Oktatóanyag: Biztonságos munkaterület létrehozása felügyelt virtuális hálózattal

  • Cikk

Ebből a cikkből megtudhatja, hogyan hozhat létre és csatlakozhat biztonságos Azure Machine Learning-munkaterülethez. A cikkben ismertetett lépések egy Azure Machine Learning által felügyelt virtuális hálózat használatával hoznak létre egy biztonsági határt az Azure Machine Learning által használt erőforrások körül.

Ebben az oktatóanyagban a következő feladatokat hajtja végre:

  • Felügyelt virtuális hálózat használatára konfigurált Azure Machine Learning-munkaterület létrehozása.
  • Azure Machine Learning számítási fürt létrehozása. A számítási fürtök a gépi tanulási modellek felhőbeli betanításához használatosak.

Az oktatóanyag elvégzése után a következő architektúrával fog rendelkezni:

  • Egy Azure Machine Learning-munkaterület, amely privát végpontot használ a felügyelt hálózattal való kommunikációhoz.
  • Egy Azure Storage-fiók, amely privát végpontokat használ a tárolószolgáltatások, például blobok és fájlok számára a felügyelt hálózat használatával történő kommunikációhoz.
  • Privát végpontot használó Azure Container Registry a felügyelt hálózat használatával kommunikálnak.
  • Egy Azure-Key Vault, amely privát végpontot használ a felügyelt hálózattal való kommunikációhoz.
  • A felügyelt hálózat által védett Azure Machine Learning számítási példány és számítási fürt.

Előfeltételek

Jump box (VM) létrehozása

A biztonságos munkaterülethez többféleképpen is csatlakozhat. Ebben az oktatóanyagban egy jump boxot használunk. A jump box egy Azure-Virtual Network virtuális gép. Ehhez a webböngésző és az Azure Bastion használatával csatlakozhat.

Az alábbi táblázat számos egyéb módszert sorol fel, amelyekkel csatlakozhat a biztonságos munkaterülethez:

Metódus Leírás
Azure VPN Gateway Helyszíni hálózatokat csatlakoztat egy Azure-Virtual Network privát kapcsolaton keresztül. A munkaterület privát végpontja ezen a virtuális hálózaton belül jön létre. A kapcsolat a nyilvános interneten keresztül történik.
ExpressRoute A helyszíni hálózatokat privát kapcsolaton keresztül csatlakoztatja a felhőhöz. A kapcsolat egy kapcsolatszolgáltató használatával jön létre.

Fontos

VPN-átjáró vagy ExpressRoute használatakor meg kell terveznie, hogyan működik a névfeloldás a helyszíni erőforrások és a felhőbeli erőforrások között. További információ: Egyéni DNS-kiszolgáló használata.

Az alábbi lépésekkel létrehozhat egy ugrómezőként használható Azure-beli virtuális gépet. Ezután a virtuális gép asztaláról a virtuális gép böngészőjével csatlakozhat a felügyelt virtuális hálózaton belüli erőforrásokhoz, például Azure Machine Learning stúdió. Vagy telepíthet fejlesztői eszközöket a virtuális gépre.

Tipp

A következő lépések egy Windows 11 vállalati virtuális gépet hoznak létre. A követelményektől függően érdemes lehet másik virtuálisgép-rendszerképet választani. A Windows 11 (vagy 10) vállalati rendszerkép akkor hasznos, ha csatlakoztatnia kell a virtuális gépet a szervezet tartományához.

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be a Virtuális gép kifejezést. Válassza ki a Virtuális gép bejegyzést, majd válassza a Létrehozás lehetőséget.

  2. Az Alapszintű beállítások lapon válassza ki az előfizetést, az erőforráscsoportot és a régiót a szolgáltatás létrehozásához. Adja meg az alábbi mezők értékeit:

    • Virtuális gép neve: A virtuális gép egyedi neve.

    • Felhasználónév: A virtuális gépre való bejelentkezéshez használt felhasználónév.

    • Jelszó: A felhasználónév jelszava.

    • Biztonsági típus: Standard.

    • Kép: Windows 11 Enterprise.

