Procedimiento para crear un área de trabajo segura

En este artículo, aprenderá a crear y un área de trabajo de Azure Machine Learning segura y a conectarse a ella. Las áreas de trabajo seguras usan Azure Virtual Network para crear un límite de seguridad en torno a los recursos usados por Azure Machine Learning.

En este tutorial, realizará las siguientes tareas:

  • Cree una instancia de Azure Virtual Network (VNet) para proteger las comunicaciones entre los servicios de la red virtual.
  • Crear una cuenta de Azure Storage (blob y archivo) detrás de la red virtual. Este servicio se usa como almacenamiento predeterminado para el área de trabajo.
  • Crear una instancia de Azure Key Vault detrás de la red virtual. Este servicio se usa para almacenar los secretos que usa el área de trabajo. Por ejemplo, la información de seguridad necesaria para acceder a la cuenta de almacenamiento.
  • Crear una instancia de Azure Container Registry (ACR). Este servicio se usa como repositorio para imágenes de Docker. Las imágenes de Docker proporcionan los entornos de proceso necesarios al entrenar un modelo de Machine Learning o implementar un modelo entrenado como punto de conexión.
  • Crear un área de trabajo de Azure Machine Learning.
  • Crear un jumpbox. Un jumpbox es una máquina virtual de Azure que está detrás de la red virtual. Como la red virtual restringe el acceso desde la red pública de Internet, el jumpbox se usa como una manera de conectarse a los recursos detrás de la red virtual.
  • Configurar Estudio de Azure Machine Learning para que funcione detrás de una red virtual. Estudio proporciona una interfaz web para Azure Machine Learning.
  • Creará un clúster de proceso de Azure Machine Learning. Los clústeres de proceso se usan al entrenar modelos de Machine Learning en la nube. En aquellas configuraciones en que Azure Container Registry está detrás de la red virtual, también se usa para compilar imágenes de Docker.
  • Conectarse al jumpbox y usar Estudio de Azure Machine Learning.

Sugerencia

Si busca una plantilla (Microsoft Bicep o Hashicorp Terraform) que muestra cómo crear un área de trabajo segura, consulte Tutorial: Creación de un área de trabajo segura mediante una plantilla.

Después de completar este tutorial, tendrá la siguiente arquitectura:

  • Una red virtual de Azure, que contiene tres subredes:
    • Entrenamiento: contiene el área de trabajo de Azure Machine Learning, los servicios de dependencia y los recursos usados para entrenar modelos.
    • Puntuación: para los pasos de este tutorial, no se usa. Sin embargo, si continúa usando esta área de trabajo para otros tutoriales, se recomienda usar esta subred al implementar modelos en puntos de conexión.
    • AzureBastionSubnet: la usa el servicio Azure Bastion para conectar clientes de forma segura a Azure Virtual Machines.
  • Un área de trabajo de Azure Machine Learning que usa un punto de conexión privado para comunicarse usando la VNet.
  • Una cuenta de almacenamiento de Azure que usa puntos de conexión privados para permitir que los servicios de almacenamiento, como los blob y los archivos, se comuniquen usando la VNet.
  • Un Azure Container Registry que usa un punto de conexión privado se comunica mediante la red virtual.
  • Azure Bastion, que le permite usar su navegador para comunicarse de forma segura con la VM de la jump box dentro de la VNet.
  • Una máquina virtual de Azure a la que puede conectarse de forma remota y acceder a los recursos protegidos dentro de la red virtual.
  • Una instancia de proceso y clúster de proceso de Azure Machine Learning.

Sugerencia

El servicio Azure Batch que se muestra en el diagrama es un servicio back-end que requieren los clústeres de proceso y las instancias de proceso.

Diagrama de la arquitectura final creada a través de este tutorial.

Requisitos previos

  • Familiaridad con redes virtuales de Azure y redes IP. Si no está familiarizado, pruebe el módulo Aspectos básicos de las redes de equipos.
  • Aunque en la mayoría de los pasos de este artículo se usan Azure Portal o Estudio de Azure Machine Learning, en algunos se utiliza la extensión CLI de Azure para Machine Learning v2.

Creación de una red virtual

Para crear un cliente de red virtual, siga estos pasos:

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En dicho menú, seleccione + Crear un recurso y escriba Virtual Network en el cuadro de búsqueda. Seleccione la entrada Virtual Network y, después, seleccione Crear.

