チュートリアル: マネージド仮想ネットワークを使用してセキュリティで保護されたワークスペースを作成する方法

[アーティクル]
09/11/2023

この記事では、セキュリティで保護された Azure Machine Learning ワークスペースを作成して接続する方法について説明します。この記事の手順では、Azure Machine Learning マネージド仮想ネットワークを使用して、Azure Machine Learning で使用されるリソースの周囲にセキュリティ境界を作成します。

このチュートリアルでは、以下のタスクを実行します。

マネージド仮想ネットワークを使用するように構成された Azure Machine Learning ワークスペースを作成する。
Azure Machine Learning コンピューティングクラスターを作成する。コンピューティングクラスターは、クラウドで機械学習モデルをトレーニングするときに使用されます。

このチュートリアルを完了すると、次のアーキテクチャが得られます。

マネージドネットワークを使用した通信にプライベートエンドポイントを使用する Azure Machine Learning ワークスペース。
プライベートエンドポイントを使用して、BLOB やファイルなどのストレージサービスでマネージドネットワークを使用して通信できるようにする Azure Storage アカウント。
マネージドネットワークを使用した通信にプライベートエンドポイントを使用する Azure Container Registry。
マネージドネットワークを使用した通信にプライベートエンドポイントを使用する Azure Key Vault。
マネージドネットワークでセキュリティ保護された Azure Machine Learning コンピューティングインスタンスとコンピューティングクラスター。

前提条件

Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。無料版または有料版の Azure Machine Learning をお試しください。

ジャンプボックス (VM) を作成する

セキュリティで保護されたワークスペースに接続するには、いくつかの方法があります。このチュートリアルでは、ジャンプボックスを使用します。ジャンプボックスは、Azure Virtual Network の仮想マシンです。これに接続するには、Web ブラウザーと Azure Bastion を使用します。

次の表に、セキュリティで保護されたワークスペースに接続できるその他の方法をいくつか示します。

方法	説明
Azure VPN Gateway	オンプレミスのネットワークをプライベート接続を介して Azure Virtual Network に接続します。ワークスペースのプライベートエンドポイントは、その仮想ネットワーク内に作成されます。接続は、パブリックインターネットを介して行われます。
ExpressRoute	オンプレミスのネットワークをプライベート接続を介してクラウドに接続します。接続は、接続プロバイダーを使用して行われます。

重要

VPN ゲートウェイまたは ExpressRoute を使用する場合は、オンプレミスのリソースとクラウド上のリソース間での名前解決の仕組みを計画する必要があります。詳細については、カスタム DNS サーバーの使用に関する記事を参照してください。

次の手順を使用して、ジャンプボックスとして使用する Azure 仮想マシンを作成します。 VM デスクトップから、VM 上のブラウザーを使用して、マネージド仮想ネットワーク内のリソース (Azure Machine Learning スタジオなど) に接続できます。また、VM に開発ツールをインストールすることもできます。

ヒント

次の手順では、Windows 11 Enterprise VM を作成します。要件に応じて、別の VM イメージを選択できます。 Windows 11 (または 10) Enterprise イメージは、VM を組織のドメインに参加させる必要がある場合に便利です。

Azure portal で、左上隅にあるポータルメニューを選択します。メニューで [+ リソースの作成] を選択し、「Virtual Machine」と入力します。 [Virtual Machine] エントリを選択し、[作成] を選択します。
[基本] タブで、サービスを作成する [サブスクリプション]、[リソースグループ]、[リージョン] を選びます。次のフィールドの値を指定します。
- 仮想マシン名: VM の一意の名前。
- ユーザー名: VM へのサインインに使用するユーザー名。
- パスワード: そのユーザー名のパスワード。
- セキュリティの種類: 標準。
- イメージ: Windows 11 Enterprise。
  
  ヒント
  
  Windows 11 Enterprise がイメージ選択の一覧にない場合は、[すべてのイメージを表示] を使用します。 [Microsoft] から [Windows 11] エントリを見つけ、[選択] ドロップダウンを使用して Enterprise イメージを選択します。
他のフィールドは既定値のままで構いません。
[ネットワーク] を選択します。ネットワーク情報を確認し、172.17.0.0/16 IP アドレス範囲を使用していないことを確認します。使用している場合は、172.16.0.0/16 などの別の範囲を選択します。172.17.0.0/16 の範囲では、Docker との競合が発生する可能性があります。

注意

Azure Virtual Machine は、ネットワーク分離のために独自の Azure Virtual Network を作成します。このネットワークは、Azure Machine Learning で使用されるマネージド仮想ネットワークから分離されます。
[確認と作成] を選択します。情報が正しいことを確認し、 [作成] を選択します。

VM の Azure Bastion を有効にする

Azure Bastion を使用すると、ブラウザーを使用して VM デスクトップに接続できます。

Azure portal で、以前作成した VM を選択します: ページの [操作] セクションで、[Bastion] を選択し、[Bastion のデプロイ] を選択します。
Bastion サービスがデプロイされると、接続ページが表示されます。このダイアログは、現時点ではこのままにしておきます。

