Sdílet prostřednictvím

Kurz: Vytvoření zabezpečeného pracovního prostoru pomocí služby Azure Virtual Network

V tomto článku se dozvíte, jak vytvořit zabezpečený pracovní prostor Azure Machine Learning a připojit se k němu. Kroky v tomto článku používají azure Virtual Network k vytvoření hranice zabezpečení kolem prostředků používaných službou Azure Machine Learning.

Důležité

Místo virtuální sítě Azure Virtual Network doporučujeme používat spravovanou virtuální síť Azure Machine Learning. Verzi tohoto kurzu, která používá spravovanou virtuální síť, najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru se spravovanou virtuální sítí.

V tomto kurzu provedete následující úlohy:

  • Vytvořte virtuální síť Azure pro zabezpečení komunikace mezi službami ve virtuální síti.
  • Vytvořte účet úložiště Azure (datový objekt a soubor) v rámci virtuální sítě. Tato služba se používá jako výchozí úložiště pro pracovní prostor.
  • Vytvořte službu Azure Key Vault za virtuální sítí. Tato služba slouží k ukládání tajných kódů používaných pracovním prostorem. Například informace o zabezpečení potřebné pro přístup k účtu úložiště.
  • Vytvoření služby Azure Container Registry (ACR). Tato služba se používá jako úložiště pro image Dockeru. Image Dockeru poskytují výpočetní prostředí potřebná při trénování modelu strojového učení nebo nasazení natrénovaného modelu jako koncového bodu.
  • Vytvořte pracovní prostor Azure Machine Learning.
  • Vytvořte „jump box“. Jump box je virtuální počítač Azure, který je umístěný za VNet. Vzhledem k tomu, že virtuální síť omezuje přístup z veřejného internetu, jump box slouží jako způsob připojení k prostředkům za virtuální sítí.
  • Nakonfigurujte studio Azure Machine Learning pro práci za virtuální sítí. Studio poskytuje webové rozhraní pro Azure Machine Learning.
  • Vytvoření výpočetního clusteru Azure Machine Learning Výpočetní cluster se používá při trénování modelů strojového učení v cloudu. V konfiguracích, kde je služba Azure Container Registry za virtuální sítí, se používá také k vytváření imagí Dockeru.
  • Připojte se k jump boxu a použijte studio Azure Machine Learning.

Návod

Pokud hledáte šablonu, která ukazuje, jak vytvořit zabezpečený pracovní prostor, podívejte se na šablonu Bicep nebo šablonu Terraformu.

Po dokončení tohoto kurzu budete mít následující architekturu:

  • Virtuální síť Azure, která obsahuje tři podsítě:
    • Trénování: Obsahuje pracovní prostor Azure Machine Learning, služby závislostí a prostředky používané pro trénovací modely.
    • Bodování: Pro postupy v tomto kurzu se nepoužívá. Pokud ale tento pracovní prostor nadále používáte pro jiné kurzy, doporučujeme tuto podsíť použít při nasazování modelů do koncových bodů.
    • AzureBastionSubnet: Používá se službou Azure Bastion k zabezpečenému připojení klientů k Virtuálním počítačům Azure.
  • Pracovní prostor Azure Machine Learning, který ke komunikaci pomocí virtuální sítě používá privátní koncový bod.
  • Účet služby Azure Storage, který používá privátní koncové body, aby mohly služby úložiště, jako jsou objekty blob a soubor, komunikovat pomocí virtuální sítě.
  • Azure Container Registry, který k komunikaci používá privátní koncový bod přes virtuální síť.
  • Azure Bastion, který umožňuje používat prohlížeč k zabezpečené komunikaci s virtuálním počítačem jump box v rámci virtuální sítě.
  • Virtuální počítač Azure, ke kterému se můžete vzdáleně připojit a přistupovat k prostředkům zabezpečeným uvnitř virtuální sítě.
  • Výpočetní instance a výpočetní cluster služby Azure Machine Learning

Návod

Služba Azure Batch uvedená v diagramu je back-endová služba požadovaná výpočetními clustery a výpočetními instancemi.