    La búsqueda de la interfaz de usuario de creación de un recurso

    Creación de una red virtual

  2. En la sección Datos básicos, seleccione la suscripción de Azure que se usará para este recurso y, después, seleccione o cree un grupo de recursos. En Detalles de instancia, escriba un nombre descriptivo para la red virtual y seleccione la región en la que desea crearla.

    Imagen de la configuración de red virtual básica

  3. Seleccione Seguridad. Seleccione Habilitar Azure Bastion. Azure Bastion proporciona una manera segura de acceder al jumpbox de máquina virtual que creará dentro de la red virtual en un paso posterior. Use los valores siguientes para los campos restantes:

    • Nombre del bastión: un nombre único para esta instancia de Bastion
    • Dirección IP pública: cree una dirección IP pública.

    Deje los demás campos con los valores predeterminados.

    Captura de pantalla de la configuración de Bastion.

  4. Seleccione Direcciones IP. La configuración predeterminada debe ser similar a la de la siguiente imagen:

    Pantalla Dirección IP predeterminada.

    Siga estos pasos para configurar tanto la dirección IP como una subred para los recursos de entrenamiento y puntuación:

    Sugerencia

    Aunque puede usar una sola subred para todos los recursos de Azure ML, en los pasos de este artículo se muestra cómo crear dos subredes para separar los recursos de entrenamiento & puntuación.

    El área de trabajo y otros servicios de dependencia irán a la subred de entrenamiento. Los recursos de otras subredes, como la subred de puntuación, los pueden seguir utilizando.

    1. Fíjese en el valor predeterminado de Espacio de direcciones IPv4. En la captura de pantalla, el valor es 172.16.0.0/16. El valor puede ser diferente en su caso. Aunque puede usar otro valor, el resto de los pasos de este tutorial se basan en el valor 172.16.0.0/16.

      Importante

      No se recomienda usar el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este es el intervalo de subred predeterminado que usa la red de puente de Docker. Otros intervalos también pueden estar en conflicto en función de lo que quiera conectarse a la red virtual. Por ejemplo, si planea conectar la red local a la red virtual y la red local también usa el intervalo 172.16.0.0/16. En última instancia, el usuario es el responsable de planear la infraestructura de red.

    2. Seleccione la subred predeterminada y, después, seleccione Quitar la subred.

      Captura de pantalla de la eliminación de la subred predeterminada.

    3. Para crear una subred que contenga el área de trabajo, los servicios de dependencia y los recursos usados para el entrenamiento, seleccione + Agregar subred y establezca el nombre de la subred, la dirección inicial y el tamaño de la subred. Estos son los valores usados en este tutorial:

      • Nombre: Training
      • Dirección inicial: 172.16.0.0
      • Tamaño de la subred: /24 (256 direcciones)

      Captura de pantalla de la subred Training.

    4. Para crear una subred para los recursos de proceso que se usan para puntuar los modelos, seleccione + Agregar subred de nuevo y establezca el nombre y el intervalo de direcciones:

      • Nombre de subred: Puntuación
      • Dirección inicial: 172.16.1.0
      • Tamaño de la subred: /24 (256 direcciones)

      Captura de pantalla de la subred Scoring.

    5. Para crear una subred para Azure Bastion, seleccione + Agregar subred y establezca la plantilla, la dirección inicial y el tamaño de la subred:

      • Plantilla de subred: Azure Bastion
      • Dirección inicial: 172.16.2.0
      • Tamaño de la subred: /26 (64 direcciones)

      Captura de pantalla de la subred Azure Bastion.

  5. Seleccione Revisar + crear.

    Captura de pantalla en la que se muestra el botón Revisar y crear

  6. Compruebe que la información es correcta y seleccione Crear.

    Captura de pantalla de la página de revisión

Crear una cuenta de almacenamiento

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Storage account. Seleccione la entrada Storage account y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Escriba un valor único en Nombre de la cuenta de almacenamiento y en Redundancia, seleccione Almacenamiento con redundancia local (LRS) .

    Imagen de la configuración básica de la cuenta de almacenamiento

  3. En la pestaña Redes, seleccione Punto de conexión privado y, después, seleccione + Agregar punto de conexión privado.

    Interfaz de usuario para agregar la red privada de blobs

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores que ha creado.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores que ha creado.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores que ha creado.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: blob.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: privatelink.blob.core.windows.net.

