Tutoriel : Comment créer un espace de travail sécurisé avec un réseau virtuel managé

  • Article

Dans cet article, vous allez apprendre à créer un espace de travail Azure Machine Learning sécurisé et à vous y connecter. Les étapes de cet article utilisent un réseau virtuel managé Azure Machine Learning pour créer une limite de sécurité autour des ressources utilisées par Azure Machine Learning.

Dans ce tutoriel, vous accomplissez les tâches suivantes :

  • Créez un espace de travail Azure Machine Learning configuré pour utiliser un réseau virtuel managé.
  • Créer un cluster de calcul Azure Machine Learning Un cluster de calcul est utilisé pour former des modèles Machine Learning dans le cloud.

Une fois ce didacticiel terminé, vous disposez de l’architecture suivante :

  • Un espace de travail Azure Machine Learning utilisant un point de terminaison privé pour communiquer à l’aide du réseau managé.
  • Un compte de stockage Azure qui utilise des points de terminaison privés pour permettre aux services de stockage tels que l’objet blob et le fichier de communiquer à l’aide du réseau managé.
  • Un Azure Container Registry qui utilise un point de terminaison privé communique à l’aide du réseau managé.
  • Un Azure Key Vault qui utilise un point de terminaison privé pour communiquer à l’aide du réseau managé.
  • Une instance de calcul Azure Machine Learning et un cluster de calcul sécurisés par le réseau managé.

Prérequis

Créer un serveur de rebond (machine virtuelle)

Il existe plusieurs façons de se connecter à l’espace de travail sécurisé. Dans ce tutoriel, un serveur de rebond est utilisé. Un serveur de rebond est une machine virtuelle dans un réseau virtuel Azure. Vous pouvez vous y connecter à l’aide de votre navigateur web et d’Azure Bastion.

Le tableau suivant répertorie plusieurs autres façons de se connecter à l’espace de travail sécurisé :

Méthode Description
Passerelle VPN Azure Il connecte des réseaux locaux à un réseau virtuel Azure via une connexion privée. Un point de terminaison privé pour votre espace de travail est créé au sein de ce réseau virtuel. La connexion est établie via l’Internet public.
ExpressRoute Permet de connecter des réseaux locaux au cloud via une connexion privée. La connexion est établie à l’aide d’un fournisseur de connectivité.

Important

Quand vous utilisez une passerelle VPN ou ExpressRoute, vous devez planifier le fonctionnement de la résolution de noms entre vos ressources locales et celles se trouvant dans le cloud. Pour plus d’informations, consultez Utiliser un serveur DNS personnalisé.

Utilisez les étapes suivantes pour créer une machine virtuelle Azure à utiliser comme serveur de rebond. Depuis le bureau de la machine virtuelle, vous pouvez utiliser le navigateur sur la machine virtuelle pour vous connecter aux ressources du réseau virtuel managé, par exemple Azure Machine Learning studio. Vous pouvez également installer des outils de développement sur la machine virtuelle.

Conseil

Les étapes ci-dessous créent une machine virtuelle d’entreprise Windows 11. Selon vos besoins, vous pouvez sélectionner une autre image de machine virtuelle. L’image d’entreprise Windows 11 (ou 10) est utile si vous devez joindre la machine virtuelle au domaine de votre organisation.

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez +Créer une ressource, puis entrez Machine Learning. Sélectionnez l’entrée Machine virtuelle, puis sélectionnez Créer.

  2. Sous l’onglet Informations de base , sélectionnez l’abonnement, le groupe de ressources et la région dans lesquels créer le service. Fournissez des valeurs pour les champs suivants :

    • Nom de la machine virtuelle : Nom unique pour la machine virtuelle.

    • Nom d’utilisateur : nom d’utilisateur que vous utilisez pour vous connecter à la machine virtuelle.

    • Mot de passe : Mot de passe pour le nom d’utilisateur.

    • Type de sécurité : Standard.

    • Image : Windows 11 Entreprise.