Diagram konečné architektury vytvořené v rámci tohoto kurzu

Požadavky

  • Znalost virtuálních sítí Azure a sítí IP Pokud neznáte, vyzkoušejte modul Základy počítačových sítí .
  • Většina kroků v tomto článku používá Azure Portal nebo studio Azure Machine Learning, ale některé kroky používají rozšíření Azure CLI pro Machine Learning verze 2.

Vytvoření virtuální sítě

Pokud chcete vytvořit virtuální síť, postupujte následovně:

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak do vyhledávacího pole zadejte virtuální síť . Vyberte položku Virtuální síť a pak vyberte Vytvořit.

    Snímek obrazovky formuláře pro vyhledávání prostředků se zvolenou virtuální sítí.

    Snímek obrazovky s formulářem pro vytvoření virtuální sítě

  2. Na kartě Základy vyberte předplatné Azure, které chcete pro tento prostředek použít, a pak vyberte nebo vytvořte novou skupinu prostředků. V části Podrobnosti o instanci zadejte popisný název vaší virtuální sítě a vyberte oblast , ve které ji chcete vytvořit.

    Snímek obrazovky se základním konfiguračním formulářem virtuální sítě

  3. Vyberte Zabezpečení. Výběrem této možnosti povolíte Službu Azure Bastion. Azure Bastion poskytuje bezpečný způsob přístupu k jump boxu virtuálního počítače, který vytvoříte v rámci virtuální sítě v pozdějším kroku. Pro zbývající pole použijte následující hodnoty:

    • Název bastionu: Jedinečný název této instance Bastionu
    • Veřejná IP adresa: Vytvořte novou veřejnou IP adresu.

    Ostatní pole ponechte na výchozích hodnotách.

    Snímek obrazovky s konfigurací Bastionu

  4. Vyberte IP adresy. Výchozí nastavení by se mělo podobat následujícímu obrázku:

    Snímek obrazovky s výchozím formulářem IP adresy.

    Pomocí následujících kroků nakonfigurujte IP adresu a nakonfigurujte podsíť pro trénovací a bodovací prostředky:

    Návod

    I když můžete použít jednu podsíť pro všechny prostředky Azure Machine Learning, postup v tomto článku ukazuje, jak vytvořit dvě podsítě pro oddělení trénovacích a bodovacích prostředků.

    Pracovní prostor a další závislé služby přejdou do trénovací podsítě. Stále je můžou používat služby v jiných podsítích, jako je bodovací podsíť.

    1. Podívejte se na výchozí hodnotu adresního prostoru IPv4. Na snímku obrazovky je hodnota 172.16.0.0/16. Hodnota se pro vás může lišit. I když můžete použít jinou hodnotu, zbytek kroků v tomto kurzu vychází z hodnoty 172.16.0.0/16.

      Varování

      Pro vaši virtuální síť nepoužívejte rozsah IP adres 172.17.0.0/16. Toto je výchozí rozsah podsítě používaný sítí mostu Docker a v případě použití pro vaši virtuální síť dojde k chybám. V závislosti na tom, co chcete k virtuální síti připojit, mohou být i jiné rozsahy v konfliktu. Pokud například plánujete k virtuální síti připojit místní síť, která také používá rozsah 172.16.0.0/16. Nakonec je na vás naplánovat síťovou infrastrukturu.

    2. Vyberte výchozí podsíť a pak vyberte ikonu pro úpravy.

      Snímek obrazovky s výběrem ikony pro úpravy výchozí podsítě

    3. Změňte název podsítě na trénování. U ostatních hodnot ponechte výchozí nastavení a pak změny uložte výběrem možnosti Uložit .

    4. Pokud chcete vytvořit podsíť pro výpočetní prostředky používané k určení skóre modelů, vyberte + Přidat podsíť a nastavte název a rozsah adres:

      • Název podsítě: Bodování
      • Počáteční adresa: 172.16.2.0
      • Velikost podsítě: /24 (256 adres)

      Snímek obrazovky s podsítí bodování

    5. Vyberte Přidat a přidejte podsíť.

  5. Vyberte Recenze + vytvořit.

    Snímek obrazovky tlačítka 'Zkontrolovat a vytvořit'.

