Learning.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du tidigare använde för det virtuella nätverket. Använd följande värden för de andra fälten:

    • Namn: Ett unikt namn för din arbetsyta.
    • Lagringskonto: Välj det lagringskonto som du skapade tidigare.
    • Nyckelvalv: Välj det nyckelvalv som du skapade tidigare.
    • Application Insights: Använd standardvärdet.
    • Containerregister: Använd containerregistret som du skapade tidigare.

    Skärmbild av konfigurationsformuläret för den grundläggande arbetsytan.

  3. På fliken Nätverk väljer du Privat med Utgående Internet. I avsnittet Arbetsyta för inkommande åtkomst väljer du + Lägg till.

  4. Använd följande värden i formuläret Skapa privat slutpunkt :

    • Prenumeration: Samma Azure-prenumeration som innehåller tidigare resurser.
    • Resursgrupp: Samma Azure-resursgrupp som innehåller tidigare resurser.
    • Plats: Samma Azure-region som innehåller tidigare resurser.
    • Namn: Ett unikt namn för den här privata slutpunkten.
    • Underresurs för mål: amlworkspace
    • Virtuellt nätverk: Det virtuella nätverk som du skapade tidigare.
    • Undernät: Utbildning (172.16.0.0/24)
    • Privat DNS integrering: Ja
    • Privat DNS Zon: Låt de två privata DNS-zonerna ha standardvärdena för privatelink.api.azureml.ms och privatelink.notebooks.azure.net.

    Välj OK för att skapa den privata slutpunkten.

    Skärmbild av konfigurationsformuläret för privat nätverk på arbetsytan.

  5. På fliken Nätverk går du till avsnittet Utgående åtkomst för arbetsyta och väljer Använd mitt eget virtuella nätverk.

  6. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

  7. När arbetsytan har skapats väljer du Gå till resurs.

  8. I avsnittet Inställningar till vänster väljer du Nätverk, Privata slutpunktsanslutningar och sedan länken i kolumnen Privat slutpunkt :

    Skärmbild av de privata slutpunktsanslutningarna för arbetsytan.

  9. När den privata slutpunktsinformationen visas väljer du DNS-konfiguration till vänster på sidan. Spara INFORMATIONEN om IP-adressen och det fullständigt kvalificerade domännamnet (FQDN) på den här sidan.

    skärmbild av IP- och FQDN-posterna för arbetsytan.

Viktigt!

Det finns fortfarande vissa konfigurationssteg som krävs innan du kan använda arbetsytan fullt ut. Dessa kräver dock att du ansluter till arbetsytan.

Aktivera studio

Azure Machine Learning-studio är ett webbaserat program som gör att du enkelt kan hantera din arbetsyta. Den behöver dock lite extra konfiguration innan den kan användas med resurser som skyddas i ett virtuellt nätverk. Använd följande steg för att aktivera studio:

  1. När du använder ett Azure Storage-konto som har en privat slutpunkt lägger du till tjänstens huvudnamn för arbetsytan som läsare för de privata lagringsslutpunkterna. Från Azure Portal väljer du ditt lagringskonto och sedan Nätverk. Välj sedan Privata slutpunktsanslutningar.

    Skärmbild av privata slutpunktsanslutningar för lagring.

  2. Använd följande steg för varje privat slutpunkt i listan:

    1. Välj länken i kolumnen Privat slutpunkt .

      Skärmbild av slutpunktslänkarna i kolumnen privat slutpunkt.

    2. Välj Åtkomstkontroll (IAM) på vänster sida.

    3. Välj + Lägg till och sedan Lägg till rolltilldelning (förhandsversion).

      Åtkomstkontrollsidan (IAM) med menyn Lägg till rolltilldelning öppen.

    4. På fliken Roll väljer du Läsare.

      Lägg till rolltilldelningssida med fliken Roll markerad.

    5. På fliken Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn i området Tilldela åtkomst till och väljer sedan + Välj medlemmar. I dialogrutan Välj medlemmar anger du namnet som din Azure Machine Learning-arbetsyta. Välj tjänstens huvudnamn för arbetsytan och använd sedan knappen Välj .

    6. På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.

Skydda Azure Monitor och Application Insights

Kommentar

Mer information om hur du skyddar Azure Monitor och Application Insights finns på följande länkar:

  1. I Azure Portal väljer du Start och söker sedan efter privat länk. Välj resultatet för Azure Monitor Private Link-omfånget och välj sedan Skapa.

