Tutorial: Erstellen eines sicheren Arbeitsbereichs mit einem verwalteten virtuellen Netzwerk

In diesem Artikel erfahren Sie, wie Sie einen sicheren Arbeitsbereich erstellen und mit einem Azure Machine Learning-Arbeitsbereich verbinden. In den Schritten in diesem Artikel wird ein verwaltetes virtuelles Netzwerk für Azure Machine Learning verwendet, um eine Sicherheitsgrenze um Ressourcen herum zu erstellen, die von Azure Machine Learning verwendet werden.

Sie führen in diesem Tutorial die folgenden Aufgaben durch:

  • Erstellen Sie einen Azure Machine Learning-Arbeitsbereich, der für die Verwendung eines verwalteten virtuellen Netzwerks konfiguriert ist.
  • Erstellen eines Computeclusters für Azure Machine Learning Ein Computecluster wird verwendet, wenn Machine Learning-Modelle in der Cloud trainiert werden.

Nach Abschluss dieses Tutorials verfügen Sie über die folgende Architektur:

  • Ein Azure Machine Learning-Arbeitsbereich, der einen privaten Endpunkt für die Kommunikation mithilfe des verwalteten Netzwerks verwendet.
  • Ein Azure Storage-Konto, das private Endpunkte verwendet, um die Kommunikation von Speicherdiensten wie Blob und Datei mithilfe des verwalteten Netzwerks zu ermöglichen.
  • Eine Azure Container Registry, die einen privaten Endpunkt für die Kommunikation mithilfe des verwalteten Netzwerks verwendet.
  • Ein Azure Key Vault, der einen privaten Endpunkt für die Kommunikation mithilfe des verwalteten Netzwerks verwendet.
  • Eine Azure Machine Learning-Compute-Instanz und ein Computecluster, die durch das verwaltete Netzwerk gesichert sind.

Voraussetzungen

Erstellen einer Jumpbox (VM)

Es gibt mehrere Möglichkeiten, eine Verbindung mit dem geschützten Arbeitsbereich herzustellen. In diesem Tutorial wird eine Jumpbox verwendet. Eine Jumpbox ist ein virtueller Computer in einer Azure Virtual Network-Instanz. Sie können über den Webbrowser und Azure Bastion eine Verbindung damit herstellen.

In der folgenden Tabelle sind mehrere andere Möglichkeiten aufgeführt, wie Sie eine Verbindung mit dem sicheren Arbeitsbereich herstellen können:

Methode BESCHREIBUNG
Azure VPN Gateway Stellt eine private Verbindung zwischen lokalen Netzwerken und einer Azure Virtual Network-Instanz her. Innerhalb dieses virtuellen Netzwerks wird ein privater Endpunkt für Ihren Arbeitsbereich erstellt. Die Verbindung erfolgt über das öffentliche Internet.
ExpressRoute Stellt über eine private Verbindung eine Verbindung zwischen lokalen Netzwerken und der Cloud her. Die Verbindung erfolgt mithilfe eines Konnektivitätsanbieters.

Wichtig

Wenn Sie ein VPN-Gateway oder ExpressRoute verwenden, müssen Sie planen, wie die Namensauflösung zwischen lokalen Ressourcen und Cloudressourcen erfolgt. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten DNS-Servers.

Verwenden Sie die folgenden Schritte, um eine Azure Virtual Machine für die Verwendung als Jumpbox zu erstellen. Vom VM-Desktop aus können Sie dann den Browser auf der VM verwenden, um eine Verbindung mit Ressourcen innerhalb des verwalteten virtuellen Netzwerks herzustellen, z. B. mit Azure Machine Learning Studio. Sie können auch Entwicklungstools auf der VM installieren.

Tipp

Mit den folgenden Schritten erstellen Sie eine Windows 11 Enterprise-VM. Je nach Ihren Anforderungen möchten Sie vielleicht ein anderes VM-Bild auswählen. Das Windows 11- oder Windows 10-Enterprise-Bild ist nützlich, wenn Sie der Domäne Ihrer Organisation beitreten müssen.

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Virtual Machine ein. Suchen Sie nach dem Eintrag Virtual Machine, und wählen Sie dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und die Region aus, in welchen der Dienst erstellt werden soll. Stellen Sie Werte für die folgenden Felder bereit:

    • Name des virtuellen Computers: Ein eindeutiger Name für den virtuellen Computer.

    • Benutzername: Der Benutzername, den Sie für die Anmeldung beim virtuellen Computer verwenden.

    • Kennwort: Das Kennwort für den Benutzernamen.

