Kurz: Vytvoření zabezpečeného pracovního prostoru pomocí šablony

Šablony poskytují pohodlný způsob, jak vytvářet reprodukovatelná nasazení služeb. Šablona definuje, co se má vytvořit, s některými informacemi, které zadáte při použití šablony. Zadáte například jedinečný název pracovního prostoru Azure Machine Learning.

V tomto kurzu se dozvíte, jak pomocí šablony Terraformu Microsoft Bicep nebo Hashicorp Terraform vytvořit virtuální síť Azure s následujícími prostředky Azure, které jsou za ní zabezpečené.

• Pracovní prostor Azure Machine Learning
  • Výpočetní instance Azure Machine Learningu
  • Výpočetní cluster Azure Machine Learning
• Účet služby Azure Storage
• Azure Key Vault
• Azure Application Insights
• Azure Container Registry
• Hostitel Služby Azure Bastion
• Azure Machine Learning Datová Věda Virtual Machine Machine (DSVM)

Šablona Bicep také vytvoří cluster Azure Kubernetes Service (AKS) a samostatnou skupinu prostředků pro cluster AKS.

Tip

Místo kroků v tomto článku můžete použít spravované virtuální sítě Azure Machine Learning. Se spravovanou virtuální sítí zpracovává Azure Machine Learning úlohu izolace sítě pro váš pracovní prostor a spravované výpočetní prostředky. Můžete také přidat privátní koncové body pro prostředky potřebné pracovním prostorem, jako je například účet služby Azure Storage. Další informace najdete v tématu Spravovaná izolace sítě pracovního prostoru.

Pokud chcete zobrazit informace o bicepu nebo Terraformu, vyberte karty Bicep nebo Terraform v následujících částech.

Požadavky

• Předplatné Azure s bezplatnou nebo placenou verzí služby Azure Machine Learning Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

• Git nainstalovaný ve vašem vývojovém prostředí pro klonování úložiště šablon. Pokud příkaz nemáte git , můžete Git nainstalovat z https://git-scm.com/.

• Azure CLI nebo příkazový řádek Azure PowerShellu

Bicep

• Nainstalované nástroje příkazového řádku Azure CLI nebo Azure PowerShell Bicep podle nastavení prostředí pro vývoj a nasazení Bicep.

• Úložiště GitHub obsahující šablonu Bicep pro kompletní nastavení zabezpečení služby Azure Machine Learning, naklonované místně a přepnuto na příkazy:

  git clone https://github.com/Azure/azure-quickstart-templates
  cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
  

Terraform

• Terraform nainstalovaný, nakonfigurovaný a ověřený ve vašem předplatném Azure pomocí kroků v jednom z následujících článků:

  • Azure Cloud Shell
  • Windows s Bashem
  • Windows s Azure PowerShellem

• Úložiště GitHubu obsahující pracovní prostor Azure Machine Learning šablony Terraformu (středně zabezpečená nastavení sítě) naklonované místně a přepnuto na následující příkazy:

  git clone https://github.com/Azure/terraform
  cd terraform/quickstart/201-machine-learning-moderately-secure
  

Vysvětlení šablony

Bicep

Šablona Bicep se skládá z main.bicep a dalších souborů *.bicep v podadresáři modulů . Následující tabulka popisuje, k čemu každý soubor odpovídá:

Soubor	Popis
main.bicep	Předává parametry a proměnné jiným modulům v podadresáři modulů .
vnet.bicep	Definuje virtuální síť a podsítě Azure.
nsg.bicep	Definuje pravidla skupiny zabezpečení sítě pro virtuální síť.
bastion.bicep	Definuje hostitele a podsíť Služby Azure Bastion. Azure Bastion umožňuje snadný přístup k virtuálnímu počítači uvnitř virtuální sítě pomocí webového prohlížeče.
dsvmjumpbox.bicep	Definuje DSVM. Azure Bastion se používá k přístupu k tomuto virtuálnímu počítači přes webový prohlížeč.
storage.bicep	Definuje účet služby Azure Storage používaný pracovním prostorem pro výchozí úložiště.
keyvault.bicep	Definuje Službu Azure Key Vault používanou pracovním prostorem.
containerregistry.bicep	Definuje službu Azure Container Registry používanou pracovním prostorem.
applicationinsights.bicep	Definuje instanci Aplikace Azure lication Insights používanou pracovním prostorem.
machinelearningnetworking.bicep	Definuje privátní koncové body a zóny DNS (Domain Name System) pro pracovní prostor.
machinelearning.bicep	Definuje pracovní prostor Azure Machine Learning.
machinelearningcompute.bicep	Definuje výpočetní cluster a výpočetní instanci služby Azure Machine Learning.
privateaks.bicep	Definuje instanci clusteru AKS.

