Procédure de création d’un espace de travail sécurisé

Dans cet article, vous allez apprendre à créer un espace de travail Azure Machine Learning sécurisé et à vous y connecter. Un espace de travail sécurisé utilise Réseau virtuel Microsoft Azure pour créer une limite de sécurité autour des ressources utilisées par Azure Machine Learning.

Dans ce tutoriel, vous accomplissez les tâches suivantes :

  • Créer un réseau virtuel (VNet) Azure pour sécuriser les communications entre les services du réseau virtuel.
  • Créer un compte de stockage Azure (blob et fichier) derrière le réseau virtuel. Ce service est utilisé comme stockage par défaut pour l’espace de travail.
  • Créer un coffre de clés Azure derrière le réseau virtuel. Ce service est utilisé pour stocker les secrets utilisés par l’espace de travail. Par exemple, les informations de sécurité nécessaires pour accéder au compte de stockage.
  • Créer un registre de conteneurs Azure. Ce service est utilisé comme référentiel pour les images Docker. Les images Docker fournissent les environnements Compute nécessaires à la formation d’un modèle Machine Learning ou au déploiement d’un modèle formé en tant que point de terminaison.
  • Créez un espace de travail Machine Learning.
  • Créer un serveur de rebond. Un serveur de rebond est une machine virtuelle Azure qui se trouve derrière le réseau virtuel. Étant donné que le réseau virtuel restreint l’accès à l’Internet public, le serveur de rebond est utilisé comme moyen de se connecter aux ressources derrière le réseau virtuel.
  • Configurer Azure Machine Learning studio pour qu’il fonctionne derrière un réseau virtuel. Le studio fournit une interface web pour Azure Machine Learning.
  • Créer un cluster de calcul Azure Machine Learning Un cluster de calcul est utilisé pour former des modèles Machine Learning dans le cloud. Dans les configurations où Azure Container Registry se trouve derrière le réseau virtuel, il est également utilisé pour créer des images Docker.
  • Se connecter au serveur de rebond et utiliser Azure Machine Learning studio.

Conseil

Si vous recherchez un modèle (Microsoft Bicep ou Hashicorp Terraform) qui montre comment créer un espace de travail sécurisé, consultez Tutoriel : Créer un espace de travail sécurisé avec un modèle.

Une fois ce didacticiel terminé, vous disposez de l’architecture suivante :

  • Un réseau virtuel Azure, qui contient trois sous-réseaux :
    • Formation : contient l’espace de travail Azure Machine Learning, les services de dépendance et les ressources utilisés pour les modèles d’apprentissage.
    • Scoring : pour les étapes de ce didacticiel, il n’est pas utilisé. Toutefois, si vous continuez à utiliser cet espace de travail pour d’autres didacticiels, nous vous recommandons d’utiliser ce sous-réseau lors du déploiement de modèles sur des points de terminaison.
    • AzureBastionSubnet : utilisé par le service Azure Bastion pour connecter en toute sécurité les clients aux machines virtuelles Azure.
  • Un espace de travail Azure Machine Learning utilisant un point de terminaison privé pour communiquer avec le réseau virtuel.
  • Un compte de stockage Azure qui utilise des points de terminaison privés pour permettre aux services de stockage tels que l’objet blob et le fichier de communiquer à l’aide du réseau virtuel.
  • Un Azure Container Registry qui utilise un point de terminaison privé communique à l’aide du réseau virtuel.
  • Azure Bastion, qui vous permet d’utiliser votre navigateur pour communiquer en toute sécurité avec la machine virtuelle jump box à l’intérieur du réseau virtuel.
  • Une machine virtuelle Azure à laquelle vous pouvez vous connecter à distance et accéder aux ressources sécurisées à l’intérieur du réseau virtuel.
  • Une instance de calcul et de cluster de calcul Azure Machine Learning.

Conseil

Le service Azure Batch répertorié dans le diagramme est un service principal requis par les clusters de calcul et les instances de calcul.

Diagramme de l’architecture finale créée dans le cadre de ce didacticiel.

Configuration requise

  • Connaissance des réseaux virtuels Azure et des réseaux IP. Si vous ne disposez pas des connaissances requises, essayez le module Notions de base des réseaux informatiques.
  • Bien que la plupart des étapes décrites dans cet article utilisent le portail Azure ou Azure Machine Learning studio, certaines étapes utilisent l’extension Azure CLI pour Machine Learning v2.

