البرنامج التعليمي: كيفية إنشاء مساحة عمل آمنة باستخدام القالب

  • مقالة

تتيح القوالب طريقة ملائمة لإنشاء عمليات نشر خدمة قابلة للتكرار. يحدد القالب ما الذي ينشئ، مع بعض المعلومات التي تقدمها عند استخدام القالب. على سبيل المثال، تحديد اسم فريد لمساحة العمل الخاصة بالتعلم الآلي من Microsoft Azure.

في هذا البرنامج التعليمي، ستتعلم كيفية استخدام قالب Microsoft Bicep وHashicorp Terraform لإنشاء موارد Azure الموضحة أدناه:

  • شبكة Azure الظاهرية. يتم تأمين الموارد التالية خلف الشبكة الظاهرية هذه:
    • مساحة عمل Azure التعلم الآلي
      • مثيل حساب التعلم الآلي من Azure
      • نظام مجموعة حساب التعلم الآلي من Azure
    • حساب مساحة تخزين Azure
    • Azure Key Vault
    • Azure Application Insights
    • Azure Container Registry
    • المضيف الخاص بـ Azure Bastion
    • الجهاز الظاهري للتعلم الآلي من Microsoft Azure (الجهاز الظاهري لعلوم البيانات)
    • ينشئ قالب Bicep أيضًا نظام مجموعة Azure Kubernetes Service ومجموعة موارد منفصلة خاصة به.

تلميح

توصي Microsoft باستخدام Azure التعلم الآلي الشبكات الظاهرية المدارة بدلا من الخطوات الواردة في هذه المقالة. باستخدام شبكة ظاهرية مدارة، يعالج Azure التعلم الآلي مهمة عزل الشبكة لمساحة العمل والحسابات المدارة. يمكنك أيضا إضافة نقاط نهاية خاصة للموارد التي تحتاجها مساحة العمل، مثل حساب تخزين Azure. لمزيد من المعلومات، راجع عزل الشبكة المدارة في مساحة العمل.

المتطلبات الأساسية

قبل استخدام الخطوات الواردة في هذه المقالة، يلزم أن يكون لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure، فأنشئ حسابًا مجانًا.

يلزم أن يكون لديك أيضا سطر أوامر Bash أو Azure PowerShell.

تلميح

عند قراءة هذه المقالة، استخدم علامات التبويب في كل قسم لتحديد ما إذا كنت تريد عرض معلومات عن استخدام قوالب Bicep أو Terraform.

  1. لتثبيت أدوات سطر الأوامر، راجع إعداد بيئات تطوير واستخدام Bicep.

  2. يكون قالب Bicep المستخدم في هذه المقالة موجود في https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. استخدم الأوامر الموضحة أدناه لنسخ GitHub repo إلى بيئة التطوير الخاصة بك:

    تلميح

    في حالة لم يكن لديك الأمر git في بيئة التطوير الخاصة بك، يمكنك تثبيته من https://git-scm.com/.

    git clone https://github.com/Azure/azure-quickstart-templates
cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure

إدراك القالب

يتكون قالب Bicep من main.bicep والملفات .bicep الموجودة في الدليل الفرعي الخاص بالوحدات النمطية. يصف الجدول الموضح أدناه ما هو كل ملف مسؤول عنه:

الملف ‏‏الوصف
main.bicep المعلمات والمتغيرات. تمرير المعلمات والمتغيرات إلى وحدات نمطية أخرى في modules الدليل الفرعي.
vnet.bicep يحدد شبكة Azure الظاهرية والشبكات الفرعية.
nsg.bicep يحدد قواعد مجموعة أمان الشبكة للشبكة ظاهرية.
bastion.bicep تعريف المضيف الخاص بـ Azure Bastion والشبكة الفرعية. يتيح لك Azure Bastion بالوصول بسهولة إلى جهاز ظاهري داخل الشبكة الظاهرية باستخدام مستعرض الويب الخاص بك.
dsvmjumpbox.bicep يحدد الجهاز الافتراضي لعلوم البيانات (DSVM). يستخدم Azure Bastion للوصول إلى هذا الجهاز الظاهري من خلال مستعرض الويب الخاص بك.
storage.bicep تعريف حساب Azure Storage المستخدم من جانب مساحة العمل للتخزين الافتراضي.
keyvault.bicep يحدد Azure Key Vault الذي تستخدمه مساحة العمل.
containerregistry.bicep يعرّف Azure Container Registry الذي تستخدمه مساحة العمل.
applicationinsights.bicep تعريف مثيل Azure Application Insights المستخدم عن طريق مساحة العمل.
machinelearningnetworking.bicep تعريف نقاط النهاية الخاصة ومناطق DNS لمساحة عمل Azure التعلم الآلي.
Machinelearning.bicep تحدد مساحة عمل التعلم الآلي من Microsoft Azure.
machinelearningcompute.bicep يحدد نظام مجموعة حساب التعلم الآلي من Microsoft Azure وحساب مثيل.
privateaks.bicep يحدد مثيل مجموعة خدمات Azure Kubernetes.

هام

قد لا تستخدم قوالب المثال دائما أحدث إصدار من واجهة برمجة التطبيقات ل Azure التعلم الآلي. قبل استخدام القالب، نوصي بتعديله لاستخدام أحدث إصدارات واجهة برمجة التطبيقات. للحصول على معلومات حول أحدث إصدارات واجهة برمجة التطبيقات ل Azure التعلم الآلي، راجع Azure التعلم الآلي REST API.