  6. Ověřte správnost informací a pak vyberte Vytvořit.

    Snímek obrazovky stránky pro přehled a vytvoření virtuální sítě.

Vytvoření účtu úložiště

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Účet úložiště. Vyberte položku Účet úložiště a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Zadejte jedinečný název účtu úložiště a nastavte redundanci na místně redundantní úložiště (LRS).

    Snímek obrazovky se základní konfigurací účtu úložiště

  3. Na kartě Sítě vyberte Zakázat veřejný přístup a pak vyberte + Přidat privátní koncový bod.

    Snímek obrazovky formuláře pro přidání privátní sítě pro blob

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: objekt blob
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • Integrace privátního DNS: Ano
    • Privátní DNS zóna: privatelink.blob.core.windows.net

    Vyberte Přidat a vytvořte privátní koncový bod.

  5. Vyberte Recenze + vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  6. Po vytvoření účtu úložiště vyberte Přejít k prostředku:

    Snímek obrazovky s tlačítkem Přejít na nový prostředek úložiště

  7. V levém navigačním panelu vyberte kartu Síťová připojení , poté záložku Připojení privátních koncových bodů, a nakonec vyberte + Privátní koncový bod:

    Poznámka:

    Když jste v předchozích krocích vytvořili privátní koncový bod pro úložiště objektů blob, musíte ho také vytvořit pro úložiště File.

    Snímek obrazovky formuláře pro nastavení síťových možností účtu úložiště.

  8. Ve formuláři Vytvořit privátní koncový bod použijte stejné předplatné, skupinu prostředků a Region, které jste použili pro předchozí prostředky. Zadejte jedinečný název.

    Snímek obrazovky se základním formulářem při přidávání privátního koncového bodu souboru

  9. Vyberte Další: Prostředek a poté nastavte Cílový podprostředek na soubor.

    Snímek obrazovky formuláře prostředku při výběru podsložky typu 'soubor'.

  10. Vyberte Další: Virtuální síť a pak použijte následující hodnoty:

    • Virtuální síť: Síť, kterou jste vytvořili dříve
    • Podsíť: Trénování

    Snímek obrazovky s konfiguračním formulářem při přidávání privátního koncového bodu souboru

  11. Pokračujte na kartách a vyberte výchozí hodnoty, dokud se nedostanete na Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Návod

Pokud plánujete použít dávkový koncový bod nebo kanál Azure Machine Learning, který využívá ParallelRunStep, je také nutné nakonfigurovat privátní koncové body cílené na frontu a podzdroje tabulky. ParallelRunStep interně používá frontu a tabulku pro plánování a odesílání úkolů.

Vytvořte trezor klíčů.

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Key Vault. Vyberte položku služby Key Vault a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Zadejte jedinečný název trezoru klíčů. Ostatní pole ponechte na výchozí hodnotě.

    Snímek obrazovky se základním formulářem při vytváření nového trezoru klíčů

  3. Na kartě Sítě zrušte výběr možnosti Povolit veřejný přístup a pak vyberte + vytvořit privátní koncový bod.

    Snímek obrazovky síťového formuláře při přidávání privátního koncového bodu pro trezor klíčů

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: Trezor
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • Povolte integraci privátního DNS: Ano
    • Privátní DNS Zóna: Vyberte skupinu prostředků, která obsahuje virtuální síť a trezor klíčů.

    Vyberte Přidat a vytvořte privátní koncový bod.

    Snímek obrazovky s formulářem konfigurace privátního koncového bodu trezoru klíčů

  5. Vyberte Recenze + vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  6. Po vytvoření trezoru klíčů vyberte Přejít k prostředku.

  7. V levém navigačním panelu vyberte Sítě, na kartu Brány firewall a virtuální sítě, a potom zaškrtněte políčko Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall a potom klikněte na Použít.