Créez un réseau virtuel

Pour créer un réseau virtuel, procédez comme suit :

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Réseau virtuel dans le champ de recherche. Sélectionnez l’entrée Réseau virtuel, puis sélectionnez Créer.

    Recherche dans l’interface utilisateur Créer une ressource

    Création d’un réseau virtuel

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement Azure à utiliser pour cette ressource, puis sélectionnez ou créez un groupe de ressources. Sous Détails de l’instance, saisissez un nom convivial pour votre réseau virtuel et sélectionnez la région dans laquelle le créer.

    Image de la configuration de base du réseau virtuel

  3. Sélectionnez Sécurité. Sélectionnez l’option pour Activer Azure Bastion. Azure Bastion fournit un moyen sécurisé d’accéder au serveur de rebond de la machine virtuelle que vous créerez à l’intérieur du réseau virtuel à une étape ultérieure. Utilisez les valeurs suivantes pour les champs restants :

    • Nom Bastion : nom unique pour cette instance Bastion
    • IP publique : créez une nouvelle IP publique

    Pour les autres champs, utilisez les valeurs par défaut.

    Capture d’écran de la configuration de Bastion.

  4. Sélectionnez Adresses IP. Les paramètres par défaut doivent être similaires à l’image suivante :

    Écran Adresse IP par défaut.

    Procédez comme suit pour configurer l’adresse IP et configurer un sous-réseau pour les ressources de formation et de scoring :

    Conseil

    Même si vous pouvez utiliser un même sous-réseau pour toutes les ressources Azure ML, les étapes décrites dans cet article montrent comment créer deux sous-réseaux pour séparer les ressources d’entraînement et de scoring.

    L’espace de travail et les autres services de dépendance iront dans le sous-réseau de formation. Ils peuvent toujours être utilisés par des ressources dans d’autres sous-réseaux, comme le sous-réseau de scoring.

    1. Regardez la valeur de l’espace d’adressage IPv4 par défaut. Dans la capture d’écran, la valeur est 172.16.0.0/16. Cette valeur peut être différente pour vous. Bien que vous puissiez utiliser une valeur différente, le reste des étapes de ce tutoriel est basé sur la valeur 172.16.0.0/16.

      Important

      Nous vous déconseillons de vous servir de la plage d’adresses IP 172.17.0.0/16 pour votre réseau virtuel. Il s’agit de la plage de sous-réseaux utilisée par défaut par le réseau de pont Docker. D’autres plages peuvent également être en conflit, en fonction de ce que vous souhaitez connecter au réseau virtuel. Par exemple, si vous envisagez de connecter votre réseau local au réseau virtuel, et que votre réseau local utilise également la plage 172.16.0.0/16. Au bout du compte, il vous appartient de planifier votre infrastructure réseau.

    2. Sélectionnez le sous-réseau Par défaut, puis sélectionnez Supprimer le sous-réseau.

      Capture d’écran de la suppression du sous-réseau par défaut.

    3. Pour créer un sous-réseau contenant l’espace de travail, les services de dépendances et les ressources utilisées pour l’apprentissage, sélectionnez + Ajouter un sous-réseau et définissez le nom, l’adresse de démarrage et la taille du sous-réseau. Voici les valeurs utilisées dans ce tutoriel :

      • Nom : apprentissage
      • Adresse de départ : 172.16.0.0
      • Taille du sous-réseau : /24 (256 adresses)

      Capture d’écran du sous-réseau Apprentissage.

    4. Pour créer un sous-réseau pour les ressources de calcul utilisées pour obtenir le score de vos modèles, sélectionnez à nouveau + Ajouter un sous-réseau, puis définissez le nom et la plage d’adresses :

      • Nom du sous-réseau : Scoring
      • Adresse de départ : 172.16.1.0
      • Taille du sous-réseau : /24 (256 adresses)

      Capture d’écran du sous-réseau Scoring.

    5. Pour créer un sous-réseau pour Azure Bastion, sélectionnez + Ajouter un sous-réseau et définissez le modèle, l’adresse de démarrage et la taille du sous-réseau :

      • Modèle de sous-réseau : Azure Bastion
      • Adresse de départ : 172.16.2.0
      • Taille du sous-réseau : /26 (64 adresses)

      Capture d’écran du sous-réseau Azure Bastion.

