Biztonságos munkaterület létrehozása

  • Cikk
  • 18 perc alatt elolvasható

Ebből a cikkből megtudhatja, hogyan hozhat létre és csatlakozhat biztonságos Azure Machine Learning-munkaterülethez. A biztonságos munkaterületek az Azure Virtual Network használatával hoznak létre egy biztonsági határt az Azure Machine Learning által használt erőforrások körül.

Ebben az oktatóanyagban a következő feladatokat hajtja végre:

  • Hozzon létre egy Azure Virtual Network (VNet) a virtuális hálózat szolgáltatásai közötti kommunikáció biztonságossá tételéhez.
  • Hozzon létre egy Azure Storage-fiókot (blobot és fájlt) a virtuális hálózat mögött. A rendszer ezt a szolgáltatást használja a munkaterület alapértelmezett tárolójaként.
  • Hozzon létre egy Azure-Key Vault a virtuális hálózat mögött. Ez a szolgáltatás a munkaterület által használt titkos kulcsok tárolására szolgál. Például a tárfiók eléréséhez szükséges biztonsági információk.
  • Hozzon létre egy Azure Container Registry (ACR). Ez a szolgáltatás a Docker-rendszerképek adattáraként használatos. A Docker-rendszerképek biztosítják a gépi tanulási modellek betanításához vagy a betanított modellek végpontként való üzembe helyezéséhez szükséges számítási környezeteket.
  • Azure Machine Learning-munkaterület létrehozása.
  • Hozzon létre egy jump boxot. A jump box egy Azure-beli virtuális gép, amely a virtuális hálózat mögött található. Mivel a virtuális hálózat korlátozza a nyilvános internetről való hozzáférést, a jump box segítségével csatlakozhat a virtuális hálózat mögötti erőforrásokhoz.
  • Konfigurálja a Azure Machine Learning stúdió, hogy egy virtuális hálózat mögött működjön. A stúdió webes felületet biztosít az Azure Machine Learninghez.
  • Azure Machine Learning számítási fürt létrehozása. A számítási fürtök a gépi tanulási modellek felhőbeli betanításához használatosak. Azokban a konfigurációkban, ahol Azure Container Registry a virtuális hálózat mögött található, Docker-rendszerképek készítésére is használható.
  • Csatlakozzon a jump boxhoz, és használja a Azure Machine Learning stúdió.

Tipp

Ha olyan sablont (Microsoft Bicep vagy Hashicorp Terraform) keres, amely bemutatja, hogyan hozhat létre biztonságos munkaterületet, tekintse meg az Oktatóanyag – Biztonságos munkaterület létrehozása sablonnal című témakört.

Az oktatóanyag elvégzése után a következő architektúrával fog rendelkezni:

  • Egy Azure Virtual Network, amely három alhálózatot tartalmaz:
    • Oktatás: Az Azure Machine Learning-munkaterületet, a függőségi szolgáltatásokat és a betanítási modellekhez használt erőforrásokat tartalmazza.
    • Pontozás: Az oktatóanyag lépéseit nem használja a rendszer. Ha azonban továbbra is ezt a munkaterületet használja más oktatóanyagokhoz, javasoljuk, hogy használja ezt az alhálózatot, amikor modelleket helyez üzembe a végpontokon.
    • AzureBastionSubnet: Az Azure Bastion szolgáltatással biztonságosan csatlakoztathatók az ügyfelek az Azure Virtual Machines.
  • Egy Azure Machine Learning-munkaterület, amely privát végpontot használ a virtuális hálózat használatával történő kommunikációhoz.
  • Egy Azure Storage-fiók, amely privát végpontokat használ a tárolószolgáltatások, például a blobok és a fájlok virtuális hálózattal való kommunikációjának engedélyezéséhez.
  • Privát végpontot használó Azure Container Registry a virtuális hálózat használatával kommunikálnak.
  • Azure Bastion, amely lehetővé teszi, hogy a böngésző használatával biztonságosan kommunikáljon a jump box virtuális géppel a virtuális hálózaton belül.
  • Egy Azure-beli virtuális gép, amelyhez távolról csatlakozhat, és hozzáférhet a virtuális hálózaton belül védett erőforrásokhoz.
  • Egy Azure Machine Learning számítási példány és számítási fürt.

Tipp

A diagramon látható Azure Batch szolgáltatás egy háttérszolgáltatás, amelyet a számítási fürtök és a számítási példányok igényelnek.

Az oktatóanyag során létrehozott végső architektúra ábrája.