    Seleccione Aceptar para crear el punto de conexión privado.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Una vez que se haya creado la cuenta de almacenamiento, seleccione Ir al recurso:

    Ir al nuevo recurso de almacenamiento

  7. En el menú de navegación izquierdo, seleccione Redes, la pestaña Conexiones de punto de conexión privado y, después, + Punto de conexión privado:

    Nota

    Aunque ha creado un punto de conexión privado para Blob Storage en los pasos anteriores, también debe crear uno para File Storage.

    Interfaz de usuario para redes de cuentas de almacenamiento

  8. En el formulario Crear un punto de conexión privado, use la misma subscripción, grupo de recursos y región que ha usado para los recursos anteriores. Escriba un valor único en el campo Nombre.

    Interfaz de usuario para agregar el punto de conexión privado de archivo

  9. Seleccione Siguiente: Recurso y, después, establezca Subrecurso de destino en archivo.

    Agregar el subrecurso de 'archivo'

  10. Seleccione Siguiente: Configuración y use los valores siguientes:

    • Red virtual: la red virtual que ha creado antes.
    • Subred: Entrenamiento.
    • Integrar con la zona DNS privada: sí
    • Zona DNS privada: privatelink.file.core.windows.net.

    Interfaz de usuario para configurar el punto de conexión privado de archivo

  11. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Sugerencia

Si planea usar un punto de conexión por lotes o una canalización de Azure Machine Learning que usa un ParallelRunStep, también es necesario configurar la cola de destino de los puntos de conexión privados y los sub-recursos de la tabla. ParallelRunStep usa la cola y la tabla en segundo plano para la programación y distribución de tareas.

Creación de un Almacén de claves

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Key Vault. Seleccione la entrada Key Vault y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Escriba un valor único en Nombre de Key Vault. Deje los demás campos con los valores predeterminados.

    Crear un almacén de claves

  3. En la pestaña Redes, seleccione Punto de conexión privado y, después, seleccione + Agregar.

    Redes del almacén de claves

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores que ha creado.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores que ha creado.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores que ha creado.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: almacén.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: privatelink.vaultcore.azure.net

    Seleccione Aceptar para crear el punto de conexión privado.

    Configurar un punto de conexión privado del almacén de claves

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Creación de un registro de contenedor

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Container Registry. Seleccione a entrada Container Registry y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la ubicación que usó anteriormente para la red virtual. Escriba un valor único en Nombre de registro y en SKU seleccione Prémium.

    Creación de un registro de contenedor

  3. En la pestaña Redes, seleccione Punto de conexión privado y, después, seleccione + Agregar.

    Redes de Container Registry

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores que ha creado.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores que ha creado.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores que ha creado.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: registro.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: privatelink.azurecr.io

    Seleccione Aceptar para crear el punto de conexión privado.

    Configurar un punto de conexión privado del registro de contenedor

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Tras crear el registro de contenedor, seleccione Ir al recurso.

    Seleccionar

  7. En la izquierda de la página, seleccione Claves de acceso y, después, habilite Usuario administrador. Esta configuración es necesaria cuando se usa Azure Container Registry dentro de una red virtual con Azure Machine Learning.

    Captura de pantalla del botón de alternancia del usuario administrador

Crear un área de trabajo

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Machine Learning. Seleccione la entrada Machine Learning y, después, seleccione Crear.

    {alt-text}

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Use los siguientes valores en los demás campos:

    • Nombre del área de trabajo: nombre único para el espacio de trabajo.
    • Cuenta de almacenamiento: seleccione la cuenta de almacenamiento que creó anteriormente.
    • Almacén de claves: seleccione el almacén de claves que creó anteriormente.
    • Application Insights: use el valor predeterminado.
    • Registro de contenedor: use el registro de contenedor que creó anteriormente.

    Configuración básica del área de trabajo

  3. En la pestaña Redes, seleccione Punto de conexión privado y, después, seleccione + Agregar.

    Redes del área de trabajo

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores que ha creado.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores que ha creado.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores que ha creado.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: amlworkspace
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: deje las dos zonas DNS privadas con los valores predeterminados de privatelink.api.azureml.ms y privatelink.notebooks.azure.net.

    Seleccione Aceptar para crear el punto de conexión privado.