  5. Sélectionnez Revoir + créer.

    Capture d’écran montrant le bouton Vérifier + créer

  6. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

    Capture d’écran de la page de révision

Créez un compte de stockage.

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Compte de stockage. Sélectionnez l’entrée Compte de stockage, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Entrez un nom de compte de stockage unique et définissez Redondance sur Stockage localement redondant (LRS) .

    Image de la configuration de base d’un compte de stockage

  3. Dans l’onglet Mise en réseau, sélectionnez Point de terminaison privé, puis + Ajouter un point de terminaison privé.

    Interface utilisateur pour ajouter le réseau privé blob

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : Le même abonnement Azure qui contient les ressources précédentes que vous avez créées.
    • Groupe de ressources : Le même groupe de ressources Azure qui contient les ressources précédentes que vous avez créées.
    • Localisation : La même région Azure qui contient les ressources précédentes que vous avez créées.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : blob.
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Zone DNS privée : privatelink.blob.core.windows.net.

    Sélectionnez OK pour créer le point de terminaison privé.

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  6. Une fois le compte de stockage créé, sélectionnez Accéder à la ressource :

    Aller à la nouvelle ressource de stockage

  7. Dans la navigation de gauche, sélectionnez Mise en réseau puis l’onglet Connexions de point de terminaison privé, puis sélectionnez + Point de terminaison privé :

    Notes

    Si vous avez créé un point de terminaison privé pour le stockage Blob dans les étapes précédentes, vous devez également en créer un pour le stockage Fichier.

    Interface utilisateur pour la mise en réseau du compte de stockage

  8. Dans le formulaire Créer un point de terminaison privé, utilisez les mêmes abonnement, groupe de ressources et région que ceux que vous avez utilisés pour les ressources précédentes. Entrez un nom unique.

    Interface utilisateur pour ajouter le point de terminaison privé de fichier

  9. Sélectionnez Suivant : Ressource, puis définissez Sous-ressource cible sur fichier.

    Ajouter la sous-ressource « fichier »

  10. Sélectionnez Suivant : Configuration, puis utilisez les valeurs suivantes :

    • Réseau virtuel : réseau virtuel que vous avez créé précédemment
    • Sous-réseau : Formation
    • Intégrer à une zone DNS privée : Oui
    • Zone DNS privée : privatelink.file.core.windows.net

    Interface utilisateur pour configurer le point de terminaison privé de fichier

  11. Sélectionnez Vérifier + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Conseil

Si vous envisagez d’utiliser un point de terminaison de traitement par lots ou un pipeline Azure Machine Learning qui utilise un ParallelRunStep, il est également nécessaire de configurer les sous-ressources de file d’attente et de table cibles des points de terminaison privés. ParallelRunStep utilise les options de file d’attente et de table en arrière-plan pour la planification et la distribution des tâches.

Création d’un coffre de clés

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Coffre de clés. Sélectionnez l’entrée Coffre de clés, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Entrez un nom de coffre de clés unique. Conservez la valeur par défaut dans les autres champs.

    Crée un coffre de clés

  3. Dans l’onglet Mise en réseau, sélectionnez Point de terminaison privé, puis + Ajouter.

    Mise en réseau du coffre de clés

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : Le même abonnement Azure qui contient les ressources précédentes que vous avez créées.
    • Groupe de ressources : Le même groupe de ressources Azure qui contient les ressources précédentes que vous avez créées.
    • Localisation : La même région Azure qui contient les ressources précédentes que vous avez créées.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : coffre
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Zone DNS privée : privatelink.vaultcore.azure.net

    Sélectionnez OK pour créer le point de terminaison privé.

    Configurer un point de terminaison privé de coffre de clés

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Créer un registre de conteneur

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Registre de conteneurs. Sélectionnez l’entrée Registre de conteneurs, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la localisation que vous avez précédemment utilisés pour le réseau virtuel. Entrez un nom de registre unique et définissez le niveau tarifaire sur Premium.

    Créer un registre de conteneur

  3. Dans l’onglet Mise en réseau, sélectionnez Point de terminaison privé, puis + Ajouter.

    Mise en réseau du registre de conteneurs

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : Le même abonnement Azure qui contient les ressources précédentes que vous avez créées.
    • Groupe de ressources : Le même groupe de ressources Azure qui contient les ressources précédentes que vous avez créées.
    • Localisation : La même région Azure qui contient les ressources précédentes que vous avez créées.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : registre
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Zone DNS privée : privatelink.azurecr.io

    Sélectionnez OK pour créer le point de terminaison privé.

