Tutorial: Erstellen eines sicheren Arbeitsbereichs mit Hilfe einer Vorlage

Vorlagen bieten eine praktische Möglichkeit, reproduzierbare Dienstbereitstellungen zu erstellen. Die Vorlage definiert, was erstellt werden soll. Außerdem enthält sie einige Informationen, die Sie bei der Verwendung der Vorlage angeben. Sie können beispielsweise einen eindeutigen Namen für einen Azure Machine Learning-Arbeitsbereich angeben.

In diesem Tutorial erfahren Sie, wie Sie eine Microsoft Bicep- oder HashiCorp Terraform-Vorlage verwenden, um ein virtuelles Azure-Netzwerk mit den folgenden Azure-Ressourcen im Hintergrund zu erstellen.

• Azure Machine Learning-Arbeitsbereich
  • Azure Machine Learning-Computeinstanz
  • Azure Machine Learning-Computecluster
• Azure Storage-Konto
• Azure-Schlüsseltresor
• Azure Application Insights
• Azure Container Registry
• Azure Bastion-Host
• Azure Machine Learning Data Science Virtual Machine (DSVM)

Die Bicep-Vorlage erstellt auch einen Azure Kubernetes Service-Cluster (AKS) sowie eine separate Ressourcengruppe für den AKS-Cluster.

Tipp

Sie können verwaltete virtuelle Netzwerken für Azure Machine Learning anstelle der Schritte in diesem Artikel verwenden. Mit einem verwalteten virtuellen Netzwerk übernimmt Azure Machine Learning die Aufgabe der Netzwerkisolation für Ihren Arbeitsbereich und Ihre verwalteten Computeressourcen. Sie können auch private Endpunkte für Ressourcen hinzufügen, die vom Arbeitsbereich benötigt werden, z. B. Azure Storage-Konto. Weitere Informationen finden Sie unter Verwaltete Netzwerkisolation auf Arbeitsbereichsebene (Vorschau).

Um entweder Bicep- oder Terraform-Informationen anzuzeigen, wählen Sie die in den folgenden Abschnitten entweder die Registerkarte „Bicep“ oder „Terraform“ aus.

Voraussetzungen

• Ein Azure-Abonnement mit einer kostenlosen oder kostenpflichtigen Version von Azure Machine Learning. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

• Git muss in Ihrer Entwicklungsumgebung installiert sein, um das Vorlagenrepository zu klonen. Falls Sie nicht über den git-Befehl, können Sie Git aus https://git-scm.com/ installieren.

• Eine Azure-Befehlszeilenschnittstelle oder Azure PowerShell.

Bicep

• Die Azure-Befehlszeilenschnittstelle oder Azure PowerShell für Bicep muss gemäß der Anleitung Einrichten von Bicep-Entwicklungs- und Bereitstellungsumgebungen installiert sein.

• Das GitHub-Repository, das die Bicep-Vorlage Sicheres End-to-End-Setup von Azure Machine Learning enthält. Es muss lokal geklont sein, und Sie müssen durch Ausführen der folgenden Befehle darauf umschalten:

  git clone https://github.com/Azure/azure-quickstart-templates
  cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
  

Terraform

• Terraform muss installiert und mithilfe der Schritte aus einem der folgenden Artikel für Ihr Azure-Abonnement konfiguriert und authentifiziert sein:

  • Azure Cloud Shell
  • Windows mit Bash
  • Windows mit Azure PowerShell

• Das GitHub-Repository, das die Terraform-Vorlage Azure Machine Learning-Arbeitsbereich (eingerichtet mit einem Netzwerk mittlerer Sicherheit) enthält. Es muss lokal geklont sein, und Sie müssen durch Ausführen der folgenden Befehle darauf umschalten:

  git clone https://github.com/Azure/terraform
  cd terraform/quickstart/201-machine-learning-moderately-secure
  

Kennenlernen der Vorlage

Bicep

Die Bicep-Vorlage besteht aus der Datei main.bicep und anderen *.bicep-Dateien im Unterverzeichnis modules. In der folgenden Tabelle wird beschrieben, wofür die einzelnen Dateien verantwortlich sind:

Datei	BESCHREIBUNG
main.bicep	Übergibt Parameter und Variablen an andere Module im Unterverzeichnis modules.
vnet.bicep	Definiert das virtuelle Azure-Netzwerk und die Subnetze.
nsg.bicep	Definiert die Regeln der Netzwerksicherheitsgruppe für das virtuelle Netzwerk.
bastion.bicep	Definiert den Azure Bastion-Host und das Subnet. Mit Azure Bastion können Sie mithilfe Ihres Webbrowsers problemlos auf einen virtuellen Computer (Virtual Machine, VM) innerhalb des virtuellen Netzwerks zugreifen.
dsvmjumpbox.bicep	Definiert die DSVM. Mithilfe von Azure Bastion wird über Ihren Webbrowser auf diese VM zugegriffen.
storage.bicep	Definiert das Azure Storage-Konto, das vom Arbeitsbereich als Standardspeicher verwendet wird.
keyvault.bicep	Definiert die Azure Key Vault-Instanz, die vom Arbeitsbereich verwendet wird
containerregistry.bicep	Definiert die Azure Container Registry-Instanz, die vom Arbeitsbereich verwendet wird
applicationinsights.bicep	Definiert die Azure Application Insights-Instanz, die vom Arbeitsbereich verwendet wird
machinelearningnetworking.bicep	Definiert die privaten Endpunkte und DNS-Zonen (Domain Name System) für den Arbeitsbereich.
machinelearning.bicep	Definiert den Azure Machine Learning-Arbeitsbereich
machinelearningcompute.bicep	Definiert einen Azure Machine Learning-Computecluster und eine Compute-Instanz
privateaks.bicep	Definiert eine AKS-Clusterinstanz.

Wichtig

Jeder Azure-Dienst verfügt über einen eigenen Satz von API-Versionen. Die Beispielvorlagen verwenden möglicherweise nicht die neuesten API-Versionen für Azure Machine Learning und andere Ressourcen. Bevor Sie die Vorlage verwenden, sollten Sie sie so ändern, dass sie die neuesten API-Versionen verwendet.

Informationen zur API für einen bestimmten Dienst finden Sie in den Dienstinformationen in der Azure-REST-API-Referenz. Informationen zu den neuesten API-Versionen für Azure Machine Learning finden Sie unter der Azure Machine Learning-REST-API.

Um die API-Version zu aktualisieren, suchen Sie den Eintrag Microsoft.MachineLearningServices/<resource> für den Ressourcentyp, und aktualisieren Sie ihn auf die neueste Version.

Terraform

Die Terraform-Vorlage besteht aus mehreren Dateien. In der folgenden Tabelle wird beschrieben, wofür die einzelnen Dateien verantwortlich sind:

Datei	BESCHREIBUNG
variables.tf	Definiert Variablen und Standardwerte, die von der Vorlage verwendet werden.
main.tf	Gibt den Azure Resource Manager-Anbieter an und definiert die Ressourcengruppe
network.tf	Definiert das virtuelle Azure-Netzwerk, die Subnetze und die Netzwerksicherheitsgruppen (NSG).
bastion.tf	Definiert den Azure Bastion-Host und die zugeordnete NSG. Mit Azure Bastion können Sie mithilfe Ihres Webbrowsers problemlos auf eine VM innerhalb eines virtuellen Netzwerk zugreifen.
dsvm.tf	Definiert die DSVM. Mithilfe von Azure Bastion wird über Ihren Webbrowser auf diese VM zugegriffen.
workspace.tf	Definiert den Azure Machine Learning-Arbeitsbereich, einschließlich Abhängigkeitsressourcen für Azure Storage, Key Vault, Application Insights und Container Registry.
compute.tf	Definiert eine Azure Machine Learning-Compute-Instanz- und einen AML-Cluster

Tipp

Der Azure-Anbieter für Terraform unterstützt weitere Argumente, die in diesem Tutorial nicht verwendet werden. Mit dem Argument environment können Sie beispielsweise Cloudregionen wie Azure Government und Microsoft Azure operated by 21Vianet als Ziel angeben.