    • Sicherheitstyp: Standard.

    • Bild: Windows 11 Enterprise

      Tipp

      Wenn Windows 11 Enterprise nicht in der Liste für die Bildauswahl enthalten ist, verwenden SieAlle Bilder anzeigen_. Suchen Sie den Windows 11-Eintrag von Microsoft und verwenden Sie die Dropdownliste Auswählen, um das Enterprise-Bild auszuwählen.

    Für die anderen Felder können Sie die Standardwerte belassen.

    Screenshot: Grundlegende Konfiguration einer VM

  3. Wählen Sie Netzwerk aus. Überprüfen Sie die Netzwerkinformationen, und stellen Sie sicher, dass der IP-Adressbereich 172.17.0.0/16 nicht verwendet wird. Wenn doch, wählen Sie einen anderen Bereich aus, z. B. 172.16.0.0/16. Der Bereich 172.17.0.0/16 kann Konflikte mit Docker verursachen.

    Hinweis

    Der virtuelle Azure-Computer erstellt eine eigene Azure Virtual Network-Instanz für die Netzwerkisolation. Dieses Netzwerk ist vom verwalteten virtuellen Netzwerk getrennt, das von Azure Machine Learning verwendet wird.

    Screenshot: Registerkarte „Netzwerk“ für den virtuellen Computer

  4. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Aktivieren von Azure Bastion für den virtuellen Computer

Mit Azure Bastion können Sie über Ihren Browser eine Verbindung mit dem VM-Desktop herstellen.

  1. Wählen Sie im Azure-Portal den zuvor erstellten virtuellen Computer aus. Wählen Sie im Abschnitt Vorgänge der Seite Bastion und dann Bastion bereitstellen aus.

    Screenshot: Option „Bastion bereitstellen“

  2. Nachdem der Bastion-Dienst bereitgestellt wurde, wird ihnen eine Verbindungsseite angezeigt. Verlassen Sie dieses Dialogfeld vorerst.

Erstellen eines Arbeitsbereichs

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Azure Machine Learning ein. Wählen Sie den Eintrag Azure Machine Learning und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und die Region aus, in welchen der Dienst erstellt werden soll. Geben Sie einen eindeutigen Namen für den Arbeitsbereichsnamen ein. Belassen Sie die restlichen Felder auf den Standardwerten. Neue Instanzen der erforderlichen Dienste werden für den Arbeitsbereich erstellt.

    Screenshot des Formulars für die Arbeitsbereichserstellung.

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit ausgehendem Internetdatenverkehr aus.

    Screenshot der Registerkarte „Arbeitsbereichsnetzwerk“ mit „Internet ausgehend“ ausgewählt.

  4. Wählen Sie auf der Registerkarte Netzwerk im Abschnitt Eingehender Zugriff des Arbeitsbereichs die Option + Hinzufügen aus.

    Screenshot: Schaltfläche „Hinzufügen“ für eingehenden Zugriff

  5. Geben Sie im Formular Privaten Endpunkt erstellen im Feld Name einen eindeutigen Wert ein. Wählen Sie das zuvor mit dem virtuellen Computer erstellte virtuelle Netzwerk und dann das Standardsubnetz aus. Übernehmen Sie bei den verbleibenden Feldern die Standardwerte. Wählen Sie OK aus, um den Endpunkt zu speichern.

    Screenshot: Formular „Privaten Endpunkt erstellen“

  6. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  7. Nachdem der Arbeitsbereich erstellt wurde, wählen Sie Zu Ressource wechseln aus.

Herstellen einer Verbindung mit dem VM-Desktop

  1. Wählen Sie im Azure-Portal den zuvor erstellten virtuellen Computer aus.

  2. Wählen Sie im Abschnitt Verbinden die Option Bastion aus. Geben Sie den Benutzernamen und das Kennwort ein, den bzw. das Sie für den virtuellen Computer konfiguriert haben, und wählen Sie dann Verbinden aus.

    Screenshot: Formular für Bastion-Verbindung

Herstellen der Verbindung mit Studio

An diesem Punkt wurde der Arbeitsbereich erstellt, das verwaltete virtuelle Netzwerk jedoch nicht. Das verwaltete virtuelle Netzwerk wird beim Erstellen des Arbeitsbereichs konfiguriert, aber erst erstellt, wenn Sie die erste Computeressource erstellen oder manuell bereitstellen.

Führen Sie die folgenden Schritte aus, um eine Compute-Instanz zu erstellen.