Důležité

Každá služba Azure má svou vlastní sadu verzí rozhraní API. Ukázkové šablony nemusí používat nejnovější verze rozhraní API pro Azure Machine Learning a další prostředky. Před použitím šablony byste ji měli upravit tak, aby používala nejnovější verze rozhraní API.

Informace o rozhraní API pro konkrétní službu najdete v referenčních informacích o službě Azure REST API. Informace o nejnovější verzi rozhraní API služby Azure Machine Learning najdete v rozhraní REST API služby Azure Machine Learning.

Pokud chcete aktualizovat verzi rozhraní API, vyhledejte Microsoft.MachineLearningServices/<resource> položku pro typ prostředku a aktualizujte ji na nejnovější verzi.

Terraform

Šablona Terraformu se skládá z více souborů. Následující tabulka popisuje, k čemu každý soubor odpovídá:

Soubor	Popis
variables.tf	Definuje proměnné a výchozí hodnoty používané šablonou.
main.tf	Určuje poskytovatele Azure Resource Manageru a definuje skupinu prostředků.
network.tf	Definuje virtuální síť, podsítě a skupiny zabezpečení sítě (NSG).
bastion.tf	Definuje hostitele Služby Azure Bastion a přidruženou skupinu zabezpečení sítě. Azure Bastion umožňuje snadný přístup k virtuálnímu počítači ve virtuální síti pomocí webového prohlížeče.
dsvm.tf	Definuje DSVM. Azure Bastion se používá k přístupu k tomuto virtuálnímu počítači přes webový prohlížeč.
workspace.tf	Definuje pracovní prostor Azure Machine Learning, včetně závislých prostředků pro Azure Storage, Key Vault, Application Insights a Container Registry.
compute.tf	Definuje výpočetní instanci a cluster služby Azure Machine Learning.

Tip

Zprostředkovatel Azure Terraformu podporuje více argumentů, které tento kurz nepoužívá. Argument prostředí například umožňuje cílit na cloudové oblasti, jako jsou Azure Government a Microsoft Azure provozované společností 21Vianet.

Důležité

Virtuální počítač pro datové vědy (DSVM) a Azure Bastion jsou jednoduché způsoby připojení k zabezpečenému pracovnímu prostoru pro účely tohoto kurzu. V produkčním prostředí je lepší použít bránu Azure VPN nebo Azure ExpressRoute pro přístup k prostředkům ve virtuální síti přímo z místní sítě.

Konfigurace šablony

Bicep

Pokud chcete nasadit šablonu Bicep, ujistěte se, že jste v adresáři machine-learning-end-end-secure , kde se nachází soubor main.bicep , a spusťte následující příkazy:

1. Pokud chcete vytvořit novou skupinu prostředků Azure, spusťte následující ukázkový příkaz a nahraďte <myrgname> názvem skupiny prostředků a <location> oblastí Azure, kterou chcete použít.

   • Azure CLI:

     az group create --name <myrgname> --location <location>
     

   • Azure PowerShell:

     New-AzResourceGroup -Name <myrgname> -Location <location>
     

2. K nasazení šablony použijte následující příkaz, který nahradíte <myrgname> názvem skupiny prostředků, kterou jste vytvořili, a <pref> jedinečnou předponou, kterou použijete při vytváření požadovaných prostředků. Nahraďte <mydsvmpassword> zabezpečeným heslem pro přihlašovací účet jump boxu DSVM, který je azureadmin v následujících příkladech.

   Tip

   Musí prefix být pět nebo méně znaků a nesmí být zcela číselné ani nesmí obsahovat znaky ~, !, , @, $#, &*)^(=%, , +_[;|:\.}'"{]<>,/nebo .?

