كيفية إنشاء مساحة عمل آمنة باستخدام القالب

مقالة
04/27/2022
قراءة خلال 5 دقائق

توفر القوالب طريقة ملائمة لإنشاء عمليات نشر خدمة قابلة للتكرار. يحدد القالب ما سيتم إنشاؤه، مع بعض المعلومات التي تقدمها عند استخدام القالب. على سبيل المثال، تحديد اسم فريد لمساحة عمل Azure التعلم الآلي.

في هذا البرنامج التعليمي، ستتعلم كيفية استخدام قالب Microsoft Bicep وHashicorp Terraform لإنشاء موارد Azure التالية:

Azure Virtual Network. يتم تأمين الموارد التالية وراء هذا VNet:
- مساحة عمل Azure Machine Learning
  - مثيل حساب التعلم الآلي من Azure
  - Azure التعلم الآلي compute cluster
- Azure Storage Account
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Azure Bastion host
- Azure التعلم الآلي Virtual Machine (Data Science Virtual Machine)
- يقوم قالب Bicep أيضا بإنشاء مجموعة Azure Kubernetes Service ومجموعة موارد منفصلة لها.

المتطلبات الأساسية

قبل استخدام الخطوات الواردة في هذه المقالة، يجب أن يكون لديك اشتراك Azure. إذا لم يكن لديك اشتراك في Azure، فأنشئ حساباً مجانياً.

يجب أن يكون لديك أيضا سطر أوامر Bash أو Azure PowerShell.

تلميح

عند قراءة هذه المقالة، استخدم علامات التبويب الموجودة في كل قسم لتحديد ما إذا كنت تريد عرض معلومات حول استخدام قوالب Bicep أو Terraform.

Bicep
Terraform

لتثبيت أدوات سطر الأوامر، راجع إعداد بيئات تطوير ونشر Bicep.
يوجد قالب Bicep المستخدم في هذه المقالة في https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. استخدم الأوامر التالية لاستنساخ GitHub ريبو إلى بيئة التطوير الخاصة بك:

تلميح

إذا لم يكن لديك الأمر على git بيئة التطوير الخاصة بك ، فيمكنك تثبيته من https://git-scm.com/.
```
git clone https://github.com/Azure/azure-quickstart-templates
cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
```

لتثبيت Terraform وتكوينه ومصادقته على اشتراك Azure الخاص بك، اتبع الخطوات الواردة في إحدى المقالات التالية:
توجد ملفات قالب Terraform المستخدمة في هذه المقالة في https://github.com/Azure/terraform/tree/master/quickstart/201-machine-learning-moderately-secure. لاستنساخ الريبو محليا وتغيير الدليل إلى حيث توجد ملفات القالب، استخدم الأوامر التالية من سطر الأوامر:

تلميح

إذا لم يكن لديك الأمر على git بيئة التطوير الخاصة بك ، فيمكنك تثبيته من https://git-scm.com/.
```
git clone https://github.com/Azure/terraform
cd terraform/quickstart/201-machine-learning-moderately-secure
```

يتكون قالب Bicep من main.bicep والملفات الموجودة .bicep في الدليل الفرعي للوحدات النمطية . يصف الجدول التالي ما هو المسؤول عنه كل ملف:

الملف	الوصف
main.bicep	المعلمات والمتغيرات. تمرير متغيرات المعلمات & إلى وحدات نمطية أخرى في الدليل الفرعي `modules` .
vnet.bicep	يحدد شبكة Azure الظاهرية والشبكات الفرعية.
nsg.bicep	يحدد قواعد مجموعة أمان الشبكة ل VNet.
bastion.bicep	يحدد مضيف Azure Bastion والشبكة الفرعية. يتيح لك Azure Bastion الوصول بسهولة إلى جهاز ظاهري داخل VNet باستخدام متصفح الويب الخاص بك.
dsvmjumpbox.bicep	يعرف الجهاز الظاهري لعلوم البيانات (DSVM). يستخدم Azure Bastion للوصول إلى هذا الجهاز الظاهري من خلال متصفح الويب الخاص بك.
storage.bicep	يعرف حساب Azure Storage المستخدم بواسطة مساحة العمل للتخزين الافتراضي.
keyvault.bicep	يحدد Azure Key Vault المستخدم بواسطة مساحة العمل.
containerregistry.bicep	يعرف سجل حاوية Azure المستخدم بواسطة مساحة العمل.
applicationinsights.bicep	يحدد مثيل تطبيق Azure Insights المستخدم بواسطة مساحة العمل.
machinelearningnetworking.bicep	يحدد te private endpoints ومناطق DNS لمساحة عمل Azure التعلم الآلي.
التعلم الآلي.العضلة ذات الرأسين	يعرف مساحة عمل Azure التعلم الآلي.
التعلم الآليcompute.bicep	يعرف Azure التعلم الآلي compute cluster and compute instance.
privateaks.bicep	Define a Azure Kubernetes Services cluster instance.

يتكون القالب من ملفات متعددة. يصف الجدول التالي ما هو المسؤول عنه كل ملف:

الملف	الوصف
variables.tf	المتغيرات والقيم الافتراضية المستخدمة من قبل القالب.
main.tf	يحدد موفر Azure Resource Manager ويحدد مجموعة الموارد.
network.tf	يحدد شبكة Azure الظاهرية والشبكات الفرعية ومجموعات أمان الشبكة.
bastion.tf	يحدد مضيف Azure Bastion وNSG المرتبط به. يتيح لك Azure Bastion الوصول بسهولة إلى جهاز ظاهري داخل VNet باستخدام متصفح الويب الخاص بك.
dsvm.tf	يعرف الجهاز الظاهري لعلوم البيانات (DSVM). يستخدم Azure Bastion للوصول إلى هذا الجهاز الظاهري من خلال متصفح الويب الخاص بك.
workspace.tf	يعرف مساحة عمل Azure التعلم الآلي. بما في ذلك موارد التبعية ل Azure Storage Key Vault Insights التطبيقات وسجل الحاويات.
compute.tf	يعرف Azure التعلم الآلي حساب مثيل ومجموعة.

تلميح

يدعم موفر Terraform Azure وسيطات إضافية غير مستخدمة في هذا البرنامج التعليمي. على سبيل المثال، تسمح لك وسيطة البيئة باستهداف مناطق السحابة مثل Azure Government وAzure China 21ViaNet.

هام

يتم استخدام DSVM و Azure Bastion كطريقة سهلة للاتصال بمساحة العمل الآمنة لهذا البرنامج التعليمي. في بيئة الإنتاج، نوصي باستخدام بوابة Azure VPN أو Azure ExpressRoute للوصول إلى الموارد داخل VNet مباشرة من شبكتك المحلية.

تكوين القالب

Bicep
Terraform

لتشغيل قالب Bicep، استخدم الأوامر التالية من machine-learning-end-to-end-secure مكان main.bicep وجود الملف:

لإنشاء مجموعة موارد Azure جديدة، استخدم الأمر التالي. استبدل exampleRG باسم مجموعة الموارد، وبمنطقة eastus Azure التي تريد استخدامها:
- Azure CLI
- Azure PowerShell
```
az group create --name exampleRG --location eastus
```
```
New-AzResourceGroup -Name exampleRG -Location eastus
```

لتشغيل القالب، استخدم الأمر التالي:

Azure CLI
Azure PowerShell

az deployment group create \
    --resource-group exampleRG \
    --template-file main.bicep \
    --parameters \
    prefix=myprefix \
    dsvmJumpboxUsername=azureadmin \
    dsvmJumpboxPassword=securepassword

$dsvmPassword = ConvertTo-SecureString "mysecurepassword" -AsPlainText -Force
New-AzResourceGroupDeployment -ResourceGroupName exampleRG `
    -TemplateFile ./main.bicep `
    -prefix "myprefix" `
    -dsvmJumpboxUsername "azureadmin" `
    -dsvmJumpboxPassword $dsvmPassword

تحذير

يجب تجنب استخدام سلاسل نصية عادية في البرنامج النصي أو من سطر الأوامر. يمكن أن يظهر النص العادي في سجلات الأحداث وسجل الأوامر. لمزيد من المعلومات، راجع التحويل إلى-SecureString.