  2. På fliken Grundläggande väljer du samma prenumerations-, resursgrupps- och resursgruppsregion som din Azure Machine Learning-arbetsyta. Ange ett namn för instansen och välj sedan Granska + skapa. Om du vill skapa instansen väljer du Skapa.

  3. När Azure Monitor Private Link-omfångsinstansen har skapats väljer du instansen i Azure Portal. I avsnittet Konfigurera väljer du Azure Monitor-resurser och sedan + Lägg till.

    Skärmbild av knappen Lägg till.

  4. I Välj ett omfång använder du filtren för att välja Application Insights-instansen för din Azure Machine Learning-arbetsyta. Välj Använd för att lägga till instansen.

  5. I avsnittet Konfigurera väljer du Privata slutpunktsanslutningar och sedan + Privat slutpunkt.

    Skärmbild av knappen Lägg till privat slutpunkt.

  6. Välj samma prenumeration, resursgrupp och region som innehåller ditt virtuella nätverk. Välj Nästa: Resurs.

    Skärmbild av grunderna för den privata Slutpunkten i Azure Monitor.

  7. Välj Microsoft.insights/privateLinkScopes som resurstyp. Välj det Private Link-omfång som du skapade tidigare som Resurs. Välj azuremonitor som underresurs för Mål. Välj slutligen Nästa: Virtuellt nätverk för att fortsätta.

    Skärmbild av de privata slutpunktsresurserna i Azure Monitor.

  8. Välj det virtuella nätverk som du skapade tidigare och undernätet Utbildning . Välj Nästa tills du kommer till Granska + Skapa. Välj Skapa för att skapa den privata slutpunkten.

    Skärmbild av det privata Slutpunktsnätverket i Azure Monitor.

  9. När den privata slutpunkten har skapats går du tillbaka till Azure Monitor Private Link-omfångsresursen i portalen. I avsnittet Konfigurera väljer du Åtkomstlägen. Välj Endast privat för inmatningsåtkomstläge och Frågeåtkomstläge och välj sedan Spara.

    Skärmbild av åtkomstlägena för privat länkomfång.

Ansluta till arbetsytan

Det finns flera sätt att ansluta till den skyddade arbetsytan. Stegen i den här artikeln använder en hoppruta, som är en virtuell dator i det virtuella nätverket. Du kan ansluta till den med hjälp av webbläsaren och Azure Bastion. I följande tabell visas flera andra sätt att ansluta till den säkra arbetsytan:

Metod beskrivning
Azure VPN-gateway Ansluter lokala nätverk till det virtuella nätverket via en privat anslutning. Anslutningen görs via det offentliga Internet.
ExpressRoute Ansluter lokala nätverk till molnet via en privat anslutning. Anslutningen görs med hjälp av en anslutningsprovider.

Viktigt!

När du använder en VPN-gateway eller ExpressRoute måste du planera hur namnmatchningen fungerar mellan dina lokala resurser och dem i det virtuella nätverket. Mer information finns i Använda en anpassad DNS-server.

Skapa en hoppruta (VM)

Använd följande steg för att skapa en virtuell Azure-dator som ska användas som en hoppruta. Med Azure Bastion kan du ansluta till den virtuella datorns skrivbord via webbläsaren. Från den virtuella datorns skrivbord kan du sedan använda webbläsaren på den virtuella datorn för att ansluta till resurser i det virtuella nätverket, till exempel Azure Machine Learning-studio. Eller så kan du installera utvecklingsverktyg på den virtuella datorn.

Dricks

Följande steg skapar en virtuell Windows 11-företagsdator. Beroende på dina krav kanske du vill välja en annan VM-avbildning. Företagsavbildningen Windows 11 (eller 10) är användbar om du behöver ansluta den virtuella datorn till organisationens domän.

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Virtuell dator. Välj posten Virtuell dator och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som du tidigare använde för det virtuella nätverket. Ange värden för följande fält:

    • Namn på virtuell dator: Ett unikt namn för den virtuella datorn.

    • Användarnamn: Det användarnamn som du använder för att logga in på den virtuella datorn.

    • Lösenord: Lösenordet för användarnamnet.

    • Säkerhetstyp: Standard.

