Samouczek: jak utworzyć bezpieczny obszar roboczy za pomocą zarządzanej sieci wirtualnej

  • Artykuł

W tym artykule dowiesz się, jak utworzyć bezpieczny obszar roboczy usługi Azure Machine Learning i nawiązać z nią połączenie. Kroki opisane w tym artykule używają zarządzanej sieci wirtualnej usługi Azure Machine Learning do tworzenia granicy zabezpieczeń wokół zasobów używanych przez usługę Azure Machine Learning.

W tym samouczku wykonasz następujące zadania:

  • Utwórz obszar roboczy usługi Azure Machine Learning skonfigurowany do korzystania z zarządzanej sieci wirtualnej.
  • Utwórz klaster obliczeniowy usługi Azure Machine Learning. Klaster obliczeniowy jest używany podczas trenowania modeli uczenia maszynowego w chmurze.

Po ukończeniu tego samouczka będziesz mieć następującą architekturę:

  • Obszar roboczy usługi Azure Machine Learning, który używa prywatnego punktu końcowego do komunikowania się przy użyciu sieci zarządzanej.
  • Konto usługi Azure Storage, które używa prywatnych punktów końcowych, aby umożliwić usługom magazynu, takim jak obiekty blob i pliki, komunikowanie się przy użyciu sieci zarządzanej.
  • Azure Container Registry, który używa prywatnego punktu końcowego, komunikuje się przy użyciu sieci zarządzanej.
  • Usługa Azure Key Vault, która używa prywatnego punktu końcowego do komunikowania się przy użyciu sieci zarządzanej.
  • Wystąpienie obliczeniowe usługi Azure Machine Learning i klaster obliczeniowy zabezpieczony przez sieć zarządzaną.

Wymagania wstępne

Tworzenie urządzenia przesiadkowego (VM)

Istnieje kilka sposobów łączenia się z zabezpieczonym obszarem roboczym. W tym samouczku jest używane pole przesiadkowe . Przesiadka to maszyna wirtualna w usłudze Azure Virtual Network. Możesz nawiązać z nim połączenie przy użyciu przeglądarki internetowej i usługi Azure Bastion.

W poniższej tabeli wymieniono kilka innych sposobów łączenia się z bezpiecznym obszarem roboczym:

Metoda Opis
Brama sieci VPN platformy Azure Łączy sieci lokalne z Virtual Network platformy Azure za pośrednictwem połączenia prywatnego. Prywatny punkt końcowy dla obszaru roboczego jest tworzony w ramach tej sieci wirtualnej. Połączenie odbywa się za pośrednictwem publicznego Internetu.
ExpressRoute Łączy sieci lokalne z chmurą za pośrednictwem połączenia prywatnego. Połączenie jest wykonywane przy użyciu dostawcy łączności.

Ważne

W przypadku korzystania z bramy sieci VPN lub usługi ExpressRoute należy zaplanować sposób działania rozpoznawania nazw między zasobami lokalnymi a tymi w chmurze. Aby uzyskać więcej informacji, zobacz Używanie niestandardowego serwera DNS.

Wykonaj poniższe kroki, aby utworzyć maszynę wirtualną platformy Azure do użycia jako pole przesiadkowe. Na pulpicie maszyny wirtualnej możesz użyć przeglądarki na maszynie wirtualnej, aby połączyć się z zasobami w zarządzanej sieci wirtualnej, na przykład Azure Machine Learning studio. Możesz też zainstalować narzędzia programistyczne na maszynie wirtualnej.

Porada

Poniższe kroki umożliwiają utworzenie maszyny wirtualnej Windows 11 enterprise. W zależności od wymagań możesz wybrać inny obraz maszyny wirtualnej. Obraz Windows 11 (lub 10) przedsiębiorstwa jest przydatny, jeśli musisz dołączyć maszynę wirtualną do domeny organizacji.

  1. W Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyna wirtualna , a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawy wybierz subskrypcję, grupę zasobów i region , aby utworzyć usługę. Podaj wartości dla następujących pól:

    • Nazwa maszyny wirtualnej: unikatowa nazwa maszyny wirtualnej.

    • Nazwa użytkownika: nazwa użytkownika używana do logowania się do maszyny wirtualnej.

    • Hasło: hasło nazwy użytkownika.

    • Typ zabezpieczeń: Standardowa.

    • Obraz: Windows 11 Enterprise.