ワークスペースの作成

Azure portal で、左上隅にあるポータルメニューを選択します。メニューから、[リソースの作成] を選び、「Azure Machine Learning」と入力します。 [Azure Machine Learning] エントリを選び、[作成] を選びます。
[基本] タブで、サービスを作成する [サブスクリプション]、[リソースグループ]、[リージョン] を選びます。 [ワークスペース名] に一意の名前を入力します。残りのフィールドは既定値のままにします。必要なサービスの新しいインスタンスがこのワークスペース用に作成されます。
[ネットワーク] タブで、[Private with Internet Outbound] (インターネットアウトバウンドに関してプライベート) を選びます。
[ネットワーク] タブの [Workspace outbound access] (ワークスペースアウトバウンドアクセス) セクションで、[+ 追加] を選択します。
[プライベートエンドポイントの作成] フォームで、[名前] フィールドに一意の値を入力します。 VM を使用して前に作成した仮想ネットワークを選択し、既定のサブネットを選択します。残りのフィールドは既定値のままにします。 [OK] を選択してエンドポイントを保存します。
[確認と作成] を選択します。情報が正しいことを確認し、 [作成] を選択します。
ワークスペースが作成されたら、 [リソースに移動] を選択します。

VM デスクトップに接続する

Azure portal で、以前作成した VM を選択します。
[接続] セクションで、[Bastion] を選択します。 VM 用に構成したユーザー名とパスワードを入力し、[接続] を選択します。

スタジオに接続する

この時点で、ワークスペースは作成されましたが、マネージド仮想ネットワークは作成されていません。マネージド仮想ネットワークはワークスペースの作成時に構成されますが、最初のコンピューティングリソースを作成するか、手動でプロビジョニングするまで作成されません。

次の手順を使用して、コンピューティングインスタンスを作成します。

VM デスクトップから、ブラウザーを使用してAzure Machine Learning スタジオを開き、前に作成したワークスペースを選択します。
スタジオで、[コンピューティング]、[コンピューティングインスタンス]、[+ 新規] の順に選びます。
[必要な設定の構成] ダイアログで、[コンピューティング名] として一意の値を入力します。残りの選択項目は既定値のままにします。
［作成］ を選択しますコンピューティングインスタンスの作成には、数分かかります。コンピューティングインスタンスは、マネージドネットワーク内に作成されます。

ヒント

最初のコンピューティングリソースの作成には、数分かかる場合があります。この遅延が発生するのは、マネージド仮想ネットワークも作成されるためです。マネージド仮想ネットワークは、最初のコンピューティングリソースが作成されるまで作成されません。以降のマネージドコンピューティングリソースは、はるかに短時間で作成されます。

ストレージへのスタジオアクセスを有効にする

Azure Machine Learning スタジオはクライアント上の Web ブラウザーで部分的に実行されるため、クライアントはデータ操作を実行するためにワークスペースの既定のストレージアカウントに直接アクセスできる必要があります。そのためには、次の手順を実行します:

Azure portal で、以前作成したジャンプボックス VM を選択します。概要セクションから、パブリック IP アドレス をコピーします。
Azure portal で、以前作成したワークスペースを選択します。概要セクションで、ストレージ エントリのリンクを選択します。
ストレージアカウントから ネットワーク を選択し、ジャンプボックスの パブリック IP アドレスを ファイアウォール セクションに追加します。

ヒント

ジャンプボックスではなく VPN ゲートウェイまたは ExpressRoute を使用するシナリオでは、ストレージアカウントのプライベートエンドポイントまたはサービスエンドポイントを Azure Virtual Networkに追加できます。プライベートエンドポイントまたはサービスエンドポイントを使用すると、複数のクライアントが Azure Virtual Network 経由で接続し、スタジオ経由でストレージ操作を正常に実行できるようになります。

この時点で、スタジオを使用して、コンピューティングインスタンスでノートブックを対話的に操作し、トレーニングジョブを実行できます。チュートリアルについては、「チュートリアル: モデル開発」を参照してください。

コンピューティングインスタンスを停止する

実行している間 (開始後)、コンピューティングインスタンスの料金がサブスクリプションに課金され続けます。過剰なコストを回避するために、使用していない場合は停止してください。

スタジオで、[コンピューティング]、[コンピューティングインスタンス] の順に選び、コンピューティングインスタンスを選びます。最後に、ページの上部で [停止] を選択します。

コンピューティングインスタンスの [停止] ボタンのスクリーンショット

リソースをクリーンアップする

セキュリティで保護されたワークスペースおよびその他のリソースを引き続き使用する予定の場合は、このセクションをスキップしてください。

このチュートリアルで作成したすべてのリソースを削除するには、次の手順を使用します。

Azure portal で、 [リソースグループ] を選択します。
一覧から、このチュートリアルで作成したリソースグループを選択します。
[リソースグループの削除] を選択します。
リソースグループ名を入力し、 [削除] を選択します。

次のステップ

セキュリティで保護されたワークスペースを作成し、スタジオにアクセスできるようになったので、ネットワーク分離を使用したオンラインエンドポイントにモデルをデプロイする方法について学習してください。

マネージド仮想ネットワークの詳細については、マネージド仮想ネットワークによるワークスペースのセキュリティ保護に関するページを参照してください。