Előfeltételek

  • Az Azure-beli virtuális hálózatok és az IP-hálózatkezelés ismerete. Ha nem ismeri, próbálja ki a számítógép-hálózatkezelés alapjai modult.
  • Bár a cikkben szereplő lépések többsége a Azure Portal vagy a Azure Machine Learning stúdió használja, egyes lépések a Machine Learning v2-hez készült Azure CLI-bővítményt használják.

Virtuális hálózat létrehozása

Virtuális hálózat létrehozásához kövesse az alábbi lépéseket:

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be a Virtual Network kifejezést a keresőmezőbe. Jelölje ki a Virtual Network bejegyzést, majd válassza a Létrehozás lehetőséget.

    Az erőforrás létrehozása felhasználói felületének keresése

    Virtuális hálózat létrehozása

  2. Az Alapvető beállítások lapon válassza ki az erőforráshoz használni kívánt Azure-előfizetést, majd válasszon ki vagy hozzon létre egy új erőforráscsoportot. A Példány részletei területen adjon meg egy rövid nevet a virtuális hálózatnak, és válassza ki azt a régiót , amelyben létre szeretné hozni.

    Az alapszintű virtuális hálózati konfiguráció képe

  3. Válassza a Biztonság elemet. Válassza az Azure Bastion engedélyezéséhez lehetőséget. Az Azure Bastion biztonságos módot biztosít a virtuális hálózatban egy későbbi lépésben létrehozott virtuálisgép-jump box eléréséhez. Használja a következő értékeket a többi mezőhöz:

    • Bastion neve: A Bastion-példány egyedi neve
    • Nyilvános IP-cím: Hozzon létre egy új nyilvános IP-címet.

    Hagyja meg a többi mezőt az alapértelmezett értéken.

    Képernyőkép a Bastion konfigurációról.

  4. Válassza az IP-címek lehetőséget. Az alapértelmezett beállításoknak az alábbi ábrához hasonlónak kell lenniük:

    Alapértelmezett IP-cím képernyő.

    Az alábbi lépésekkel konfigurálhatja az IP-címet, és konfigurálhat egy alhálózatot az erőforrások betanításához és pontozásához:

    Tipp

    Bár egyetlen alhálózatot használhat az összes Azure Machine Learning-erőforráshoz, a cikk lépései bemutatják, hogyan hozhat létre két alhálózatot a betanítási & pontozási erőforrások elkülönítéséhez.

    A munkaterület és más függőségi szolgáltatások a betanítási alhálózatba kerülnek. Más alhálózatokon, például a pontozó alhálózaton lévő erőforrások továbbra is használhatják őket.

    1. Tekintse meg az alapértelmezett IPv4-címtérértéket . A képernyőképen az érték 172.16.0.0/16. Az érték eltérhet Az Ön számára. Bár más értéket is használhat, az oktatóanyag többi lépése a 172.16.0.0/16 értéken alapul.

      Fontos

      Nem javasoljuk a 172.17.0.0/16 IP-címtartomány használatát a virtuális hálózathoz. Ez a Docker-hídhálózat által használt alapértelmezett alhálózati tartomány. Más tartományok is ütközhetnek attól függően, hogy mit szeretne csatlakoztatni a virtuális hálózathoz. Ha például a helyszíni hálózatot a virtuális hálózathoz szeretné csatlakoztatni, és a helyszíni hálózat a 172.16.0.0/16 tartományt is használja. Végső soron Önnek kell megterveznie a hálózati infrastruktúrát.

    2. Jelölje ki az Alapértelmezett alhálózatot, majd válassza az Alhálózat eltávolítása lehetőséget.

      Képernyőkép az alapértelmezett alhálózat törléséről.

    3. Ha létre szeretne hozni egy alhálózatot, amely tartalmazza a betanításhoz használt munkaterületet, függőségi szolgáltatásokat és erőforrásokat, válassza a + Alhálózat hozzáadása lehetőséget, és adja meg az alhálózat nevét, a kezdőcímet és az alhálózat méretét. Az oktatóanyagban az alábbi értékeket használjuk:

      • Név: Oktatás
      • Kezdőcím: 172.16.0.0
      • Alhálózat mérete: /24 (256 cím)

      Képernyőkép a Betanítás alhálózatról.

    4. Ha alhálózatot szeretne létrehozni a modellek pontozásához használt számítási erőforrásokhoz, válassza ismét a + Alhálózat hozzáadása lehetőséget, és adja meg a nevet és a címtartományt:

      • Alhálózat neve: Pontozás
      • Kezdőcím: 172.16.1.0
      • Alhálózat mérete: /24 (256 cím)

      Képernyőkép a pontozási alhálózatról.

