Compartir a través de

Tutorial: Creación de un área de trabajo segura con una instancia de Azure Virtual Network

  • Artículo

En este artículo, aprenderá a crear y un área de trabajo de Azure Machine Learning segura y a conectarse a ella. En los pasos de este artículo se usa una instancia de Azure Virtual Network para crear un límite de seguridad en torno a los recursos usados por Azure Machine Learning.

Importante

Se recomienda usar la red virtual administrada de Azure Machine Learning en lugar de una instancia de Azure Virtual Network. Para obtener una versión de este tutorial que usa una red virtual administrada, consulte Tutorial: Creación de un área de trabajo segura con una red virtual administrada.

En este tutorial, realizará las siguientes tareas:

  • Cree una instancia de Azure Virtual Network (VNet) para proteger las comunicaciones entre los servicios de la red virtual.
  • Crear una cuenta de Azure Storage (blob y archivo) detrás de la red virtual. Este servicio se usa como almacenamiento predeterminado para el área de trabajo.
  • Crear una instancia de Azure Key Vault detrás de la red virtual. Este servicio se usa para almacenar los secretos que usa el área de trabajo. Por ejemplo, la información de seguridad necesaria para acceder a la cuenta de almacenamiento.
  • Crear una instancia de Azure Container Registry (ACR). Este servicio se usa como repositorio para imágenes de Docker. Las imágenes de Docker proporcionan los entornos de proceso necesarios al entrenar un modelo de Machine Learning o implementar un modelo entrenado como punto de conexión.
  • Crear un área de trabajo de Azure Machine Learning.
  • Crear un jumpbox. Un jumpbox es una máquina virtual de Azure que está detrás de la red virtual. Como la red virtual restringe el acceso desde la red pública de Internet, el jumpbox se usa como una manera de conectarse a los recursos detrás de la red virtual.
  • Configurar Estudio de Azure Machine Learning para que funcione detrás de una red virtual. Estudio proporciona una interfaz web para Azure Machine Learning.
  • Creará un clúster de proceso de Azure Machine Learning. Los clústeres de proceso se usan al entrenar modelos de Machine Learning en la nube. En aquellas configuraciones en que Azure Container Registry está detrás de la red virtual, también se usa para compilar imágenes de Docker.
  • Conectarse al jumpbox y usar Estudio de Azure Machine Learning.

Sugerencia

Si busca una plantilla que muestre cómo crear un área de trabajo segura, consulte Plantilla de Bicepo Plantilla de Terraform.

Después de completar este tutorial, tendrá la siguiente arquitectura:

  • Una red virtual de Azure, que contiene tres subredes:
    • Entrenamiento: contiene el área de trabajo de Azure Machine Learning, los servicios de dependencia y los recursos usados para entrenar modelos.
    • Puntuación: para los pasos de este tutorial, no se usa. Sin embargo, si continúa usando esta área de trabajo para otros tutoriales, se recomienda usar esta subred al implementar modelos en puntos de conexión.
    • AzureBastionSubnet: la usa el servicio Azure Bastion para conectar clientes de forma segura a Azure Virtual Machines.
  • Un área de trabajo de Azure Machine Learning que usa un punto de conexión privado para comunicarse usando la red virtual.
  • Una cuenta de Azure Storage que usa puntos de conexión privados para permitir que los servicios de almacenamiento, como los blob y los archivos, se comuniquen usando la red virtual.
  • Un Azure Container Registry que utiliza un punto de conexión privado se comunica mediante la red virtual.
  • Azure Bastion, que le permite usar su navegador para comunicarse de forma segura con la VM de la jump box dentro de la red virtual.
  • Una máquina virtual de Azure a la que puede conectarse de forma remota y acceder a los recursos protegidos dentro de la red virtual.
  • Una instancia de proceso y clúster de proceso de Azure Machine Learning.

Sugerencia

El servicio Azure Batch que se muestra en el diagrama es un servicio back-end que requieren los clústeres de proceso y las instancias de proceso.

Diagrama de la arquitectura final creada a través de este tutorial.

