教學課程：如何使用 Azure 虛擬網路建立安全工作區

在本文中，您將了解如何建立並連線至安全的 Azure Machine Learning 工作區。 本文中的步驟會使用 Azure 虛擬網路，圍繞 Azure Machine Learning 所使用的資源建立安全性界限。

重要

我們建議使用 Azure Machine Learning 受控虛擬網路，而不是 Azure 虛擬網路。 如需本教學課程使用受控虛擬網路的版本，請參閱教學課程：使用受控虛擬網路建立安全工作區。

在本教學課程中，您將完成下列工作：

• 建立 Azure 虛擬網路 (VNet)，以保護虛擬網路中服務之間的通訊。
• 在 VNet 後方建立 Azure 儲存體帳戶 (Blob 和檔案)。 此服務會用作工作區的預設儲存體。
• 在 VNet 後方建立 Azure Key Vault。 此服務會用來儲存工作區使用的密碼。 例如，存取儲存體帳戶所需的安全性資訊。
• 建立 Azure Container Registry (ACR)。 此服務可用作 Docker 映像的存放庫。 Docker 映像可在定型機器學習模型或將定型模型部署為端點時，提供所需的計算環境。
• 建立 Azure Machine Learning 工作區。
• 建立跳板機。 跳板機是位於 VNet 後方的 Azure 虛擬機器。 由於 VNet 會限制來自公用網際網路的存取，因此會使用跳板機來連線至 VNet 後方的資源。
• 將 Azure Machine Learning 工作室設定為可在 VNet 後方運作。 工作室會提供 Azure Machine Learning 的 Web 介面。
• 建立 Azure Machine Learning 計算叢集。 在雲端中定型機器學習模型時，會使用計算叢集。 在 Azure Container Registry 位於 VNet 後方的設定中，其也可用來建置 Docker 映像。
• 連線到跳板機，並使用 Azure Machine Learning 工作室。

提示

如果您要尋找示範如何建立安全工作區的範本，請參閱 Bicep 範本 (英文) 或 Terraform 範本 (英文)。

完成本教學課程之後，您將擁有下列結構：

• Azure 虛擬網路，其中包含三個子網路：
  • 訓練：包含用於定型模型的 Azure Machine Learning 工作區、相依性服務及資源。
  • 評分：根據本教學課程中的步驟，不會使用。 不過，如果您繼續使用此工作區進行其他教學課程，建議您將模型部署至端點時使用此子網路。
  • AzureBastionSubnet：由 Azure Bastion 服務使用，以安全地將用戶端連線到 Azure 虛擬機器。
• 使用私人端點透過虛擬網路進行通訊的 Azure Machine Learning 工作區。
• 使用私人端點的 Azure 儲存體帳戶，允許 Blob 和檔案等儲存體服務透過虛擬網路進行通訊。
• 使用私人端點的 Azure Container Registry 透過虛擬網路進行通訊。
• Azure Bastion 可讓您使用瀏覽器安全地與虛擬網路內的跳板機 VM 通訊。
• Azure 虛擬機器可讓您遠端連線到虛擬網路內受保護的資源並存取。
• Azure Machine Learning 計算執行個體和計算叢集。

提示

圖表所列的 Azure Batch 服務是計算叢集和計算執行個體所需的後端服務。

必要條件

• 熟悉 Azure 虛擬網路和 IP 網路。 如果您不熟悉，則請嘗試電腦網路的基本概念模組。
• 雖然本文中大部分的步驟都使用 Azure 入口網站或 Azure Machine Learning 工作室，但部分步驟會使用適用於 Machine Learning 第 2 版的 Azure CLI 延伸模組。

建立虛擬網路

若要建立虛擬網路，請使用下列步驟：

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後在搜尋欄位中輸入虛擬網路。 選取 [虛擬網路] 項目，然後選取 [建立]。

   

   

2. 從 [基本] 索引標籤，選取要用於此資源的 Azure 訂用帳戶，然後選取或建立新的資源群組。 在 [執行個體詳細資料] 底下，輸入您的虛擬網路的易記名稱，然後選取要在其中建立的 [區域]。

   

