Självstudie: Så här skapar du en säker arbetsyta med hjälp av mallen
Mallar är ett bekvämt sätt att skapa reproducerbara tjänstdistributioner. Mallen definierar vad som ska skapas, med viss information från dig när du använder mallen. Du kan till exempel ange ett unikt namn för Azure Machine Learning-arbetsytan.
I den här självstudien får du lära dig hur du använder en Microsoft Bicep - och Hashicorp Terraform-mall för att skapa följande Azure-resurser:
- Azure Virtual Network. Följande resurser skyddas bakom det här virtuella nätverket:
- Azure Machine Learning-arbetsyta
- Azure Machine Learning-beräkningsinstans
- Azure Machine Learning-beräkningskluster
- Azure Storage-konto
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Azure Bastion-värd
- Azure Machine Learning Virtual Machine (Datavetenskap virtuell dator)
- Bicep-mallen skapar också ett Azure Kubernetes Service-kluster och en separat resursgrupp för den.
- Azure Machine Learning-arbetsyta
Dricks
Microsoft rekommenderar att du använder hanterade virtuella Azure Machine Learning-nätverk i stället för stegen i den här artikeln. Med ett hanterat virtuellt nätverk hanterar Azure Machine Learning jobbet med nätverksisolering för din arbetsyta och hanterade beräkningar. Du kan också lägga till privata slutpunkter för resurser som behövs av arbetsytan, till exempel Azure Storage-konto. Mer information finns i Hanterad nätverksisolering för arbetsyta.
Förutsättningar
Innan du använder stegen i den här artikeln måste du ha en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto.
Du måste också ha antingen en Bash- eller Azure PowerShell-kommandorad.
Dricks
När du läser den här artikeln använder du flikarna i varje avsnitt för att välja om du vill visa information om hur du använder Bicep- eller Terraform-mallar.
Information om hur du installerar kommandoradsverktygen finns i Konfigurera utvecklings- och distributionsmiljöer för Bicep.
Bicep-mallen som används i den här artikeln finns på https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Använd följande kommandon för att klona GitHub-lagringsplatsen till din utvecklingsmiljö:
Dricks
Om du inte har kommandot i
gitutvecklingsmiljön kan du installera det från https://git-scm.com/.git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Förstå mallen
Bicep-mallen består av main.bicep och .bicep filerna i underkatalogen moduler . I följande tabell beskrivs vad varje fil ansvarar för:
| Fil | beskrivning |
|---|---|
| main.bicep | Parametrar och variabler. Skicka parametrar och variabler till andra moduler i underkatalogen modules . |
| vnet.bicep | Definierar Azure Virtual Network och undernät. |
| nsg.bicep | Definierar reglerna för nätverkssäkerhetsgruppen för det virtuella nätverket. |
| bastion.bicep | Definierar Azure Bastion-värden och undernätet. Med Azure Bastion kan du enkelt komma åt en virtuell dator i det virtuella nätverket med hjälp av webbläsaren. |
| dsvmjumpbox.bicep | Definierar den Datavetenskap virtuella datorn (DSVM). Azure Bastion används för att komma åt den här virtuella datorn via webbläsaren. |
| storage.bicep | Definierar det Azure Storage-konto som används av arbetsytan för standardlagring. |
| keyvault.bicep | Definierar det Azure Key Vault som används av arbetsytan. |
| containerregistry.bicep | Definierar Azure Container Registry som används av arbetsytan. |
| applicationinsights.bicep | Definierar den Azure Application Insights-instans som används av arbetsytan. |
| machinelearningnetworking.bicep | Definierar de privata slutpunkterna och DNS-zonerna för Azure Machine Learning-arbetsytan. |
| Machinelearning.bicep | Definierar Azure Machine Learning-arbetsytan. |
| machinelearningcompute.bicep | Definierar ett Azure Machine Learning-beräkningskluster och en beräkningsinstans. |
| privateaks.bicep | Definierar en Azure Kubernetes Services-klusterinstans. |
Viktigt!
Exempelmallarna kanske inte alltid använder den senaste API-versionen för Azure Machine Learning. Innan du använder mallen rekommenderar vi att du ändrar den så att den använder de senaste API-versionerna. Information om de senaste API-versionerna för Azure Machine Learning finns i REST API:et för Azure Machine Learning.
