Sdílet prostřednictvím

Kurz: Vytvoření zabezpečeného pracovního prostoru se spravovanou virtuální sítí

  • Článek

V tomto článku se dozvíte, jak vytvořit zabezpečený pracovní prostor Azure Machine Learning a připojit se k němu. Kroky v tomto článku používají virtuální síť spravovanou službou Azure Machine Learning k vytvoření hranice zabezpečení kolem prostředků používaných službou Azure Machine Learning.

V tomto kurzu provedete následující úlohy:

  • Vytvořte pracovní prostor Azure Machine Learning nakonfigurovaný tak, aby používal spravovanou virtuální síť.
  • Vytvoření výpočetního clusteru Azure Machine Learning Výpočetní cluster se používá při trénování modelů strojového učení v cloudu.

Po dokončení tohoto kurzu budete mít následující architekturu:

  • Pracovní prostor Azure Machine Learning, který ke komunikaci pomocí spravované sítě používá privátní koncový bod.
  • Účet služby Azure Storage, který používá privátní koncové body k povolení komunikace mezi službami úložiště, jako jsou objekty blob a soubor, pomocí spravované sítě.
  • Azure Container Registry, který používá komunikaci privátního koncového bodu pomocí spravované sítě.
  • Azure Key Vault, který ke komunikaci pomocí spravované sítě používá privátní koncový bod.
  • Výpočetní instance a výpočetní cluster Azure Machine Learning zabezpečený spravovanou sítí.

Požadavky

Vytvoření jump boxu (virtuální počítač)

K zabezpečenému pracovnímu prostoru se můžete připojit několika způsoby. V tomto kurzu se používá jump box . Jump box je virtuální počítač ve službě Azure Virtual Network. K němu se můžete připojit pomocí webového prohlížeče a služby Azure Bastion.

Následující tabulka uvádí několik dalších způsobů, jak se můžete připojit k zabezpečenému pracovnímu prostoru:

metoda Popis
Azure VPN Gateway Připojí místní sítě k virtuální síti Azure přes privátní připojení. V rámci této virtuální sítě se vytvoří privátní koncový bod pro váš pracovní prostor. Připojení se provádí přes veřejný internet.
ExpressRoute Připojí místní sítě k cloudu přes privátní připojení. Připojení se provádí pomocí poskytovatele připojení.

Důležité

Pokud používáte bránu VPN nebo ExpressRoute, budete muset naplánovat fungování překladu ip adres mezi místními prostředky a prostředky v cloudu. Další informace najdete v tématu Použití vlastního serveru DNS.

Pomocí následujících kroků vytvořte virtuální počítač Azure, který se použije jako jump box. Z plochy virtuálního počítače pak můžete pomocí prohlížeče na virtuálním počítači připojit k prostředkům ve spravované virtuální síti, jako je studio Azure Machine Learning. Nebo můžete na virtuální počítač nainstalovat vývojové nástroje.

Tip

Následující kroky vytvoří virtuální počítač s Windows 11 Enterprise. V závislosti na vašich požadavcích můžete chtít vybrat jinou image virtuálního počítače. Image Windows 11 (nebo 10) Enterprise je užitečná, pokud potřebujete připojit virtuální počítač k doméně vaší organizace.

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte virtuální počítač. Vyberte položku Virtuální počítač a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, ve které chcete vytvořit službu. Zadejte hodnoty pro následující pole:

    • Název virtuálního počítače: Jedinečný název virtuálního počítače.

    • Uživatelské jméno: Uživatelské jméno, které používáte pro přihlášení k virtuálnímu počítači.

    • Heslo: Heslo pro uživatelské jméno.

    • Typ zabezpečení: Standardní.

    • Obrázek: Windows 11 Enterprise.

      Tip

      Pokud Windows 11 Enterprise není v seznamu pro výběr obrázku, použijte možnost Zobrazit všechny image_. Najděte položku Windows 11 od Microsoftu a pomocí rozevíracího seznamu Vybrat vyberte podnikovou image.

    Ostatní pole můžete ponechat na výchozích hodnotách.

    Snímek obrazovky se základní konfigurací virtuálního počítače

  3. Vyberte Sítě. Zkontrolujte síťové informace a ujistěte se, že nepoužívá rozsah IP adres 172.17.0.0/16. Pokud ano, vyberte jiný rozsah, například 172.16.0.0/16; rozsah 172.17.0.0/16 může způsobit konflikty s Dockerem.

    Poznámka:

    Virtuální počítač Azure vytvoří vlastní virtuální síť Azure pro izolaci sítě. Tato síť je oddělená od spravované virtuální sítě používané službou Azure Machine Learning.

    Snímek obrazovky s kartou Sítě pro virtuální počítač

  4. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

Povolení služby Azure Bastion pro virtuální počítač

Azure Bastion umožňuje připojení k ploše virtuálního počítače prostřednictvím prohlížeče.

  1. Na webu Azure Portal vyberte virtuální počítač, který jste vytvořili dříve. V části Připojit na stránce vyberte Bastion a pak nasaďte Bastion.

    Snímek obrazovky s možností nasadit Bastion

  2. Po nasazení služby Bastion se dostanete do dialogového okna připojení. Prozatím nechte toto dialogové okno.

Vytvoření pracovního prostoru

  1. Na webu Azure Portal vyberte nabídku portálu v levém horním rohu. V nabídce vyberte + Vytvořit prostředek a pak zadejte Azure Machine Learning. Vyberte položku Azure Machine Learning a pak vyberte Vytvořit.

  2. Na kartě Základy vyberte předplatné, skupinu prostředků a oblast, ve které chcete vytvořit službu. Zadejte jedinečný název názvu pracovního prostoru. Zbývající pole ponechte na výchozích hodnotách; pro pracovní prostor se vytvoří nové instance požadovaných služeb.