    Configurer un point de terminaison privé de registre de conteneurs

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  6. Une fois le registre de conteneurs créé, sélectionnez Accéder à la ressource.

    Sélectionner « accéder à la ressource »

  7. Dans la partie gauche de la page, sélectionnez Clés d’accès, puis activez Utilisateur administrateur. Ce paramètre est nécessaire lorsque vous utilisez Azure Container Registry à l’intérieur d’un réseau virtuel avec Azure Machine Learning.

    Capture d’écran du bouton bascule utilisateur administrateur

Créer un espace de travail

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Machine Learning. Sélectionnez l’entrée Machine Learning, puis sélectionnez Créer.

    {alt-text}

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Utilisez les valeurs suivantes pour les autres champs :

    • Nom de l’espace de travail : nom unique pour votre espace de travail.
    • Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment.
    • Coffre de clés : sélectionnez le coffre de clés que vous avez créé précédemment.
    • Application Insights : utilisez la valeur par défaut.
    • Registre des conteneurs : utilisez le registre de conteneurs que vous avez créé précédemment.

    Configuration de base de l’espace de travail

  3. Dans l’onglet Mise en réseau, sélectionnez Point de terminaison privé, puis + Ajouter.

    Mise en réseau de l’espace de travail

  4. Dans le formulaire Créer un point de terminaison privé, utilisez les valeurs suivantes :

    • Abonnement : Le même abonnement Azure qui contient les ressources précédentes que vous avez créées.
    • Groupe de ressources : Le même groupe de ressources Azure qui contient les ressources précédentes que vous avez créées.
    • Localisation : La même région Azure qui contient les ressources précédentes que vous avez créées.
    • Nom : Un nom unique pour ce point de terminaison privé.
    • Sous-ressource cible : amlworkspace
    • Réseau virtuel : Le réseau virtuel que vous avez créé précédemment.
    • Sous-réseau : Formation (172.16.0.0/24).
    • Intégration à un DNS privé : Oui.
    • Zone DNS privée : Laissez les deux zones DNS privées aux valeurs par défaut de privatelink.api.azureml.ms et privatelink.notebooks.azure.net.

    Sélectionnez OK pour créer le point de terminaison privé.

    Capture d’écran de la configuration du réseau privé de l’espace de travail

  5. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  6. Une fois l’espace de travail créé, sélectionnez Accéder à la ressource.

  7. Dans la section Paramètres à gauche, sélectionnez Connexions de point de terminaison privé, puis sélectionnez le lien dans la colonne Point de terminaison privé :

    Capture d’écran des connexions de point de terminaison privé de l’espace de travail

  8. Une fois les informations sur le point de terminaison privé affichées, sélectionnez Configuration DNS dans la partie gauche de la page. Enregistrez l’adresse IP et le nom de domaine complet (FQDN) qui sont sur cette page, car ils seront utilisés plus tard.

    Capture d’écran des entrées IP et FQDN

Important

Certaines étapes de configuration sont encore nécessaires avant que vous puissiez utiliser pleinement l’espace de travail. Toutefois, celles-ci nécessitent que vous vous connectiez à l’espace de travail.

Activer le studio

Azure Machine Learning studio est une application web qui vous permet de gérer facilement votre espace de travail. Toutefois, elle nécessite une configuration supplémentaire avant de pouvoir être utilisée avec des ressources sécurisées à l’intérieur d’un réseau virtuel. Suivez les étapes suivantes pour activer le studio :

  1. Lorsque vous utilisez un compte stockage Azure disposant d’un point de terminaison privé, ajoutez le principal du service pour l’espace de travail en tant que Lecteur pour le(s) point(s) de terminaison privé(s) de stockage. À partir du portail Azure, sélectionnez votre compte de stockage, puis sélectionnez Mise en réseau. Ensuite, sélectionnez Connexions de point de terminaison privé.