Wichtig

Die DSVM und Azure Bastion sind einfache Möglichkeiten zum Herstellen einer Verbindung mit dem geschützten Arbeitsbereich für dieses Tutorial. In einer Produktionsumgebung ist es empfehlenswerter, ein Azure-VPN-Gateway oder Azure ExpressRoute zu verwenden, um direkt aus Ihrem lokalen Netzwerk auf die Ressourcen innerhalb des virtuellen Netzwerks zuzugreifen.

Konfigurieren der Vorlage

Bicep

Um die Bicep-Vorlage bereitzustellen, stellen Sie sicher, dass Sie das Verzeichnis machine-learning-end-to-end-secure aufgerufen haben, in dem sich die Datei main.bicep befindet. Führen Sie dann die folgenden Befehle aus:

1. Führen Sie zum Erstellen einer neuen Azure-Ressourcengruppe den folgenden beispielhaften Befehl aus, und ersetzen Sie <myrgname> durch einen Ressourcengruppennamen und <location> durch die Azure-Region, die Sie verwenden möchten.

   • Azure CLI:

     az group create --name <myrgname> --location <location>
     

   • Azure PowerShell:

     New-AzResourceGroup -Name <myrgname> -Location <location>
     

2. Verwenden Sie zum Bereitstellen der Vorlage den folgenden Befehl, indem Sie <myrgname> durch den Namen der von Ihnen erstellten Ressourcengruppe ersetzen und <pref> durch ein eindeutiges Präfix, das beim Erstellen erforderlicher Ressourcen verwendet werden soll. Ersetzen Sie <mydsvmpassword> durch ein sicheres Kennwort für das DSVM-Jumpbox-Anmeldekonto (in den folgenden Beispielen azureadmin).

   Tipp

   prefix muss fünf oder weniger Zeichen haben und darf nicht vollständig numerisch sein oder die Zeichen ~, !, @, #, $, %, ^, &, *, (, ), =, +, _, [, ], {, }, \, |, ;, :, ., ', ", ,, <, >, /oder ? enthalten.

   • Azure CLI:

     az deployment group create \
         --resource-group <myrgname> \
         --template-file main.bicep \
         --parameters \
         prefix=<pref> \
         dsvmJumpboxUsername=azureadmin \
         dsvmJumpboxPassword=<mydsvmpassword>
     

   • Azure PowerShell:

     $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
     New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
         -TemplateFile ./main.bicep `
         -prefix "<pref>" `
         -dsvmJumpboxUsername "azureadmin" `
         -dsvmJumpboxPassword $dsvmPassword
     

     Warnung

     Vermeiden Sie die Verwendung von Nur-Text-Zeichenfolgen in Skripten oder an der Befehlszeile. Reiner Text kann in Ereignisprotokollen und im Befehlsverlauf enthalten sein. Weitere Informationen finden Sie unter ConvertTo-SecureString.

Terraform

Um die Terraform-Vorlage bereitzustellen, stellen Sie sicher, dass Sie das Verzeichnis 201-machine-learning-moderately-secure aufgerufen haben, in dem sich die Vorlagendateien befinden. Führen Sie dann die folgenden Befehle aus.

1. Verwenden Sie den folgenden Befehl, um das Verzeichnis für die Arbeit mit Terraform zu initialisieren:

   terraform init
   

2. Verwenden Sie den folgenden Befehl, um eine Konfiguration zu erstellen. Verwenden Sie die -var-Parameter, um die Werte für die Variablen festzulegen, die die Vorlage verwendet. Eine vollständige Liste der Variablen finden Sie in der Datei variables.tf.

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   Nach Abschluss dieses Befehls wird die Konfiguration im Terminal angezeigt. Verwenden Sie den Befehl terraform show azureml.tfplan, um sie erneut anzuzeigen.

3. Verwenden Sie den folgenden Befehl, um die Vorlage bereitzustellen und die gespeicherte Konfiguration auf Ihr Azure-Abonnement anzuwenden:

   terraform apply azureml.tfplan
   

   Der Fortschritt wird als Vorlagenprozesse angezeigt.