Vytvoření registru kontejneru

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Container Registry. Vyberte položku Container Registry a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a umístění , které jste dříve použili pro virtuální síť. Zadejte jedinečný název registru a nastavte skladovoupoložku na Premium.

    Snímek obrazovky se základním formulářem při vytváření registru kontejneru

  3. Na kartě Sítě vyberte privátní koncový bod a pak vyberte + Přidat.

    Snímek obrazovky síťového formuláře při přidávání privátního koncového bodu registru kontejneru

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: registr
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • Integrace privátního DNS: Ano
    • Skupina prostředků: Vyberte skupinu prostředků, která obsahuje virtuální síť a registr kontejneru.

    Vyberte Přidat a vytvořte privátní koncový bod.

    Snímek obrazovky s konfiguračním formulářem privátního koncového bodu registru kontejneru

  5. Vyberte Recenze + vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  6. Po vytvoření registru kontejneru vyberte Přejít k prostředku.

    Snímek obrazovky s tlačítkem Přejít na zdroj

  7. Na levé straně stránky vyberte Přístupové klíče a pak povolte uživatele správce. Toto nastavení se vyžaduje při použití služby Azure Container Registry ve virtuální síti se službou Azure Machine Learning.

    Snímek obrazovky s formulářem přístupových klíčů registru kontejneru s povolenou možností správce

Vytvoření pracovního prostoru

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Machine Learning. Vyberte položku Machine Learning a pak vyberte Vytvořit.

    Snímek obrazovky se stránkou pro vytvoření služby Azure Machine Learning

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Pro ostatní pole použijte následující hodnoty:

    • Název: Jedinečný název pracovního prostoru.
    • Účet úložiště: Vyberte účet úložiště, který jste vytvořili dříve.
    • Trezor klíčů: Vyberte trezor klíčů, který jste vytvořili dříve.
    • Application Insights: Použijte výchozí hodnotu.
    • Registr kontejneru: Použijte registr kontejneru, který jste vytvořili dříve.

    Snímek obrazovky se základním konfiguračním formulářem pracovního prostoru

  3. Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem. V části Příchozí přístup k pracovnímu prostoru vyberte + Přidat.

  4. Ve formuláři Vytvořit privátní koncový bod použijte následující hodnoty:

    • Předplatné: Stejné předplatné Azure, které obsahuje předchozí prostředky.
    • Skupina prostředků: Stejná skupina prostředků Azure, která obsahuje předchozí prostředky.
    • Umístění: Stejná oblast Azure, která obsahuje předchozí prostředky.
    • Název: Jedinečný název tohoto privátního koncového bodu.
    • Cílový dílčí prostředek: amlworkspace
    • Virtuální síť: Virtuální síť, kterou jste vytvořili dříve.
    • Podsíť: Trénování (172.16.0.0/24)
    • Integrace privátního DNS: Ano
    • Privátní DNS zóna: Ponechte dvě privátní zóny DNS na výchozích hodnotách privatelink.api.azureml.ms a privatelink.notebooks.azure.net.

    Vyberte OK a vytvořte privátní koncový bod.

    Snímek obrazovky s formulářem konfigurace privátní sítě pracovního prostoru

  5. Na kartě Sítě v části Odchozí přístup k pracovnímu prostoru vyberte Použít vlastní virtuální síť.

  6. Vyberte Recenze + vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  7. Po vytvoření pracovního prostoru vyberte Přejít k prostředku.

  8. V části Nastavení na levé straně vyberte Sítě, připojení privátního koncového bodu a pak vyberte odkaz ve sloupci Privátní koncový bod:

    Snímek obrazovky s připojením privátního koncového bodu pro pracovní prostor

  9. Jakmile se zobrazí informace o privátním koncovém bodu, vyberte konfiguraci DNS na levé straně stránky. Na této stránce uložte IP adresu a plně kvalifikovaný název domény (FQDN).

    snímek obrazovky s položkami IP a FQDN (plně kvalifikovaného názvu domény) pro pracovní prostor

Důležité

Před úplným použitím pracovního prostoru stále potřebujete několik kroků konfigurace. Ty ale vyžadují, abyste se připojili k pracovnímu prostoru.