Requisitos previos

  • Familiaridad con redes virtuales de Azure y redes IP. Si no está familiarizado, pruebe el módulo Aspectos básicos de las redes de equipos.
  • Aunque en la mayoría de los pasos de este artículo se usan Azure Portal o Estudio de Azure Machine Learning, en algunos se utiliza la extensión CLI de Azure para Machine Learning v2.

Creación de una red virtual

Para crear un cliente de red virtual, siga estos pasos:

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En dicho menú, seleccione + Crear un recurso y escriba Virtual Network en el cuadro de búsqueda. Seleccione la entrada Virtual Network y, después, seleccione Crear.

    Recorte de pantalla del formulario de búsqueda de recursos con Red virtual seleccionada.

    Captura de pantalla del formulario de creación de red virtual.

  2. En la sección Datos básicos, seleccione la suscripción de Azure que se usará para este recurso y, después, seleccione o cree un grupo de recursos. En Detalles de instancia, escriba un nombre descriptivo para la red virtual y seleccione la región en la que desea crearla.

    Captura de pantalla del formulario de configuración de red virtual.

  3. Seleccione Seguridad. Seleccione Habilitar Azure Bastion. Azure Bastion proporciona una manera segura de acceder al jumpbox de máquina virtual que creará dentro de la red virtual en un paso posterior. Use los valores siguientes para los campos restantes:

    • Nombre del bastión: un nombre único para esta instancia de Bastion
    • Dirección IP pública: cree una dirección IP pública.

    Deje los demás campos con los valores predeterminados.

    Captura de pantalla de la configuración de Bastion.

  4. Seleccione Direcciones IP. La configuración predeterminada debe ser similar a la de la siguiente imagen:

    Captura de pantalla del formulario de dirección IP predeterminada.

    Siga estos pasos para configurar tanto la dirección IP como una subred para los recursos de entrenamiento y puntuación:

    Sugerencia

    Aunque puede usar una sola subred para todos los recursos de Azure Machine Learning, en los pasos de este artículo se muestra cómo crear dos subredes para separar los recursos de entrenamiento y puntuación.

    El área de trabajo y otros servicios de dependencia irán a la subred de entrenamiento. Los recursos de otras subredes, como la subred de puntuación, los pueden seguir utilizando.

    1. Fíjese en el valor predeterminado de Espacio de direcciones IPv4. En la captura de pantalla, el valor es 172.16.0.0/16. El valor puede ser diferente en su caso. Aunque puede usar otro valor, el resto de los pasos de este tutorial se basan en el valor 172.16.0.0/16.

      Advertencia

      No use el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este es el intervalo de subred predeterminado que usa la red de puente de Docker y producirá errores si se usa para la red virtual. Otros intervalos también pueden estar en conflicto en función de lo que quiera conectarse a la red virtual. Por ejemplo, si planea conectar la red local a la red virtual y la red local también usa el intervalo 172.16.0.0/16. En última instancia, el usuario es el responsable de planear la infraestructura de red.

    2. Seleccione la subred Predeterminada y, a continuación, seleccione el icono de edición.

      Recorte de pantalla de la selección del icono de edición de la subred predeterminada.

    3. Cambie el Nombre de la subred a Entrenamiento. Deje los demás valores en la configuración predeterminada y seleccione Guardar para guardar los cambios.

    4. Para crear una subred para los recursos de proceso que se usan para puntuar los modelos, seleccione + Agregar subred y establezca el nombre y el intervalo de direcciones:

      • Nombre de subred: Puntuación
      • Dirección inicial: 172.16.2.0
      • Tamaño de la subred: /24 (256 direcciones)

      Captura de pantalla de la subred Scoring.

    5. Seleccione Agregar para agregar la subred.

  5. Seleccione Revisar + crear.

    Captura de pantalla del botón Revisar y crear.

  6. Compruebe que la información es correcta y seleccione Crear.

    Captura de pantalla de la página Revisar y crear red virtual.

Crear una cuenta de almacenamiento

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Storage account. Seleccione la entrada Storage account y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Escriba un valor único en Nombre de la cuenta de almacenamiento y en Redundancia, seleccione Almacenamiento con redundancia local (LRS) .

    Captura de pantalla de la configuración básica de la cuenta de almacenamiento.

