Cara membuat ruang kerja yang aman dengan menggunakan templat

Artikel
07/27/2022
5 menit untuk membaca

Templat menyediakan cara yang mudah untuk membuat penyebaran layanan yang dapat direproduksi. Templat menentukan apa yang akan dibuat dengan beberapa informasi yang Anda berikan ketika menggunakan templat. Misalnya, menentukan nama unik untuk ruang kerja Azure Machine Learning.

Dalam tutorial ini, Anda akan mempelajari cara menggunakan templat Microsoft Bicep dan Hashicorp Terraform untuk membuat sumber daya Azure berikut:

Azure Virtual Network. Sumber daya berikut diamankan di balik VNet ini:
- Ruang kerja Azure Machine Learning
  - Instans komputasi Azure Machine Learning
  - Kluster komputasi Azure Machine Learning
- Akun Azure Storage
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Host Azure Bastion
- Azure Machine Learning Virtual Machine (Data Science Virtual Machine)
- Templat Bicep juga membuat kluster Azure Kubernetes Service, serta grup sumber daya terpisah untuk kluster tersebut.

Prasyarat

Sebelum menggunakan langkah-langkah dalam artikel ini, Anda harus memiliki langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis.

Anda juga harus memiliki baris perintah Bash atau Azure PowerShell.

Tip

Saat membaca artikel ini, gunakan tab di setiap bagiannya untuk memilih apakah yang akan ditampilkan merupakan informasi terkait cara menggunakan templat Bicep atau Terraform.

Bicep
Terraform

Untuk menginstal alat baris perintah, lihat Menyiapkan lingkungan pengembangan dan penyebaran Bicep.
Templat Bicep yang digunakan dalam artikel ini terletak di https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Gunakan perintah berikut untuk mengkloning repositori GitHub ke lingkungan pengembangan Anda:

Tip

Jika Anda tidak memiliki perintah git pada lingkungan pengembangan, Anda dapat menginstalnya dari https://git-scm.com/.
```
git clone https://github.com/Azure/azure-quickstart-templates
cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
```

Untuk menginstal, mengonfigurasi, dan mengautentikasi Terraform ke langganan Azure Anda, gunakan langkah-langkah yang ada di salah satu artikel berikut:
File templat Terraform yang digunakan dalam artikel ini terletak di https://github.com/Azure/terraform/tree/master/quickstart/201-machine-learning-moderately-secure. Untuk mengkloning repositori secara lokal dan mengubah direktori ke tempat file templat berada, gunakan perintah berikut dari baris perintah:

Tip

Jika Anda tidak memiliki perintah git pada lingkungan pengembangan, Anda dapat menginstalnya dari https://git-scm.com/.
```
git clone https://github.com/Azure/terraform
cd terraform/quickstart/201-machine-learning-moderately-secure
```

Templat Bicep terdiri dari main.bicep dan file .bicep dalam subdirektori modul. Tabel berikut menjelaskan peran setiap file:

File	Deskripsi
main.bicep	Parameter dan variabel. Meneruskan parameter & variabel ke modul lain dalam subdirektori `modules`.
vnet.bicep	Menentukan Azure Virtual Network dan subnet.
nsg.bicep	Menentukan aturan kelompok keamanan jaringan untuk VNet.
bastion.bicep	Menentukan host dan subnet Azure Bastion. Azure Bastion memungkinkan Anda untuk mengakses mesin virtual di dalam VNet dengan mudah menggunakan browser web.
dsvmjumpbox.bicep	Menentukan Data Science Virtual Machine (DSVM). Azure Bastion digunakan untuk mengakses mesin virtual ini melalui browser web Anda.
storage.bicep	Menentukan akun Azure Storage yang digunakan oleh ruang kerja untuk penyimpanan default.
keyvault.bicep	Menentukan Azure Key Vault yang digunakan oleh ruang kerja.
containerregistry.bicep	Menentukan Azure Container Registry yang digunakan oleh ruang kerja.
applicationinsights.bicep	Menentukan instans Application Insights Azure yang digunakan oleh ruang kerja.
machinelearningnetworking.bicep	Menentukan titik akhir privat dan zona DNS untuk ruang kerja Azure Machine Learning.
Machinelearning.bicep	Menentukan ruang kerja Azure Machine Learning.
machinelearningcompute.bicep	Menentukan kluster komputasi dan instans komputasi Azure Machine Learning.
privateaks.bicep	Menentukan instans kluster Azure Kubernetes Services.

Templat terdiri dari beberapa file. Tabel berikut menjelaskan peran setiap file:

File	Deskripsi
variables.tf	Variabel dan nilai default yang digunakan oleh templat.
main.tf	Menentukan penyedia Azure Resource Manager dan menentukan grup sumber daya.
network.tf	Menentukan Azure Virtual Network, subnet, dan kelompok keamanan jaringan.
bastion.tf	Menentukan host Azure Bastion dan NSG terkait. Azure Bastion memungkinkan Anda untuk mengakses mesin virtual di dalam VNet dengan mudah menggunakan browser web.
dsvm.tf	Menentukan Data Science Virtual Machine (DSVM). Azure Bastion digunakan untuk mengakses mesin virtual ini melalui browser web Anda.
workspace.tf	Menentukan ruang kerja Azure Machine Learning. Termasuk sumber daya dependensi untuk Azure Storage, Key Vault, Application Insights, dan Container Registry.
compute.tf	Menentukan instans dan kluster komputasi Azure Machine Learning.