    5. Ha alhálózatot szeretne létrehozni az Azure Bastionhoz, válassza a + Alhálózat hozzáadása lehetőséget, és állítsa be a sablont, a kezdőcímet és az alhálózat méretét:

      • Alhálózati sablon: Azure Bastion
      • Kezdőcím: 172.16.2.0
      • Alhálózat mérete: /26 (64 cím)

      Képernyőkép az Azure Bastion-alhálózatról.

  5. Válassza az Áttekintés + létrehozás lehetőséget.

    Képernyőkép a felülvizsgálat + létrehozás gombról

  6. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

    Képernyőkép a véleményezési oldalról

Tárfiók létrehozása

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be a Tárfiók kifejezést. Válassza ki a Tárfiók bejegyzést, majd válassza a Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon válassza ki a virtuális hálózathoz korábban használt előfizetést, erőforráscsoportot és régiót . Adjon meg egy egyedi tárfióknevet, és állítsa a Redundancia értékét helyileg redundáns tárolásra (LRS).

    A tárfiók alapszintű konfigurációjának képe

  3. A Hálózat lapon válassza a Privát végpont , majd a + Privát végpont hozzáadása lehetőséget.

    Felhasználói felület a blob privát hálózatának hozzáadásához

  4. A Privát végpont létrehozása űrlapon használja a következő értékeket:

    • Előfizetés: Ugyanaz az Azure-előfizetés, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Erőforráscsoport: Ugyanaz az Azure-erőforráscsoport, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Hely: Ugyanaz az Azure-régió, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Név: A privát végpont egyedi neve.
    • Cél alerőforrás: blob
    • Virtuális hálózat: A korábban létrehozott virtuális hálózat.
    • Alhálózat: Képzés (172.16.0.0/24)
    • saját DNS integráció: Igen
    • saját DNS zóna: privatelink.blob.core.windows.net

    Válassza az OK gombot a privát végpont létrehozásához.

  5. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

  6. A tárfiók létrehozása után válassza az Erőforrás megnyitása lehetőséget:

    Ugrás az új tárolási erőforrásra

  7. A bal oldali navigációs sávon válassza a Hálózatkezelés a Privát végpont kapcsolatai lapot, majd válassza a + Privát végpont lehetőséget:

    Megjegyzés

    Bár az előző lépésekben privát végpontot hozott létre a Blob Storage-hoz, létre kell hoznia egyet a Fájltárolóhoz is.

    Felhasználói felület a tárfiókok hálózatkezeléséhez

  8. A Privát végpont létrehozása űrlapon használja ugyanazt az előfizetést, erőforráscsoportot és régiót , amelyet a korábbi erőforrásokhoz használt. Adjon meg egy egyedi nevet.

    Felhasználói felület a fájl privát végpontjának hozzáadásához

  9. Válassza a Tovább: Erőforrás lehetőséget, majd a Cél alerőforrás beállítást fájlként.

    Adja hozzá a

  10. Válassza a Tovább: Konfiguráció lehetőséget, majd használja a következő értékeket:

    • Virtuális hálózat: A korábban létrehozott hálózat
    • Alhálózat: Betanítás
    • Integrálás privát DNS-zónával: Igen
    • saját DNS zóna: privatelink.file.core.windows.net

    Felhasználói felület a fájl privát végpontjának konfigurálásához

  11. Válassza a Felülvizsgálat és létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

Tipp

Ha kötegelt végpontot vagy ParallelRunStepet használó Azure Machine Learning-folyamatot szeretne használni, a privát végpontok célvárólista- és tábla-alerőforrásait is konfigurálnia kell. A ParallelRunStep az üzenetsort és a táblát használja a feladatütemezéshez és -küldéshez.

Kulcstartó létrehozása

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be Key Vault. Jelölje ki a Key Vault bejegyzést, majd válassza a Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon válassza ki a virtuális hálózathoz korábban használt előfizetést, erőforráscsoportot és régiót . Adjon meg egy egyedi Key Vault-nevet. Hagyja meg a többi mezőt az alapértelmezett értéken.

    Új kulcstartó létrehozása

  3. A Hálózat lapon válassza a Privát végpont , majd a + Hozzáadás lehetőséget.

    Key Vault-hálózatkezelés

  4. A Privát végpont létrehozása űrlapon használja a következő értékeket:

    • Előfizetés: Ugyanaz az Azure-előfizetés, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Erőforráscsoport: Ugyanaz az Azure-erőforráscsoport, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Hely: Ugyanaz az Azure-régió, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Név: A privát végpont egyedi neve.
    • Cél alerőforrás: Tároló
    • Virtuális hálózat: A korábban létrehozott virtuális hálózat.
    • Alhálózat: Képzés (172.16.0.0/24)
    • saját DNS integráció: Igen
    • saját DNS zóna: privatelink.vaultcore.azure.net

    Válassza az OK gombot a privát végpont létrehozásához.