      Tipp

      Ha Windows 11 Enterprise nem szerepel a képkijelölési listában, használja az Összes kép megtekintése_ lehetőséget. Keresse meg a Microsoft Windows 11 bejegyzését, és a Kiválasztás legördülő listából válassza ki a vállalati rendszerképet.

    Más mezőket az alapértelmezett értékeknél hagyhat.

    Képernyőkép a virtuális gép alapszintű konfigurációjáról.

  3. Válassza a Hálózat lehetőséget. Tekintse át a hálózati információkat, és győződjön meg arról, hogy nem a 172.17.0.0/16 IP-címtartományt használja. Ha igen, válasszon másik tartományt, például 172.16.0.0/16; A 172.17.0.0/16 tartomány ütközéseket okozhat a Dockerrel.

    Megjegyzés

    Az Azure-beli virtuális gép saját Azure-Virtual Network hoz létre a hálózatelkülönítéshez. Ez a hálózat elkülönül az Azure Machine Learning által használt felügyelt virtuális hálózattól.

    A virtuális gép hálózatkezelés lapjának képernyőképe.

  4. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

Az Azure Bastion engedélyezése a virtuális gépen

Az Azure Bastion lehetővé teszi, hogy a böngészőn keresztül csatlakozzon a virtuális gép asztalához.

  1. A Azure Portal válassza ki a korábban létrehozott virtuális gépet. A lap Műveletek szakaszában válassza a Bastion elemet, majd a Bastion üzembe helyezését.

    Képernyőkép a Bastion üzembe helyezéséről.

  2. A Bastion szolgáltatás üzembe helyezése után megjelenik egy kapcsolati oldal. Hagyja meg ezt a párbeszédpanelt egyelőre.

Munkaterület létrehozása

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be az Azure Machine Learning kifejezést. Válassza ki az Azure Machine Learning bejegyzést, majd válassza a Létrehozás lehetőséget.

  2. Az Alapszintű beállítások lapon válassza ki az előfizetést, az erőforráscsoportot és a régiót a szolgáltatás létrehozásához. Adjon meg egy egyedi nevet a munkaterület nevének. Hagyja a többi mezőt az alapértelmezett értéken; a szükséges szolgáltatások új példányai jönnek létre a munkaterülethez.

    Képernyőkép a munkaterület-létrehozási űrlapról.

  3. A Hálózatkezelés lapon válassza a Privát, internetes kimenő kapcsolattal lehetőséget.

    Képernyőkép a munkaterület hálózatlapról, amelyen ki van jelölve az internetes kimenő forgalom.

  4. A Hálózat lapMunkaterület bejövő hozzáférés szakaszában válassza a + Hozzáadás lehetőséget.

    Képernyőkép a bejövő hozzáférés hozzáadás gombjáról.

  5. A Privát végpont létrehozása űrlapon adjon meg egy egyedi értéket a Név mezőben. Válassza ki a virtuális géppel korábban létrehozott virtuális hálózatot , és válassza ki az alapértelmezett alhálózatot. A többi mezőt hagyja az alapértelmezett értéken. A végpont mentéséhez kattintson az OK gombra .

    Képernyőkép a privát végpont létrehozása űrlapról.

  6. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

  7. A munkaterület létrehozása után válassza az Erőforrás megnyitása lehetőséget.

Csatlakozás a virtuális gép asztalához

  1. A Azure Portal válassza ki a korábban létrehozott virtuális gépet.

  2. A Csatlakozás szakaszban válassza a Bastion lehetőséget. Adja meg a virtuális géphez konfigurált felhasználónevet és jelszót, majd válassza a Csatlakozás lehetőséget.

    Képernyőkép a Bastion connect űrlapról.

Csatlakozás a studióhoz

Ezen a ponton létrejött a munkaterület, de a felügyelt virtuális hálózat nem. A felügyelt virtuális hálózat a munkaterület létrehozásakor van konfigurálva , de addig nem jön létre, amíg létre nem hozza az első számítási erőforrást, vagy manuálisan ki nem építi.

Számítási példány létrehozásához kövesse az alábbi lépéseket.