  3. En la pestaña Redes, seleccione Deshabilitar acceso público y, a continuación, seleccione + Agregar punto de conexión privado.

    Captura de pantalla del formulario para agregar la red privada de blobs.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: blob.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: privatelink.blob.core.windows.net.

    Seleccione Agregar para crear el punto de conexión privado.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Una vez creada la cuenta de almacenamiento, seleccione Ir al recurso:

    Captura de pantalla del botón Ir al nuevo recurso de almacenamiento.

  7. En el menú de navegación izquierdo, seleccione Redes, la pestaña Conexiones de punto de conexión privado y, después, + Punto de conexión privado:

    Nota

    Aunque ha creado un punto de conexión privado para Blob Storage en los pasos anteriores, también debe crear uno para File Storage.

    Captura de pantalla del formulario de conexión en red de la cuenta de almacenamiento.

  8. En el formulario Crear un punto de conexión privado, use la misma subscripción, grupo de recursos y región que ha usado para los recursos anteriores. Escriba un valor único en el campo Nombre.

    Captura de pantalla del formulario básico al agregar el punto de conexión privado del archivo.

  9. Seleccione Siguiente: Recurso y, después, establezca Subrecurso de destino en archivo.

    Recorte de pantalla del formulario de recursos al seleccionar un subrecurso del “archivo”.

  10. Seleccione Siguiente: Virtual Network y, a continuación, use los siguientes valores:

    • Red virtual: la red virtual que ha creado antes.
    • Subred: Entrenamiento.

    Captura de pantalla del formulario de configuración al agregar el punto de conexión privado del archivo.

  11. Continúe con las pestañas que seleccionan los valores predeterminados hasta que llegue a Revisar y crear. Compruebe que la información es correcta y seleccione Crear.

Sugerencia

Si planea usar un punto de conexión por lotes o una canalización de Azure Machine Learning que usa un ParallelRunStep, también es necesario configurar la cola de destino de los puntos de conexión privados y los sub-recursos de la tabla. ParallelRunStep usa internamente la cola y la tabla para la programación y distribución de tareas.

Creación de un Almacén de claves

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Key Vault. Seleccione la entrada Key Vault y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Escriba un valor único en Nombre de Key Vault. Deje los demás campos con los valores predeterminados.

    Captura de pantalla del formulario básico al crear un nuevo almacén de claves.

  3. En la pestaña Redes, anule la selección de Habilitar acceso público y, a continuación, seleccione + Agregar punto de conexión privado.

    Captura de pantalla del formulario de conexión en red al agregar un punto de conexión privado al almacén de claves.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: almacén.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Habilitar la integración de DNS privado: Sí
    • Zona DNS privada: seleccione el grupo de recursos que contiene la red virtual y el almacén de claves.

    Seleccione Agregar para crear el punto de conexión privado.

    Captura de pantalla del formulario de configuración del punto de conexión privado del almacén de claves.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Creación de un registro de contenedor

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Container Registry. Seleccione a entrada Container Registry y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la ubicación que usó anteriormente para la red virtual. Escriba un valor único en Nombre de registro y en SKU seleccione Prémium.

    Captura de pantalla del formulario básico al crear un registro de contenedor.

  3. En la pestaña Redes, seleccione Punto de conexión privado y, después, seleccione + Agregar.

    Captura de pantalla del formulario de conexión en red al agregar un punto de conexión privado del registro de contenedor.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: registro.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Grupo de recursos: seleccione el grupo de recursos que contiene la red virtual y el registro de contenedor.

    Seleccione Agregar para crear el punto de conexión privado.

    Captura de pantalla del formulario de configuración para el punto de conexión privado del registro de contenedor.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Una vez creado el registro de contenedor, seleccione Ir al recurso.

    Captura de pantalla del botón “Ir al recurso”.

  7. En la izquierda de la página, seleccione Claves de acceso y, después, habilite Usuario administrador. Esta configuración es necesaria cuando se usa Azure Container Registry dentro de una red virtual con Azure Machine Learning.

    Captura de pantalla del formulario de claves de acceso del registro de contenedor, con la opción “usuario administrador” habilitada.

