Tutoriel : Comment créer un espace de travail sécurisé à l’aide d’un modèle
Les modèles offrent un moyen pratique de créer des déploiements de service reproductibles. Le modèle définit quoi créer, avec les informations que vous fournissez lorsque vous utilisez le modèle. Par exemple, vous spécifiez un nom unique pour un espace de travail Azure Machine Learning.
Dans ce tutoriel, vous apprenez à utiliser un modèle Microsoft Bicep ou Hashicorp Terraform pour créer un réseau virtuel Azure avec les ressources Azure suivantes sécurisées qui sont derrière.
- Espace de travail Azure Machine Learning
- Instance de calcul Azure Machine Learning
- Cluster de calcul Azure Machine Learning
- Compte Stockage Azure
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Hôte Azure Bastion
- Azure Machine Learning Data Science Virtual Machine (DSVM)
Le modèle Bicep crée également un cluster Azure Kubernetes Service (AKS) et un groupe de ressources distinct pour le cluster AKS.
Conseil
Vous pouvez utiliser les réseaux virtuels managés Azure Machine Learning au lieu de suivre les étapes décrites dans cet article. Avec un réseau virtuel managé, Azure Machine Learning gère le travail d’isolement réseau pour votre espace de travail et vos calculs managés. Vous pouvez également ajouter des points de terminaison privés pour les ressources dont l’espace de travail a besoin, par exemple un compte de stockage Azure. Pour plus d’informations, consultez Isolation de réseau gérée d’espace de travail.
Pour afficher les informations Bicep ou Terraform, sélectionnez les onglets Bicep ou Terraform dans les sections suivantes.
Prérequis
Un abonnement Azure avec une version gratuite ou payante d’Azure Machine Learning. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Git installé sur votre environnement de développement pour cloner le dépôt de modèles. Si vous n’avez pas la commande
git
, vous pouvez installer Git depuis https://git-scm.com/.Une ligne de commande Azure CLI ou Azure PowerShell.
Les outils en ligne de commande Azure CLI ou Azure PowerShell Bicep installés conformément aux instructions dans Configurer les environnements de développement et de déploiement Bicep.
Le dépôt GitHub contenant le modèle Bicep Azure Machine Learning end-to-end secure setup, cloné localement et activé en exécutant les commandes suivantes :
git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Comprendre le modèle
Le modèle Bicep est constitué du fichier main.bicep et des autres fichiers *.bicep qui se trouvent dans le sous-répertoire modules. Le tableau suivant décrit le rôle de chaque fichier :
Fichier | Description |
---|---|
main.bicep | Passe les paramètres et les variables à d’autres modules dans le sous-répertoire modules. |
vnet.bicep | Définit le réseau virtuel et les sous-réseaux Azure. |
nsg.bicep | Définit les règles de groupe de sécurité réseau pour le réseau virtuel. |
bastion.bicep | Définit l’hôte et le sous-réseau Azure Bastion. Azure Bastion vous permet d’accéder facilement à une machine virtuelle (VM) à l’intérieur du réseau virtuel à l’aide de votre navigateur web. |
dsvmjumpbox.bicep | Définit la DSVM. Azure Bastion est utilisé pour accéder à cette machine virtuelle via votre navigateur web. |
storage.bicep | Définit le compte stockage Azure que l’espace de travail utilise pour le stockage par défaut. |
keyvault.bicep | Définit l’Azure Key Vault que l’espace de travail utilise. |
containerregistry.bicep | Définit l’Azure Container Registry que l’espace de travail utilise. |
applicationinsights.bicep | Définit l’instance Azure Application Insights que l’espace de travail utilise. |
machinelearningnetworking.bicep | Définit les points de terminaison privés et les zones DNS (Domain Name System) pour l’espace de travail. |
machinelearning.bicep | Définit l’espace de travail Azure Machine Learning. |
machinelearningcompute.bicep | Définit un cluster et une instance de calcul Azure Machine Learning. |
privateaks.bicep | Définit une instance de cluster AKS. |
Important
Chaque service Azure a son propre ensemble de versions d’API. Les exemples de modèles risquent de ne pas utiliser les dernières versions d’API pour Azure Machine Learning et autres ressources. Avant d’utiliser le modèle, modifiez-les afin qu’ils utilisent les dernières versions d’API.
Pour plus d’informations sur l’API d’un service en particulier, consultez les informations du service dans Informations de référence sur les API REST Azure. Pour plus d’informations sur la dernière version d’API Azure Machine Learning, consultez API REST Azure Machine Learning.
Pour mettre à jour la version d’API, recherchez l’entrée Microsoft.MachineLearningServices/<resource>
du type de la ressource et mettez-la à jour vers la dernière version.
Important
La DSVM et Azure Bastion sont des moyens simples de se connecter à l’espace de travail sécurisé dans le cadre de ce tutoriel. Dans un environnement de production, il est préférable d’utiliser une passerelle VPN Azure ou Azure ExpressRoute pour accéder aux ressources à l’intérieur du réseau virtuel directement à partir de votre réseau local.