    Captura de pantalla de la configuración de la red privada del área de trabajo

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Una vez que se haya creado el área de trabajo, seleccione Ir al recurso.

  7. En la sección Configuración de la izquierda, seleccione Conexiones de punto de conexión privado y, después, seleccione el vínculo de la columna Punto de conexión privado:

    Captura de pantalla de conexiones de punto de conexión privado del área de trabajo

  8. Una vez que aparezca la información del punto de conexión privado, seleccione Configuración de DNS en la izquierda de la página. Guarde la dirección IP y la información del nombre de dominio completo en esta página, ya que se usará más adelante.

    Captura de pantalla de las entradas IP y FQDN

Importante

Todavía hay que realizar algunos pasos en la configuración para poder usar completamente el área de trabajo. Sin embargo, estos pasos requieren que se conecte al área de trabajo.

Habilitación de Estudio

Estudio de Azure Machine Learning es una aplicación web que permite administrar fácilmente áreas de trabajo. Sin embargo, necesita algo más de configuración para poder usarse con recursos protegidos dentro de una red virtual. Para habilitar Estudio, siga estos pasos:

  1. Cuando use una cuenta Azure Storage que tenga un punto de conexión privado, agregue la entidad de servicio del área de trabajo como lector de los puntos de conexión privados de almacenamiento. En Azure Portal, seleccione una cuenta de almacenamiento y, después, seleccione Redes. Luego, seleccione Conexiones de punto de conexión privado.

    Captura de pantalla de puntos de conexión privados de almacenamiento

  2. En cada uno de los puntos de conexión privados de la lista, siga estos pasos:

    1. Seleccione el vínculo de la columna Punto de conexión privado.

      Captura de pantalla de los puntos de conexión que se seleccionan

    2. Seleccione Control de acceso (IAM) en el lado izquierdo.

    3. Seleccione + Agregar y, luego, Agregar asignación de roles (versión preliminar) .

      Página Control de acceso (IAM) con el menú Agregar asignación de roles abierto.

    4. En la pestaña Rol, seleccione Lector.

      Página Agregar asignación de roles con la pestaña Rol seleccionada.

    5. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio en el área Asignar acceso a y, después, seleccione + Seleccionar miembros. En el cuadro de diálogo Seleccionar miembros, escriba el nombre como área de trabajo de Azure Machine Learning. Seleccione la entidad de servicio para el área de trabajo y, después, use el botón Seleccionar.

    6. En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.

Conexión a un área de trabajo

Hay varias formas de conectarse a un área de trabajo protegida. En los pasos de este artículo se usa un jumpbox, que es una máquina virtual de la red virtual. Puede conectarse a él mediante un explorador web y Azure Bastion. En la tabla siguiente se enumeran otras formas de conectarse al área de trabajo segura:

Método Descripción
Azure VPN Gateway Conecta redes locales a la red virtual a través de una conexión privada. La conexión se realiza a través de la red pública de Internet.
ExpressRoute Conecta redes locales a la nube a través de una conexión privada. La conexión se realiza mediante un proveedor de conectividad.

Importante

Al usar una puerta de enlace de VPN o ExpressRoute, deberá planear cómo funciona la resolución de nombres entre los recursos locales y los de la red virtual. Para obtener más información, vea Creación de un servidor DNS personalizado.

Creación de un jumpbox (máquina virtual)

Siga estos pasos para crear una instancia de Azure Virtual Machine para usarla como jumpbox. Azure Bastion le permite conectarse al escritorio de la máquina virtual mediante un explorador. Desde este escritorio puede usar el explorador en la máquina virtual para conectarse a los recursos de dentro de la red virtual, como Estudio de Azure Machine Learning. También puede instalar herramientas de desarrollo en la máquina virtual.

Sugerencia

En los pasos siguientes se crea una máquina virtual con Windows 11 Enterprise. En función de sus requisitos, puede seleccionar una imagen de otra máquina virtual. La imagen de Windows 11 (o 10) Enterprise es útil si necesita unir la máquina virtual al dominio de una organización.

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Máquina virtual. Seleccione la entrada Máquina virtual y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Proporcione valores para los campos siguientes:

    • Nombre de máquina virtual: un nombre exclusivo para la máquina virtual.

    • Nombre de usuario: el nombre de usuario que usará para iniciar sesión en la máquina virtual.