    Capture d’écran des points de terminaison privés de stockage

  2. Pour chaque point de terminaison privé répertorié, procédez comme suit :

    1. Sélectionnez le lien dans la colonne Point de terminaison privé.

      Capture d’écran des points de terminaison à sélectionner

    2. Sélectionnez Contrôle d’accès (IAM) sur le côté gauche.

    3. Sélectionnez + Ajouter, puis Ajouter une attribution de rôle (préversion) .

      Page Contrôle d’accès (IAM) avec le menu Ajouter une attribution de rôle ouvert.

    4. Dans l’onglet Rôle, sélectionnez Lecteur.

      Page Ajouter une attribution de rôle avec l’onglet Rôle sélectionné.

    5. Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal de service dans la zone Attribuer l’accès à, puis sélectionnez + Sélectionner des membres. Dans la boîte de dialogue Sélectionner des membres, entrez le nom de votre espace de travail Azure Machine Learning. Sélectionnez le principal de service de l’espace de travail, puis utilisez le bouton Sélectionner.

    6. Dans l’onglet Passer en revue + affecter, sélectionnez Passer en revue + affecter pour affecter le rôle.

Se connecter à l’espace de travail

Il existe plusieurs façons de se connecter à l’espace de travail sécurisé. Les étapes de cet article utilisent un serveur de rebond, qui est une machine virtuelle dans le réseau virtuel. Vous pouvez vous y connecter à l’aide de votre navigateur web et d’Azure Bastion. Le tableau suivant répertorie plusieurs autres façons de se connecter à l’espace de travail sécurisé :

Méthode Description
Passerelle VPN Azure Permet de connecter des réseaux locaux au réseau virtuel via une connexion privée. La connexion est établie via l’Internet public.
ExpressRoute Permet de connecter des réseaux locaux au cloud via une connexion privée. La connexion est établie à l’aide d’un fournisseur de connectivité.

Important

Quand vous utilisez une passerelle VPN ou ExpressRoute, vous devez planifier le fonctionnement de la résolution de noms entre vos ressources locales et celles se trouvant dans le réseau virtuel. Pour plus d’informations, consultez Utiliser un serveur DNS personnalisé.

Créer un serveur de rebond (machine virtuelle)

Utilisez les étapes suivantes pour créer une machine virtuelle Azure à utiliser comme serveur de rebond. Azure Bastion vous permet de vous connecter au bureau de la machine virtuelle via votre navigateur. Depuis le bureau de la machine virtuelle, vous pouvez utiliser le navigateur sur la machine virtuelle pour vous connecter aux ressources du réseau virtuel, par exemple Azure Machine Learning studio. Vous pouvez également installer des outils de développement sur la machine virtuelle.

Conseil

Les étapes ci-dessous créent une machine virtuelle d’entreprise Windows 11. Selon vos besoins, vous pouvez sélectionner une autre image de machine virtuelle. L’image d’entreprise Windows 11 (ou 10) est utile si vous devez joindre la machine virtuelle au domaine de votre organisation.

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez +Créer une ressource, puis entrez Machine Learning. Sélectionnez l’entrée Machine virtuelle, puis sélectionnez Créer.

  2. Dans l’onglet Informations de base, sélectionnez l’abonnement, le groupe de ressources et la région que vous avez précédemment utilisés pour le réseau virtuel. Fournissez des valeurs pour les champs suivants :

    • Nom de la machine virtuelle : Nom unique pour la machine virtuelle.

    • Nom d’utilisateur : Nom d’utilisateur que vous allez utiliser pour vous connecter à la machine virtuelle.

    • Mot de passe : Mot de passe pour le nom d’utilisateur.

    • Type de sécurité : Standard.

    • Image : Windows 11 Entreprise.

      Conseil

      Si Windows 11 Entreprise n’est pas dans la liste pour la sélection d’images, utilisez Afficher toutes les images_. Recherchez l’entrée Windows 11 sur Microsoft et utilisez la liste déroulante Sélectionner pour sélectionner l’image d’entreprise.

    Pour les autres champs, vous pouvez laisser les valeurs par défaut.

    Image de la configuration de base d’une machine virtuelle

  3. Sélectionnez Mise en réseau, puis sélectionnez le réseau virtuel que vous avez créé précédemment. Utilisez les informations suivantes pour définir les champs restants :

    • Sélectionnez le sous-réseau Formation.
    • Définissez l’IP publique sur Aucune.
    • Conservez la valeur par défaut dans les autres champs.