    Kulcstartó privát végpontjának konfigurálása

  5. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

Tárolóregisztrációs adatbázis létrehozása

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be a Container Registry kifejezést. Válassza ki a Tárolóregisztrációs adatbázis bejegyzést, majd válassza a Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon válassza ki a virtuális hálózathoz korábban használt előfizetést, erőforráscsoportot és helyet . Adjon meg egy egyedi beállításjegyzék-nevet , és állítsa a termékváltozatotPrémium értékre.

    Tárolóregisztrációs adatbázis létrehozása

  3. A Hálózat lapon válassza a Privát végpont , majd a + Hozzáadás lehetőséget.

    Tárolóregisztrációs adatbázis hálózatkezelése

  4. A Privát végpont létrehozása űrlapon használja a következő értékeket:

    • Előfizetés: Ugyanaz az Azure-előfizetés, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Erőforráscsoport: Ugyanaz az Azure-erőforráscsoport, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Hely: Ugyanaz az Azure-régió, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Név: A privát végpont egyedi neve.
    • Cél alerőforrás: beállításjegyzék
    • Virtuális hálózat: A korábban létrehozott virtuális hálózat.
    • Alhálózat: Képzés (172.16.0.0/24)
    • saját DNS integráció: Igen
    • saját DNS zóna: privatelink.azurecr.io

    Válassza az OK gombot a privát végpont létrehozásához.

    Tárolóregisztrációs adatbázis privát végpontja konfigurálása

  5. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

  6. A tárolóregisztrációs adatbázis létrehozása után válassza az Erőforrás megnyitása lehetőséget.

    Válassza az

  7. A lap bal oldalán válassza a Hozzáférési kulcsok lehetőséget, majd engedélyezze Rendszergazda felhasználót. Erre a beállításra akkor van szükség, ha Azure Container Registry használ egy virtuális hálózaton belül az Azure Machine Learning használatával.

    A rendszergazdai felhasználó kapcsolójának képernyőképe

Munkaterület létrehozása

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza az + Erőforrás létrehozása lehetőséget, majd írja be a Machine Learning kifejezést. Válassza a Machine Learning bejegyzést, majd a Létrehozás lehetőséget.

    {alt-text}

  2. Az Alapvető beállítások lapon válassza ki a virtuális hálózathoz korábban használt előfizetést, erőforráscsoportot és régiót . Használja a következő értékeket a többi mezőhöz:

    • Munkaterület neve: A munkaterület egyedi neve.
    • Tárfiók: Válassza ki a korábban létrehozott tárfiókot.
    • Kulcstartó: Válassza ki a korábban létrehozott kulcstartót.
    • Application insights: Használja az alapértelmezett értéket.
    • Tárolóregisztrációs adatbázis: Használja a korábban létrehozott tárolóregisztrációs adatbázist.

    Alapszintű munkaterület-konfiguráció

  3. A Hálózat lapon válassza a Privát végpont , majd a + hozzáadás lehetőséget.

    Munkaterület hálózatkezelése

  4. A Privát végpont létrehozása űrlapon használja a következő értékeket:

    • Előfizetés: Ugyanaz az Azure-előfizetés, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Erőforráscsoport: Ugyanaz az Azure-erőforráscsoport, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Hely: Ugyanaz az Azure-régió, amely a korábban létrehozott erőforrásokat tartalmazza.
    • Név: A privát végpont egyedi neve.
    • Cél alerőforrás: amlworkspace
    • Virtuális hálózat: A korábban létrehozott virtuális hálózat.
    • Alhálózat: Képzés (172.16.0.0/24)
    • saját DNS integráció: Igen
    • saját DNS zóna: Hagyja a két privát DNS-zónát a privatelink.api.azureml.ms és a privatelink.notebooks.azure.net alapértelmezett értékén.

    Válassza az OK gombot a privát végpont létrehozásához.

    A munkaterület magánhálózati konfigurációjának képernyőképe

  5. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

  6. A munkaterület létrehozása után válassza az Erőforrás megnyitása lehetőséget.

  7. A bal oldali Beállítások szakaszban válassza a Privát végponti kapcsolatok lehetőséget, majd a Privát végpont oszlopban válassza a hivatkozást:

    Képernyőkép a munkaterület privát végponti kapcsolatairól

  8. A privát végpont adatainak megjelenése után válassza a DNS-konfiguráció lehetőséget a lap bal oldalán. Mentse az IP-címet és a teljes tartománynévvel (FQDN) kapcsolatos információkat ezen a lapon, mivel azokat később fogjuk használni.