3. 選取安全性。 選取以 [啟用 Azure Bastion]。 Azure Bastion 提供安全的方式來存取您將在稍後步驟中於虛擬網路內建立的 VM 跳板機。 針對其餘欄位使用下列值：

   • Bastion 名稱：此 Bastion 執行個體的唯一名稱
   • 公用 IP 位址：建立新的公用 IP 位址。

   讓其他欄位保持使用預設值。

   

4. 選取 [IP 位址]。 預設設定應如下圖所示：

   

   使用下列步驟來設定 IP 位址，並設定用於定型和評分資源的子網路：

   提示

   雖然您可以針對所有 Azure Machine Learning 資源使用單一子網路，本文中的步驟會示範如何建立兩個子網路來分隔定型與評分資源。

   工作區和其他相依性服務將會進入定型子網路。 這些資源仍可由其他子網路中的資源使用，例如評分子網路。

   1. 查看預設的 [IPv4 位址空間] 值。 在螢幕擷取畫面中，該值為 172.16.0.0/16。 您可能會有不同的值。 雖然您可以使用不同的值，但本教學課程中的其餘步驟會以「172.16.0.0/16 值」為基礎。

      警告

      請勿為您的 VNet 使用 172.17.0.0/16 IP 位址範圍。 這是 Docker 橋接器網路所使用的預設子網路範圍，如果用於 VNet，將會導致錯誤。 根據您想要連線至虛擬網路的內容，其他範圍也可能會衝突。 例如，如果您打算將您的內部部署網路連線至 VNet，而且您的內部部署網路也會使用 172.16.0.0/16 範圍。 最後，「您」必須規劃網路基礎結構。

   2. 選取 [預設] 子網路，然後選取 [編輯圖示]。

      

   3. 將子網路 [名稱] 變更為 [定型]。 將其他值保留為預設設定，然後選取 [儲存] 以儲存變更。

   4. 若要為用來「評分」模型的計算資源建立子網路，請選取 [+ 新增子網路]，然後設定名稱和位址範圍：

      • 子網路名稱：評分
      • 開始位址：172.16.2.0
      • 子網路大小：/24 (256 個位址)

      

   5. 選取 [新增] 以新增子網路。

5. 選取 [檢閱 + 建立]。

   

6. 驗證資訊正確無誤，然後選取 [建立]。

   

建立儲存體帳戶

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入儲存體帳戶。 選取 [儲存體帳戶] 項目，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取您先前用於虛擬網路的訂用帳戶、資源群組和區域。 輸入唯一的儲存體帳戶名稱，並將 [備援] 設定為 [本機備援儲存體 (LRS)]。

   

3. 在 [網路] 索引標籤中，選取 [停用公用存取] 然後選取 [+ 新增私人端點]。

   

4. 在 [建立私人端點] 表單上，使用下列值：

   • 訂用帳戶：包含先前資源的相同 Azure 訂用帳戶。
   • 資源群組：包含先前資源的相同 Azure 資源群組。
   • 位置：包含先前資源的相同 Azure 區域。
   • 名稱：此私人端點的唯一名稱。
   • 目標子資源：blob
   • 虛擬網路：您先前建立的虛擬網路。
   • 子網路：定型 (172.16.0.0/24)
   • 私人 DNS 整合：是
   • 私人 DNS 區域：privatelink.blob.core.windows.net

   選取 [新增] 以建立私人端點。

5. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

6. 建立儲存體帳戶之後，請選取 [移至資源]：

   

7. 從左側導覽，選取 [網路功能]，選取 [私人端點連線] 索引標籤，然後選取 [+ 私人端點]：

   注意

   當您在先前的步驟中建立用於 Blob 儲存體的私人端點時，您也必須為檔案儲存體建立一個私人端點。

   

8. 在建立私人端點表單上，使用先前用於資源的相同訂用帳戶、資源群組和區域。 輸入唯一名稱。

   

9. 選取 [下一步: 資源]，然後將 [目標子資源] 設定為 [檔案]。

   

10. 選取 [下一步：虛擬網路]，然後使用下列值：

    • 虛擬網路：您先前建立的網路
    • 子網路：定型

    