    Image de la configuration réseau de la machine virtuelle

  4. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Se connecter au serveur de rebond

  1. Une fois la machine virtuelle créée, sélectionnez Accéder à la ressource.

  2. En haut de la page, sélectionnez Connexion et ensuite Bastion.

    Image de l’interface utilisateur Connexion/Bastion

  3. Sélectionnez Utiliser Bastion, puis fournissez vos informations d’authentification pour la machine virtuelle, et une connexion sera établie dans votre navigateur.

    Image de la boîte de dialogue Utiliser Bastion

Créer un cluster de calcul et une instance de calcul

Un cluster de calcul est utilisé par vos travaux de formation. Une instance de calcul fournit une expérience Jupyter Notebook sur une ressource de calcul partagée jointe à votre espace de travail.

  1. À partir d’une connexion Azure Bastion au serveur de rebond, ouvrez le navigateur Microsoft Edge sur le bureau distant.

  2. Dans la session de navigation à distance, accédez à https://ml.azure.com . Lorsque vous y êtes invité, authentifiez-vous à l’aide de votre compte Azure AD.

  3. Dans l’écran Bienvenue dans Studio !, sélectionnez l’espace de travail Machine Learning que vous avez créé précédemment, puis sélectionnez Démarrage.

    Conseil

    Si votre compte Azure AD a accès à plusieurs abonnements ou répertoires, utilisez la liste déroulante Annuaire et abonnement pour sélectionner celui qui contient l’espace de travail.

    Capture d’écran de la boîte de dialogue Sélectionner un espace de travail

  4. Dans le studio, sélectionnez Calcul, Clusters de calcul, puis + Nouveau.

    Capture d’écran du flux de travail d’un nouveau cluster de calcul

  5. Dans la boîte de dialogue Machine virtuelle, sélectionnez Suivant pour accepter la configuration par défaut de la machine virtuelle.

    Capture d’écran des paramètres de machine virtuelle du cluster de calcul

  6. Dans la boîte de dialogue Configurer les paramètres, entrez cpu-cluster comme nom de cluster. Définissez le sous-réseau sur Formation, puis sélectionnez Créer pour créer le cluster.

    Conseil

    Les clusters de calcul mettent à l’échelle les nœuds du cluster dynamiquement selon les besoins. Nous recommandons de laisser le nombre minimum de nœuds à 0 pour réduire les coûts lorsque le cluster n’est pas utilisé.

    Capture d’écran des paramètre d’un nouveau cluster de calcul

  7. Dans le studio, sélectionnez Calcul, Instance de calcul, puis + Nouveau.

    Capture d’écran du flux de travail d’une nouvelle instance de calcul

  8. Dans la boîte de dialogue Machine virtuelle, entrez un nom d’ordinateur unique et sélectionnez Suivant : Paramètres avancés.

    Capture d’écran des paramètres de machine virtuelle de l’instance de calcul

  9. Dans la boîte de dialogue Paramètres avancés, définissez le sous-réseau sur Formation, puis sélectionnez Créer.

    Capture d’écran des paramètres de l’instance de calcul

Conseil

Lorsque vous créez un cluster de calcul ou une instance de calcul, Azure Machine Learning ajoute dynamiquement un groupe de sécurité réseau (NSG). Ce groupe de sécurité réseau contient les règles suivantes, qui sont spécifiques au cluster de calcul et à l’instance de calcul :

  • Autoriser le trafic TCP entrant sur les ports 29876-29877 depuis l’étiquette de service BatchNodeManagement.
  • Autoriser le trafic TCP entrant sur le port 44224 depuis l’étiquette de service AzureMachineLearning.

La capture d’écran suivante présente un exemple de ces règles :

Capture d’écran de NSG

Pour plus d’informations sur la création d’un cluster de calcul et d’une instance de calcul, y compris sur la façon de le faire avec Python et l’interface CLI, consultez les articles suivants :

Configurer des builds d’image

S’APPLIQUE À :Extension Azure ML CLI v2 (actuelle)

Lorsqu’Azure Container Registry se trouve derrière le réseau virtuel, Azure Machine Learning ne peut pas l’utiliser pour générer directement des images Docker (utilisées pour la formation et le déploiement). Au lieu de cela, configurez l’espace de travail pour utiliser le cluster de calcul que vous avez créé précédemment. Utilisez les étapes suivantes pour créer un cluster de calcul et configurer l’espace de travail pour l’utiliser afin de générer des images :