      Porada

      Jeśli Windows 11 Enterprise nie znajduje się na liście do wyboru obrazu, użyj opcji Zobacz wszystkie obrazy_. Znajdź wpis Windows 11 firmy Microsoft i użyj listy rozwijanej Wybierz, aby wybrać obraz przedsiębiorstwa.

    Możesz pozostawić inne pola w wartościach domyślnych.

    Zrzut ekranu przedstawiający konfigurację podstawową maszyny wirtualnej.

  3. Wybierz pozycję Sieć. Przejrzyj informacje o sieci i upewnij się, że nie używa on zakresu adresów IP 172.17.0.0/16. Jeśli tak jest, wybierz inny zakres, taki jak 172.16.0.0/16; zakres 172.17.0.0/16 może powodować konflikty z platformą Docker.

    Uwaga

    Maszyna wirtualna platformy Azure tworzy własną Virtual Network platformy Azure na potrzeby izolacji sieciowej. Ta sieć jest oddzielona od zarządzanej sieci wirtualnej używanej przez usługę Azure Machine Learning.

    Zrzut ekranu przedstawiający kartę sieci dla maszyny wirtualnej.

  4. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

Włączanie usługi Azure Bastion dla maszyny wirtualnej

Usługa Azure Bastion umożliwia nawiązywanie połączenia z pulpitem maszyny wirtualnej za pośrednictwem przeglądarki.

  1. W Azure Portal wybierz utworzoną wcześniej maszynę wirtualną. W sekcji Operacje na stronie wybierz pozycję Bastion , a następnie pozycję Wdróż usługę Bastion.

    Zrzut ekranu przedstawiający opcję wdróż usługę Bastion.

  2. Po wdrożeniu usługi Bastion zostanie wyświetlona strona połączenia. Na razie pozostaw to okno dialogowe.

Tworzenie obszaru roboczego

  1. W Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź pozycję Azure Machine Learning. Wybierz wpis Azure Machine Learning , a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawy wybierz subskrypcję, grupę zasobów i region , aby utworzyć usługę. Wprowadź unikatową nazwę obszaru roboczego. Pozostaw pozostałe pola w wartościach domyślnych; nowe wystąpienia wymaganych usług są tworzone dla obszaru roboczego.

    Zrzut ekranu przedstawiający formularz tworzenia obszaru roboczego.

  3. Na karcie Sieć wybierz pozycję Prywatna z internetem wychodzącym.

    Zrzut ekranu przedstawiający kartę sieci obszaru roboczego z wybraną siecią wychodzącą z Internetu.

  4. Na karcie Sieć w sekcji Dostęp przychodzący obszaru roboczego wybierz pozycję + Dodaj.

    Zrzut ekranu przedstawiający przycisk dodawania dostępu przychodzącego.

  5. W formularzu Tworzenie prywatnego punktu końcowego wprowadź unikatową wartość w polu Nazwa . Wybierz sieć wirtualną utworzoną wcześniej z maszyną wirtualną i wybierz domyślną podsieć. Pozostaw pozostałe pola w wartościach domyślnych. Wybierz przycisk OK , aby zapisać punkt końcowy.

    Zrzut ekranu przedstawiający formularz tworzenia prywatnego punktu końcowego.

  6. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

  7. Po utworzeniu obszaru roboczego wybierz pozycję Przejdź do zasobu.

Nawiązywanie połączenia z pulpitem maszyny wirtualnej

  1. W Azure Portal wybierz utworzoną wcześniej maszynę wirtualną.

  2. W sekcji Łączenie wybierz pozycję Bastion. Wprowadź nazwę użytkownika i hasło skonfigurowane dla maszyny wirtualnej, a następnie wybierz pozycję Połącz.

    Zrzut ekranu przedstawiający formularz połączenia usługi Bastion.

Nawiązywanie połączenia z programem Studio

W tym momencie obszar roboczy został utworzony, ale zarządzana sieć wirtualna nie została utworzona. Zarządzana sieć wirtualna jest konfigurowana podczas tworzenia obszaru roboczego, ale nie jest tworzona, dopóki nie utworzysz pierwszego zasobu obliczeniowego lub ręcznie go zaaprowizujesz.

Wykonaj poniższe kroki, aby utworzyć wystąpienie obliczeniowe.

  1. Na pulpicie maszyny wirtualnej użyj przeglądarki, aby otworzyć Azure Machine Learning studio i wybrać utworzony wcześniej obszar roboczy.