  1. Verwenden Sie auf dem VM-Desktop den Browser, um Azure Machine Learning Studio zu öffnen und den zuvor erstellten Arbeitsbereich auszuwählen.

  2. Wählen Sie in Studio die Optionen Compute, Compute-Instanz und dann + Neu aus.

    Screenshot der Option „Neue Compute-Instanz“ im Studio.

  3. Geben Sie im Dialogfeld Erforderliche Einstellungen konfigurieren einen eindeutigen Wert als Compute-Namen ein. Belassen Sie die restlichen Auswahlen auf dem Standardwert.

  4. Klicken Sie auf Erstellen. Die Erstellung des Compute-Instanz dauert einige Minuten. Die Compute-Instanz wird innerhalb des verwalteten Netzwerks erstellt.

    Tipp

    Es kann einige Minuten dauern, um die erste Computeressource zu erstellen. Diese Verzögerung tritt auf, weil das verwaltete virtuelle Netzwerk ebenfalls erstellt wird. Das verwaltete virtuelle Netzwerk wird erst erstellt, wenn die erste Computeressource erstellt wurde. Nachfolgende verwaltete Computeressourcen werden viel schneller erstellt.

Aktivieren des Studiozugriffs auf Speicher

Da Azure Machine Learning Studio teilweise im Webbrowser auf dem Client ausgeführt wird, muss der Client direkt auf das Standardspeicherkonto zugreifen können, damit der Arbeitsbereich Datenvorgänge ausführen kann. Um dies zu aktivieren, gehen Sie dabei wie folgt vor:

  1. Wählen Sie im Azure-Portal die zuvor erstellte Jumpbox-VM aus. Kopieren Sie im Abschnitt Übersicht die öffentliche IP-Adresse.

  2. Wählen Sie im Azure-Portal den zuvor erstellten Arbeitsbereich aus. Wählen Sie im Abschnitt Übersicht den Link für den Speichereintrag aus.

  3. Wählen Sie im Speicherkonto Netzwerk aus, und fügen Sie dem Abschnitt Firewall die öffentliche IP-Adresse der Jumpbox hinzu.

    Tipp

    In einem Szenario, in dem Sie ein VPN-Gateway oder ExpressRoute anstelle einer Jumpbox verwenden, können Sie dem Azure Virtual Network einen privaten Endpunkt oder einen Dienstendpunkt für das Speicherkonto hinzufügen. Die Verwendung eines privaten Endpunkts oder Dienstendpunkts ermöglicht es mehreren Clients, die eine Verbindung über die Azure Virtual Network herstellen, Speichervorgänge Studio erfolgreich auszuführen.

    An diesem Punkt können Sie das Studio verwenden, um interaktiv mit Notebooks in der Compute-Instanz zu arbeiten und Trainingsaufträge auszuführen. Ein Tutorial finden Sie unter Tutorial: Modellentwicklung.

Beenden der Compute-Instanz

Während der Ausführung (gestartet) wird die Compute-Instanz weiterhin Ihrem Abonnement belastet. Um übermäßige Kosten zu vermeiden, beenden Sie die Instanz, wenn sie nicht verwendet wird.

Wählen Sie in Studio die Optionen Compute, Compute-Instanzen und anschließend die Compute-Instanz aus. Wählen Sie abschließend oben auf der Seite die Option Beenden aus.

Screenshot: Schaltfläche „Beenden“ für die Compute-Instanz

Bereinigen von Ressourcen

Wenn Sie den geschützten Arbeitsbereich und andere Ressourcen weiterhin verwenden möchten, überspringen Sie diesen Abschnitt.

Führen Sie die folgenden Schritte aus, um alle in diesem Tutorial erstellten Ressourcen zu löschen:

  1. Wählen Sie im Azure-Portal Ressourcengruppen aus.

  2. Wählen Sie in der Liste die Ressourcengruppe aus, die Sie in diesem Tutorial erstellt haben.

  3. Klicken Sie auf Ressourcengruppe löschen.

    Screenshot: Schaltfläche „Ressourcengruppe löschen“

  4. Geben Sie den Ressourcengruppennamen ein, und wählen Sie die Option Löschen aus.

Nächste Schritte

Nachdem Sie nun einen sicheren Arbeitsbereich erstellt haben und auf Studio zugreifen können, erfahren Sie, wie Sie einModell für einen Online-Endpunkt mit Netzwerkisolation bereitstellen.

Weitere Informationen zum verwalteten virtuellen Netzwerk finden Sie unter Schützen Ihres Arbeitsbereichs mit einem verwalteten virtuellen Netzwerk.