Aktivovat studio

studio Azure Machine Learning je webová aplikace, která umožňuje snadnou správu pracovního prostoru. Před použitím prostředků zabezpečených ve virtuální síti ale potřebuje určitou další konfiguraci. Pomocí následujících kroků povolte studio:

  1. Pokud používáte účet úložiště Azure, který má privátní koncový bod, přidejte hlavní službu pro pracovní prostor jako Čtenáře pro privátní koncové body úložiště. Na webu Azure Portal vyberte svůj účet úložiště a pak vyberte Sítě. Dále vyberte připojení privátního koncového bodu.

    Snímek obrazovky s připojením privátního koncového bodu úložiště

  2. Pro každý uvedený privátní koncový bod použijte následující kroky:

    1. Vyberte odkaz ve sloupci Soukromý koncový bod.

      Snímek obrazovky s odkazy koncového bodu ve sloupci privátního koncového bodu

    2. Na levé straně vyberte Řízení přístupu (IAM).

    3. Vyberte + Přidat a pak přidejte přiřazení role (Preview).

      Na stránce Řízení přístupu (IAM) je otevřena nabídka Přidat přiřazení role.

    4. Na kartě Role vyberte Čtenář.

      Stránka Přidat přiřazení role s vybranou kartou Role

    5. Na kartě Členové vyberte v oblasti Přiřadit přístup uživatele, skupiny nebo instančního objektua pak vyberte + Vybrat členy. V dialogovém okně Vybrat členy zadejte název jako pracovní prostor služby Azure Machine Learning. Vyberte aplikační objekt pro pracovní prostor a pak použijte tlačítko Vybrat.

    6. Na kartě Zkontrolovat a přiřadit vyberte možnost Zkontrolovat a přiřadit a přiřaďte roli.

Zabezpečení služby Azure Monitor a Application Insights

Poznámka:

Další informace o zabezpečení služby Azure Monitor a Application Insights najdete na následujících odkazech:

  1. Na webu Azure Portal vyberte Domovská stránka a vyhledejte private link. Vyberte Azure Monitor Private Link Scope a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte stejné předplatné, skupina prostředků a region skupiny prostředků jako váš pracovní prostor Azure Machine Learning. Zadejte název instance a pak vyberte Zkontrolovat a vytvořit. Pokud chcete vytvořit instanci, vyberte Vytvořit.

  3. Po vytvoření instance oboru služby Azure Monitor Private Link vyberte instanci na webu Azure Portal. V části Konfigurace vyberte Prostředky služby Azure Monitor a pak vyberte + Přidat.

    Snímek obrazovky s tlačítkem přidat

  4. Vyberte obor a pomocí filtrů zvolte instanci Application Insights pro váš pracovní prostor Azure Machine Learning. Pokud chcete přidat instanci, vyberte Použít .

  5. V části Konfigurace vyberte připojení privátního koncového bodu a pak vyberte + privátní koncový bod.

    Snímek obrazovky s tlačítkem přidat privátní koncový bod

  6. Vyberte stejné předplatné, skupinu prostředků a oblast , která obsahuje vaši virtuální síť. Vyberte Další: Zdroje.

    Snímek obrazovky se základy privátního koncového bodu služby Azure Monitor

  7. Vyberte Microsoft.insights/privateLinkScopes jako typ prostředku. Vyberte rozsah služby Private Link, který jste vytvořili dříve jako prostředek. Vyberte azuremonitor jako cílový dílčí prostředek. Nakonec vyberte Další: Virtuální síť a pokračujte.

    Snímek obrazovky se zdroji privátního koncového bodu služby Azure Monitor

  8. Vyberte virtuální síť, kterou jste vytvořili dříve, a podsíť trénování. Vyberte Další, dokud se nedostanete na Zkontrolovat a vytvořit. Výběrem Vytvořit vytvořte privátní koncový bod.