    Snímek obrazovky s formulářem pro vytvoření pracovního prostoru

  3. Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem.

    Snímek obrazovky s kartou sítě pracovního prostoru s vybranou možností odchozího připojení k internetu

  4. Na kartě Sítě v části Příchozí přístup k pracovnímu prostoru vyberte + Přidat.

    Snímek obrazovky znázorňující tlačítko přidat pro příchozí přístup

  5. Ve formuláři Vytvořit privátní koncový bod zadejte jedinečnou hodnotu do pole Název . Vyberte virtuální síť vytvořenou dříve s virtuálním počítačem a vyberte výchozí podsíť. Zbývající pole ponechte na výchozích hodnotách. Vyberte OK a koncový bod uložte.

    Snímek obrazovky formuláře pro vytvoření privátního koncového bodu

  6. Vyberte Zkontrolovat a vytvořit. Ověřte správnost informací a pak vyberte Vytvořit.

  7. Po vytvoření pracovního prostoru vyberte Přejít k prostředku.

Připojení k desktopové verzi virtuálního počítače

  1. Na webu Azure Portal vyberte virtuální počítač, který jste vytvořili dříve.

  2. V části Připojit vyberte Bastion. Zadejte uživatelské jméno a heslo, které jste nakonfigurovali pro virtuální počítač, a pak vyberte Připojit.

    Snímek obrazovky s formulářem připojení Bastionu

Připojení k sadě Studio

V tomto okamžiku se pracovní prostor vytvoří , ale spravovaná virtuální síť není. Spravovaná virtuální síť se nakonfiguruje při vytváření pracovního prostoru. Pokud chcete vytvořit spravovanou virtuální síť, vytvořte výpočetní prostředek nebo síť zřiďte ručně.

K vytvoření výpočetní instance použijte následující postup.

  1. Na ploše virtuálního počítače otevřete pomocí prohlížeče studio Azure Machine Learning a vyberte pracovní prostor, který jste vytvořili dříve.

  2. V sadě Studio vyberte Compute, Výpočetní instance a pak + Nový.

    Snímek obrazovky s novou možností výpočetních prostředků v sadě Studio

  3. V dialogovém okně Konfigurovat požadovaná nastavení zadejte jako název výpočetních prostředků jedinečnou hodnotu. Zbývající výběry ponechte na výchozí hodnotě.

  4. Vyberte Vytvořit. Vytvoření výpočetní instance trvá několik minut. Výpočetní instance se vytvoří v rámci spravované sítě.

    Tip

    Vytvoření prvního výpočetního prostředku může trvat několik minut. K tomuto zpoždění dochází, protože se vytváří také spravovaná virtuální síť. Spravovaná virtuální síť se nevytvořila, dokud se nevytvořil první výpočetní prostředek. Další spravované výpočetní prostředky se vytvoří mnohem rychleji.

Povolení přístupu k úložišti v sadě Studio

Vzhledem k tomu, že studio Azure Machine Learning částečně běží ve webovém prohlížeči na klientovi, musí mít klient přímý přístup k výchozímu účtu úložiště pro pracovní prostor, aby mohl provádět operace s daty. Pokud chcete povolit přímý přístup, postupujte takto:

  1. Na webu Azure Portal vyberte virtuální počítač jump box, který jste vytvořili dříve. V části Přehled zkopírujte veřejnou IP adresu.

  2. Na webu Azure Portal vyberte pracovní prostor, který jste vytvořili dříve. V části Přehled vyberte odkaz pro položku Úložiště.

  3. V účtu úložiště vyberte Sítě a přidejte veřejnou IP adresu jump boxu do části Brána firewall.

    Tip

    Ve scénáři, kdy místo jump boxu používáte bránu VPN nebo ExpressRoute, můžete přidat privátní koncový bod nebo koncový bod služby pro účet úložiště do služby Azure Virtual Network. Použití privátního koncového bodu nebo koncového bodu služby by umožnilo více klientům připojujícím se prostřednictvím služby Azure Virtual Network úspěšně provádět operace úložiště prostřednictvím studia.

    V tomto okamžiku můžete pomocí studia interaktivně pracovat s poznámkovými bloky ve výpočetní instanci a spouštět trénovací úlohy. Kurz najdete v tématu Kurz: Vývoj modelů.

Zastavení výpočetní instance

Zatímco běží (spuštěno), výpočetní instance bude dál účtovat vaše předplatné. Pokud se chcete vyhnout nadbytečným nákladům, zastavte ho, když se nepoužívá.

V nástroji Studio vyberte Compute, Compute instance a pak vyberte výpočetní instanci. Nakonec v horní části stránky vyberte Zastavit .

Snímek obrazovky s tlačítkem Zastavit pro výpočetní instanci

Vyčištění prostředků

Pokud chcete pokračovat v používání zabezpečeného pracovního prostoru a dalších prostředků, přeskočte tuto část.

Pokud chcete odstranit všechny prostředky vytvořené v tomto kurzu, postupujte takto:

  1. Na webu Azure Portal vyberte skupiny prostředků.

  2. V seznamu vyberte skupinu prostředků, kterou jste vytvořili v tomto kurzu.

  3. Vyberte Odstranit skupinu prostředků.

    Snímek obrazovky s tlačítkem Odstranit skupinu prostředků

  4. Zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

Teď, když máte zabezpečený pracovní prostor a máte přístup k studiu, zjistěte, jak nasadit model do online koncového bodu s izolací sítě.

Další informace o spravované virtuální síti najdete v tématu Zabezpečení pracovního prostoru pomocí spravované virtuální sítě.