Varje Azure-tjänst har en egen uppsättning API-versioner. Information om API:et för en specifik tjänst finns i tjänstinformationen i Azure REST API-referensen.
Om du vill uppdatera API-versionen letar du reda på Microsoft.MachineLearningServices/<resource> posten för resurstypen och uppdaterar den till den senaste versionen. Följande exempel är en post för Azure Machine Learning-arbetsytan som använder en API-version av 2022-05-01:
resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {
Viktigt!
DSVM och Azure Bastion används som ett enkelt sätt att ansluta till den skyddade arbetsytan för den här självstudien. I en produktionsmiljö rekommenderar vi att du använder en Azure VPN-gateway eller Azure ExpressRoute för att komma åt resurserna i det virtuella nätverket direkt från ditt lokala nätverk.
Konfigurera mallen
Om du vill köra Bicep-mallen använder du följande kommandon från machine-learning-end-to-end-secure platsen där main.bicep filen finns:
Använd följande kommando för att skapa en ny Azure-resursgrupp. Ersätt
exampleRGmed resursgruppens namn ocheastusmed den Azure-region som du vill använda:az group create --name exampleRG --location eastusAnvänd följande kommando för att köra mallen.
prefixErsätt med ett unikt prefix. Prefixet används när du skapar Azure-resurser som krävs för Azure Machine Learning.securepasswordErsätt med ett säkert lösenord för hopprutan. Lösenordet är för inloggningskontot för jump-rutan (azureadmini exemplen nedan):Dricks
Måste
prefixvara 5 eller färre tecken. Det kan inte vara helt numeriskt eller innehålla följande tecken:~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.az deployment group create \ --resource-group exampleRG \ --template-file main.bicep \ --parameters \ prefix=prefix \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=securepassword
Anslut till arbetsytan
När mallen är klar använder du följande steg för att ansluta till DSVM:
I Azure-portalen väljer du den Azure-resursgrupp som du använde med mallen. Välj sedan den Datavetenskap virtuella dator som skapades av mallen. Om du har problem med att hitta den använder du filteravsnittet för att filtrera typen till den virtuella datorn.
I avsnittet Översikt i den virtuella datorn väljer du Anslut och sedan Bastion i listrutan.
När du uppmanas till det anger du det användarnamn och lösenord som du angav när du konfigurerade mallen och väljer sedan Anslut.
Viktigt!
Första gången du ansluter till DSVM-skrivbordet öppnas ett PowerShell-fönster och börjar köra ett skript. Tillåt att detta slutförs innan du fortsätter med nästa steg.
Starta Microsoft Edge från DSVM-skrivbordet och ange
https://ml.azure.comsom adress. Logga in på din Azure-prenumeration och välj sedan den arbetsyta som skapas av mallen. Arbetsytans studio visas.
Felsökning
Fel: Namnet på Windows-datorn får inte vara längre än 15 tecken, vara helt numeriskt eller innehålla följande tecken
Det här felet kan inträffa när namnet på DSVM-hopprutan är större än 15 tecken eller innehåller något av följande tecken: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
När du använder Bicep-mallen genereras jump box-namnet programmatiskt med hjälp av prefixvärdet som anges i mallen. Om du vill kontrollera att namnet inte överstiger 15 tecken eller innehåller ogiltiga tecken använder du ett prefix som är högst 5 tecken och använder inte något av följande tecken i prefixet: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
När du använder Terraform-mallen skickas jump box-namnet med hjälp av parametern dsvm_name . Undvik det här felet genom att använda ett namn som inte är större än 15 tecken och som inte använder något av följande tecken som en del av namnet: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
Nästa steg
Viktigt!
Den Datavetenskap virtuella datorn (DSVM) och eventuella beräkningsinstansresurser debiterar dig för varje timme som de körs. För att undvika extra avgifter bör du stoppa dessa resurser när de inte används. Mer information finns i följande artiklar:
Mer information om hur du använder den skyddade arbetsytan från DSVM finns i Självstudie: Azure Machine Learning på en dag.
Mer information om vanliga konfigurationer av säkra arbetsytor och krav för in-/utdata finns i Azure Machine Learning-trafikflödet för säker arbetsyta.