Crear un área de trabajo

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Machine Learning. Seleccione la entrada Machine Learning y, después, seleccione Crear.

    Captura de pantalla de la página de creación de Azure Machine Learning.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Use los siguientes valores en los demás campos:

    • Nombre: nombre único para el área de trabajo.
    • Cuenta de almacenamiento: seleccione la cuenta de almacenamiento que creó anteriormente.
    • Almacén de claves: seleccione el almacén de claves que creó anteriormente.
    • Application Insights: use el valor predeterminado.
    • Registro de contenedor: use el registro de contenedor que creó anteriormente.

    Captura de pantalla del formulario de configuración básica del área de trabajo.

  3. En la pestaña Redes, seleccione Privado con Salida a Internet. En la sección Acceso de entrada del área de trabajo, seleccione + Agregar.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: amlworkspace
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: deje las dos zonas DNS privadas con los valores predeterminados de privatelink.api.azureml.ms y privatelink.notebooks.azure.net.

    Seleccione Aceptar para crear el punto de conexión privado.

    Captura de pantalla del formulario de configuración de la red privada del área de trabajo.

  5. En la pestaña Redes, en la sección Acceso de salida del área de trabajo, seleccione Usar mi propia red virtual.

  6. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  7. Cuando se cree el área de trabajo, seleccione Ir al recurso.

  8. En la sección Configuración de la izquierda, seleccione Redes, Conexiones de punto de conexión privado y, después, seleccione el vínculo de la columna Punto de conexión privado:

    Captura de pantalla de la conexiones de puntos de conexión privados del área de trabajo.

  9. Una vez que aparezca la información del punto de conexión privado, seleccione Configuración de DNS en la izquierda de la página. Guarde la dirección IP y la información del nombre de dominio completo (FQDN) en esta página.

    Captura de pantalla de las entradas IP y FQDN del área de trabajo.

Importante

Todavía hay que realizar algunos pasos en la configuración para poder usar completamente el área de trabajo. Sin embargo, estos pasos requieren que se conecte al área de trabajo.

Habilitación de Estudio

Estudio de Azure Machine Learning es una aplicación web que permite administrar fácilmente áreas de trabajo. Sin embargo, necesita algo más de configuración para poder usarse con recursos protegidos dentro de una red virtual. Para habilitar Estudio, siga estos pasos:

  1. Cuando use una cuenta Azure Storage que tenga un punto de conexión privado, agregue la entidad de servicio del área de trabajo como lector de los puntos de conexión privados de almacenamiento. En Azure Portal, seleccione una cuenta de almacenamiento y, después, seleccione Redes. Luego, seleccione Conexiones de punto de conexión privado.

    Captura de pantalla de las conexiones del punto de conexión privado del almacenamiento.

  2. En cada uno de los puntos de conexión privados de la lista, siga estos pasos:

    1. Seleccione el vínculo de la columna Punto de conexión privado.

      Captura de pantalla de los vínculos del punto de conexión en la columna de punto de conexión privado.

    2. Seleccione Control de acceso (IAM) en el lado izquierdo.

    3. Seleccione + Agregar y, luego, Agregar asignación de roles (versión preliminar) .

      Página Control de acceso (IAM) con el menú Agregar asignación de roles abierto.

    4. En la pestaña Rol, seleccione Lector.

      Página Agregar asignación de roles con la pestaña Rol seleccionada.

    5. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio en el área Asignar acceso a y, después, seleccione + Seleccionar miembros. En el cuadro de diálogo Seleccionar miembros, escriba el nombre como área de trabajo de Azure Machine Learning. Seleccione la entidad de servicio para el área de trabajo y, después, use el botón Seleccionar.

    6. En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.

Protección de Azure Monitor y Application Insights

Nota:

Para más información sobre cómo proteger Azure Monitor y Application Insights, vea los vínculos siguientes:

  1. En Azure Portal, seleccione Inicio y busque Vínculo privado. Seleccione el resultado Ámbito de Private Link de Azure Monitor y después Crear.

  2. En la pestaña Aspectos básicos, seleccione los mismos valores de Suscripción, Grupo de recursos y Región del grupo de recursos que los del área de trabajo de Azure Machine Learning. Escriba un nombre para la instancia y, después, seleccione Revisar y crear. Para crear la instancia, seleccione Crear.