لتشغيل قالب Terraform، استخدم الأوامر التالية من 201-machine-learning-moderately-secure الدليل حيث توجد ملفات القالب:

لتهيئة الدليل للعمل مع Terraform، استخدم الأمر التالي:
```
terraform init
```
لإنشاء تكوين، استخدم الأمر التالي. استخدم المعلمة لتعيين قيمة المتغيرات التي يستخدمها القالب -var . للحصول على قائمة كاملة بالمتغيرات، راجع ملف variables.tf :
```
terraform plan \
    -var name=myworkspace \
    -var environment=dev \
    -var location=westus \
    -var dsvm_name=jumpbox \
    -var dsvm_host_password=secure_password \
    -out azureml.tfplan
```
بعد اكتمال هذا الأمر، يتم عرض التكوين في المحطة الطرفية. لعرضه مرة أخرى، استخدم الأمر terraform show azureml.tfplan .
لتشغيل القالب وتطبيق التكوين المحفوظ على اشتراك Azure، استخدم الأمر التالي:
```
terraform apply azureml.tfplan
```
يتم عرض التقدم أثناء معالجة القالب.

الاتصال إلى مساحة العمل

بعد اكتمال القالب، اتبع الخطوات التالية للاتصال ب DSVM:

من مدخل Azure، حدد مجموعة موارد Azure التي استخدمتها مع القالب. ثم حدد الجهاز الظاهري لعلوم البيانات الذي تم إنشاؤه بواسطة القالب. إذا كنت تواجه مشكلة في العثور عليه، فاستخدم قسم عوامل التصفية لتصفية النوع إلى الجهاز الظاهري.
من القسم نظرة عامة في الجهاز الظاهري، حدد الاتصال، ثم حدد Bastion من القائمة المنسدلة.
عند المطالبة، أدخل اسم المستخدموكلمة المرور اللذين حددتهما عند تكوين القالب، ثم حدد الاتصال.

هام

في المرة الأولى التي تتصل فيها بسطح مكتب DSVM، يتم فتح نافذة PowerShell وبدء تشغيل برنامج نصي. اسمح بإكمال ذلك قبل المتابعة في الخطوة التالية.
من سطح مكتب DSVM ، ابدأ Microsoft Edge وأدخل https://ml.azure.com كعنوان. سجل الدخول إلى اشتراكك في Azure، ثم حدد مساحة العمل التي تم إنشاؤها بواسطة القالب. يتم عرض الاستوديو الخاص بمساحة العمل الخاصة بك.

الخطوات التالية

هام

يقوم الجهاز الظاهري لعلوم البيانات (DSVM) وأي موارد مثيل حوسبة بإصدار فاتورة لك عن كل ساعة يتم تشغيلها. لتجنب الرسوم الزائدة ، يجب عليك إيقاف هذه الموارد عندما لا تكون قيد الاستخدام. لمزيد من المعلومات، راجع المقالات التالية:

لمواصلة تعلم كيفية استخدام مساحة العمل الآمنة من DSVM، راجع البرنامج التعليمي: بدء استخدام برنامج نصي Python في Azure التعلم الآلي.

لمعرفة المزيد حول تكوينات مساحة العمل الآمنة الشائعة ومتطلبات الإدخال/الإخراج، راجع Azure التعلم الآلي تدفق حركة مرور مساحة العمل الآمنة.