Kurz: Vytvoření zabezpečeného pracovního prostoru pomocí šablony

  • Článek

Šablony poskytují pohodlný způsob, jak vytvářet reprodukovatelná nasazení služeb. Šablona definuje, co se vytvoří, s některými informacemi, které vám poskytne při použití šablony. Zadejte například jedinečný název pracovního prostoru Učení Azure Machine.

V tomto kurzu se dozvíte, jak pomocí šablony Terraformu Microsoft Bicep a Hashicorp vytvořit následující prostředky Azure:

  • Azure Virtual Network. Za touto virtuální sítí jsou zabezpečené následující prostředky:
    • Pracovní prostor azure machine Učení
      • Výpočetní instance Azure Machine Learningu
      • Výpočetní cluster Azure Machine Učení
    • Účet služby Azure Storage
    • Azure Key Vault
    • Azure Application Insights
    • Azure Container Registry
    • Hostitel Služby Azure Bastion
    • Virtuální počítač Azure Učení (Datová Věda virtuální počítač)
    • Šablona Bicep také vytvoří cluster Azure Kubernetes Service a samostatnou skupinu prostředků.

Tip

Microsoft doporučuje místo kroků v tomto článku používat službu Azure Machine Učení spravované virtuální sítě. Se spravovanou virtuální sítí azure machine Učení zpracovává úlohu izolace sítě pro váš pracovní prostor a spravované výpočetní prostředky. Můžete také přidat privátní koncové body pro prostředky potřebné pracovním prostorem, jako je například účet služby Azure Storage. Další informace najdete v tématu Spravovaná izolace sítě pracovního prostoru.

Požadavky

Před použitím kroků v tomto článku musíte mít předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.

Musíte mít také příkazový řádek Bash nebo Azure PowerShell.

Tip

Při čtení tohoto článku můžete pomocí karet v jednotlivých oddílech vybrat, jestli chcete zobrazit informace o používání šablon Bicep nebo Terraformu.

  1. Pokud chcete nainstalovat nástroje příkazového řádku, přečtěte si téma Nastavení prostředí pro vývoj a nasazení Bicep.

  2. Šablona Bicep použitá v tomto článku se nachází na adrese https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Pomocí následujících příkazů naklonujte úložiště GitHub do vývojového prostředí:

    Tip

    Pokud ve vývojovém git prostředí nemáte příkaz, můžete ho nainstalovat z https://git-scm.com/aplikace .

    git clone https://github.com/Azure/azure-quickstart-templates
cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure

Principy šablony

Šablona Bicep se skládá z main.bicep a .bicep souborů v podadresáři modulů . Následující tabulka popisuje, k čemu každý soubor odpovídá:

Soubor Popis
main.bicep Parametry a proměnné. Předávání parametrů a proměnných jiným modulům modules v podadresáři
vnet.bicep Definuje virtuální síť a podsítě Azure.
nsg.bicep Definuje pravidla skupiny zabezpečení sítě pro virtuální síť.
bastion.bicep Definuje hostitele a podsíť Služby Azure Bastion. Azure Bastion umožňuje snadný přístup k virtuálnímu počítači uvnitř virtuální sítě pomocí webového prohlížeče.
dsvmjumpbox.bicep Definuje Datová Věda virtuální počítač (DSVM). Azure Bastion se používá k přístupu k tomuto virtuálnímu počítači přes webový prohlížeč.
storage.bicep Definuje účet služby Azure Storage používaný pracovním prostorem pro výchozí úložiště.
keyvault.bicep Definuje Službu Azure Key Vault používanou pracovním prostorem.
containerregistry.bicep Definuje službu Azure Container Registry používanou pracovním prostorem.
applicationinsights.bicep Definuje Aplikace Azure Přehledy instanci používanou pracovním prostorem.
machinelearningnetworking.bicep Definuje privátní koncové body a zóny DNS pro pracovní prostor azure machine Učení.
Machinelearning.bicep Definuje pracovní prostor Azure Machine Učení.
machinelearningcompute.bicep Definuje výpočetní cluster a výpočetní instanci Azure Machine Učení.
privateaks.bicep Definuje instanci clusteru Azure Kubernetes Services.

Důležité

Ukázkové šablony nemusí vždy používat nejnovější verzi rozhraní API pro službu Azure Machine Učení. Před použitím šablony doporučujeme ji upravit tak, aby používala nejnovější verze rozhraní API. Informace o nejnovějších verzích rozhraní API pro službu Azure Machine Učení najdete v rozhraní AZURE Machine Učení REST API.

Každá služba Azure má svou vlastní sadu verzí rozhraní API. Informace o rozhraní API pro konkrétní službu najdete v referenčních informacích o službě Azure REST API.