Configurer le modèle
Pour déployer le modèle Bicep, vérifiez que vous êtes dans le répertoire machine learning-end-end-secure où se trouve le fichier main.bicep, puis exécutez les commandes suivantes :
Pour créer un groupe de ressources Azure, exécutez l’exemple de commande suivant en remplaçant
<myrgname>
par un nom de groupe de ressources et<location>
par la région Azure que vous souhaitez utiliser.Azure CLI :
az group create --name <myrgname> --location <location>
Azure PowerShell :
New-AzResourceGroup -Name <myrgname> -Location <location>
Pour déployer le modèle, utilisez la commande suivante en remplaçant
<myrgname>
par le nom du groupe de ressources que vous avez créé et<pref>
par un préfixe unique à utiliser lors de la création des ressources requises. Remplacez<mydsvmpassword>
par un mot de passe sécurisé pour le compte de connexion de rebond DSVM, qui estazureadmin
dans les exemples suivants.Conseil
Le
prefix
doit être de cinq caractères ou moins, et ne peut pas être entièrement numérique ni contenir les caractères~
,!
,@
,#
,$
,%
,^
,&
,*
,(
,)
,=
,+
,_
,[
,]
,{
,}
,\
,|
,;
,:
,.
,'
,"
,,
,<
,>
,/
ou?
.Azure CLI :
az deployment group create \ --resource-group <myrgname> \ --template-file main.bicep \ --parameters \ prefix=<pref> \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=<mydsvmpassword>
Azure PowerShell :
$dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force New-AzResourceGroupDeployment -ResourceGroupName <myrgname> ` -TemplateFile ./main.bicep ` -prefix "<pref>" ` -dsvmJumpboxUsername "azureadmin" ` -dsvmJumpboxPassword $dsvmPassword
Avertissement
Évitez d’utiliser des chaînes de texte brut dans les scripts ou à partir de la ligne de commande. Le texte brut peut apparaître dans les journaux des événements et l’historique des commandes. Pour plus d’informations, consultez ConvertTo-SecureString.
Important
L’exécution de la DSVM et de toutes les ressources de calcul vous est facturée à l’heure. Pour éviter des frais excessifs, arrêtez ces ressources quand elles ne sont pas utilisées. Pour plus d’informations, consultez les articles suivants :
Se connecter à l’espace de travail
Une fois le déploiement terminé, effectuez les étapes suivantes pour vous connecter à la DSVM :
Dans le portail Azure, sélectionnez le groupe de ressources Azure que vous avez utilisé avec le modèle. Sélectionnez ensuite la DSVM que le modèle a créée. Si vous éprouvez des difficultés à la trouver, utilisez la section des filtres pour filtrer le Type sur machine virtuelle.
Dans la page Vue d’ensemble de la DSVM, sélectionnez Se connecter, puis Se connecter via Bastion dans la liste déroulante.
Lorsque vous y êtes invité, entrez le Nom d’utilisateur et le Mot de passe de la machine virtuelle que vous avez spécifiés lors de la configuration du modèle, puis sélectionnez Se connecter.
Important
La première fois que vous vous connectez au bureau DSVM, une fenêtre PowerShell s’ouvre et exécute un script. Attendez la fin du script avant de passer à l’étape suivante.
À partir du bureau DSVM, démarrez Microsoft Edge, puis entrez https://ml.azure.com comme adresse. Connectez-vous à votre abonnement Azure, puis sélectionnez l’espace de travail que le modèle a créé. Le studio de votre espace de travail apparaît.
Dépannage
L’erreur suivante peut se produire lorsque le nom du serveur de rebond DSVM dépasse 15 caractères ou inclut l’un des caractères suivants : ~
, !
, @
, #
, $
, %
, ^
, &
, *
, (
, )
, =
, +
, _
, [
, ]
, {
, }
, \
, |
, ;
, :
, .
, '
, "
, ,
, <
, >
, /
ou ?
.
Erreur : Le nom d’ordinateur Windows ne peut pas comporter plus de 15 caractères, ni être entièrement constitué de chiffres, ni contenir les caractères suivants ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.
Le modèle Bicep génère le nom du serveur de rebond programmatiquement à l’aide de la valeur de préfixe fournie au modèle. Pour vous assurer que le nom ne dépasse pas 15 caractères ou ne contient pas de caractères non valides, utilisez un préfixe de cinq caractères ou moins et n’utilisez aucun des caractères suivants : ~
, !
, @
, #
, $
, %
, ^
, &
, *
, (
, )
, =
, +
, _
, [
, ]
, {
, }
, \
, |
, ;
, :
, .
, '
, "
, ,
, <
, >
, /
ou ?
.
Contenu connexe
Pour poursuivre avec Azure Machine Learning, consultez Démarrage rapide : Bien démarrer avec Azure Machine Learning.
Pour en savoir plus sur les configurations d’espace de travail sécurisé courantes et les exigences d’entrée/sortie, consultez Flux de trafic d’espace de travail sécurisé Azure Machine Learning.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir :Soumettre et afficher des commentaires pour