Tutorial: Procedimientos para crear un área de trabajo segura mediante una plantilla
Las plantillas proporcionan una manera cómoda de crear implementaciones de servicio reproducibles. La plantilla define lo que se va a crear, con información que se proporciona al usar la plantilla. Por ejemplo, debes especificar un nombre único para un área de trabajo de Azure Machine Learning.
En este tutorial, descubrirás cómo usar una plantilla de Microsoft Bicep o de Hashicorp Terraform para crear una red virtual de Azure con los siguientes recursos de Azure protegidos subyacentes.
- Área de trabajo de Azure Machine Learning
- Instancia de proceso de Azure Machine Learning
- Clúster de proceso de Azure Machine Learning
- Cuenta de Azure Storage
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Host de Azure Bastion
- Data Science Virtual Machine (DSVM) de Azure Machine Learning
La plantilla de Bicep también crea un clúster de Azure Kubernetes Service (AKS) y un grupo de recursos independiente para este clúster.
Sugerencia
Puedes usar redes virtuales administradas de Azure Machine Learning en lugar de los pasos descritos en este artículo. Con una red virtual administrada, Azure Machine Learning se hace cargo del trabajo de aislamiento de red para el área de trabajo y los procesos administrados. También puede agregar puntos de conexión privados para los recursos necesarios para el área de trabajo, como la cuenta de Azure Storage. Para más información, consulte Aislamiento de red gestionada del área de trabajo.
Para ver la información de Bicep o Terraform, selecciona las pestañas Bicep o Terraform en las secciones siguientes.
Requisitos previos
Una suscripción de Azure con una versión gratuita o de pago de Azure Machine Learning. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Git instalado en el entorno de desarrollo para clonar el repositorio de plantillas. Si no tienes el comando
git, puedes instalar Git desde https://git-scm.com/.Una CLI de Azure o una línea de comandos de Azure PowerShell.
La CLI de Azure o las herramientas de línea de comandos de Bicep de Azure PowerShell instaladas según Configuración de entornos de desarrollo e implementación de Bicep.
El repositorio de GitHub que contiene la plantilla de Bicep Configuración segura de un extremo a otro de Azure Machine Learning, clonada localmente y cambiada ejecutando los siguientes comandos:
git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Descripción de la plantilla
La plantilla de Bicep se compone de main.bicep y otros archivos *.bicep en el subdirectorio modules. En la tabla siguiente se describe de qué es responsable cada archivo:
| Archivo | Descripción |
|---|---|
| main.bicep | Pasa los parámetros y variables a otros módulos del subdirectorio modules. |
| vnet.bicep | Define la red virtual y las subredes de Azure. |
| nsg.bicep | Define las reglas del grupo de seguridad de red para la red virtual. |
| bastion.bicep | Define el host y la subred de Azure Bastion. Azure Bastion permite acceder fácilmente a una máquina virtual (VM) dentro de la red virtual mediante el explorador web. |
| dsvmjumpbox.bicep | Define DSVM. Se usa Azure Bastion para acceder a esta máquina virtual a través del explorador web. |
| storage.bicep | Define la cuenta de Azure Storage que usa el área de trabajo para el almacenamiento predeterminado. |
| keyvault.bicep | Define la instancia de Azure Key Vault utilizada por el área de trabajo. |
| containerregistry.bicep | Define la instancia de Azure Container Registry utilizada por el área de trabajo. |
| applicationinsights.bicep | Define la instancia de Azure Application Insights que usa el área de trabajo. |
| machinelearningnetworking.bicep | Define los puntos de conexión privados y las zonas del Sistema de nombres de dominio (DNS) para el área de trabajo. |
| machinelearning.bicep | Define el área de trabajo de Azure Machine Learning. |
| machinelearningcompute.bicep | Define un clúster de proceso de Azure Machine Learning y una instancia de proceso. |
| privateaks.bicep | Define una instancia de clúster de AKS. |
Importante
Cada servicio de Azure tiene su propio conjunto de versiones de API. Es posible que las plantillas de ejemplo no usen las versiones más recientes de la API para Azure Machine Learning y otros recursos. Antes de usar la plantilla, debes modificarla para usar las versiones más recientes de la API.
Para obtener información sobre la API de un servicio específico, compruebe la información del servicio en la referencia de la API REST de Azure. Para obtener información sobre la versión más reciente de la API de Azure Machine Learning, consulta API REST de Azure Machine Learning.
Para actualizar la versión de la API, busque la entrada Microsoft.MachineLearningServices/<resource> del tipo de recurso y actualícela a la versión más reciente.