Tip

Penyedia Terraform Azure mendukung argumen tambahan yang tidak digunakan dalam tutorial ini. Misalnya, argumen environment memungkinkan Anda untuk menargetkan wilayah cloud seperti Azure Government dan Azure Tiongkok 21ViaNet.

Penting

DSVM dan Azure Bastion digunakan sebagai cara yang mudah untuk tersambung ke ruang kerja aman untuk tutorial ini. Dalam lingkungan produksi, sebaiknya gunakan Gateway VPN Azure atau Azure ExpressRoute untuk mengakses sumber daya di dalam VNet secara langsung dari jaringan lokal Anda.

Mengonfigurasi templat

Bicep
Terraform

Untuk menjalankan templat Bicep, gunakan perintah berikut dari machine-learning-end-to-end-secure, yaitu tempat file main.bicep berada:

Untuk membuat Grup Sumber Daya Azure baru, gunakan perintah berikut. Ganti exampleRG dengan nama grup sumber daya Anda, dan eastus dengan wilayah Azure yang ingin Anda gunakan:
- Azure CLI
- Azure PowerShell
```
az group create --name exampleRG --location eastus
```
```
New-AzResourceGroup -Name exampleRG -Location eastus
```

Untuk menjalankan templat, jalankan perintah berikut ini:

Azure CLI
Azure PowerShell

az deployment group create \
    --resource-group exampleRG \
    --template-file main.bicep \
    --parameters \
    prefix=myprefix \
    dsvmJumpboxUsername=azureadmin \
    dsvmJumpboxPassword=securepassword

$dsvmPassword = ConvertTo-SecureString "mysecurepassword" -AsPlainText -Force
New-AzResourceGroupDeployment -ResourceGroupName exampleRG `
    -TemplateFile ./main.bicep `
    -prefix "myprefix" `
    -dsvmJumpboxUsername "azureadmin" `
    -dsvmJumpboxPassword $dsvmPassword

Peringatan

Anda harus menghindari penggunaan string teks biasa dalam skrip atau dari baris perintah. Teks biasa dapat muncul di log kejadian dan riwayat perintah. Untuk informasi lebih lanjut, lihat ConvertTo-SecureString.

Untuk menjalankan templat Terraform, gunakan perintah berikut dari direktori 201-machine-learning-moderately-secure tempat file templat berada:

Untuk menginisialisasi direktori agar bekerja dengan Terraform, gunakan perintah berikut:
```
terraform init
```
Gunakan perintah berikut untuk membuat konfigurasi. Gunakan parameter -var untuk mengatur nilai variabel yang digunakan oleh templat. Untuk daftar lengkap variabel, lihat file variables.tf :
```
terraform plan \
    -var name=myworkspace \
    -var environment=dev \
    -var location=westus \
    -var dsvm_name=jumpbox \
    -var dsvm_host_password=secure_password \
    -out azureml.tfplan
```
Setelah perintah ini selesai, konfigurasi akan ditampilkan di terminal. Untuk menampilkannya lagi, gunakan perintah terraform show azureml.tfplan.
Untuk menjalankan templat dan menerapkan konfigurasi tersimpan ke langganan Azure Anda, gunakan perintah berikut:
```
terraform apply azureml.tfplan
```
Kemajuan ditampilkan seiring templat diproses.

Menyambungkan ke ruang kerja

Setelah templat selesai, gunakan langkah-langkah berikut agar tersambung ke DSVM:

Dari portal Azure, pilih Grup Sumber Daya Azure yang telah Anda gunakan dengan templat. Kemudian, pilih Data Science Virtual Machine yang dibuat oleh templat. Jika Anda mengalami kesulitan saat menemukannya, gunakan bagian filter untuk memfilter Jenis ke mesin virtual.
Dari bagian Gambaran Umum Mesin Virtual, pilih Sambungkan, lalu pilih Bastion dari drop-down.
Saat diminta, berikan nama pengguna dan kata sandi yang telah Anda tentukan saat mengonfigurasi templat, lalu pilih Sambungkan.

Penting

Saat Anda pertama kali tersambung ke desktop DSVM, jendela PowerShell akan terbuka dan mulai menjalankan skrip. Biarkan proses ini selesai sebelum melanjutkan ke langkah berikutnya.
Dari desktop DSVM, buka Microsoft Edge dan masukkan https://ml.azure.com sebagai alamat. Masuk ke langganan Azure Anda, lalu pilih ruang kerja yang telah dibuat oleh templat. Studio untuk ruang kerja Anda akan ditampilkan.

Langkah berikutnya

Penting

Data Science Virtual Machine (DSVM) dan sumber daya instans komputasi apa pun akan menagih Anda berdasarkan pemakaian untuk setiap jam eksekusi. Untuk menghindari tagihan yang berlebih, Anda harus menghentikan sumber daya ini ketika tidak digunakan. Untuk informasi selengkapnya, lihat artikel berikut ini:

Untuk terus mempelajari cara menggunakan ruang kerja aman dari DSVM, lihat Tutorial: Mulai menggunakan skrip Python di Azure Machine Learning.

Untuk mempelajari lebih lanjut konfigurasi ruang kerja aman umum dan persyaratan input/output, lihat Alur lalu lintas ruang kerja aman Azure Machine Learning.