11. 繼續索引標籤並選取預設值，直到您到達 [檢閱 + 建立] 為止。 驗證資訊正確無誤，然後選取 [建立]。

提示

如果您打算使用批次端點或使用 ParallelRunStep的 Azure Machine Learning 管線，也必須設定私人端點目標佇列和資料表子資源。 ParallelRunStep 在內部使用佇列和資料表來進行工作排程和分派。

建立金鑰保存庫

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入 Key Vault。 選取 Key Vault 項目，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取您先前用於虛擬網路的訂用帳戶、資源群組和區域。 輸入唯一的金鑰保存庫名稱。 讓其他欄位保持預設值。

   

3. 在 [網路] 索引標籤中，取消選取 [啟用公用存取] 然後選取 [+ 建立私人端點]。

   

4. 在 [建立私人端點] 表單上，使用下列值：

   • 訂用帳戶：包含先前資源的相同 Azure 訂用帳戶。
   • 資源群組：包含先前資源的相同 Azure 資源群組。
   • 位置：包含先前資源的相同 Azure 區域。
   • 名稱：此私人端點的唯一名稱。
   • 目標子資源：Vault
   • 虛擬網路：您先前建立的虛擬網路。
   • 子網路：定型 (172.16.0.0/24)
   • 啟用私人 DNS 整合：是
   • 私人 DNS 區域：選取其中包含虛擬網路和金鑰保存庫的資源群組。

   選取 [新增] 以建立私人端點。

   

5. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

建立容器登錄

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入 Container Registry。 選取 Container Registry 項目，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取您先前用於虛擬網路的訂用帳戶、資源群組和位置。 輸入唯一的登錄名稱，並將 SKU 設定為進階版。

   

3. 從 [網路功能] 索引標籤，選取 [私人端點]，然後選取 [+ 新增]。

   

4. 在 [建立私人端點] 表單上，使用下列值：

   • 訂用帳戶：包含先前資源的相同 Azure 訂用帳戶。
   • 資源群組：包含先前資源的相同 Azure 資源群組。
   • 位置：包含先前資源的相同 Azure 區域。
   • 名稱：此私人端點的唯一名稱。
   • 目標子資源：登錄
   • 虛擬網路：您先前建立的虛擬網路。
   • 子網路：定型 (172.16.0.0/24)
   • 私人 DNS 整合：是
   • 資源群組：選取其中包含虛擬網路和容器登錄的資源群組。

   選取 [新增] 以建立私人端點。

   

5. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

6. 建立容器登錄之後，選取 [前往資源]。

   

7. 從頁面左側，選取 [存取金鑰]，然後啟用 [管理使用者]。 在具有 Azure Machine Learning 的虛擬網路內使用 Azure Container Registry 時需要此設定。

   

建立工作區

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入機器學習。 選取 Machine Learning 項目，然後選取 [建立]。

   

2. 從 [基本] 索引標籤，選取您先前用於虛擬網路的訂用帳戶、資源群組和區域。 針對其他欄位使用下列值：

   • 名稱：工作區的唯一名稱。
   • 儲存體帳戶：選取您先前建立的儲存體帳戶。
   • 金鑰保存庫：選取您先前建立的金鑰保存庫。
   • Application Insights：使用預設值。
   • 容器登錄：使用您先前建立的容器登錄。

   

3. 從 [網路] 索引標籤中，選取 [具有網際網路輸出的私人]。 在 [工作區輸入存取] 區段中，選取 [+ 新增]。

4. 在 [建立私人端點] 表單上，使用下列值：

   • 訂用帳戶：包含先前資源的相同 Azure 訂用帳戶。
   • 資源群組：包含先前資源的相同 Azure 資源群組。
   • 位置：包含先前資源的相同 Azure 區域。
   • 名稱：此私人端點的唯一名稱。
   • 目標子資源：amlworkspace
   • 虛擬網路：您先前建立的虛擬網路。
   • 子網路：定型 (172.16.0.0/24)
   • 私人 DNS 整合：是
   • 私人 DNS 區域：將該兩個私人 DNS 區域保留為預設值 privatelink.api.azureml.ms 和 privatelink.notebooks.azure.net。

   選取 [確定] 以建立私人端點。

   

5. 從 [網路] 索引標籤的 [工作區輸出存取] 區段中，選取 [使用我自己的虛擬網路]。

6. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

7. 在建立工作區之後，選取 [前往資源]。

8. 從左邊的 [設定] 區段，選取 [網路]、[私人端點連線]，然後選取 [私人端點] 資料行中的連結：

   

