Руководство. Создание защищенной рабочей области с помощью управляемой виртуальной сети

Из этой статьи вы узнаете, как создать защищенную рабочую область Машинного обучения Azure и подключиться к ней. В шагах, описанных в этой статье, используется управляемая виртуальная сеть Машинного обучения Azure для создания границы безопасности для ресурсов, используемых Машинным обучением Azure.

В этом руководстве вы выполните следующие задачи:

• Создайте рабочую область Машинного обучения Azure, настроенную для использования управляемой виртуальной сети.
• создадите вычислительный кластер Машинного обучения Azure; Вычислительный кластер используется при обучении моделей машинного обучения в облаке.

После завершения работы с этим руководством вы получите следующую архитектуру:

• Рабочая область Машинного обучения Azure, которая использует частную конечную точку для обмена данными с помощью управляемой сети.
• Учетная запись хранения Azure, которая использует частные конечные точки, чтобы разрешить службам хранилища, таким как BLOB-объекты и файлы, обмениваться данными через управляемую сеть.
• Реестр контейнеров Azure, использующая частную конечную точку, обменивается данными с помощью управляемой сети.
• Azure Key Vault, использующий частную конечную точку для обмена данными с помощью управляемой сети.
• Вычислительный экземпляр и вычислительный кластер Машинного обучения Azure, защищенные управляемой сетью.

Предварительные требования

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу. Попробуйте бесплатную или платную версию Машинного обучения Azure.

Создание поля перехода (виртуальной машины)

Подключиться к защищенной рабочей области можно несколькими способами. В этом руководстве используется поле перехода . Поле перехода — это виртуальная машина в виртуальная сеть Azure. К нему можно подключиться с помощью веб-браузера и Бастиона Azure.

В таблице ниже перечислены другие способы подключения к защищенной рабочей области.

Метод	Описание
VPN-шлюз Azure	Подключает локальные сети к виртуальная сеть Azure через частное подключение. В этой виртуальной сети создается частная конечная точка для рабочей области. Подключение устанавливается через общедоступный Интернет.
ExpressRoute	Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.

Важно!

При использовании VPN-шлюза или ExpressRoute необходимо спланировать работу разрешения имен между локальными и облачными ресурсами. Дополнительные сведения см. в статье Использование настраиваемого DNS-сервера.

Выполните следующие действия, чтобы создать виртуальную машину Azure для использования в качестве поля перехода. На рабочем столе виртуальной машины можно использовать браузер на виртуальной машине, чтобы подключиться к ресурсам в управляемой виртуальной сети, таким как Студия машинного обучения Azure. Вы также можете установить средства разработки на виртуальной машине.

Совет

Ниже описано создание Windows 11 корпоративной виртуальной машины. В зависимости от требований может потребоваться выбрать другой образ виртуальной машины. Корпоративный образ Windows 11 (или 10) полезен, если необходимо присоединить виртуальную машину к домену организации.

1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс , а затем введите Виртуальная машина. Выберите запись Виртуальная машина , а затем нажмите кнопку Создать.

2. На вкладке Основные сведения выберите подписку, группу ресурсов и регион для создания службы. Введите значения для следующих полей:

   • Имя виртуальной машины: уникальное имя для виртуальной машины.

   • Имя пользователя. Имя пользователя, используемое для входа в виртуальную машину.

   • Пароль: пароль для имени пользователя

   • Тип безопасности: стандартный

   • Изображение: Windows 11 Корпоративная.

     Совет

     Если Windows 11 Корпоративная отсутствует в списке для выбора изображений, используйте команду Просмотреть все изображения_. Найдите запись Windows 11 от корпорации Майкрософт и используйте раскрывающийся список Выбрать, чтобы выбрать корпоративный образ.

   Вы можете оставить в остальных полях значения по умолчанию.

   

3. Выберите Сети. Просмотрите сведения о сети и убедитесь, что не используется диапазон IP-адресов 172.17.0.0/16. Если это так, выберите другой диапазон, например 172.16.0.0/16; Диапазон 172.17.0.0/16 может вызвать конфликты с Docker.

   Примечание

   Виртуальная машина Azure создает собственные виртуальная сеть Azure для сетевой изоляции. Эта сеть отделена от управляемой виртуальной сети, используемой Машинным обучением Azure.

   

4. Выберите Review + create (Просмотреть и создать). Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

Включение Бастиона Azure для виртуальной машины

Бастион Azure позволяет подключаться к рабочему столу виртуальной машины через браузер.

1. В портал Azure выберите созданную ранее виртуальную машину. В разделе Операции на странице выберите Бастион , а затем Развернуть бастион.

   

2. После развертывания службы Бастиона появится страница подключения. Оставьте это диалоговое окно.

Создание рабочей области

1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс , а затем введите Машинное обучение Azure. Выберите запись Машинное обучение Azure и нажмите кнопку Создать.

