Kurz: Vytvoření zabezpečeného pracovního prostoru se spravovanou virtuální sítí

  • Článek

V tomto článku se dozvíte, jak vytvořit zabezpečený pracovní prostor Azure Machine Learning a připojit se k němu. Kroky v tomto článku používají spravovanou virtuální síť Azure Machine Learning k vytvoření hranice zabezpečení kolem prostředků používaných službou Azure Machine Learning.

V tomto kurzu provedete následující úlohy:

  • Vytvořte pracovní prostor Služby Azure Machine Learning nakonfigurovaný tak, aby používal spravovanou virtuální síť.
  • Vytvořte výpočetní cluster Azure Machine Learning. Výpočetní cluster se používá při trénování modelů strojového učení v cloudu.

Po dokončení tohoto kurzu budete mít následující architekturu:

  • Pracovní prostor služby Azure Machine Learning, který ke komunikaci pomocí spravované sítě používá privátní koncový bod.
  • Účet služby Azure Storage, který pomocí privátních koncových bodů umožňuje službám úložiště, jako je objekt blob a soubor, komunikovat pomocí spravované sítě.
  • Azure Container Registry, který používá privátní koncový bod, komunikuje pomocí spravované sítě.
  • Azure Key Vault, která ke komunikaci pomocí spravované sítě používá privátní koncový bod.
  • Výpočetní instance služby Azure Machine Learning a výpočetní cluster zabezpečený spravovanou sítí

Požadavky

Vytvoření jump boxu (virtuální počítač)

K zabezpečenému pracovnímu prostoru se můžete připojit několika způsoby. V tomto kurzu se používá jump box . Jump box je virtuální počítač v Azure Virtual Network. Můžete se k němu připojit pomocí webového prohlížeče a služby Azure Bastion.

Následující tabulka uvádí několik dalších způsobů, jak se můžete připojit k zabezpečenému pracovnímu prostoru:

Metoda Popis
Azure VPN Gateway Připojuje místní sítě k azure Virtual Network přes privátní připojení. Privátní koncový bod pro váš pracovní prostor se vytvoří v rámci této virtuální sítě. Připojení se provádí přes veřejný internet.
ExpressRoute Připojuje místní sítě do cloudu přes privátní připojení. Připojení se provádí pomocí poskytovatele připojení.

Důležité

Pokud používáte bránu VPN nebo ExpressRoute, budete muset naplánovat, jak funguje překlad názvů mezi místními prostředky a prostředky v cloudu. Další informace najdete v tématu Použití vlastního serveru DNS.

Pomocí následujícího postupu vytvořte virtuální počítač Azure, který se použije jako jump box. Z desktopového virtuálního počítače se pak můžete pomocí prohlížeče na virtuálním počítači připojit k prostředkům ve spravované virtuální síti, jako je studio Azure Machine Learning. Nebo můžete na virtuální počítač nainstalovat vývojové nástroje.

Tip

Následující postup vytvoří Windows 11 podnikový virtuální počítač. V závislosti na vašich požadavcích můžete vybrat jinou image virtuálního počítače. Image Windows 11 (nebo 10) organizace je užitečná, pokud potřebujete připojit virtuální počítač k doméně vaší organizace.

  1. V Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Virtuální počítač. Vyberte položku Virtuální počítač a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast , ve které chcete službu vytvořit. Zadejte hodnoty pro následující pole:

    • Název virtuálního počítače: Jedinečný název virtuálního počítače.

    • Uživatelské jméno: Uživatelské jméno, které používáte pro přihlášení k virtuálnímu počítači.

    • Heslo: Heslo pro uživatelské jméno.

    • Typ zabezpečení: Standardní.

    • Obrázek: Windows 11 Enterprise.

      Tip

      Pokud Windows 11 Enterprise není v seznamu pro výběr obrázků, použijte příkaz Zobrazit všechny obrázky_. Vyhledejte položku Windows 11 od Microsoftu a pomocí rozevíracího seznamu Vybrat vyberte image organizace.

    Ostatní pole můžete ponechat na výchozích hodnotách.

    Snímek obrazovky se základní konfigurací virtuálních počítačů

  3. Vyberte Sítě. Zkontrolujte informace o síti a ujistěte se, že nepoužívá rozsah IP adres 172.17.0.0/16. Pokud ano, vyberte jiný rozsah, například 172.16.0.0/16; rozsah 172.17.0.0/16 může způsobit konflikty s Dockerem.

    Poznámka

    Virtuální počítač Azure vytvoří vlastní Virtual Network Azure pro izolaci sítě. Tato síť je oddělená od spravované virtuální sítě používané službou Azure Machine Learning.

    Snímek obrazovky s kartou Sítě pro virtuální počítač

  4. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Povolení služby Azure Bastion pro virtuální počítač

Azure Bastion umožňuje připojení k ploše virtuálního počítače prostřednictvím prohlížeče.

  1. V Azure Portal vyberte virtuální počítač, který jste vytvořili dříve. V části Operace na stránce vyberte Bastion a pak Nasadit bastion.

    Snímek obrazovky s možností nasazení Bastionu

  2. Po nasazení služby Bastion se zobrazí stránka připojení. Toto dialogové okno prozatím ponechte.

Vytvoření pracovního prostoru

  1. V Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Azure Machine Learning. Vyberte položku Azure Machine Learning a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast , ve které chcete službu vytvořit. Zadejte jedinečný název pracovního prostoru. Ponechte zbývající pole na výchozích hodnotách. Pro pracovní prostor se vytvoří nové instance požadovaných služeb.