  2. W programie Studio wybierz pozycję Obliczenia, Wystąpienia obliczeniowe, a następnie pozycję + Nowy.

    Zrzut ekranu przedstawiający nową opcję obliczeniową w programie Studio.

  3. W oknie dialogowym Konfigurowanie wymaganych ustawień wprowadź unikatową wartość jako nazwę obliczeniową. Pozostaw resztę zaznaczeń w wartości domyślnej.

  4. Wybierz przycisk Utwórz. Utworzenie wystąpienia obliczeniowego trwa kilka minut. Wystąpienie obliczeniowe jest tworzone w sieci zarządzanej.

    Porada

    Utworzenie pierwszego zasobu obliczeniowego może potrwać kilka minut. To opóźnienie występuje, ponieważ jest również tworzona zarządzana sieć wirtualna. Zarządzana sieć wirtualna nie zostanie utworzona do momentu utworzenia pierwszego zasobu obliczeniowego. Kolejne zarządzane zasoby obliczeniowe zostaną utworzone znacznie szybciej.

Włączanie dostępu do magazynu w programie Studio

Ponieważ Azure Machine Learning studio częściowo działa w przeglądarce internetowej na kliencie, klient musi mieć bezpośredni dostęp do domyślnego konta magazynu dla obszaru roboczego w celu wykonywania operacji danych. Aby to włączyć, wykonaj następujące kroki:

  1. W Azure Portal wybierz utworzoną wcześniej maszynę wirtualną pola przesiadkowego. W sekcji Przegląd skopiuj publiczny adres IP.

  2. W Azure Portal wybierz utworzony wcześniej obszar roboczy. W sekcji Przegląd wybierz link dla wpisu Magazyn .

  3. Na koncie magazynu wybierz pozycję Sieć i dodaj publiczny adres IP pola przesiadkowego do sekcji Zapora .

    Porada

    W scenariuszu, w którym używasz bramy sieci VPN lub usługi ExpressRoute zamiast pola przesiadkowego, możesz dodać prywatny punkt końcowy lub punkt końcowy usługi dla konta magazynu do usługi Azure Virtual Network. Użycie prywatnego punktu końcowego lub punktu końcowego usługi umożliwi wielu klientom nawiązywanie połączenia za pośrednictwem usługi Azure Virtual Network w celu pomyślnego wykonywania operacji magazynu za pośrednictwem programu Studio.

    W tym momencie możesz użyć programu Studio do interaktywnej pracy z notesami w wystąpieniu obliczeniowym i uruchamiania zadań szkoleniowych. Aby zapoznać się z samouczkiem, zobacz Samouczek: tworzenie modeli.

Zatrzymywanie wystąpienia obliczeniowego

Gdy jest uruchomiona (uruchomiona), wystąpienie obliczeniowe kontynuuje naliczanie opłat za subskrypcję. Aby uniknąć nadmiernego kosztu, zatrzymaj go, gdy nie jest używany.

W programie Studio wybierz pozycję Obliczenia, Wystąpienia obliczeniowe, a następnie wybierz wystąpienie obliczeniowe. Na koniec wybierz pozycję Zatrzymaj w górnej części strony.

Zrzut ekranu przedstawiający przycisk zatrzymania dla wystąpienia obliczeniowego

Czyszczenie zasobów

Jeśli planujesz kontynuować korzystanie z zabezpieczonego obszaru roboczego i innych zasobów, pomiń tę sekcję.

Aby usunąć wszystkie zasoby utworzone w tym samouczku, wykonaj następujące kroki:

  1. W Azure Portal wybierz pozycję Grupy zasobów.

  2. Z listy wybierz grupę zasobów utworzoną w tym samouczku.

  3. Wybierz pozycję Usuń grupę zasobów.

    Zrzut ekranu przedstawiający przycisk usuń grupę zasobów

  4. Wprowadź nazwę grupy zasobów, a następnie wybierz pozycję Usuń.

Następne kroki

Po utworzeniu bezpiecznego obszaru roboczego i zapewnieniu dostępu do programu Studio dowiedz się, jak wdrożyć model w punkcie końcowym online z izolacją sieci.

Aby uzyskać więcej informacji na temat zarządzanej sieci wirtualnej, zobacz Zabezpieczanie obszaru roboczego za pomocą zarządzanej sieci wirtualnej.