   • Azure CLI:

     az deployment group create \
         --resource-group <myrgname> \
         --template-file main.bicep \
         --parameters \
         prefix=<pref> \
         dsvmJumpboxUsername=azureadmin \
         dsvmJumpboxPassword=<mydsvmpassword>
     

   • Azure PowerShell:

     $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
     New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
         -TemplateFile ./main.bicep `
         -prefix "<pref>" `
         -dsvmJumpboxUsername "azureadmin" `
         -dsvmJumpboxPassword $dsvmPassword
     

     Upozorňující

     Měli byste se vyhnout použití řetězců ve formátu prostého textu ve skriptech nebo z příkazového řádku. Prostý text se může zobrazit v protokolech událostí a historii příkazů. Další informace naleznete v tématu ConvertTo-SecureString.

Terraform

Pokud chcete nasadit šablonu Terraformu, ujistěte se, že jste v adresáři 201-machine-learning-moderately-secure , kde se nacházejí soubory šablon, a spusťte následující příkazy.

1. K inicializaci adresáře pro práci s Terraformem použijte následující příkaz:

   terraform init
   

2. K vytvoření konfigurace použijte následující příkaz. -var Pomocí parametrů nastavte hodnoty proměnných, které šablona používá. Úplný seznam proměnných najdete v souboru variables.tf .

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   Po dokončení tohoto příkazu se konfigurace zobrazí v terminálu. Pokud ho terraform show azureml.tfplan chcete znovu zobrazit, použijte příkaz.

3. Pokud chcete šablonu nasadit a použít uloženou konfiguraci pro vaše předplatné Azure, použijte následující příkaz:

   terraform apply azureml.tfplan
   

   Průběh se zobrazí jako procesy šablony.

Důležité

Virtuální počítač pro datové vědy (DSVM) a všechny výpočetní prostředky vám účtují každou hodinu, za kterou běží. Pokud se chcete vyhnout nadbytečným poplatkům, měli byste tyto prostředky zastavit, když se nepoužívají. Další informace najdete v následujících článcích:

• Vytváření a správa virtuálních počítačů (Linux)
• Vytváření a správa virtuálních počítačů (Windows)
• Vytvořte výpočetní instanci.

Připojení k pracovnímu prostoru

Po dokončení nasazení se pomocí následujících kroků připojte k DSVM:

1. Na webu Azure Portal vyberte skupinu prostředků Azure, kterou jste použili se šablonou. Pak vyberte DSVM, který šablona vytvořila. Pokud máte potíže s jeho vyhledáním, vyfiltrujte typ na virtuální počítač pomocí oddílu filtrů.

   

2. Na stránce Přehled DSVM vyberte Připojit a pak v rozevíracím seznamu vyberte Připojit přes Bastion.

   

3. Po zobrazení výzvy zadejte uživatelské jméno a heslo virtuálního počítače, které jste zadali při konfiguraci šablony, a pak vyberte Připojit.

   Důležité

   Při prvním připojení k počítači DSVM se otevře okno PowerShellu a spustí se skript. Před pokračováním v dalším kroku povolte dokončení skriptu.

4. Na počítači DSVM spusťte Microsoft Edge a zadejte https://ml.azure.com jako adresu. Přihlaste se ke svému předplatnému Azure a vyberte pracovní prostor, který šablona vytvořila. Zobrazí se studio pro váš pracovní prostor.

Řešení problému

K následující chybě může dojít, pokud je název jump boxu DSVM větší než 15 znaků nebo obsahuje jeden z následujících znaků: , , , , , ,][_{+=)}(*&\^$/'>;:.<?%"#|@!~

Chyba: Název počítače s Windows nesmí být delší než 15 znaků, být zcela číselný nebo obsahovat následující znaky ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . " , <> / ?.

Bicep

Šablona Bicep vygeneruje název jump boxu programově pomocí hodnoty předpony zadané šabloně. Pokud chcete zajistit, aby název nepřekročil 15 znaků nebo neobsahuje neplatné znaky, použijte předponu, která je pět nebo méně znaků a nepoužívá znaky ~, , !, @#, , )}{]\[_+|=*/">:.'?&,;(<$%^

Terraform

Šablona Terraformu předá název jump boxu pomocí parametru dsvm_name . Chcete-li se vyhnout chybě, použijte název, který je 15 znaků nebo méně a nepoužívá znaky ~, !, $@%#, ^, &, , , *(, +=)_[;|:\.}'"{]<>,/nebo .?

Související obsah

Pokud chcete pokračovat v začátcích se službou Azure Machine Learning, přečtěte si článek Rychlý start: Začínáme se službou Azure Machine Learning.

Další informace oběžnýchch