    KÉPERNYŐKÉP AZ IP- és az FQDN-bejegyzésekről

Fontos

A munkaterület teljes használatához még szükség van néhány konfigurációs lépésre. Ezekhez azonban csatlakoznia kell a munkaterülethez.

A studio engedélyezése

Azure Machine Learning stúdió egy webalapú alkalmazás, amely lehetővé teszi a munkaterület egyszerű kezelését. Azonban további konfigurációra van szüksége ahhoz, hogy a virtuális hálózaton belül biztonságos erőforrásokkal lehessen használni. A studio engedélyezéséhez kövesse az alábbi lépéseket:

  1. Ha privát végponttal rendelkező Azure Storage-fiókot használ, adja hozzá a munkaterület szolgáltatásnevét olvasóként a privát tárvégpont(ok) számára. A Azure Portal válassza ki a tárfiókot, majd válassza a Hálózatkezelés lehetőséget. Ezután válassza a Privát végponti kapcsolatok lehetőséget.

    Privát tárolóvégpontok képernyőképe

  2. A felsorolt privát végpontok esetében kövesse az alábbi lépéseket:

    1. Válassza ki a hivatkozást a Privát végpont oszlopban.

      A kiválasztandó végpontok képernyőképe

    2. A bal oldalon válassza az Access control (IAM) lehetőséget.

    3. Válassza a + Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása (előzetes verzió) lehetőséget.

      Hozzáférés-vezérlési (IAM) lap, amelyen meg van nyitva a Szerepkör-hozzárendelés hozzáadása menü.

    4. A Szerepkör lapon válassza az Olvasó lehetőséget.

      Szerepkör-hozzárendelés hozzáadása lap, amelyen a Szerepkör lap van kijelölve.

    5. A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget a Hozzáférés hozzárendelése területen, majd válassza a + Tagok kiválasztása lehetőséget. A Tagok kiválasztása párbeszédpanelen adja meg a nevet Azure Machine Learning-munkaterületként. Válassza ki a munkaterület szolgáltatásnevét, majd használja a Kiválasztás gombot.

    6. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

Az Azure Monitor és az Application Insights védelme

Megjegyzés

Az Azure Monitor és az Application Insights biztonságossá tételével kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:

  1. A Azure Portal válassza ki az Azure Machine Learning-munkaterületet. Az Áttekintés területen válassza az Application Insights hivatkozást.

    Képernyőkép az Application Insights hivatkozásról.

  2. Az Application Insights tulajdonságai területen ellenőrizze a MUNKATERÜLET bejegyzést, és ellenőrizze, hogy tartalmaz-e értéket. Ha nem, válassza a Migrálás munkaterület-alapúra lehetőséget, válassza ki a használni kívánt előfizetést és Log Analytics-munkaterületet , majd válassza az Alkalmaz lehetőséget.

    Képernyőkép a munkaterület-alapúra migrálandó hivatkozásról.

  3. A Azure Portal válassza a Kezdőlap lehetőséget, majd keresse meg a Privát hivatkozást. Válassza ki az Azure Monitor Private Link Hatókör találatot, majd válassza a Létrehozás lehetőséget.

  4. Az Alapvető beállítások lapon válassza ki ugyanazt az előfizetési, erőforráscsoport- és erőforráscsoport-régiót , mint az Azure Machine Learning-munkaterület. Adja meg a példány nevét , majd válassza az Áttekintés + Létrehozás lehetőséget. A példány létrehozásához válassza a Létrehozás lehetőséget.

  5. Az Azure Monitor Private Link Scope-példány létrehozása után válassza ki a példányt a Azure Portal. A Konfigurálás szakaszban válassza az Azure Monitor-erőforrások , majd a + Hozzáadás lehetőséget.

    Képernyőkép a Hozzáadás gombról.

  6. A Hatókör kiválasztása területen a szűrőkkel válassza ki az Application Insights-példányt az Azure Machine Learning-munkaterülethez. A példány hozzáadásához válassza az Alkalmaz lehetőséget.

  7. A Konfigurálás szakaszban válassza a Privát végponti kapcsolatok , majd a + Privát végpont lehetőséget.

    Képernyőkép a Privát végpont hozzáadása gombról.

  8. Válassza ki ugyanazt az előfizetést, erőforráscsoportot és régiót , amely a virtuális hálózatot tartalmazza. Válassza a Tovább: Erőforrás lehetőséget.