    • Contraseña: contraseña del nombre de usuario.

    • Tipo de seguridad: Estándar.

    • Imagen: Windows 11 Enterprise.

      Sugerencia

      Si Windows 11 Enterprise no está en la lista de selección de imágenes, use Ver todas las imágenes_. Busque la entrada Windows 11 de Microsoft y use la lista desplegable Seleccionar para seleccionar la imagen empresarial.

    Puede dejar los restantes campos con los valores predeterminados.

    Imagen de la configuración básica de la máquina virtual

  3. Seleccione Redes y, después, seleccione la red virtual que creó anteriormente. Use la siguiente información para establecer los restantes campos:

    • Seleccione la subred Entrenamiento.
    • En IP pública, seleccione Ninguna.
    • Deje los demás campos con los valores predeterminados.

    Imagen de la configuración de la red de una máquina virtual

  4. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Conexión al jumpbox

  1. Una vez que se haya creado la máquina virtual, seleccione Ir al recurso.

  2. En la parte superior de la página, seleccione Conectar y, después, Bastion.

    Imagen de la interfaz de usuario con Conectar/Bastion

  3. Seleccione Usar Bastion y especifique la información de autenticación de la máquina virtual y se establecerá una conexión en el explorador.

    Imagen del cuadro de diálogo Usar bastión

Creación de un clúster de proceso y una instancia de proceso

Los trabajos de entrenamiento usan un clúster de proceso. Una instancia de proceso proporciona un cuaderno de Jupyter Notebook en un recurso de proceso compartido asociado a un área de trabajo.

  1. Desde una conexión de Azure Bastion al jumpbox, abra el explorador Microsoft Edge en el escritorio remoto.

  2. En la sesión del explorador remoto, vaya a https://ml.azure.com . Cuando se le solicite, autentíquese con su cuenta de Azure AD.

  3. En la pantalla Bienvenido a Studio, seleccione el área de trabajo de Machine Learning que creó anteriormente y, a continuación, seleccione Introducción.

    Sugerencia

    Si la cuenta de Azure AD tiene acceso a varias suscripciones o directorios, use la lista desplegable Directorio y suscripción para seleccionar la que contiene el área de trabajo.

    Captura de pantalla del cuadro de diálogo Seleccionar área de trabajo

  4. En Estudio, seleccione Compute, Clústeres de proceso y, después, + Nuevo.

    Captura de pantalla del nuevo flujo de trabajo del clúster de proceso

  5. En el cuadro de diálogo Máquina virtual, seleccione Siguiente para aceptar la configuración predeterminada de la máquina virtual.

    Captura de pantalla de la configuración de la máquina virtual del clúster de proceso

  6. En el cuadro de diálogo Parámetros de configuración, escriba cpu-cluster en Nombre del proceso. En Subred seleccione Entrenamiento y, después, seleccione Crear para crear el clúster.

    Sugerencia

    Los clústeres de proceso escalan dinámicamente los nodos del clúster según sea necesario. Se recomienda dejar el número mínimo de nodos en 0 para reducir los costos cuando el clúster no está en uso.

    Captura de pantalla de la nueva configuración del clúster de proceso

  7. En Estudio, seleccione Compute, Instancia de Compute y, después, + Nuevo.

    Captura de pantalla del nuevo flujo de trabajo de la instancia de proceso

  8. En el cuadro de diálogo Máquina virtual, escriba un nombre de equipo único y seleccione Siguiente: Configuración avanzada.

    Captura de pantalla de la configuración de la máquina virtual de la instancia de proceso

  9. En el cuadro de diálogo Configuración avanzada, establezca Subred en Entrenamiento y, después, seleccione Crear.

    Captura de pantalla de la configuración de una instancia de proceso

Sugerencia

Al crear un clúster de proceso o una instancia de proceso, Azure Machine Learning agrega dinámicamente un grupo de seguridad de red. Este grupo contiene las reglas siguientes, que son específicas para el clúster y la instancia de proceso:

  • Permitir el tráfico TCP entrante en los puertos 29876-29877 desde la etiqueta de servicio BatchNodeManagement.
  • Permitir el tráfico TCP entrante en el puerto 44224 desde la etiqueta de servicio AzureMachineLearning.