      Conseil

      Si Windows 11 Entreprise n’est pas dans la liste pour la sélection d’images, utilisez Afficher toutes les images_. Recherchez l’entrée Windows 11 sur Microsoft et utilisez la liste déroulante Sélectionner pour sélectionner l’image d’entreprise.

    Pour les autres champs, vous pouvez laisser les valeurs par défaut.

    Capture d’écran de la configuration des paramètres de base d’une machine virtuelle.

  3. Sélectionnez Mise en réseau. Passez en revue les informations réseau et vérifiez qu’il n’utilise pas la plage d’adresses IP 172.17.0.0/16. Si c’est le cas, sélectionnez une autre plage, par exemple 172.16.0.0/16. La plage 172.17.0.0/16 peut provoquer des conflits avec Docker.

    Notes

    La machine virtuelle Azure crée son propre réseau virtuel Azure pour l’isolement réseau. Ce réseau est distinct du réseau virtuel managé utilisé par Azure Machine Learning.

    Capture d’écran de l’onglet réseau pour la machine virtuelle.

  4. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Activer Azure Bastion pour la machine virtuelle

Azure Bastion vous permet de vous connecter au bureau de la machine virtuelle via votre navigateur.

  1. Dans le portail Azure, sélectionnez la machine virtuelle que vous avez créée précédemment. Dans la section Opérations de la page, sélectionnez Bastion, puis Déployer Bastion.

    Capture d’écran de l’option de déploiement de Bastion.

  2. Une fois le service Bastion déployé, une page de connexion s’affiche. Laissez cette boîte de dialogue de côté pour l’instant.

Créer un espace de travail

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Azure Machine Learning. Sélectionnez l’entrée Azure Machine Learning, puis sélectionnez Créer.

  2. Sous l’onglet Informations de base , sélectionnez l’abonnement, le groupe de ressources et la région dans lesquels créer le service. Entrez un nom unique pour le Nom de l’espace de travail. Laissez le reste des champs aux valeurs par défaut ; de nouvelles instances des services requis sont créées pour l’espace de travail.

    Capture d’écran du formulaire de création de l’espace de travail.

  3. Sous l’onglet Mise en réseau, sélectionnez Privé avec Internet Sortant.

    Capture d’écran de l’onglet réseau de l’espace de travail avec internet sortant sélectionné.

  4. Sous l’onglet Mise en réseau, dans la section Accès entrant à l’espace de travail, sélectionnez + Ajouter.

    Capture d’écran montrant le bouton ajouter pour l’accès entrant.

  5. Dans le formulaire Créer un point de terminaison privé, entrez une valeur unique dans le champ Nom. Sélectionnez le réseau virtuel créé précédemment avec la machine virtuelle, puis sélectionnez le sous-réseau par défaut. Laissez les autres champs à leurs valeurs par défaut. Cliquez sur OK pour enregistrer le point de terminaison.

    Capture d’écran du formulaire de création d’un point de terminaison privé.

  6. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  7. Une fois l’espace de travail créé, sélectionnez Accéder à la ressource.

Se connecter au bureau de la machine virtuelle

  1. À partir du portail Azure, sélectionnez la machine virtuelle que vous avez créée précédemment.

  2. Dans la section Se connecter, sélectionnez Bastion. Entrez le nom d’utilisateur et le mot de passe que vous avez configurés pour la machine virtuelle, puis sélectionnez Se connecter.

    Capture d’écran du formulaire de connexion à Bastion.

Se connecter à studio

À ce stade, l’espace de travail a été créé, mais pas le réseau virtuel managé. Le réseau virtuel managé est configuré lorsque vous créez l’espace de travail, mais il n’est pas créé tant que vous n’avez pas créé la première ressource de calcul ou que vous ne l’avez pas approvisionné manuellement.

Utilisez la procédure suivante pour créer une instance de calcul.