    Snímek obrazovky se sítí privátních koncových bodů služby Azure Monitor

  9. Po vytvoření privátního koncového bodu se vraťte k prostředku privátního odkazu Azure Monitor na portálu. V části Konfigurovat vyberte režimy přístupu. Vyberte Soukromé pouze pro režim přístupu k příjmu a režim přístupu k dotazům, pak zvolte Uložit.

    Snímek obrazovky s režimy přístupu k rozsahu soukromého propojení

Připojení k pracovnímu prostoru

K zabezpečenému pracovnímu prostoru se můžete připojit několika způsoby. Kroky v tomto článku používají jump box, což je virtuální počítač ve virtuální síti. K němu se můžete připojit pomocí webového prohlížeče a služby Azure Bastion. Následující tabulka uvádí několik dalších způsobů, jak se můžete připojit k zabezpečenému pracovnímu prostoru:

metoda Popis
Azure VPN Gateway Připojí místní sítě k virtuální síti přes privátní připojení. Připojení se provádí přes veřejný internet.
ExpressRoute Připojí místní sítě k cloudu přes privátní připojení. Připojení se provádí pomocí poskytovatele připojení.

Důležité

Pokud používáte bránu VPN nebo ExpressRoute, budete muset naplánovat, jak bude fungovat překládání názvů mezi vašimi místními prostředky a prostředky ve virtuální síti. Další informace najdete v tématu Použití vlastního serveru DNS.

Vytvořte jump box (virtuální počítač)

Pomocí následujících kroků vytvořte virtuální počítač Azure, který se použije jako jump box. Azure Bastion umožňuje připojení k ploše virtuálního počítače prostřednictvím prohlížeče. Z plochy virtuálního počítače pak můžete pomocí prohlížeče na virtuálním počítači připojit k prostředkům ve virtuální síti, jako je například studio Azure Machine Learning. Nebo můžete na virtuální počítač nainstalovat vývojové nástroje.

Návod

Následující kroky vytvoří virtuální počítač s Windows 11 Enterprise. V závislosti na vašich požadavcích můžete chtít vybrat jinou image virtuálního počítače. Image Windows 11 (nebo 10) Enterprise je užitečná, pokud potřebujete připojit virtuální počítač k doméně vaší organizace.

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte virtuální počítač. Vyberte položku Virtuální počítač a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, které jste dříve použili pro virtuální síť. Zadejte hodnoty pro následující pole:

    • Název virtuálního počítače: Jedinečný název virtuálního počítače.

    • Uživatelské jméno: Uživatelské jméno, které používáte pro přihlášení k virtuálnímu počítači.

    • Heslo: Heslo pro uživatelské jméno.

    • Typ zabezpečení: Standardní.

    • Obrázek: Windows 11 Enterprise.

      Návod

      Pokud Windows 11 Enterprise není v seznamu pro výběr obrázku, použijte možnost Zobrazit všechny image_. Najděte položku Windows 11 od Microsoftu a pomocí rozevíracího seznamu Vybrat vyberte podnikovou image.

    Ostatní pole můžete ponechat na výchozích hodnotách.

    Snímek obrazovky se základní konfigurací virtuálního počítače

  3. Vyberte Sítě a pak vyberte virtuální síť , kterou jste vytvořili dříve. K nastavení zbývajících polí použijte následující informace:

    • Vyberte podsíť trénování.
    • Nastavte veřejnou IP adresu na Žádné.
    • Ostatní pole ponechte na výchozí hodnotě.

    Snímek obrazovky s konfigurací sítě virtuálních počítačů

  4. Vyberte Recenze + vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Připojení k jump boxu

  1. Po vytvoření virtuálního počítače zvolte možnost Přejít k prostředku.

  2. V horní části stránky vyberte Připojit a pak Připojit přes Bastion.

    Návod

    Azure Bastion používá port 443 pro příchozí komunikaci. Pokud máte bránu firewall, která omezuje odchozí provoz, ujistěte se, že povoluje provoz na portu 443 ke službě Azure Bastion. Další informace najdete v tématu Práce se skupinami zabezpečení sítě a službou Azure Bastion.