9. 一旦出現私人端點資訊，請從頁面左側選取 [DNS 設定]。 儲存此頁面上的 IP 位址和完整網域名稱 (FQDN) 資訊。

   

重要

在您可以完全使用工作區之前，仍需要進行一些設定步驟。 不過，這些步驟需要您連線到工作區。

啟用工作室

Azure Machine Learning 工作室是一種 Web 應用程式，可讓您輕鬆地管理您的工作區。 不過，其需要一些額外的設定，才能搭配在虛擬網路內保護的資源使用。 使用下列步驟來啟用工作室：

1. 使用具有私人端點的 Azure 儲存體帳戶時，請將工作區的服務主體新增做為儲存體私人端點的讀者。 從 Azure 入口網站，選取您的儲存體帳戶，然後選取 [網路功能]。 接著，選取 [私人端點連線]。

   

2. 針對每個列出的私人端點，使用下列步驟：

   1. 選取 [私人端點] 資料行中的連結。

      

   2. 從左側選取 [存取控制 (IAM)]。

   3. 選取 [新增]，然後選取 [新增角色指派 (預覽)]。

      

   4. 在 [角色] 索引標籤上，選取 [讀取者]。

      

   5. 在 [成員] 索引標籤上，選取 [存取權指派對象] 區域中的 [使用者、群組或服務主體]，然後選取 [+ 選取成員]。 在 [選取成員] 對話方塊中，輸入 Azure Machine Learning 工作區的名稱。 選取工作區的服務主體，然後使用 [選取] 按鈕。

   6. 在 [檢閱 + 指派] 索引標籤上，選取 [檢閱 + 指派] 以指派角色。

保護 Azure 監視器和 Application Insights

注意

如需保護 Azure 監視器和 Application Insights 的詳細資訊，請參閱下列連結：

• 移轉至工作區型 Application Insights 資源。
• 設定您的 Azure 監視器 Private Link。

1. 在 Azure 入口網站中，選取 [首頁]，然後搜尋私人連結。 選取 [Azure 監視器 Private Link 範圍] 結果，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取與 Azure Machine Learning 工作區相同的 [訂用帳戶]、[資源群組] 和 [資源群組區域]。 輸入執行個體的 [名稱]，然後選取 [檢閱 + 建立]。 若要建立執行個體，請選取 [建立]。

3. 建立 Azure 監視器私人連結範圍執行個體之後，請在 Azure 入口網站中選取執行個體。 從 [設定] 區段，選取 [Azure 監視器資源]，然後選取 [+ 新增]。

   

4. 從 [選取範圍]，使用篩選來選取 Azure Machine Learning 工作區的 Application Insights 執行個體。 選取 [套用] 以新增執行個體。

5. 從 [設定] 區段，選取 [私人端點連線]，然後選取 [+ 私人端點]。

   

6. 選取包含您虛擬網路的相同 [訂用帳戶]、[資源群組] 和 [區域]。 選取 [下一步：資源]。

   

7. 選取 Microsoft.insights/privateLinkScopes 作為 [資源類型]。 選取您稍早建立的 Private Link 範圍作為 [資源]。 選取 azuremonitor 作為 [目標子資源]。 最後，選取 [下一步: 虛擬網路] 以繼續。

   

8. 選取您稍早建立的虛擬網路和定型子網路。 選取 [下一步]，直到您到達 [檢閱 + 建立]。 選取 [建立] 以建立私人端點。

   

9. 建立私人端點之後，返回入口網站中的 Azure 監視器私人連結範圍資源。 從 [設定] 區段，選取 [存取模式]。 針對 [擷取存取模式] 和 [查詢存取模式] 選取 [僅限私人]，然後選取 [儲存]。

   

連線到工作區

您可以透過數種方式連線到受保護的工作區。 本文中的步驟會使用跳板機，這是虛擬網路中的虛擬機器。 您可以使用網頁瀏覽器和 Azure Bastion 來與其連線。 下表列出您可能會連線到受保護工作區的其他數種方式：