  1. Accédez à https://shell.azure.com/ pour ouvrir Azure Cloud Shell.

  2. À partir de Cloud Shell, utilisez la commande suivante pour installer l’interface CLI 2.0 pour Azure Machine Learning :

    az extension add -n ml
    
  3. Pour mettre à jour l’espace de travail afin d’utiliser le cluster de calcul pour générer des images Docker : Remplacez docs-ml-rg par votre groupe de ressources. Remplacez docs-ml-ws par votre espace de travail. Remplacez cpu-cluster par le cluster de calcul à utiliser :

    az ml workspace update \
      -n myworkspace \
      -g myresourcegroup \
      -i mycomputecluster
    

    Notes

    Vous pouvez utiliser le même cluster de calcul pour effectuer l’apprentissage de modèles et générer des images Docker pour l’espace de travail.

Utiliser l'espace de travail

Important

Les étapes décrites dans cet article placent Azure Container Registry derrière le réseau virtuel. Dans cette configuration, vous ne pouvez pas déployer un modèle dans Azure Container Instances à l’intérieur du réseau virtuel. Nous vous déconseillons d’utiliser Azure Container Instances avec Azure Machine Learning dans un réseau virtuel. Pour plus d’informations, consultez Sécuriser l’environnement d’inférence (SDK/CLI v1).

En guise d’alternative à Azure Container Instances, essayez les points de terminaison en ligne managés Azure Machine Learning. Pour plus d’informations, consultez Activer l’isolement réseau pour les points de terminaison en ligne managés.

À ce stade, vous pouvez utiliser le studio pour travailler de manière interactive avec les notebooks sur l’instance de calcul et exécuter des tâches de formation sur le cluster de calcul. Pour obtenir un didacticiel sur l’utilisation de l’instance de calcul et du cluster de calcul, consultez Tutoriel : Azure Machine Learning en un jour.

Arrêter l’instance de calcul et le serveur de rebond

Avertissement

Tant qu’ils sont en cours d’exécution (démarrés), l’instance de calcul et le serveur de rebond continuent de facturer votre abonnement. Pour éviter tout coût excessif, arrêtez-les lorsqu’ils ne sont pas utilisés.

Le cluster de calcul effectue une mise à l’échelle dynamique entre le nombre de nœuds minimum et maximum défini lors de sa création. Si vous avez accepté les valeurs par défaut, la valeur minimale est 0, ce qui a pour effet de désactiver le cluster en cas de non-utilisation.

Arrêter l’instance de calcul

Dans le studio, sélectionnez Calcul, Clusters de calcul, puis sélectionnez l’instance de calcul. Enfin, sélectionnez Arrêter en haut de la page.

Capture d’écran du bouton Arrêter de l’instance de calcul

Arrêter le serveur de rebond

Une fois qu’elle a été créée, sélectionnez la machine virtuelle dans le portail Azure, puis utilisez le bouton Arrêter. Lorsque vous êtes prêt à l’utiliser à nouveau, utilisez le bouton Démarrer pour la démarrer.

Capture d’écran du bouton Arrêter de la machine virtuelle

Vous pouvez également configurer le serveur de rebond pour qu’il s’arrête automatiquement à une heure précise. Pour ce faire, sélectionnez Arrêt automatique, Activer, définissez une heure, puis sélectionnez Enregistrer.

Capture d’écran de l’option d’arrêt automatique

Nettoyer les ressources

Si vous prévoyez de continuer à utiliser l’espace de travail sécurisé et les autres ressources, passez cette section.

Pour supprimer toutes les ressources créées dans ce tutoriel, procédez comme suit :

  1. Dans le portail Azure, sélectionnez Groupes de ressources tout à gauche.

  2. Dans la liste, sélectionnez le groupe de ressources que vous avez créé dans ce tutoriel.

  3. Sélectionnez Supprimer le groupe de ressources.

    Capture d’écran du bouton Supprimer le groupe de ressources

  4. Entrez le nom du groupe de ressources, puis sélectionnez Supprimer.

Étapes suivantes

Maintenant que vous avez créé un espace de travail sécurisé et que vous pouvez accéder à Studio, découvrez comment déployer un modèle sur un point de terminaison en ligne avec isolation réseau.