Erstellen eines sicheren Arbeitsbereichs mithilfe einer Vorlage

Vorlagen bieten eine praktische Möglichkeit, reproduzierbare Dienstbereitstellungen zu erstellen. Die Vorlage definiert, was erstellt wird. Außerdem enthält sie einige Informationen, die Sie bei der Verwendung der Vorlage angeben. Beispielsweise können Sie einen eindeutigen Namen für den Azure Machine Learning-Arbeitsbereich angeben.

In diesem Tutorial erfahren Sie, wie Sie eine Microsoft Bicep- und HashiCorp Terraform-Vorlage verwenden, um die folgenden Azure-Ressourcen zu erstellen:

  • Azure Virtual Network. Die folgenden Ressourcen werden hinter diesem VNet geschützt:
    • Azure Machine Learning-Arbeitsbereich
      • Azure Machine Learning-Computeinstanz
      • Azure Machine Learning-Computecluster
    • Azure Storage-Konto
    • Azure-Schlüsseltresor
    • Azure Application Insights
    • Azure Container Registry
    • Azure Bastion-Host
    • Azure Machine Learning-VM (Data Science Virtual Machine)
    • Die Bicep-Vorlage erstellt auch einen Azure Kubernetes Service-Cluster und eine separate Ressourcengruppe dafür.

Voraussetzungen

Für die Schritte in diesem Artikel benötigen Sie ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen.

Sie müssen auch über eine Bash- oder Azure PowerShell-Befehlszeile verfügen.

Tipp

Verwenden Sie beim Lesen dieses Artikels die Registerkarten in den einzelnen Abschnitten, um auszuwählen, ob Informationen zur Verwendung von Bicep- oder Terraform-Vorlagen angezeigt werden.

  1. Informationen zum Installieren der Befehlszeilentools finden Sie unter Einrichten von Bicep-Entwicklungs- und -Bereitstellungsumgebungen.

  2. Die in diesem Artikel verwendete Bicep-Vorlage befindet sich unter https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Verwenden Sie die folgenden Befehle, um das GitHub-Repository in Ihrer Entwicklungsumgebung zu klonen:

    Tipp

    Wenn der Befehl git in Ihrer Entwicklungsumgebung nicht verfügbar ist, können Sie ihn über https://git-scm.com/ installieren.

    git clone https://github.com/Azure/azure-quickstart-templates
    cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
    

Grundlegendes zur Vorlage

Die Bicep-Vorlage besteht aus main.bicep und den .bicep-Dateien im Unterverzeichnis modules. In der folgenden Tabelle wird beschrieben, wofür die einzelnen Dateien verantwortlich sind:

Datei BESCHREIBUNG
main.bicep Parameter und Variablen. Übergeben von Parametern und Variablen an andere Module im Unterverzeichnis modules.
vnet.bicep Definiert das virtuelle Azure-Netzwerk und die Subnetze
nsg.bicep Definiert die Regeln der Netzwerksicherheitsgruppe für das VNet
bastion.bicep Definiert den Azure Bastion-Host und das Subnet. Mit Azure Bastion können Sie über Ihren Webbrowser problemlos auf eine VM im VNet zugreifen.
dsvmjumpbox.bicep Definiert die Data Science Virtual Machine (DSVM). Mithilfe von Azure Bastion wird über Ihren Webbrowser auf diese VM zugegriffen.
storage.bicep Definiert das Azure Storage-Konto, das vom Arbeitsbereich als Standardspeicher verwendet wird.
keyvault.bicep Definiert die Azure Key Vault-Instanz, die vom Arbeitsbereich verwendet wird
containerregistry.bicep Definiert die Azure Container Registry-Instanz, die vom Arbeitsbereich verwendet wird
applicationinsights.bicep Definiert die Azure Application Insights-Instanz, die vom Arbeitsbereich verwendet wird
machinelearningnetworking.bicep Definiert die privaten Endpunkte und DNS-Zonen für den Azure Machine Learning-Arbeitsbereich
machinelearning.bicep Definiert den Azure Machine Learning-Arbeitsbereich
machinelearningcompute.bicep Definiert einen Azure Machine Learning-Computecluster und eine Compute-Instanz
privateaks.bicep Definiert eine Azure Kubernetes Services-Clusterinstanz.