    Képernyőkép az Azure Monitor privát végpontjainak alapjairól.

  9. Válassza ki Microsoft.insights/privateLinkScopes az erőforrástípust. Válassza ki a korábban létrehozott Private Link hatókört erőforrásként. Válassza ki azuremonitor a Cél alerőforrást. Végül válassza a Tovább: Virtual Network lehetőséget a folytatáshoz.

    Képernyőkép az Azure Monitor privát végponti erőforrásairól.

  10. Válassza ki a korábban létrehozott virtuális hálózatot és a Betanítás alhálózatot. Válassza a Tovább gombot, amíg meg nem érkezik a Véleményezés + Létrehozás elemre. A privát végpont létrehozásához válassza a Létrehozás lehetőséget.

    Képernyőkép az Azure Monitor privát végponthálózatáról.

  11. A privát végpont létrehozása után térjen vissza az Azure Monitor Private Link Scope erőforráshoz a portálon. A Konfigurálás szakaszban válassza a Hozzáférési módok lehetőséget. Válassza a Csak privát lehetőséget a Betöltési hozzáférési mód és a Lekérdezési hozzáférési mód beállításnál, majd válassza a Mentés lehetőséget.

    Képernyőkép a privát kapcsolat hatókörének hozzáférési módjairól.

Csatlakozás a munkaterülethez

A biztonságos munkaterülethez többféleképpen is csatlakozhat. A cikkben ismertetett lépések egy jump boxot használnak, amely egy virtuális gép a virtuális hálózaton. Ehhez a webböngésző és az Azure Bastion használatával csatlakozhat. Az alábbi táblázat felsorolja a biztonságos munkaterülethez való csatlakozás további módjait:

Metódus Leírás
Azure VPN Gateway A helyszíni hálózatokat privát kapcsolaton keresztül csatlakoztatja a virtuális hálózathoz. A kapcsolat a nyilvános interneten keresztül történik.
ExpressRoute A helyszíni hálózatokat privát kapcsolaton keresztül csatlakoztatja a felhőhöz. A kapcsolat kapcsolatszolgáltatóval jön létre.

Fontos

VPN-átjáró vagy ExpressRoute használatakor meg kell terveznie, hogyan működik a névfeloldás a helyszíni erőforrások és a virtuális hálózatban lévők között. További információ: Egyéni DNS-kiszolgáló használata.

Jump box (virtuális gép) létrehozása

Az alábbi lépésekkel létrehozhat egy Azure-beli virtuális gépet, amelyet jump boxként használhat. Az Azure Bastion lehetővé teszi, hogy a böngészőn keresztül csatlakozzon a virtuális gép asztalához. A virtuális gép asztalán a virtuális gép böngészője segítségével csatlakozhat a virtuális hálózaton belüli erőforrásokhoz, például Azure Machine Learning stúdió. Vagy telepíthet fejlesztői eszközöket a virtuális gépre.

Tipp

Az alábbi lépések egy Windows 11 vállalati virtuális gépet hoznak létre. A követelményektől függően érdemes lehet másik virtuálisgép-rendszerképet választania. A Windows 11 (vagy 10) vállalati rendszerkép akkor hasznos, ha a virtuális gépet a szervezet tartományához kell csatlakoztatnia.

  1. A Azure Portal válassza ki a portál menüjét a bal felső sarokban. A menüben válassza a + Erőforrás létrehozása lehetőséget, majd írja be a Virtuális gép kifejezést. Jelölje ki a Virtuális gép bejegyzést, majd válassza a Létrehozás lehetőséget.

  2. Az Alapok lapon válassza ki a virtuális hálózathoz korábban használt előfizetést, erőforráscsoportot és régiót . Adja meg az alábbi mezők értékeit:

    • Virtuális gép neve: A virtuális gép egyedi neve.

    • Felhasználónév: A virtuális gépre való bejelentkezéshez használt felhasználónév.

    • Jelszó: A felhasználónév jelszava.

    • Biztonsági típus: Standard.

    • Kép: Windows 11 Nagyvállalati verzió.

      Tipp

      Ha Windows 11 Nagyvállalati verzió nem szerepel a képkijelölési listában, használja az Összes kép megtekintése_ lehetőséget. Keresse meg a Microsoft Windows 11 bejegyzését, és válassza ki a Vállalati rendszerképet a Kiválasztás legördülő listából.

    Más mezőket az alapértelmezett értékeknél hagyhat.