Wichtig

Die DSVM und sämtliche werden für jede Stunde ihrer Ausführung abgerechnet. Um übermäßige Gebühren zu vermeiden, sollten Sie diese Ressourcen beenden, wenn sie nicht verwendet werden. Weitere Informationen finden Sie in den folgenden Artikeln:

• Erstellen/Verwalten von VMs (Linux)
• Erstellen/Verwalten von VMs (Windows)
• Computeinstanz erstellen.

Herstellen einer Verbindung mit dem Arbeitsbereich

Führen Sie nach Abschluss der Bereitstellung die folgenden Schritte aus, um eine Verbindung mit der DSVM herzustellen:

1. Wählen Sie im Azure-Portal die Azure-Ressourcengruppe aus, die Sie mit der Vorlage verwendet haben. Wählen Sie dann die DSVM aus, die die Vorlage erstellt hat. Wenn Sie diese nicht finden können, verwenden Sie den Abschnitt mit den Filtern, um nach Typ oder VM zu filtern.

   

2. Wählen Sie auf Seite Übersicht der DSVM Verbinden und dann im Dropdownmenü Über Bastion verbinden aus.

   

3. Geben Sie bei entsprechender Aufforderung den Benutzernamen und das VM-Kennwort an, die Sie beim Konfigurieren der Vorlage verwendet haben, und wählen Sie dann Verbinden aus.

   Wichtig

   Wenn Sie zum ersten Mal eine Verbindung mit dem DSVM-Desktop herstellen, wird ein PowerShell-Fenster geöffnet und ein Skript ausgeführt. Warten Sie, bis das Skript abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren.

4. Starten Sie auf dem DSVM-Desktop Microsoft Edge, und geben Sie https://ml.azure.com als Adresse ein. Melden Sie sich bei Ihrem Azure-Abonnement an, und wählen Sie dann den von der Vorlage erstellten Arbeitsbereich aus. Das Studio für Ihren Arbeitsbereich erscheint.

Problembehandlung

Der folgende Fehler kann auftreten, wenn der Name für die DSVM-Jumpbox mehr als 15 Zeichen umfasst oder eines der folgenden Zeichen enthält: ~, !, @, #, $, %, ^, &, *, (, ), =, +, _, [, ], {, }, \, |, ;, :, ., ', ", ,, <, >, /, oder ?.

Fehler: Windows-Computername darf nicht länger als 15 Zeichen sein, nur aus Ziffern bestehen oder die folgenden Zeichen enthalten ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.

Bicep

Die Bicep-Vorlage generiert den Namen der Jumpbox programmgesteuert mithilfe des Präfixwerts, der für die Vorlage bereitgestellt wird. Um sicherzustellen, dass der Name 15 Zeichen nicht überschreitet und keine ungültigen Zeichen enthält, verwenden Sie ein Präfix mit maximal 5 und ohne eines der folgenden Zeichen: ~, !, @, #, $, %, ^, &, *, (, ), =, +, _, [, ], {, }, \, |, ;, :, ., ', ", ,, <, >, /, oder ?.

Terraform

Die Terraform-Vorlage übergibt den Namen der Jumpbox mithilfe des Parameters dsvm_name. Um den Fehler zu vermeiden, verwenden Sie einen Namen mit maximal 15 und ohne eines der folgenden Zeichen: ~, !, @, #, $, %, ^, &, *, (, ), =, +, _, [, ], {, }, \, |, ;, :, ., ', ", ,, <, >, /, oder ?.

Zugehöriger Inhalt

Verwenden Sie den Schnellstart: Erste Schritte mit Azure Machine Learning, um mit einer Einführung in Azure Machine Learning fortzufahren.

Weitere Informationen zu allgemeinen Konfigurationen für sichere Arbeitsbereiche und Ein- und Ausgabeanforderungen finden Sie unter Datenverkehrsfluss in sicheren Azure Machine Learning-Arbeitsbereichen.