  1. À partir du bureau de la machine virtuelle, utilisez le navigateur pour ouvrir Azure Machine Learning studio et sélectionnez l’espace de travail que vous avez créé précédemment.

  2. Dans le studio, sélectionnez Calcul, Instances de calcul, puis + Nouveau.

    Capture d’écran de la nouvelle option de calcul dans studio.

  3. Dans la boîte de dialogue Configurer les paramètres requis, entrez une valeur unique comme le Nom de calcul. Conservez les valeurs par défaut des autres sélections.

  4. Sélectionnez Create (Créer). La création de l’instance de calcul prend quelques minutes. L’instance de calcul est créée dans le réseau managé.

    Conseil

    La création de la première ressource de calcul peut prendre plusieurs minutes. Ce délai se produit parce que le réseau virtuel managé est également en cours de création. Le réseau virtuel managé n’est pas créé tant que la première ressource de calcul n’est pas créée. Les ressources de calcul managées suivantes seront créées beaucoup plus rapidement.

Activer l’accès studio au stockage

Étant donné que l’Azure Machine Learning studio s’exécute partiellement dans le navigateur web côté client, celui-ci doit être en mesure d’accéder directement au compte de stockage par défaut pour que l’espace de travail effectue des opérations de données. Pour l’activer, effectuez les étapes suivantes :

  1. Depuis le portail Azure, sélectionnez la machine virtuelle de serveur de rebond que vous avez créée précédemment. Depuis la section Vue d’ensemble,, copiez l’adresse IP publique.

  2. Depuis le portail Azure, sélectionnez l’espace de travail que vous avez créé précédemment. Depuis la section Vue d’ensemble, sélectionnez le lien pour l’entrée Stockage .

  3. Depuis le compte de stockage, sélectionnez Mise en réseau, puis ajoutez l’adresse IP publique du serveur de rebond à la section Pare-feu.

    Conseil

    Dans un scénario où vous utilisez une passerelle VPN ou ExpressRoute au lieu d’un serveur de rebond, vous pouvez ajouter un point de terminaison privé ou un point de terminaison de service pour le compte de stockage au réseau virtuel Azure. L’utilisation d’un point de terminaison privé ou d’un point de terminaison de service permet à plusieurs clients qui se connectent via le réseau virtuel Azure d’effectuer correctement des opérations de stockage via Studio.

    À ce stade, vous pouvez utiliser le studio pour travailler de manière interactive avec les notebooks sur l’instance de calcul et exécuter des travaux de formation. Pour suivre un tutoriel, consultez Tutoriel : modèle de développement.

Arrêter l’instance de calcul

Tant qu’elle est en cours d’exécution (démarrée), l’instance de calcul continue de facturer votre abonnement. Pour éviter tout coût excessif, arrêtez-la lorsqu’elle n’est pas utilisée.

Dans le studio, sélectionnez Calcul, Instances de calcul, puis sélectionnez l’instance de calcul. Enfin, sélectionnez Arrêter en haut de la page.

Capture d’écran du bouton Arrêter de l’instance de calcul

Nettoyer les ressources

Si vous prévoyez de continuer à utiliser l’espace de travail sécurisé et les autres ressources, passez cette section.

Pour supprimer toutes les ressources créées dans ce tutoriel, procédez comme suit :

  1. Dans le portail Azure, sélectionnez Groupes de ressources.

  2. Dans la liste, sélectionnez le groupe de ressources que vous avez créé dans ce tutoriel.

  3. Sélectionnez Supprimer le groupe de ressources.

    Capture d’écran du bouton Supprimer le groupe de ressources

  4. Entrez le nom du groupe de ressources, puis sélectionnez Supprimer.

Étapes suivantes

Maintenant que vous avez créé un espace de travail sécurisé et que vous pouvez accéder à Studio, découvrez comment déployer un modèle sur un point de terminaison en ligne avec isolation réseau.

Pour plus d’informations sur le réseau virtuel managé, consultez Sécuriser votre espace de travail avec un réseau virtuel managé.