    Snímek obrazovky s formulářem pro vytvoření pracovního prostoru

  3. Na kartě Sítě vyberte Privátní s internetovým odchozím připojením.

    Snímek obrazovky s kartou sítě pracovního prostoru s vybranou možností Odchozí internetové připojení

  4. Na kartě Sítě v části Příchozí přístup k pracovnímu prostoru vyberte + Přidat.

    Snímek obrazovky s tlačítkem přidat pro příchozí přístup

  5. Ve formuláři Vytvořit privátní koncový bod zadejte do pole Název jedinečnou hodnotu. Vyberte virtuální síť vytvořená dříve s virtuálním počítačem a vyberte výchozí podsíť. Zbývající pole ponechte na výchozích hodnotách. Vyberte OK a uložte koncový bod.

    Snímek obrazovky s formulářem vytvoření privátního koncového bodu

  6. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  7. Po vytvoření pracovního prostoru vyberte Přejít k prostředku.

Připojení k ploše virtuálního počítače

  1. V Azure Portal vyberte virtuální počítač, který jste vytvořili dříve.

  2. V části Připojit vyberte Bastion. Zadejte uživatelské jméno a heslo, které jste nakonfigurovali pro virtuální počítač, a pak vyberte Připojit.

    Snímek obrazovky s formulářem Bastion connect

Připojení ke studiu

V tomto okamžiku byl pracovní prostor vytvořen, ale spravovaná virtuální síť nikoli. Spravovaná virtuální síť se nakonfiguruje při vytváření pracovního prostoru, ale nevytvoří se, dokud nevytvoříte první výpočetní prostředek nebo ho nezřídíte ručně.

K vytvoření výpočetní instance použijte následující postup.

  1. Na ploše virtuálního počítače otevřete v prohlížeči studio Azure Machine Learning a vyberte pracovní prostor, který jste vytvořili dříve.

  2. Ve Studiu vyberte Výpočty, Výpočetní instance a pak + Nový.

    Snímek obrazovky s novou možností výpočetních prostředků ve Studiu

  3. V dialogovém okně Konfigurovat požadovaná nastavení zadejte jako název výpočetních prostředků jedinečnou hodnotu. Zbývající výběry ponechte na výchozí hodnotě.

  4. Vyberte Vytvořit. Vytvoření výpočetní instance trvá několik minut. Výpočetní instance se vytvoří v rámci spravované sítě.

    Tip

    Vytvoření prvního výpočetního prostředku může trvat několik minut. K tomuto zpoždění dochází, protože se také vytváří spravovaná virtuální síť. Spravovaná virtuální síť se nevytvořila, dokud se nevytvořil první výpočetní prostředek. Následné spravované výpočetní prostředky budou vytvořeny mnohem rychleji.

Povolení přístupu k úložišti ve studiu

Vzhledem k tomu, že studio Azure Machine Learning na klientovi částečně běží ve webovém prohlížeči, musí mít klient přímý přístup k výchozímu účtu úložiště pracovního prostoru, aby mohl provádět operace s daty. Pokud to chcete povolit, postupujte následovně:

  1. V Azure Portal vyberte virtuální počítač, který jste vytvořili dříve. V části Přehled zkopírujte veřejnou IP adresu.

  2. V Azure Portal vyberte pracovní prostor, který jste vytvořili dříve. V části Přehled vyberte odkaz na položku Úložiště .

  3. V účtu úložiště vyberte Sítě a přidejte veřejnou IP adresu jump boxu do části Brána firewall .

    Tip

    Ve scénáři, kdy místo jump boxu použijete bránu VPN nebo ExpressRoute, můžete přidat privátní koncový bod nebo koncový bod služby pro účet úložiště do Virtual Network Azure. Použití privátního koncového bodu nebo koncového bodu služby by umožnilo více klientům připojujícím se prostřednictvím Virtual Network Azure úspěšně provádět operace úložiště prostřednictvím studia.

    V tuto chvíli můžete pomocí studia interaktivně pracovat s poznámkovými bloky na výpočetní instanci a spouštět trénovací úlohy. Kurz najdete v tématu Kurz: Vývoj modelů.

Zastavení výpočetní instance

Zatímco je výpočetní instance spuštěná (spuštěná), bude dál účtovat vaše předplatné. Pokud se nechcete používat, zastavte ho, abyste se vyhnuli nadměrným nákladům.

Ve Studiu vyberte Compute, Výpočetní instance a pak vyberte výpočetní instanci. Nakonec v horní části stránky vyberte Zastavit .

Snímek obrazovky s tlačítkem Zastavit pro výpočetní instanci

Vyčištění prostředků

Pokud chcete zabezpečený pracovní prostor a další prostředky dál používat, tuto část přeskočte.

Pokud chcete odstranit všechny prostředky vytvořené v tomto kurzu, postupujte následovně:

  1. V Azure Portal vyberte Skupiny prostředků.

  2. V seznamu vyberte skupinu prostředků, kterou jste vytvořili v tomto kurzu.

  3. Vyberte Odstranit skupinu prostředků.

    Snímek obrazovky s tlačítkem odstranit skupinu prostředků

  4. Zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

Teď, když jste vytvořili zabezpečený pracovní prostor a máte přístup ke studiu, zjistěte, jak nasadit model do online koncového bodu s izolací sítě.

Další informace o spravované virtuální síti najdete v tématu Zabezpečení pracovního prostoru pomocí spravované virtuální sítě.