  3. Una vez creada la instancia de Ámbito de Private Link de Azure Monitor, selecciónela en Azure Portal. En la sección Configurar, seleccione Recursos de Azure Monitor y después seleccione + Agregar.

    Captura de pantalla del botón Agregar.

  4. En Seleccionar un ámbito, use los filtros para seleccionar la instancia de Application Insights para el área de trabajo de Azure Machine Learning. Seleccione Aplicar para agregar la instancia.

  5. En la sección Configuración, seleccione Conexiones de punto de conexión privado y después + Punto de conexión privado.

    Captura de pantalla del botón Agregar punto de conexión privado.

  6. Seleccione los mismos valores de Suscripción, Grupo de recursos y Región que contiene la red virtual. Seleccione Siguiente: Resource (Siguiente: Recurso).

    Captura de pantalla de los aspectos básicos del punto de conexión privado de Azure Monitor.

  7. Seleccione Microsoft.insights/privateLinkScopes como Tipo de recurso. Seleccione como Recurso el ámbito de Private Link que ha creado antes. Seleccione azuremonitor en Subrecurso de destino. Por último, seleccione Siguiente: Virtual Network para continuar.

    Captura de pantalla de los recursos de punto de conexión privado de Azure Monitor.

  8. Seleccione la Red virtual que ha creado antes y la subred Entrenamiento. Seleccione Siguiente hasta que llegue a Revisar y crear. Seleccione Crear para crear el punto de conexión privado.

    Captura de pantalla de la red del punto de conexión privado de Azure Monitor.

  9. Una vez creado el punto de conexión privado, vuelva al recurso Ámbito de Private Link de Azure Monitor en el portal. En la sección Configurar, seleccione Modos de acceso. Seleccione Solo privado para Modo de acceso de ingesta y Modo de acceso de consulta y, después, seleccione Guardar.

    Captura de pantalla de los modos de acceso del ámbito de Private Link.

Conexión a un área de trabajo

Hay varias formas de conectarse a un área de trabajo protegida. En los pasos de este artículo se usa un jumpbox, que es una máquina virtual de la red virtual. Puede conectarse a él mediante un explorador web y Azure Bastion. En la tabla siguiente se enumeran otras formas de conectarse al área de trabajo segura:

Método Descripción
Azure VPN Gateway Conecta redes locales a la red virtual a través de una conexión privada. La conexión se realiza a través de la red pública de Internet.
ExpressRoute Conecta redes locales a la nube a través de una conexión privada. La conexión se realiza mediante un proveedor de conectividad.

Importante

Al usar una puerta de enlace de VPN o ExpressRoute, deberá planear cómo funciona la resolución de nombres entre los recursos locales y los de la red virtual. Para obtener más información, vea Creación de un servidor DNS personalizado.

Creación de un jumpbox (máquina virtual)

Siga estos pasos para crear una instancia de Azure Virtual Machine para usarla como jumpbox. Azure Bastion le permite conectarse al escritorio de la máquina virtual mediante un explorador. Desde este escritorio puede usar el explorador en la máquina virtual para conectarse a los recursos de dentro de la red virtual, como Estudio de Azure Machine Learning. También puede instalar herramientas de desarrollo en la máquina virtual.

Sugerencia

En los pasos siguientes se crea una máquina virtual con Windows 11 Enterprise. En función de sus requisitos, puede seleccionar una imagen de otra máquina virtual. La imagen de Windows 11 (o 10) Enterprise es útil si necesita unir la máquina virtual al dominio de una organización.

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Máquina virtual. Seleccione la entrada Máquina virtual y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Proporcione valores para los campos siguientes:

    • Nombre de máquina virtual: un nombre exclusivo para la máquina virtual.

    • Nombre de usuario: el nombre de usuario que usa para iniciar sesión en la máquina virtual.

    • Contraseña: contraseña del nombre de usuario.

    • Tipo de seguridad: Estándar.

    • Imagen: Windows 11 Enterprise.