Wichtig

Die DSVM und Azure Bastion dienen als einfache Möglichkeit zum Herstellen einer Verbindung mit dem geschützten Arbeitsbereich für dieses Tutorial. In einer Produktionsumgebung wird empfohlen, ein Azure-VPN-Gateway oder Azure ExpressRoute zu verwenden, um direkt aus Ihrem lokalen Netzwerk auf die Ressourcen im VNet zuzugreifen.

Konfigurieren der Vorlage

Um die Bicep-Vorlage auszuführen, verwenden Sie die folgenden Befehle aus dem machine-learning-end-to-end-secure, in dem sich die Datei main.bicep befindet:

  1. Führen Sie den folgenden Befehl aus, um eine neue Azure-Ressourcengruppe zu erstellen. Ersetzen Sie exampleRG durch den Namen Ihrer Ressourcengruppe und eastus durch die Azure-Region, die Sie verwenden möchten:

    az group create --name exampleRG --location eastus
    
  2. Verwenden Sie den folgenden Befehl, um die Vorlage auszuführen:

    az deployment group create \
        --resource-group exampleRG \
        --template-file main.bicep \
        --parameters \
        prefix=myprefix \
        dsvmJumpboxUsername=azureadmin \
        dsvmJumpboxPassword=securepassword
    

Herstellen einer Verbindung mit dem Arbeitsbereich

Führen Sie nach Abschluss der Vorlage die folgenden Schritte aus, um eine Verbindung mit der DSVM herzustellen:

  1. Wählen Sie im Azure-Portal die Azure-Ressourcengruppe aus, die Sie mit der Vorlage verwendet haben. Wählen Sie dann die Data Science Virtual Machine aus, die von der Vorlage erstellt wurde. Wenn Sie diese nicht finden können, verwenden Sie den Abschnitt mit den Filtern, um nach Typ oder VM zu filtern.

    Screenshot of filtering and selecting the vm.

  2. Wählen Sie im Abschnitt Übersicht der VM Verbinden und dann in der Dropdownliste Bastion aus.

    Screenshot of selecting to connect using Bastion.

  3. Geben Sie bei entsprechender Aufforderung den Benutzernamen und das Kennwort an, die Sie beim Konfigurieren der Vorlage verwendet haben, und wählen Sie dann Verbinden aus.

    Wichtig

    Wenn Sie zum ersten Mal eine Verbindung mit dem DSVM-Desktop herstellen, wird ein PowerShell-Fenster geöffnet, in dem ein Skript ausgeführt wird. Lassen Sie dies zu, bevor Sie mit dem nächsten Schritt fortfahren.

  4. Starten Sie auf dem DSVM-Desktop Microsoft Edge, und geben Sie https://ml.azure.com als Adresse ein. Melden Sie sich bei Ihrem Azure-Abonnement an, und wählen Sie dann den von der Vorlage erstellten Arbeitsbereich aus. Das Studio für Ihren Arbeitsbereich wird angezeigt.

Nächste Schritte

Wichtig

Die Data Science Virtual Machine (DSVM) und alle Ressourcen der Compute-Instanz werden Ihnen stundenweise in Rechnung gestellt, wenn sie ausgeführt werden. Um übermäßige Gebühren zu vermeiden, sollten Sie diese Ressourcen beenden, wenn sie nicht verwendet werden. Weitere Informationen finden Sie in den folgenden Artikeln:

Weitere Informationen zur Verwendung des geschützten Arbeitsbereichs über die DSVM finden Sie im Tutorial: Erste Schritte mit einem Python-Skript in Azure Machine Learning.

Weitere Informationen zu allgemeinen Konfigurationen für sichere Arbeitsbereiche und Ein- und Ausgabeanforderungen finden Sie unter Datenverkehrsfluss in sicheren Azure Machine Learning-Arbeitsbereichen.