Tutorial: Cara membuat ruang kerja yang aman dengan menggunakan templat

Templat menyediakan cara yang mudah untuk membuat penyebaran layanan yang dapat direproduksi. Templat menentukan apa yang akan dibuat dengan beberapa informasi yang Anda berikan ketika menggunakan templat. Misalnya, menentukan nama unik untuk ruang kerja Azure Machine Learning.

Dalam tutorial ini, Anda akan mempelajari cara menggunakan templat Microsoft Bicep dan Hashicorp Terraform untuk membuat sumber daya Azure berikut:

• Azure Jaringan Virtual. Sumber daya berikut diamankan di belakang VNet ini:
  • Ruang kerja Azure Pembelajaran Mesin
    • Instans komputasi Azure Machine Learning
    • Kluster komputasi Azure Machine Learning
  • Akun Azure Storage
  • Azure Key Vault
  • Azure Application Insights
  • Azure Container Registry
  • Host Azure Bastion
  • Azure Machine Learning Virtual Machine (Data Science Virtual Machine)
  • Templat Bicep juga membuat kluster Azure Kubernetes Service, serta grup sumber daya terpisah untuk kluster tersebut.

Tip

Microsoft merekomendasikan penggunaan Azure Pembelajaran Mesin jaringan virtual terkelola alih-alih langkah-langkah dalam artikel ini. Dengan jaringan virtual terkelola, Azure Pembelajaran Mesin menangani pekerjaan isolasi jaringan untuk ruang kerja Dan komputasi terkelola Anda. Anda juga dapat menambahkan titik akhir privat untuk sumber daya yang diperlukan oleh ruang kerja, seperti Akun Azure Storage. Untuk informasi selengkapnya, lihat Isolasi jaringan terkelola Ruang Kerja.

Prasyarat

Sebelum menggunakan langkah-langkah dalam artikel ini, Anda harus memiliki langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis.

Anda juga harus memiliki baris perintah Bash atau Azure PowerShell.

Tip

Saat membaca artikel ini, gunakan tab di setiap bagiannya untuk memilih apakah yang akan ditampilkan merupakan informasi terkait cara menggunakan templat Bicep atau Terraform.

Bicep

1. Untuk menginstal alat baris perintah, lihat Menyiapkan lingkungan pengembangan dan penyebaran Bicep.

2. Templat Bicep yang digunakan dalam artikel ini terletak di https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Gunakan perintah berikut untuk mengkloning repositori GitHub ke lingkungan pengembangan Anda:

   Tip

   Jika Anda tidak memiliki perintah git pada lingkungan pengembangan, Anda dapat menginstalnya dari https://git-scm.com/.

   git clone https://github.com/Azure/azure-quickstart-templates
   cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
   

Terraform

1. Untuk menginstal, mengonfigurasi, dan mengautentikasi Terraform ke langganan Azure Anda, gunakan langkah-langkah yang ada di salah satu artikel berikut:

   • Azure Cloud Shell
   • Windows dengan Bash
   • Windows dengan Azure PowerShell

2. File templat Terraform yang digunakan dalam artikel ini terletak di https://github.com/Azure/terraform/tree/master/quickstart/201-machine-learning-moderately-secure. Untuk mengkloning repositori secara lokal dan mengubah direktori ke tempat file templat berada, gunakan perintah berikut dari baris perintah:

   Tip

   Jika Anda tidak memiliki perintah git pada lingkungan pengembangan, Anda dapat menginstalnya dari https://git-scm.com/.

   git clone https://github.com/Azure/terraform
   cd terraform/quickstart/201-machine-learning-moderately-secure
   

Memahami templat

Bicep

Templat Bicep terdiri dari main.bicep dan file .bicep dalam subdirektori modul. Tabel berikut menjelaskan peran setiap file:

File	Deskripsi
main.bicep	Parameter dan variabel. Meneruskan parameter & variabel ke modul lain di subdirektori modules .
vnet.bicep	Menentukan Azure Virtual Network dan subnet.
nsg.bicep	Menentukan aturan kelompok keamanan jaringan untuk VNet.
bastion.bicep	Menentukan host dan subnet Azure Bastion. Azure Bastion memungkinkan Anda untuk mengakses mesin virtual di dalam VNet dengan mudah menggunakan browser web.
dsvmjumpbox.bicep	Menentukan Data Science Virtual Machine (DSVM). Azure Bastion digunakan untuk mengakses mesin virtual ini melalui browser web Anda.
storage.bicep	Menentukan akun Azure Storage yang digunakan oleh ruang kerja untuk penyimpanan default.
keyvault.bicep	Menentukan Azure Key Vault yang digunakan oleh ruang kerja.
containerregistry.bicep	Menentukan Azure Container Registry yang digunakan oleh ruang kerja.
applicationinsights.bicep	Menentukan instans Application Insights Azure yang digunakan oleh ruang kerja.
machinelearningnetworking.bicep	Menentukan titik akhir privat dan zona DNS untuk ruang kerja Azure Pembelajaran Mesin.
Machinelearning.bicep	Menentukan ruang kerja Azure Machine Learning.
machinelearningcompute.bicep	Menentukan kluster komputasi dan instans komputasi Azure Machine Learning.
privateaks.bicep	Menentukan instans kluster Azure Kubernetes Services.