      Sugerencia

      Si Windows 11 Enterprise no está en la lista de selección de imágenes, use Ver todas las imágenes_. Busque la entrada Windows 11 de Microsoft y use la lista desplegable Seleccionar para seleccionar la imagen empresarial.

    Puede dejar los restantes campos con los valores predeterminados.

    Captura de pantalla de la configuración básica de la máquina virtual.

  3. Seleccione Redes y, después, seleccione la red virtual que creó anteriormente. Use la siguiente información para establecer los restantes campos:

    • Seleccione la subred Entrenamiento.
    • En IP pública, seleccione Ninguna.
    • Deje los demás campos con los valores predeterminados.

    Captura de pantalla de la configuración de red de la máquina virtual.

  4. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Conexión al jumpbox

  1. Una vez creada la máquina virtual, seleccione Ir al recurso.

  2. En la parte superior de la página, seleccione Conectar y, después, Conectar a través de Bastion.

    Captura de pantalla de la lista “conectar”, con “Bastión” seleccionado.

  3. Proporcione la información de autenticación de la máquina virtual y se establezca una conexión en el explorador.

Creación de un clúster e instancia de proceso

Una instancia de proceso proporciona un cuaderno de Jupyter Notebook en un recurso de proceso compartido asociado a un área de trabajo.

  1. Desde una conexión de Azure Bastion al jumpbox, abra el explorador Microsoft Edge en el escritorio remoto.

  2. En la sesión del explorador remoto, vaya a https://ml.azure.com . Cuando se le solicite, autentíquese con su cuenta de Microsoft Entra.

  3. En la pantalla Bienvenido a Studio, seleccione el área de trabajo de Machine Learning que creó anteriormente y, a continuación, seleccione Introducción.

    Sugerencia

    Si la cuenta de Microsoft Entra tiene acceso a varias suscripciones o directorios, use la lista desplegable Directorio y suscripción para seleccionar la que contiene el área de trabajo.

    Captura de pantalla del formulario de selección del área de trabajo de Machine Learning.

  4. En Estudio, seleccione Compute, Clústeres de proceso y, después, + Nuevo.

    Captura de pantalla de la página de clústeres de proceso, con el botón “nuevo” seleccionado.

  5. En el cuadro de diálogo Máquina virtual, seleccione Siguiente para aceptar la configuración predeterminada de la máquina virtual.

    Captura de pantalla de la configuración de máquina virtual del clúster de proceso.

  6. En el cuadro de diálogo Parámetros de configuración, escriba cpu-cluster en Nombre del proceso. En Subred seleccione Entrenamiento y, después, seleccione Crear para crear el clúster.

    Sugerencia

    Los clústeres de proceso escalan dinámicamente los nodos del clúster según sea necesario. Se recomienda dejar el número mínimo de nodos en 0 para reducir los costos cuando el clúster no está en uso.

    Captura de pantalla del formulario para configurar opciones.

  7. En Estudio, seleccione Compute, Instancia de Compute y, después, + Nuevo.

    Captura de pantalla de la página de instancias de proceso, con el botón “nuevo” seleccionado.

  8. En Configuración requerida, escriba un nombre de equipo único y seleccione Siguiente.

    Captura de pantalla de la configuración de máquina virtual de la instancia de proceso.

  9. Continúe seleccionando Siguiente hasta que llegue al cuadro de diálogo Seguridad, seleccione la Red virtual y establezca el Subred en Entrenamiento. Seleccione Revisar y crear y, luego, Crear.

    Captura de pantalla de la configuración avanzada.

Sugerencia

Al crear un clúster de proceso o una instancia de proceso, Azure Machine Learning agrega dinámicamente un grupo de seguridad de red. Este grupo contiene las reglas siguientes, que son específicas para el clúster y la instancia de proceso:

  • Permitir el tráfico TCP entrante en los puertos 29876-29877 desde la etiqueta de servicio BatchNodeManagement.
  • Permitir el tráfico TCP entrante en el puerto 44224 desde la etiqueta de servicio AzureMachineLearning.