Importante
DSVM y Azure Bastion son formas sencillas de conectarse al área de trabajo protegida para este tutorial. En un entorno de producción, es mejor usar una instancia de Azure VPN Gateway o Azure ExpressRoute para acceder a los recursos dentro de la red virtual directamente desde la red local.
Configuración de la plantilla
Para implementar la plantilla de Bicep, asegúrate de que te encuentras en el directorio machine-learning-end-to-end-secure donde se encuentra el archivo main.bicep y ejecuta los comandos siguientes:
Para crear un grupo de recursos de Azure, ejecuta el siguiente comando de ejemplo, reemplazando
<myrgname>por un nombre de grupo de recursos y<location>por la región de Azure que quieres usar.CLI de Azure:
az group create --name <myrgname> --location <location>Azure PowerShell:
New-AzResourceGroup -Name <myrgname> -Location <location>
Para implementar la plantilla, usa el comando siguiente, reemplazando
<myrgname>por el nombre del grupo de recursos que creaste y<pref>por un prefijo único que se usará al crear los recursos necesarios. Reemplaza<mydsvmpassword>por una contraseña segura para la cuenta de inicio de sesión de jumpbox de DSVM, que esazureadminen los ejemplos siguientes.Sugerencia
prefixdebe tener como máximo cinco caracteres y no puede ser totalmente numérico ni contener los caracteres~,!,@,#,$,%,^,&,*,(,),=,+,_,[,],{,},\,|,;,:,.,',",,,<,>,/o?.CLI de Azure:
az deployment group create \ --resource-group <myrgname> \ --template-file main.bicep \ --parameters \ prefix=<pref> \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=<mydsvmpassword>Azure PowerShell:
$dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force New-AzResourceGroupDeployment -ResourceGroupName <myrgname> ` -TemplateFile ./main.bicep ` -prefix "<pref>" ` -dsvmJumpboxUsername "azureadmin" ` -dsvmJumpboxPassword $dsvmPasswordAdvertencia
Debes evitar el uso de cadenas de texto sin formato en el script o desde la línea de comandos. El texto sin formato puede aparecer en los registros de eventos y el historial de comandos. Para más información, consulte ConvertTo-SecureString.
Importante
DSVM y los recursos de proceso se facturan por las horas que se ejecutan. Para evitar cargos excesivos, debes detener estos recursos cuando no estén en uso. Vea los siguientes artículos para más información:
Conexión a un área de trabajo
Una vez completada la implementación, sigue los pasos siguientes para conectarse a DSVM:
En Azure Portal, selecciona el grupo de recursos de Azure que usaste con la plantilla. Después, selecciona la instancia de DSVM que creó la plantilla. Si tiene problemas para encontrarlo, use la sección de filtros para filtrar el tipo por máquina virtual.
En la página Información general de DSVM, selecciona Conectar y luego Conectar mediante Bastion en la lista desplegable.
Cuando se te solicite, proporciona el nombre de usuario y la Contraseña de VM que especificaste al configurar la plantilla y, después, selecciona Conectar.
Importante
La primera vez que te conectas al escritorio de DSVM, se abre una ventana de PowerShell y se ejecuta un script. Permite que el script se complete antes de continuar con el paso siguiente.
En el escritorio de DSVM, inicie Microsoft Edge y escriba https://ml.azure.com como dirección. Inicia sesión en tu suscripción de Azure y luego selecciona el área de trabajo que ha creado la plantilla. Se muestra el estudio para el área de trabajo.
Solución de problemas
El error siguiente puede producirse cuando el nombre del jumpbox de DSVM tiene más de 15 caracteres o incluye uno de los siguientes caracteres: ~, !, @, #, $, %, ^, &, *, (, ), =, +, _, [, ], {, }, \, |, ;, :, ., ', ", ,, <, >, / o ?.
Error: El nombre del equipo Windows no puede tener más de 15 caracteres, ser solamente numérico, ni contener los caracteres siguientes: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.
La plantilla de Bicep genera el nombre del jumpbox mediante programación mediante el valor de prefijo proporcionado a la plantilla. Para asegurarte de que el nombre no supera los 15 caracteres y que no contiene caracteres no válidos, usa un prefijo que tenga como máximo 5 caracteres y que no use los siguientes caracteres: ~, !, @, #, $, %, ^, &, *, (, ), =, +, _, [, ], {, }, \, |, ;, :, ., ', ", ,, <, >, / o ?.
Contenido relacionado
Para continuar con la introducción a Azure Machine Learning, consulta Inicio rápido: Introducción a Azure Machine Learning.
Para más información sobre las configuraciones comunes de áreas de trabajo seguras y los requisitos de entrada y salida, consulte Flujo de tráfico del área de trabajo segura de Azure Machine Learning.
Comentarios
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte: https://aka.ms/ContentUserFeedback.
Enviar e ver os comentarios