方法	描述
Azure VPN 閘道	透過私人連線將內部部署網路連線到虛擬網路。 連線是透過公用網際網路所建立。
ExpressRoute	透過私人連線，將內部部署網路連線到雲端。 連線是透過連線提供者所建立。

重要

使用 VPN 閘道或 ExpressRoute 時，您將需要規劃在內部部署資源之間與 VNet 中名稱解析的運作方式。 如需詳細資訊，請參閱使用自訂 DNS 伺服器。

建立跳板機 (VM)

使用下列步驟來建立做為跳躍方塊使用的 Azure 虛擬機器。 Azure Bastion 可讓您透過瀏覽器連線到虛擬機器桌面。 透過虛擬機器桌面，您就可以使用虛擬機器的瀏覽器連線到虛擬網路內的資源，例如 Azure Machine Learning 工作室。 或者，您可以在虛擬機器上安裝開發工具。

提示

下列步驟會建立 Windows 11 企業版 VM。 視您的需求而定，您可能想要選取不同的 VM 映像。 如果您需要將虛擬機器加入組織的網域，Windows 11 (或 10) 企業映像會很實用。

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入虛擬機器。 選取 [虛擬機器] 項目，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取您先前用於虛擬網路的訂用帳戶、資源群組和區域。 提供下列欄位的值︰

   • 虛擬機器名稱：VM 的唯一名稱。

   • 使用者名稱：您用來登入虛擬機器的使用者名稱。

   • 密碼：使用者名稱的密碼。

   • 安全性類型：標準。

   • 映像：Windows 11 企業版。

     提示

     如果 Windows 11 企業版不在映像選取清單中，請使用「查看所有映像」。 從 Microsoft 尋找 Windows 11 項目，並使用 [選取] 下拉式清單來選取企業映像。

   您可以將其他欄位保留為預設值。

   

3. 選取 [網路功能]，然後選取您稍早建立的虛擬網路。 使用下列資訊來設定其餘欄位：

   • 選取 [定型] 子網路。
   • 將 [公用 IP] 設定為 [無]。
   • 讓其他欄位保持預設值。

   

4. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

連線至跳板機

1. 建立虛擬機器之後，選取 [前往資源]。

2. 從頁面頂端，選取 [連線]，然後選取 [透過 Bastion 連線]。

   提示

   Azure Bastion 會使用埠 443 進行輸入通訊。 如果您有限制輸出流量的防火牆，請確定其允許埠 443 上的流量到 Azure Bastion 服務。 如需詳細資訊，請參閱 使用 NSG 和 Azure Bastion 進行擷取。

   

3. 提供您的虛擬機器驗證資訊，系統就會在您的瀏覽器中建立連線。

建立計算叢集和執行個體

計算執行個體可在連結至工作區的共用計算資源上提供 Jupyter Notebook 體驗。

1. 從與跳板機的 Azure Bastion 連線，開啟遠端桌面上的 Microsoft Edge 瀏覽器。

2. 在遠端瀏覽器工作階段中，移至 https://ml.azure.com。 出現提示時，請使用您的 Microsoft Entra 帳戶進行驗證。

3. 從 [歡迎使用工作室!] 畫面，選取您稍早建立的 Machine Learning 工作區，然後選取 [開始]。

   提示

   如果您的 Microsoft Entra 帳戶可以存取多個訂用帳戶或目錄，請使用 [目錄和訂用帳戶] 下拉式清單來選取包含工作區的訂用帳戶。

   

4. 從工作室，選取 [計算]、[計算叢集]，然後選取 [+ 新增]。

   

5. 從 [虛擬機器] 對話方塊，選取 [下一步] 以接受預設虛擬機器設定。

   

6. 從 [組態設定] 對話方塊，輸入 cpu-cluster 作為 [計算名稱]。 將 [子網路] 設定為 [定型]，然後選取 [建立] 以建立叢集。

   提示

   計算叢集會視需要動態調整叢集中的節點。 建議您將最小節點數目保留為 0，以在叢集未在使用時降低成本。

   

7. 從工作室，選取 [計算]、[計算執行個體]，然後選取 [+ 新增]。

   

8. 從 [必要設定] 中，輸入唯一的 [電腦名稱]，然後選取 [下一步]。

   