En la captura de pantalla siguiente se muestra un ejemplo de estas reglas:

Captura de pantalla de un grupo de seguridad de red

Para más información sobre cómo crear un clúster de proceso, incluido cómo hacerlo con Python y la CLI, consulte los artículos siguientes:

Configuración de compilaciones de imágenes

SE APLICA A: Extensión de ML de la CLI de Azure v2 (actual)

Cuando Azure Container Registry está detrás de la red virtual, Azure Machine Learning no puede usarla para compilar directamente imágenes de Docker (que se usan para el entrenamiento y la implementación). En su lugar, configure el área de trabajo para usar el clúster de proceso que creó anteriormente. Siga estos pasos para crear un clúster de proceso y configurar el área de trabajo para usarla para compilar imágenes:

  1. Vaya a https://shell.azure.com/ para abrir Azure Cloud Shell.

  2. En Cloud Shell, use el siguiente comando para instalar la CLI 2.0 para Azure Machine Learning:

    az extension add -n ml

  3. Para actualizar el área de trabajo para que se use el clúster de proceso para compilar imágenes de Docker. Reemplace docs-ml-rg por el grupo de recursos. Reemplace docs-ml-ws por el área de trabajo. Reemplace cpu-cluster por el nombre del clúster de proceso:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Nota:

    Puede usar el mismo clúster de proceso para entrenar modelos y compilar imágenes de Docker para el área de trabajo.

Uso del área de trabajo

Importante

Los pasos de este artículo colocan Azure Container Registry detrás de la red virtual. En esta configuración, no puede implementar un modelo en Azure Container Instances dentro de la red virtual. No se recomienda usar Azure Container Instances con Azure Machine Learning en una red virtual. Para obtener más información, vea Protección del entorno de inferencia (SDK/CLI v1).

Como alternativa a Azure Container Instances, pruebe los puntos de conexión en línea administrados de Azure Machine Learning. Para más información, consulte Habilitación del aislamiento de red para puntos de conexión en línea administrados.

En este momento, puede usar Estudio para trabajar interactivamente con cuadernos en la instancia de proceso y ejecutar trabajos de entrenamiento en el clúster de proceso. Para ver un tutorial sobre el uso de la instancia de proceso y el clúster de proceso, consulte Tutorial: Azure Machine Learning en un día.

Detención de una instancia de proceso y un jumpbox

Advertencia

Mientras estén en ejecución (se hayan iniciado), la instancia de proceso y jumpbox seguirán cobrando su suscripción. Para evitar el exceso de costos, deténgalos cuando no estén en uso.

El clúster de proceso escala dinámicamente entre el número mínimo y máximo de nodos establecido al crearlo. Si ha aceptado los valores predeterminados, el mínimo es 0, que desactiva eficazmente el clúster cuando no está en uso.

Detención de la instancia de proceso

En Estudio, seleccione Compute, Clústeres de proceso y, después, seleccione la instancia de proceso. Por último, seleccione Detener en la parte superior de la página.

Captura de pantalla del botón Detener de la instancia de proceso.

Detención del jumpbox

Una vez creada, seleccione la máquina virtual en Azure Portal y, después, use el botón Detener. Cuando esté listo para usarla de nuevo, pulse el botón Iniciar para iniciarla.

Captura de pantalla del botón Detener de la máquina virtual de caja de salto.

También puede configurar el jumpbox para que se apague automáticamente en un momento concreto. Para ello, seleccioneApagado automático, Habilitar, establezca una hora y seleccione Guardar.

Captura de pantalla de la opción Apagado automático.

Limpieza de recursos

Si tiene previsto seguir usando el área de trabajo protegida y otros recursos, omita esta sección.

Para eliminar todos los recursos creados en este artículo, siga estos pasos:

  1. En Azure Portal, seleccione Grupos de recursos a la izquierda del todo.

  2. En la lista, seleccione el grupo de recursos que ha creado en este tutorial.

  3. Seleccione Eliminar grupo de recursos.

    Captura de pantalla del vínculo Eliminar grupo de recursos.

  4. Escriba el nombre del grupo de recursos y, después, seleccione Eliminar.

Pasos siguientes

Ahora que tiene un área de trabajo segura y puede acceder a Estudio, aprenda a implementar un modelo en un punto de conexión en línea con aislamiento de red.

Ahora que tiene una área de trabajo segura, descubra cómo implementar un modelo.