2. На вкладке Основные сведения выберите подписку, группу ресурсов и регион для создания службы. Введите уникальное имя для имени рабочей области. Оставьте остальные поля со значениями по умолчанию; для рабочей области создаются новые экземпляры необходимых служб.

   

3. На вкладке Сеть выберите Частный с исходящим интернетом.

   

4. На вкладке Сеть в разделе Входящий доступ к рабочей области выберите + Добавить.

   

5. В форме Создание частной конечной точки введите уникальное значение в поле Имя . Выберите виртуальную сеть , созданную ранее с виртуальной машиной, и выберите подсеть по умолчанию. Оставьте остальные поля со значениями по умолчанию. Нажмите кнопку ОК , чтобы сохранить конечную точку.

   

6. Выберите Review + create (Просмотреть и создать). Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

7. После создания рабочей области выберите команду Перейти к ресурсу.

Подключение к рабочему столу виртуальной машины

1. В портал Azure выберите созданную ранее виртуальную машину.

2. В разделе Подключение выберите Бастион. Введите имя пользователя и пароль, настроенные для виртуальной машины, а затем нажмите кнопку Подключиться.

   

Подключение к студии

На этом этапе рабочая область создана, а управляемая виртуальная сеть — нет. Управляемая виртуальная сеть настраивается при создании рабочей области, но не создается, пока вы не создадите первый вычислительный ресурс или не подготовите его вручную.

Чтобы создать вычислительный экземпляр, выполните следующие действия.

1. На рабочем столе виртуальной машины откройте Студия машинного обучения Azure и выберите созданную ранее рабочую область в браузере.

2. В студии выберите Вычисления, Вычислительные экземпляры, а затем + Создать.

   

3. В диалоговом окне Настройка необходимых параметров введите уникальное значение в качестве имени вычислений. Оставьте остальные выбранные значения по умолчанию.

4. Нажмите кнопку создания. Создание вычислительного экземпляра занимает несколько минут. Вычислительный экземпляр создается в управляемой сети.

   Совет

   Создание первого вычислительного ресурса может занять несколько минут. Эта задержка возникает из-за создания управляемой виртуальной сети. Управляемая виртуальная сеть не создается, пока не будет создан первый вычислительный ресурс. Последующие управляемые вычислительные ресурсы будут создаваться гораздо быстрее.

Включение доступа студии к хранилищу

Так как Студия машинного обучения Azure частично выполняется в веб-браузере на клиенте, клиент должен иметь прямой доступ к учетной записи хранения по умолчанию для рабочей области для выполнения операций с данными. Чтобы включить эту функцию, выполните следующие действия.

1. В портал Azure выберите созданную ранее виртуальную машину в поле перехода. Скопируйте общедоступный IP-адрес из раздела Обзор.

2. В портал Azure выберите созданную ранее рабочую область. В разделе Обзор выберите ссылку для записи Хранилище .

3. В учетной записи хранения выберите Сеть и добавьте общедоступный IP-адрес поля перехода в раздел Брандмауэр .

   Совет

   В сценарии, где вместо поля перехода используется VPN-шлюз или ExpressRoute, можно добавить частную конечную точку или конечную точку службы для учетной записи хранения в виртуальная сеть Azure. Использование частной конечной точки или конечной точки службы позволит нескольким клиентам, подключающимся через виртуальная сеть Azure, успешно выполнять операции с хранилищем через Студию.

   На этом этапе вы можете использовать студию для интерактивной работы с записными книжками вычислительного экземпляра и выполнения заданий обучения. Дополнительные сведения см. в руководстве по разработке моделей.

Остановка вычислительного экземпляра

Во время выполнения (запуска) вычислительный экземпляр продолжает взимать плату за подписку. Чтобы избежать лишних затрат, остановите его, когда не используется.

В студии выберите Вычисления, Вычислительные экземпляры, а затем выберите вычислительный экземпляр. Наконец, в верхней части страницы выберите Остановить.

Очистка ресурсов

Если вы планируете и далее использовать защищенную рабочую область и другие ресурсы, пропустите этот раздел.

Чтобы удалить все ресурсы, созданные при работе с этим руководством, сделайте следующее:

1. На портале Azure выберите Группы ресурсов.

2. Выберите из списка созданную в этом руководстве группу ресурсов.

3. Выберите Удалить группу ресурсов.

   

4. Введите имя группы ресурсов, а затем нажмите кнопку Удалить.

Следующие шаги

Теперь, когда вы создали защищенную рабочую область и можете получить доступ к студии, узнайте, как развернуть модель в сетевой конечной точке с сетевой изоляцией.

Дополнительные сведения об управляемой виртуальной сети см. в статье Защита рабочей области с помощью управляемой виртуальной сети.