En la captura de pantalla siguiente se muestra un ejemplo de estas reglas:

Captura de pantalla de un grupo de seguridad de red

Para más información sobre cómo crear un clúster de proceso, incluido cómo hacerlo con Python y la CLI, consulte los artículos siguientes:

Configuración de compilaciones de imágenes

SE APLICA A:Extensión de ML de la CLI de Azure v2 (actual)

Cuando Azure Container Registry está detrás de la red virtual, Azure Machine Learning no puede usarla para compilar directamente imágenes de Docker (que se usan para el entrenamiento y la implementación). En su lugar, configure el área de trabajo para usar el clúster de proceso que creó anteriormente. Siga estos pasos para crear un clúster de proceso y configurar el área de trabajo para usarla para compilar imágenes:

  1. Vaya a https://shell.azure.com/ para abrir Azure Cloud Shell.

  2. En Cloud Shell, use el siguiente comando para instalar la CLI 2.0 para Azure Machine Learning:

    az extension add -n ml
    
  3. Para actualizar el área de trabajo para que se use el clúster de proceso para compilar imágenes de Docker. Reemplace docs-ml-rg por el grupo de recursos. Reemplace docs-ml-ws por el área de trabajo. Reemplace cpu-cluster por el clúster de proceso que se va a usar:

    az ml workspace update \
      -n myworkspace \
      -g myresourcegroup \
      -i mycomputecluster
    

    Nota

    Puede usar el mismo clúster de proceso para entrenar modelos y compilar imágenes de Docker para el área de trabajo.

Uso del área de trabajo

Importante

Los pasos de este artículo colocan Azure Container Registry detrás de la red virtual. En esta configuración, no puede implementar un modelo en Azure Container Instances dentro de la red virtual. No se recomienda usar Azure Container Instances con Azure Machine Learning en una red virtual. Para obtener más información, vea Protección del entorno de inferencia (SDK/CLI v1).

Como alternativa a Azure Container Instances, pruebe los puntos de conexión en línea administrados de Azure Machine Learning. Para más información, consulte Habilitación del aislamiento de red para puntos de conexión en línea administrados.

En este momento, puede usar Estudio para trabajar interactivamente con cuadernos en la instancia de proceso y ejecutar trabajos de entrenamiento en el clúster de proceso. Para ver un tutorial sobre el uso de la instancia de proceso y el clúster de proceso, consulte Tutorial: Azure Machine Learning en un día.

Detención de una instancia de proceso y un jumpbox

Advertencia

Mientras estén en ejecución (se hayan iniciado), la instancia de proceso y jumpbox seguirán cobrando su suscripción. Para evitar el exceso de costos, deténgalos cuando no estén en uso.

El clúster de proceso escala dinámicamente entre el número mínimo y máximo de nodos establecido al crearlo. Si ha aceptado los valores predeterminados, el mínimo es 0, que desactiva eficazmente el clúster cuando no está en uso.

Detención de la instancia de proceso

En Estudio, seleccione Compute, Clústeres de proceso y, después, seleccione la instancia de proceso. Por último, seleccione Detener en la parte superior de la página.

Captura de pantalla del botón Detener de una instancia de proceso

Detención del jumpbox

Una vez que se haya creado, seleccione la máquina virtual en Azure Portal y, después, use el botón Detener. Cuando esté listo para usarla de nuevo, pulse el botón Iniciar para iniciarla.

Captura de pantalla del botón Detener de la máquina virtual

También puede configurar el jumpbox para que se apague automáticamente en un momento concreto. Para ello, seleccioneApagado automático, Habilitar, establezca una hora y seleccione Guardar.

Captura de pantalla de la opción Apagado automático

Limpieza de recursos

Si tiene previsto seguir usando el área de trabajo protegida y otros recursos, omita esta sección.

Para eliminar todos los recursos creados en este artículo, siga estos pasos:

  1. En Azure Portal, seleccione Grupos de recursos a la izquierda del todo.

  2. En la lista, seleccione el grupo de recursos que ha creado en este tutorial.

  3. Seleccione Eliminar grupo de recursos.

    Captura de pantalla del botón Eliminar grupo de recursos

  4. Escriba el nombre del grupo de recursos y, después, seleccione Eliminar.

Pasos siguientes

Ahora que ha creado un área de trabajo segura y puede acceder a Estudio, aprenda a implementar un modelo en un punto de conexión en línea con aislamiento de red.