Penting

Contoh templat mungkin tidak selalu menggunakan versi API terbaru untuk Azure Pembelajaran Mesin. Sebelum menggunakan templat, sebaiknya ubah untuk menggunakan versi API terbaru. Untuk informasi tentang versi API terbaru untuk Azure Pembelajaran Mesin, lihat Azure Pembelajaran Mesin REST API.

Setiap layanan Azure memiliki sekumpulan versi API sendiri. Untuk informasi tentang API untuk layanan tertentu, periksa informasi layanan di referensi Azure REST API.

Untuk memperbarui versi API, temukan Microsoft.MachineLearningServices/<resource> entri untuk jenis sumber daya dan perbarui ke versi terbaru. Contoh berikut adalah entri untuk ruang kerja Azure Pembelajaran Mesin yang menggunakan versi API dari 2022-05-01:

resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {

Terraform

Templat terdiri dari beberapa file. Tabel berikut menjelaskan peran setiap file:

File	Deskripsi
variables.tf	Variabel dan nilai default yang digunakan oleh templat.
main.tf	Menentukan penyedia Azure Resource Manager dan menentukan grup sumber daya.
network.tf	Menentukan Azure Virtual Network, subnet, dan kelompok keamanan jaringan.
bastion.tf	Menentukan host Azure Bastion dan NSG terkait. Azure Bastion memungkinkan Anda untuk mengakses mesin virtual di dalam VNet dengan mudah menggunakan browser web.
dsvm.tf	Menentukan Data Science Virtual Machine (DSVM). Azure Bastion digunakan untuk mengakses mesin virtual ini melalui browser web Anda.
workspace.tf	Menentukan ruang kerja Azure Machine Learning. Termasuk sumber daya dependensi untuk Azure Storage, Key Vault, Application Insights, dan Container Registry.
compute.tf	Menentukan instans dan kluster komputasi Azure Machine Learning.

Tip

Penyedia Terraform Azure mendukung argumen tambahan yang tidak digunakan dalam tutorial ini. Misalnya, argumen lingkungan memungkinkan Anda menargetkan wilayah cloud seperti Azure Government dan Microsoft Azure yang dioperasikan oleh 21Vianet.

Penting

DSVM dan Azure Bastion digunakan sebagai cara yang mudah untuk tersambung ke ruang kerja aman untuk tutorial ini. Dalam lingkungan produksi, sebaiknya gunakan Gateway VPN Azure atau Azure ExpressRoute untuk mengakses sumber daya di dalam VNet secara langsung dari jaringan lokal Anda.

Mengonfigurasi templat

Bicep

Untuk menjalankan templat Bicep, gunakan perintah berikut dari machine-learning-end-to-end-secure, yaitu tempat file main.bicep berada:

1. Untuk membuat Grup Sumber Daya Azure baru, gunakan perintah berikut. Ganti exampleRG dengan nama grup sumber daya Anda, dan eastus dengan wilayah Azure yang ingin Anda gunakan:

   Azure CLI

   az group create --name exampleRG --location eastus
   

   Azure PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   

2. Untuk menjalankan templat, gunakan perintah berikut. Ganti dengan awalan prefix unik. Awalan akan digunakan saat membuat sumber daya Azure yang diperlukan untuk Azure Pembelajaran Mesin. securepassword Ganti dengan kata sandi aman untuk kotak lompat. Kata sandi adalah untuk akun masuk untuk jump box (azureadmin dalam contoh di bawah):

   Tip

   Harus prefix 5 karakter atau kurang. Ini tidak boleh sepenuhnya numerik atau berisi karakter berikut: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

   Azure CLI

   az deployment group create \
       --resource-group exampleRG \
       --template-file main.bicep \
       --parameters \
       prefix=prefix \
       dsvmJumpboxUsername=azureadmin \
       dsvmJumpboxPassword=securepassword
   

   Azure PowerShell

   $dsvmPassword = ConvertTo-SecureString "mysecurepassword" -AsPlainText -Force
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG `
       -TemplateFile ./main.bicep `
       -prefix "prefix" `
       -dsvmJumpboxUsername "azureadmin" `
       -dsvmJumpboxPassword $dsvmPassword
   

   Peringatan

   Anda harus menghindari penggunaan string teks biasa dalam skrip atau dari baris perintah. Teks biasa dapat muncul di log kejadian dan riwayat perintah. Untuk informasi lebih lanjut, lihat ConvertTo-SecureString.