    • Bild: Windows 11 Enterprise.

      Dricks

      Om Windows 11 Enterprise inte finns med i listan för bildval använder du Visa alla bilder_. Leta upp Posten Windows 11 från Microsoft och använd listrutan Välj för att välja företagsavbildningen.

    Du kan lämna andra fält med standardvärdena.

    Skärmbild av grundkonfigurationen för den virtuella datorn.

  3. Välj Nätverk och välj sedan det virtuella nätverk som du skapade tidigare. Använd följande information för att ange de återstående fälten:

    • Välj undernätet Utbildning .
    • Ange den offentliga IP-adressen till Ingen.
    • Lämna de andra fälten som standardvärde.

    Skärmbild av nätverkskonfigurationen för den virtuella datorn.

  4. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

Ansluta till hopprutan

  1. När den virtuella datorn har skapats väljer du Gå till resurs.

  2. Längst upp på sidan väljer du Anslut och sedan Anslut via Bastion.

    Dricks

    Azure Bastion använder port 443 för inkommande kommunikation. Om du har en brandvägg som begränsar utgående trafik kontrollerar du att den tillåter trafik på port 443 till Azure Bastion-tjänsten. Mer information finns i Wroking with NSGs and Azure Bastion (Wroking with NSG:er och Azure Bastion).

    Skärmbild av listan

  3. Ange din autentiseringsinformation för den virtuella datorn och en anslutning upprättas i webbläsaren.

Skapa ett beräkningskluster och en instans

En beräkningsinstans ger en Jupyter Notebook-upplevelse på en delad beräkningsresurs som är kopplad till din arbetsyta.

  1. Öppna Microsoft Edge-webbläsaren på fjärrskrivbordet från en Azure Bastion-anslutning till hopprutan.

  2. I fjärrwebbläsarens session går du till https://ml.azure.com. Autentisera med ditt Microsoft Entra-konto när du uppmanas till det.

  3. På skärmen Välkommen till studio! väljer du den Machine Learning-arbetsyta som du skapade tidigare och väljer sedan Kom igång.

    Dricks

    Om ditt Microsoft Entra-konto har åtkomst till flera prenumerationer eller kataloger använder du listrutan Katalog och prenumeration för att välja den som innehåller arbetsytan.

    Skärmbild av det valda machine learning-arbetsyteformuläret.

  4. Från studio väljer du Beräkning, Beräkningskluster och sedan + Ny.

    Skärmbild av sidan beräkningskluster med knappen

  5. I dialogrutan Virtuell dator väljer du Nästa för att acceptera standardkonfigurationen för virtuella datorer.

    Skärmbild av konfigurationen av den virtuella datorkonfigurationen för beräkningsklustret.

  6. I dialogrutan Konfigurera inställningar anger du cpu-kluster som beräkningsnamn. Ställ in undernätet på Utbildning och välj sedan Skapa för att skapa klustret.

    Dricks

    Beräkningskluster skalar dynamiskt noderna i klustret efter behov. Vi rekommenderar att du lämnar det minsta antalet noder på 0 för att minska kostnaderna när klustret inte används.

    Skärmbild av formuläret konfigurera inställningar.

  7. Från studio väljer du Beräkning, Beräkningsinstans och sedan + Ny.

    Skärmbild av sidan beräkningsinstanser med knappen

  8. Från Obligatoriska inställningar anger du ett unikt datornamn och väljer Nästa.

    Skärmbild av konfigurationen av den virtuella datorkonfigurationen för beräkningsinstansen.

  9. Fortsätt att välja Nästa tills du kommer till dialogrutan Säkerhet , välj det virtuella nätverket och ställ in undernätetUtbildning. Välj Granska + Skapa och välj sedan Skapa.

    Skärmbild av de avancerade inställningarna.

Dricks

När du skapar ett beräkningskluster eller en beräkningsinstans lägger Azure Machine Learning dynamiskt till en nätverkssäkerhetsgrupp (NSG). Den här NSG:n innehåller följande regler, som är specifika för beräkningskluster och beräkningsinstanser:

  • Tillåt inkommande TCP-trafik på portarna 29876-29877 från BatchNodeManagement tjänsttaggen.
  • Tillåt inkommande TCP-trafik på port 44224 från AzureMachineLearning tjänsttaggen.