    Snímek obrazovky seznamu 'connect' s vybranou možností 'Bastion'.

  3. Zadejte ověřovací informace pro virtuální počítač a v prohlížeči se vytvoří připojení.

Vytvoření výpočetního clusteru a instance

Výpočetní instance poskytuje prostředí Poznámkového bloku Jupyter u sdíleného výpočetního prostředku připojeného k vašemu pracovnímu prostoru.

  1. Z připojení služby Azure Bastion k jump boxu otevřete prohlížeč Microsoft Edge na vzdálené ploše.

  2. V relaci vzdáleného prohlížeče přejděte na https://ml.azure.com. Po zobrazení výzvy se ověřte pomocí účtu Microsoft Entra.

  3. Na obrazovce Vítejte v studiu! vyberte pracovní prostor Machine Learning, který jste vytvořili dříve, a pak vyberte Začínáme.

    Návod

    Pokud má váš účet Microsoft Entra přístup k více předplatným nebo adresářům, použijte rozevírací seznam Adresář a předplatné a vyberte ten, který obsahuje pracovní prostor.

    Snímek obrazovky s vybraným formulářem pracovního prostoru Machine Learning

  4. Ve studiu vyberte Výpočet, Clustery výpočtů a poté + Nový cluster.

    Snímek obrazovky se stránkou výpočetních clusterů s vybraným tlačítkem „nový“

  5. V dialogovém okně Virtuální počítač vyberte Další a přijměte výchozí konfiguraci virtuálního počítače.

    Snímek obrazovky s konfigurací virtuálního počítače výpočetního clusteru

  6. V dialogovém okně Nastavení konfigurace zadejte jako název výpočetního prostředku cpu-cluster. Nastavte podsíť na trénování a pak vyberte Vytvořit, aby se cluster vytvořil.

    Návod

    Výpočetní clustery dynamicky škálují uzly v clusteru podle potřeby. Pokud se cluster nepoužívá, doporučujeme ponechat minimální počet uzlů na 0, abyste snížili náklady.

    Snímek obrazovky s formulářem konfigurace nastavení

  7. Ve studiu vyberte Compute, výpočetní instance a pak + Nová instance.

    Snímek obrazovky stránky výpočetních instancí, s vybraným tlačítkem

  8. V části Požadované nastavení zadejte jedinečný název počítače a vyberte Další.

    Snímek obrazovky s konfigurací virtuálního počítače výpočetní instance

  9. Pokračujte výběrem možnosti Další, dokud nedorazíte do dialogového okna Zabezpečení, vyberte virtuální síť a nastavte podsíť na trénování. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

    Snímek obrazovky s rozšířeným nastavením

Návod

Když vytvoříte výpočetní cluster nebo výpočetní instanci, Azure Machine Learning dynamicky přidá skupinu zabezpečení sítě (NSG). Tato skupina zabezpečení sítě obsahuje následující pravidla, která jsou specifická pro výpočetní cluster a výpočetní instanci:

  • Povolte příchozí provoz TCP na portech 29876-29877 od značky služby BatchNodeManagement.
  • Povolte příchozí provoz TCP na portu 44224 od značky služby AzureMachineLearning.

Následující snímek obrazovky ukazuje příklad těchto pravidel:

Snímek obrazovky NSG

Další informace o vytvoření výpočetního clusteru, včetně postupu při použití Pythonu a CLI, najdete v následujících článcích:

Konfigurace sestavení obrazů

PLATÍ PRO: Rozšíření ml Azure CLI v2 (aktuální)

Když je Azure Container Registry za virtuální sítí, Azure Machine Learning ji nemůže použít k přímému sestavování imagí Dockeru (používá se k trénování a nasazení). Místo toho nakonfigurujte pracovní prostor tak, aby používal výpočetní cluster, který jste vytvořili dříve. Pomocí následujících kroků vytvořte výpočetní cluster a nakonfigurujte pracovní prostor tak, aby ho používal k vytváření imagí:

  1. Přejděte na https://shell.azure.com/ pro otevření Azure Cloud Shell.

  2. Z Cloud Shellu pomocí následujícího příkazu nainstalujte rozhraní příkazového řádku 2.0 pro Azure Machine Learning:

    az extension add -n ml

  3. Pro aktualizaci pracovního prostoru k použití výpočetního clusteru pro sestavování Docker image. Nahraďte docs-ml-rg vaší skupinou prostředků. Nahraďte svůj pracovní prostor za docs-ml-ws. Nahraďte cpu-cluster názvem výpočetního clusteru:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Poznámka:

    Stejný výpočetní cluster můžete použít k trénování modelů a vytváření imagí Dockeru pro pracovní prostor.

Použijte pracovní prostor

Důležité

Kroky v tomto článku umístí službu Azure Container Registry za virtuální síť. V této konfiguraci nemůžete nasadit model do služby Azure Container Instances uvnitř virtuální sítě. Nedoporučujeme používat službu Azure Container Instances se službou Azure Machine Learning ve virtuální síti. Další informace najdete v tématu Zabezpečení prostředí pro odvozování (SDK/CLI v1).

Jako alternativu ke službě Azure Container Instances vyzkoušejte online koncové body spravované službou Azure Machine Learning. Další informace najdete v tématu Povolení izolace sítě pro spravované online koncové body.

V tomto okamžiku můžete pomocí studia interaktivně pracovat s poznámkovými bloky ve výpočetní instanci a spouštět úlohy trénování na výpočetním clusteru. Kurz použití výpočetní instance a výpočetního clusteru najdete v kurzu : Azure Machine Learning za den.

Zastavení výpočetní instance a jump boxu

Varování

Když běží (spuštěno), výpočetní instance a jump box budou dál účtovat vaše předplatné. Abyste se vyhnuli nadbytečným nákladům, zastavte je, když se nepoužívají.

Výpočetní cluster se dynamicky škáluje mezi minimálním a maximálním počtem uzlů nastaveným při jeho vytvoření. Pokud jste přijali výchozí hodnoty, minimum je 0, což efektivně vypne cluster, když se nepoužívá.

Zastavení výpočetní instance

V sadě Studio vyberte Compute, Compute clustery a pak vyberte výpočetní instanci. Nakonec v horní části stránky vyberte Zastavit .

Snímek obrazovky s tlačítkem Zastavit pro výpočetní instanci

Zastavení skokového boxu

Po vytvoření vyberte virtuální počítač na webu Azure Portal a pak použijte tlačítko Zastavit . Až budete připravení ho znovu použít, spusťte ho tlačítkem Start .

Snímek obrazovky s tlačítkem Zastavit pro virtuální počítač typu jump box.

Můžete také nakonfigurovat jump box tak, aby se automaticky vypnul v určitém čase. Uděláte to tak, že vyberete automatické vypnutí, povolíte, nastavíte čas a pak vyberete Uložit.

Snímek obrazovky s možností automatického vypnutí

Vyčištění prostředků

Pokud chcete pokračovat v používání zabezpečeného pracovního prostoru a dalších prostředků, přeskočte tuto část.

Pokud chcete odstranit všechny prostředky vytvořené v tomto kurzu, postupujte takto:

  1. Úplně nalevo na webu Azure Portal vyberte Skupiny prostředků.

  2. V seznamu vyberte skupinu prostředků, kterou jste vytvořili v tomto kurzu.

  3. Vyberte Odstranit skupinu prostředků.

    Snímek obrazovky s odkazem odstranit skupinu prostředků

  4. Zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

Teď, když máte zabezpečený pracovní prostor a máte přístup k studiu, zjistěte, jak nasadit model do online koncového bodu s izolací sítě.

Teď, když máte zabezpečený pracovní prostor, se dozvíte, jak nasadit model.

  • Last updated on