Terraform

Untuk menjalankan templat Terraform, gunakan perintah berikut dari direktori 201-machine-learning-moderately-secure tempat file templat berada:

1. Untuk menginisialisasi direktori agar bekerja dengan Terraform, gunakan perintah berikut:

   terraform init
   

2. Gunakan perintah berikut untuk membuat konfigurasi. Gunakan parameter -var untuk mengatur nilai variabel yang digunakan oleh templat. Untuk daftar lengkap variabel, lihat file variables.tf :

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   Setelah perintah ini selesai, konfigurasi akan ditampilkan di terminal. Untuk menampilkannya lagi, gunakan perintah terraform show azureml.tfplan.

3. Untuk menjalankan templat dan menerapkan konfigurasi tersimpan ke langganan Azure Anda, gunakan perintah berikut:

   terraform apply azureml.tfplan
   

   Kemajuan ditampilkan seiring templat diproses.

Menyambungkan ke ruang kerja

Setelah templat selesai, gunakan langkah-langkah berikut agar tersambung ke DSVM:

1. Dari portal Azure, pilih Grup Sumber Daya Azure yang telah Anda gunakan dengan templat. Kemudian, pilih Data Science Virtual Machine yang dibuat oleh templat. Jika Anda mengalami kesulitan saat menemukannya, gunakan bagian filter untuk memfilter Jenis ke mesin virtual.

   

2. Dari bagian Gambaran Umum Mesin Virtual, pilih Sambungkan, lalu pilih Bastion dari drop-down.

   

3. Saat diminta, berikan nama pengguna dan kata sandi yang telah Anda tentukan saat mengonfigurasi templat, lalu pilih Sambungkan.

   Penting

   Saat Anda pertama kali tersambung ke desktop DSVM, jendela PowerShell akan terbuka dan mulai menjalankan skrip. Biarkan proses ini selesai sebelum melanjutkan ke langkah berikutnya.

4. Dari desktop DSVM, buka Microsoft Edge dan masukkan https://ml.azure.com sebagai alamat. Masuk ke langganan Azure Anda, lalu pilih ruang kerja yang telah dibuat oleh templat. Studio untuk ruang kerja Anda akan ditampilkan.

Pemecahan Masalah

Kesalahan: Panjang nama komputer Windows tidak boleh lebih dari 15 karakter, sepenuhnya numerik, atau berisi karakter berikut

Kesalahan ini dapat terjadi ketika nama untuk jump box DSVM lebih besar dari 15 karakter atau menyertakan salah satu karakter berikut: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

Saat menggunakan templat Bicep, nama jump box dihasilkan secara terprogram menggunakan nilai awalan yang disediakan untuk templat. Untuk memastikan nama tidak melebihi 15 karakter atau berisi karakter yang tidak valid, gunakan awalan yang terdiri dari 5 karakter atau kurang dan jangan gunakan salah satu karakter berikut dalam awalan: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

Saat menggunakan templat Terraform, nama jump box diteruskan menggunakan dsvm_name parameter . Untuk menghindari kesalahan ini, gunakan nama yang tidak lebih besar dari 15 karakter dan tidak menggunakan salah satu karakter berikut sebagai bagian dari nama: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

Langkah berikutnya

Penting

Data Science Virtual Machine (DSVM) dan sumber daya instans komputasi apa pun akan menagih Anda berdasarkan pemakaian untuk setiap jam eksekusi. Untuk menghindari tagihan yang berlebih, Anda harus menghentikan sumber daya ini ketika tidak digunakan. Untuk informasi lebih lanjut, baca artikel berikut:

• Membuat/mengelola mesin virtual (Linux).
• Membuat/mengelola mesin virtual (Windows).
• Membuat instans komputasi.

Untuk terus mempelajari cara menggunakan ruang kerja aman dari DSVM, lihat Tutorial: Azure Pembelajaran Mesin dalam sehari.

Untuk mempelajari lebih lanjut konfigurasi ruang kerja aman umum dan persyaratan input/output, lihat Alur lalu lintas ruang kerja aman Azure Machine Learning.