    A virtuális gép alapkonfigurációjának képe

  3. Válassza a Hálózat lehetőséget, majd válassza ki a korábban létrehozott virtuális hálózatot . A többi mező beállításához használja az alábbi információkat:

    • Válassza a Betanítás alhálózatot.
    • Állítsa a nyilvános IP-címetNincs értékre.
    • Hagyja meg a többi mezőt az alapértelmezett értéken.

    A virtuális gép hálózati konfigurációjának képe

  4. Válassza az Áttekintés + létrehozás lehetőséget. Ellenőrizze, hogy az adatok helyesek-e, majd válassza a Létrehozás lehetőséget.

Csatlakozás a jump boxhoz

  1. A virtuális gép létrehozása után válassza az Erőforrás megnyitása lehetőséget.

  2. A lap tetején válassza a Csatlakozás , majd a Bastion lehetőséget.

    A connect/bastion felhasználói felület képe

  3. Válassza a Bastion használata lehetőséget, majd adja meg a virtuális gép hitelesítési adatait, és létrejön egy kapcsolat a böngészőben.

    A use bastion párbeszédpanel képe

Számítási fürt és számítási példány létrehozása

A betanítási feladatok számítási fürtöt használnak. A számítási példányok Jupyter Notebook élményt nyújtanak a munkaterülethez csatolt megosztott számítási erőforráson.

  1. Egy Azure Bastion-kapcsolatról a jump boxba nyissa meg a Microsoft Edge böngészőt a távoli asztalon.

  2. A távoli böngésző munkamenetében nyissa meg a következőt https://ml.azure.com: . Amikor a rendszer kéri, végezze el a hitelesítést a Azure AD fiókjával.

  3. Az Üdvözöljük a studióban! képernyőn válassza ki a korábban létrehozott Machine Learning-munkaterületet , majd válassza az Első lépések lehetőséget.

    Tipp

    Ha Azure AD fiókja több előfizetéshez vagy címtárhoz is hozzáfér, a Címtár és előfizetés legördülő menüben válassza ki a munkaterületet tartalmazó fiókot.

    Képernyőkép a munkaterület kiválasztása párbeszédpanelről

  4. A studióban válassza a Számítás, a Számítási fürtök, majd az + Új lehetőséget.

    Képernyőkép az új számítási fürt munkafolyamatáról

  5. A Virtuális géppárbeszédpanelen válassza a Tovább gombot az alapértelmezett virtuálisgép-konfiguráció elfogadásához.

    Képernyőkép a számítási fürt virtuálisgép-beállításairól

  6. A Beállítások konfigurálása párbeszédpanelen adja meg a cpu-fürtnevet számítási névként. Állítsa az alhálózatotBetanítás értékre, majd válassza a Létrehozás lehetőséget a fürt létrehozásához.

    Tipp

    A számítási fürtök szükség szerint dinamikusan méretezik a fürt csomópontjait. Javasoljuk, hogy hagyja meg a csomópontok minimális számát 0-nál, hogy csökkentse a költségeket, ha a fürt nincs használatban.

    Képernyőkép az új számítási fürt beállításairól

  7. A studióban válassza a Számítás, a Számítási példány, majd az + Új lehetőséget.

    Képernyőkép az új számítási példány munkafolyamatáról

  8. A Virtuális gép párbeszédpanelen adjon meg egy egyedi számítógépnevet , majd válassza a Tovább: Speciális beállítások lehetőséget.

    Képernyőkép a számítási példány virtuálisgép-beállításairól

  9. A Speciális beállítások párbeszédpanelen állítsa be az AlhálózatotBetanítás értékre, majd válassza a Létrehozás lehetőséget.

    Képernyőkép a számítási példány beállításairól

Tipp

Számítási fürt vagy számítási példány létrehozásakor az Azure Machine Learning dinamikusan hozzáad egy hálózati biztonsági csoportot (NSG- t). Ez az NSG a következő szabályokat tartalmazza, amelyek a számítási fürtre és a számítási példányra vonatkoznak:

  • Engedélyezze a bejövő TCP-forgalmat a szolgáltatáscímke 29876-29877-ös portján BatchNodeManagement .
  • Engedélyezze a bejövő TCP-forgalmat a 44224-s porton a AzureMachineLearning szolgáltatáscímkéből.