Följande skärmbild visar ett exempel på dessa regler:

Skärmbild av NSG

Mer information om hur du skapar ett beräkningskluster och beräkningskluster, inklusive hur du gör det med Python och CLI, finns i följande artiklar:

Konfigurera avbildningsversioner

GÄLLER FÖR: Azure CLI ml-tillägget v2 (aktuellt)

När Azure Container Registry ligger bakom det virtuella nätverket kan Azure Machine Learning inte använda det för att direkt skapa Docker-avbildningar (används för utbildning och distribution). Konfigurera i stället arbetsytan så att den använder beräkningsklustret som du skapade tidigare. Använd följande steg för att skapa ett beräkningskluster och konfigurera arbetsytan så att den används för att skapa avbildningar:

  1. Gå till https://shell.azure.com/ för att öppna Azure Cloud Shell.

  2. Från Cloud Shell använder du följande kommando för att installera 2.0 CLI för Azure Machine Learning:

    az extension add -n ml

  3. Uppdatera arbetsytan så att den använder beräkningsklustret för att skapa Docker-avbildningar. Ersätt docs-ml-rg med resursgruppen. Ersätt docs-ml-ws med din arbetsyta. Ersätt cpu-cluster med namnet på beräkningsklustret:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Kommentar

    Du kan använda samma beräkningskluster för att träna modeller och skapa Docker-avbildningar för arbetsytan.

Använda arbetsytan

Viktigt!

Stegen i den här artikeln placerar Azure Container Registry bakom det virtuella nätverket. I den här konfigurationen kan du inte distribuera en modell till Azure Container Instances i det virtuella nätverket. Vi rekommenderar inte att du använder Azure Container Instances med Azure Machine Learning i ett virtuellt nätverk. Mer information finns i Skydda slutsatsdragningsmiljön (SDK/CLI v1).

Som ett alternativ till Azure Container Instances kan du prova Azure Machine Learning-hanterade onlineslutpunkter. Mer information finns i Aktivera nätverksisolering för hanterade onlineslutpunkter.

Nu kan du använda studion för att interaktivt arbeta med notebook-filer på beräkningsinstansen och köra träningsjobb i beräkningsklustret. En självstudiekurs om hur du använder beräkningsinstansen och beräkningsklustret finns i Självstudie: Azure Machine Learning på en dag.

Stoppa beräkningsinstansen och jump box

Varning

När den körs (startad) fortsätter beräkningsinstansen och hopprutan att debitera din prenumeration. Stoppa dem när de inte används för att undvika överskjutande kostnader.

Beräkningsklustret skalas dynamiskt mellan det minsta och högsta antalet noder som angavs när du skapade det. Om du accepterade standardvärdena är minimivärdet 0, vilket effektivt inaktiverar klustret när det inte används.

Stoppa beräkningsinstansen

Från studio väljer du Beräkning, Beräkningskluster och sedan beräkningsinstansen. Välj slutligen Stoppa överst på sidan.

Skärmbild av stoppknappen för beräkningsinstansen.

Stoppa hopprutan

När du har skapat väljer du den virtuella datorn i Azure Portal och använder sedan knappen Stoppa. När du är redo att använda den igen använder du knappen Start för att starta den.

Skärmbild av stoppknappen för den virtuella jump box-datorn.

Du kan också konfigurera hopprutan så att den stängs av automatiskt vid en viss tidpunkt. Om du vill göra det väljer du Automatisk avstängning, Aktivera, anger en tid och väljer sedan Spara.

Skärmbild av alternativet för automatisk avstängning.

Rensa resurser

Om du planerar att fortsätta använda den skyddade arbetsytan och andra resurser hoppar du över det här avsnittet.

Om du vill ta bort alla resurser som skapats i den här självstudien använder du följande steg:

  1. I Azure-portalen väljer du Resursgrupper längst till vänster.

  2. I listan väljer du den resursgrupp som du skapade i den här självstudien.

  3. Välj Ta bort resursgrupp.

    Skärmbild av länken ta bort resursgrupp.

  4. Ange resursgruppens namn och välj sedan Ta bort.

Nästa steg

Nu när du har en säker arbetsyta och kan komma åt studio kan du lära dig hur du distribuerar en modell till en onlineslutpunkt med nätverksisolering.

Nu när du har en säker arbetsyta lär du dig hur du distribuerar en modell.