Pokud chcete aktualizovat verzi rozhraní API, vyhledejte Microsoft.MachineLearningServices/<resource> položku pro typ prostředku a aktualizujte ji na nejnovější verzi. Následující příklad je položka pro pracovní prostor Azure Machine Učení, který používá verzi 2022-05-01rozhraní API:

resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {

Důležité

Virtuální počítač pro datové vědy (DSVM) a Azure Bastion se používají jako snadný způsob připojení k zabezpečenému pracovnímu prostoru pro účely tohoto kurzu. V produkčním prostředí doporučujeme použít bránu Azure VPN nebo Azure ExpressRoute pro přístup k prostředkům ve virtuální síti přímo z místní sítě.

Konfigurace šablony

Pokud chcete spustit šablonu Bicep, použijte následující příkazy z machine-learning-end-to-end-secure místa main.bicep , kde je soubor:

  1. Pokud chcete vytvořit novou skupinu prostředků Azure, použijte následující příkaz. Nahraďte exampleRG názvem vaší skupiny prostředků a eastus oblastí Azure, kterou chcete použít:

    az group create --name exampleRG --location eastus

  2. Pokud chcete šablonu spustit, použijte následující příkaz. prefix Nahraďte jedinečnou předponou. Předpona se použije při vytváření prostředků Azure, které jsou potřeba pro Učení Azure Machine. securepassword Nahraďte bezpečné heslo pro jump box. Heslo je pro přihlašovací účet pro jump box (azureadmin v následujících příkladech):

    Tip

    Musí prefix mít 5 nebo méně znaků. Nemůže být zcela číselný ani nesmí obsahovat následující znaky: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

    az deployment group create \
    --resource-group exampleRG \
    --template-file main.bicep \
    --parameters \
    prefix=prefix \
    dsvmJumpboxUsername=azureadmin \
    dsvmJumpboxPassword=securepassword

Připojení do pracovního prostoru

Po dokončení šablony se pomocí následujících kroků připojte k DSVM:

  1. Na webu Azure Portal vyberte skupinu prostředků Azure, kterou jste použili se šablonou. Pak vyberte Datová Věda virtuální počítač vytvořený šablonou. Pokud máte potíže s jeho vyhledáním, vyfiltrujte typ na virtuální počítač pomocí oddílu filtrů.

    Screenshot of filtering and selecting the vm.

  2. V části Přehled virtuálního počítače vyberte Připojení a pak v rozevíracím seznamu vyberte Bastion.

    Screenshot of selecting to connect using Bastion.

  3. Po zobrazení výzvy zadejte uživatelské jméno a heslo, které jste zadali při konfiguraci šablony, a pak vyberte Připojení.

    Důležité

    Při prvním připojení k počítači DSVM se otevře okno PowerShellu a začne se spouštět skript. Než budete pokračovat dalším krokem, povolte ho dokončit.

  4. Na počítači DSVM spusťte Microsoft Edge a zadejte https://ml.azure.com jako adresu. Přihlaste se ke svému předplatnému Azure a vyberte pracovní prostor vytvořený šablonou. Zobrazí se studio pro váš pracovní prostor.

Řešení problému

Chyba: Název počítače s Windows nesmí být delší než 15 znaků, být zcela číselný nebo obsahovat následující znaky.

K této chybě může dojít v případě, že název jump boxu DSVM je větší než 15 znaků nebo obsahuje jeden z následujících znaků: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

Při použití šablony Bicep se název jump boxu vygeneruje programově pomocí hodnoty předpony poskytnuté šabloně. Chcete-li se ujistit, že název nepřesahuje 15 znaků nebo neobsahuje neplatné znaky, použijte předponu, která je 5 znaků nebo méně a nepoužívejte v předponě žádný z následujících znaků: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

Při použití šablony Terraformu se název jump boxu předá pomocí parametru dsvm_name . Chcete-li se této chybě vyhnout, použijte název, který není větší než 15 znaků a nepoužívá žádný z následujících znaků jako součást názvu: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

Další kroky

Důležité

Virtuální počítač Datová Věda (DSVM) a všechny výpočetní prostředky instance vám účtují každou hodinu, za kterou běží. Pokud se chcete vyhnout nadbytečným poplatkům, měli byste tyto prostředky zastavit, pokud se nepoužívají. Další informace najdete v následujících článcích:

Pokud se chcete dál učit používat zabezpečený pracovní prostor z DSVM, přečtěte si kurz: Azure Machine Učení za den.

Další informace o běžných konfiguracích zabezpečených pracovních prostorů a požadavcích na vstup/výstup najdete v tématu Azure Machine Učení zabezpečeném toku provozu pracovního prostoru.