  1. A virtuális gép asztalán nyissa meg a Azure Machine Learning stúdió a böngészőben, és válassza ki a korábban létrehozott munkaterületet.

  2. A studióban válassza a Számítás, a Számítási példányok, majd az + Új lehetőséget.

    Képernyőkép az új számítási lehetőségről a studióban.

  3. A Szükséges beállítások konfigurálása párbeszédpanelen adjon meg egy egyedi értéket a Számítási név mezőben. Hagyja meg a többi kijelölést az alapértelmezett értéken.

  4. Válassza a Létrehozás lehetőséget. A számítási példány létrehozása eltarthat néhány percig. A számítási példány a felügyelt hálózaton belül jön létre.

    Tipp

    Az első számítási erőforrás létrehozása több percet is igénybe vehet. Ez a késés azért fordul elő, mert a felügyelt virtuális hálózat is létrejön. A felügyelt virtuális hálózat csak az első számítási erőforrás létrehozása után jön létre. A későbbi felügyelt számítási erőforrások sokkal gyorsabban jönnek létre.

Studio-hozzáférés engedélyezése a tárterülethez

Mivel a Azure Machine Learning stúdió részben az ügyfél webböngészőjében fut, az ügyfélnek közvetlenül hozzá kell férnie a munkaterület alapértelmezett tárfiókhoz az adatműveletek elvégzéséhez. Ennek engedélyezéséhez kövesse az alábbi lépéseket:

  1. A Azure Portal válassza ki a korábban létrehozott jump box virtuális gépet. Az Áttekintés szakaszban másolja ki a nyilvános IP-címet.

  2. A Azure Portal válassza ki a korábban létrehozott munkaterületet. Az Áttekintés szakaszban válassza ki a Storage bejegyzés hivatkozását.

  3. A tárfiókban válassza a Hálózatkezelés lehetőséget, és adja hozzá a jump box nyilvános IP-címét a Tűzfal szakaszhoz.

    Tipp

    Ha a jump box helyett VPN-átjárót vagy ExpressRoute-ot használ, hozzáadhat egy privát végpontot vagy szolgáltatásvégpontot a tárfiókhoz az Azure Virtual Network. Privát végpont vagy szolgáltatásvégpont használata lehetővé teszi, hogy az Azure Virtual Network keresztül csatlakozó több ügyfél sikeresen elvégezhesse a tárolási műveleteket a studióban.

    Ezen a ponton a studióval interaktívan dolgozhat a számítási példány jegyzetfüzeteivel, és betanítási feladatokat futtathat. Az oktatóanyagért lásd : Oktatóanyag: Modellfejlesztés.

Számítási példány leállítása

Miközben fut (elindult), a számítási példány továbbra is díjat számít fel az előfizetésért. A többletköltségek elkerülése érdekében állítsa le , ha nincs használatban.

A studióban válassza a Számítás, Számítási példányok lehetőséget, majd válassza ki a számítási példányt. Végül válassza a Leállítás lehetőséget a lap tetején.

Képernyőkép a számítási példány leállítás gombjáról

Az erőforrások eltávolítása

Ha továbbra is használni szeretné a biztonságos munkaterületet és más erőforrásokat, hagyja ki ezt a szakaszt.

Az oktatóanyagban létrehozott összes erőforrás törléséhez kövesse az alábbi lépéseket:

  1. A Azure Portal válassza az Erőforráscsoportok lehetőséget.

  2. A listában válassza ki az oktatóanyagban létrehozott erőforráscsoportot.

  3. Válassza az Erőforráscsoport törlése elemet.

    Képernyőkép az erőforráscsoport törlése gombról

  4. Adja meg az erőforráscsoport nevét, majd válassza a Törlés lehetőséget.

Következő lépések

Most, hogy létrehozott egy biztonságos munkaterületet, és hozzáférhet a studióhoz, megtudhatja, hogyan helyezhet üzembe egy modellt egy hálózati elkülönítéssel rendelkező online végponton.

A felügyelt virtuális hálózattal kapcsolatos további információkért lásd : Munkaterület védelme felügyelt virtuális hálózattal.