كل خدمة Azure لها مجموعة خاصة بها من إصدارات واجهة برمجة التطبيقات. للحصول على معلومات حول واجهة برمجة التطبيقات لخدمة معينة، تحقق من معلومات الخدمة في مرجع Azure REST API.

لتحديث إصدار واجهة برمجة التطبيقات، ابحث عن Microsoft.MachineLearningServices/<resource> إدخال نوع المورد وقم بتحديثه إلى أحدث إصدار. المثال التالي هو إدخال لمساحة عمل Azure التعلم الآلي التي تستخدم إصدار API من 2022-05-01:

resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {

هام

يستخدم DSVM وAzure Bastion كطريقة سهلة للاتصال بمساحة العمل الآمنة لهذا البرنامج التعليمي. في بيئة التشغيل نوصي باستخدام بوابة Azure VPN أو Azure ExpressRoute للوصول إلى الموارد داخل VNet مباشرة من الشبكة المحلية الخاصة بك.

تكوين القالب

لتشغيل قالب Bicep، استخدم الأوامر الموضحة أدناه من machine-learning-end-to-end-secure مكان الملف main.bicep:

  1. لإنشاء مجموعة موارد Azure جديدة، استخدم الأمر التالي. استبدل exampleRG باسم مجموعة الموارد، وeastus مع منطقة Azure التي ترغب في استخدامها:

    az group create --name exampleRG --location eastus

  2. لتشغيل القالب، استخدم الأمر التالي. استبدل ببادئة prefix فريدة. سيتم استخدام البادئة عند إنشاء موارد Azure المطلوبة التعلم الآلي Azure. securepassword استبدل بكلمة مرور آمنة لمربع الانتقال السريع. كلمة المرور مخصصة لحساب تسجيل الدخول لمربع الانتقال السريع (azureadmin في الأمثلة أدناه):

    تلميح

    prefix يجب أن يكون 5 أحرف أو أقل. لا يمكن أن يكون رقميا بالكامل أو يحتوي على الأحرف التالية: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

    az deployment group create \
    --resource-group exampleRG \
    --template-file main.bicep \
    --parameters \
    prefix=prefix \
    dsvmJumpboxUsername=azureadmin \
    dsvmJumpboxPassword=securepassword

الاتصال إلى مساحة العمل

بعد اكتمال القالب، استخدم الخطوات الموضحة أدناه للاتصال بـ DSVM:

  1. من مدخل Microsoft Azure، اختر مجموعة موارد Azure التي استخدمتها مع القالب. ثم حدد الجهاز الظاهري لعلوم البيانات الذي أنشئ بواسطة القالب. في حالة مواجهة مشكلة في العثور عليه، فاستخدم قسم عوامل التصفية لتصفية النوع إلى الجهاز الظاهري.

    Screenshot of filtering and selecting the vm.

  2. من قسم Overview الموجود في الجهاز الظاهري، حدد Connect، ثم حدد Bastion من القائمة المنسدلة.

    Screenshot of selecting to connect using Bastion.

  3. عند المطالبة، وفر اسم المستخدم وكلمة المرور التي حددتها عند تكوين القالب ثم حدد Connect.

    هام

    في المرة الأولى التي تتصل فيها بسطح مكتب DSVM، تفتح نافذة PowerShell ويشغل برنامج نصي. اترك هذا حتى يكتمل قبل المتابعة مع الخطوة التالية.

  4. من سطح مكتب DSVM، ابدأ تشغيل Microsoft Edge وأدخل https://ml.azure.com كعنوان. سجل الدخول إلى اشتراك Azure الخاص بك، ثم حدد مساحة العمل التي أنشئت من بواسطة القالب. يعرض الاستوديو لمساحة العمل الخاصة بك.

استكشاف الأخطاء وإصلاحها

خطأ: لا يمكن أن يزيد طول اسم كمبيوتر Windows عن 15 حرفا، أو أن يكون رقميا بالكامل، أو يحتوي على الأحرف التالية

يمكن أن يحدث هذا الخطأ عندما يكون اسم مربع الانتقال إلى DSVM أكبر من 15 حرفا أو يتضمن أحد الأحرف التالية: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

عند استخدام قالب Bicep، يتم إنشاء اسم مربع الانتقال برمجيا باستخدام قيمة البادئة المتوفرة للقالب. للتأكد من أن الاسم لا يتجاوز 15 حرفا أو يحتوي على أي أحرف غير صالحة، استخدم بادئة مكونة من 5 أحرف أو أقل ولا تستخدم أيا من الأحرف التالية في البادئة: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

عند استخدام قالب Terraform، يتم تمرير اسم مربع الانتقال باستخدام المعلمة dsvm_name . لتجنب هذا الخطأ، استخدم اسما لا يزيد عن 15 حرفا ولا يستخدم أيا من الأحرف التالية كجزء من الاسم: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.

الخطوات التالية

هام

يقوم الجهاز الظاهري لعلوم البيانات (DSVM) وأي موارد مثيلات حسابية بفاتورتك مقابل كل ساعة يتم تشغيلها فيها. لتجنب الرسوم الزائدة، يجب عليك إيقاف هذه الموارد عندما لا تكون قيد الاستخدام. لمزيد من المعلومات، راجع المقالات التالية:

لمتابعة تعلم كيفية استخدام مساحة العمل الآمنة من DSVM، راجع البرنامج التعليمي: Azure التعلم الآلي في يوم واحد.

لمعرفة المزيد عن تكوينات مساحة العمل الآمنة الشائعة ومتطلبات الإدخال/الإخراج، راجع تدفق نسبة استخدام الشبكة مساحة العمل الآمنة للتعلم الآلي من Microsoft Azure.