9. 繼續選取 [下一步]，直到您到達 [安全性] 對話方塊，選取 [虛擬網络]，然後將 [子網路] 設定為 [定型]。 選取 [檢閱 + 建立]，然後選取 [建立]。

   

提示

建立計算叢集或計算執行個體時，Azure Machine Learning 會動態地新增網路安全性群組 (NSG)。 此 NSG 包含下列適用於計算叢集和計算執行個體的規則：

• 允許連接埠 29876-29877 上來自 BatchNodeManagement 服務標籤的輸入 TCP 流量。
• 允許連接埠 44224 上來自 AzureMachineLearning 服務標籤的輸入 TCP 流量。

以下螢幕擷取畫面顯示這些規則的範例：

如需有關建立計算叢集和計算執行個體的詳細資訊，包括如何使用 Python 和 CLI 來執行此操作，請參閱下列文章：

• 建立計算叢集
• 建立運算執行個體

設定映像組建

適用於：Azure CLI ml 延伸模組 v2 (目前)

當 Azure Container Registry 位於虛擬網路後方時，Azure Machine Learning 無法使用來直接建置 Docker 映像 (用於定型和部署)。 相反地，請將工作區設定為使用您稍早建立的計算叢集。 使用下列步驟建立計算叢集，並設定工作區以用來建置映像：

1. 瀏覽至 https://shell.azure.com/ 以開啟 Azure Cloud Shell。

2. 從 Cloud Shell，使用下列命令安裝適用於 Azure Machine Learning 的 2.0 CLI：

   az extension add -n ml
   

3. 若要更新工作區以使用計算叢集來建置 Docker 映像。 將 docs-ml-rg 取代為您的資源群組。 將 docs-ml-ws 取代為您的工作區。 將 cpu-cluster 取代為計算叢集名稱：

   az ml workspace update \
     -n docs-ml-ws \
     -g docs-ml-rg \
     -i cpu-cluster
   

   注意

   您可以使用相同的計算叢集來定型模型，並為工作區建置 Docker 映像。

使用工作區

重要

本文中的步驟會將 Azure Container Registry 放在 VNet 後方。 在此設定中，您無法將模型部署至 VNet 內的 Azure 容器執行個體。 不建議在虛擬網路中搭配使用 Azure 容器執行個體與 Azure Machine Learning。 如需詳細資訊，請參閱保護推斷環境 (SDK/CLI v1)。

作為 Azure 容器執行個體的替代方式，請嘗試 Azure Machine Learning 受控線上端點。 如需詳細資訊，請參閱啟用受控線上端點的網路隔離。

此時，您可以使用工作室，以互動方式在計算執行個體上使用筆記本，並在計算叢集上執行定型工作。 如需使用計算執行個體和計算叢集的教學課程，請參閱教學課程：Azure Machine Learning 一天的工作。

停止計算執行個體和跳板機

警告

當其正在執行 (已啟動) 時，計算執行個體和跳板機將繼續向您的訂用帳戶收費。 若要避免超出成本，請在不使用時將其停止。

計算叢集會在建立時設定的最小和最大節點計數之間動態調整。 如果您接受預設值，則最小值為 0，這會在未使用時有效地關閉叢集。

停止計算執行個體

從工作室，選取 [計算]、[計算叢集]，然後選取該計算執行個體。 最後，從頁面頂端選取 [停止]。

停止跳板機

建立之後，請在 Azure 入口網站中選取虛擬機器，然後使用 [停止] 按鈕。 當您準備好再次使用時，請使用 [開始] 按鈕來開始。

您也可以將跳板機設定為在特定時間自動關機。 若要執行此動作，請選取 [自動關機]、[啟用]、[設定時間]，然後選取 [儲存]。

清除資源

如果您打算繼續使用受保護的工作區和其他資源，請略過本節。

若要刪除在本教學課程中建立的所有資源，請使用下列步驟：

1. 在 Azure 入口網站中，選取最左邊的 [資源群組]。

2. 從清單中選取您在本教學課程中建立的資源群組。

3. 選取 [刪除資源群組]。

   

4. 輸入資源群組名稱，然後選取 [刪除]。

下一步

既然您已經有安全的工作區，而且可存取工作室，請了解如何使用網路隔離將模型部署至線上端點。