Az alábbi képernyőkép az alábbi szabályokra mutat példát:

Az NSG képernyőképe

A számítási fürt és a számítási fürt létrehozásával kapcsolatos további információkért, beleértve a Pythonnal és a parancssori felülettel való használatát, tekintse meg az alábbi cikkeket:

Kép buildjeinek konfigurálása

A KÖVETKEZŐKRE VONATKOZIK:Azure CLI ml extension v2 (aktuális)

Ha Azure Container Registry a virtuális hálózat mögött van, az Azure Machine Learning nem használhatja közvetlenül Docker-rendszerképek létrehozására (betanításhoz és üzembe helyezéshez). Ehelyett konfigurálja a munkaterületet a korábban létrehozott számítási fürt használatára. A következő lépésekkel hozzon létre egy számítási fürtöt, és konfigurálja a munkaterületet a rendszerképek létrehozásához:

  1. Lépjen az https://shell.azure.com/ Azure Cloud Shell megnyitásához.

  2. A Cloud Shell a következő paranccsal telepítse az Azure Machine Learning 2.0 parancssori felületét:

    az extension add -n ml

  3. A munkaterület frissítéséhez használja a számítási fürtöt Docker-rendszerképek létrehozásához. Cserélje le a elemet docs-ml-rg az erőforráscsoportra. Cserélje le a elemet docs-ml-ws a munkaterületre. Cserélje le a elemet cpu-cluster a használni kívánt számítási fürtre:

    az ml workspace update \
  -n myworkspace \
  -g myresourcegroup \
  -i mycomputecluster

    Megjegyzés

    Ugyanazt a számítási fürtöt használhatja modellek betanítása és Docker-rendszerképek létrehozása a munkaterülethez.

A munkaterület használata

Fontos

A cikkben ismertetett lépések Azure Container Registry a virtuális hálózat mögé helyezik. Ebben a konfigurációban nem helyezhet üzembe modellt a virtuális hálózaton belüli Azure Container Instances. Nem javasoljuk, hogy virtuális hálózaton használja a Azure Container Instances az Azure Machine Learning szolgáltatással. További információ: A következtetési környezet védelme (SDK/CLI v1).

A Azure Container Instances alternatívaként próbálja ki az Azure Machine Learning által felügyelt online végpontokat. További információ: Hálózatelkülönítés engedélyezése felügyelt online végpontokhoz.

Ezen a ponton a studióval interaktívan dolgozhat a számítási példány jegyzetfüzeteivel, és betanítási feladatokat futtathat a számítási fürtön. A számítási példány és a számítási fürt használatával kapcsolatos oktatóanyagért lásd : Oktatóanyag: Azure Machine Learning egy nap alatt.

Számítási példány leállítása és ugrás mező

Figyelmeztetés

Amíg fut (elindult), a számítási példány és a jump box továbbra is díjat számít fel az előfizetésért. A többletköltségek elkerülése érdekében állítsa le őket, ha nincsenek használatban.

A számítási fürt dinamikusan méretezhető a létrehozáskor beállított minimális és maximális csomópontszám között. Ha elfogadta az alapértelmezett értékeket, a minimális érték 0, ami gyakorlatilag kikapcsolja a fürtöt, ha nincs használatban.

A számítási példány leállítása

A studióban válassza a Számítás, Számítási fürtök lehetőséget, majd válassza ki a számítási példányt. Végül válassza a Leállítás lehetőséget a lap tetején.

Képernyőkép a számítási példány leállítás gombjáról

Állítsa le a jump boxot

Miután létrejött, válassza ki a virtuális gépet a Azure Portal, majd használja a Leállítás gombot. Ha készen áll az újbóli használatra, a Start gombra kattintva indítsa el.

Képernyőkép a virtuális gép leállítás gombjáról

A jump boxot úgy is konfigurálhatja, hogy egy adott időpontban automatikusan leálljon. Ehhez válassza az Automatikus leállítás, engedélyezés, időpont beállítása, majd a Mentés lehetőséget.

Képernyőkép az automatikus leállítási lehetőségről

Az erőforrások eltávolítása

Ha továbbra is használni szeretné a biztonságos munkaterületet és más erőforrásokat, hagyja ki ezt a szakaszt.

Az oktatóanyagban létrehozott összes erőforrás törléséhez kövesse az alábbi lépéseket:

  1. Az Azure Portalon válassza az Erőforráscsoportok lehetőséget a bal szélen.

  2. A listából válassza ki az oktatóanyagban létrehozott erőforráscsoportot.

  3. Válassza az Erőforráscsoport törlése elemet.

    Képernyőkép az Erőforráscsoport törlése gombról

  4. Adja meg az erőforráscsoport nevét, majd válassza a Törlés lehetőséget.

Következő lépések

Most, hogy létrehozott egy biztonságos munkaterületet, és hozzáférhet a studióhoz, megtudhatja, hogyan helyezhet üzembe egy modellt egy hálózati elkülönítéssel rendelkező online végponton.