Oktatóanyag: Biztonságos munkaterület létrehozása sablonnal

A sablonok kényelmes módot nyújtanak a reprodukálható szolgáltatástelepítések létrehozására. A sablon határozza meg, hogy mit kell létrehozni, és a sablon használatakor megadott néhány információval. Megadhat például egy egyedi nevet egy Azure Machine Learning-munkaterületnek.

Ebben az oktatóanyagban megtudhatja, hogyan hozhat létre Egy Azure-beli virtuális hálózatot Microsoft Bicep - vagy Hashicorp Terraform-sablonnal , amely mögött az alábbi Azure-erőforrások vannak biztosítva.

• Azure Machine Learning-munkaterület
  • Azure Machine Learning számítási példány
  • Azure Machine Learning számítási fürt
• Azure Storage-fiók
• Azure Key Vault
• Azure Application Insights
• Azure Container Registry
• Azure Bastion-gazdagép
• Azure Machine Learning Adattudomány virtuális gép (DSVM)

A Bicep-sablon emellett létrehoz egy Azure Kubernetes Service-fürtöt és egy külön erőforráscsoportot az AKS-fürthöz.

Tipp.

A cikkben ismertetett lépések helyett használhatja az Azure Machine Learning által felügyelt virtuális hálózatokat . Felügyelt virtuális hálózat esetén az Azure Machine Learning kezeli a munkaterület és a felügyelt számítások hálózati elkülönítésének feladatát. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.

A Bicep- vagy Terraform-információk megtekintéséhez válassza a Bicep vagy a Terraform fület a következő szakaszokban.

Előfeltételek

• Azure-előfizetés az Azure Machine Learning ingyenes vagy fizetős verziójával. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

• A Git telepítve van a fejlesztői környezetben a sablontárház klónozásához. Ha nem rendelkezik a paranccsal, telepítheti a git Gitet a következőből https://git-scm.com/: .

• Azure CLI- vagy Azure PowerShell-parancssor.

Bicep

• A Bicep fejlesztési és üzembehelyezési környezetek beállítása szerint telepített Azure CLI- vagy Azure PowerShell Bicep-parancssori eszközök.

• A Bicep-sablont tartalmazó GitHub-adattár az Azure Machine Learning végpontok közötti biztonságos beállítását tartalmazza, helyileg klónozva, és az alábbi parancsok futtatásával váltott erre:

  git clone https://github.com/Azure/azure-quickstart-templates
  cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
  

Terraform

• A Terraform telepítve, konfigurálva és hitelesítve van az Azure-előfizetésében az alábbi cikkek egyikének lépéseivel:

  • Azure Cloud Shell
  • Windows Bash-lel
  • Windows az Azure PowerShell-lel

• Az Azure Machine Learning-munkaterület Terraform-sablont tartalmazó GitHub-adattár (közepesen biztonságos hálózat beállítása), helyileg klónozva és az alábbi parancsok futtatásával váltva:

  git clone https://github.com/Azure/terraform
  cd terraform/quickstart/201-machine-learning-moderately-secure
  

A sablon ismertetése

Bicep

A Bicep-sablon a main.bicep és más *.bicep fájlokból áll a modulok alkönyvtárában. Az alábbi táblázat az egyes fájlok felelősségét ismerteti:

Fájl	Leírás
main.bicep	Paramétereket és változókat ad át a modulok alkönyvtárában lévő többi modulnak.
vnet.bicep	Meghatározza az Azure-beli virtuális hálózatot és az alhálózatokat.
nsg.bicep	Meghatározza a virtuális hálózat hálózati biztonsági csoportjának szabályait.
bastion.bicep	Meghatározza az Azure Bastion-gazdagépet és az alhálózatot. Az Azure Bastion lehetővé teszi egy virtuális gép (VM) egyszerű elérését a virtuális hálózaton belül a webböngésző használatával.
dsvmjumpbox.bicep	Meghatározza a DSVM-et. Az Azure Bastion segítségével a webböngészőn keresztül érheti el ezt a virtuális gépet.
storage.bicep	Meghatározza a munkaterület által az alapértelmezett tároláshoz használt Azure Storage-fiókot.
keyvault.bicep	Meghatározza a munkaterület által használt Azure Key Vaultot.
containerregistry.bicep	Meghatározza a munkaterület által használt Azure Container Registryt.
applicationinsights.bicep	Meghatározza a munkaterület által használt Azure-alkalmazás Insights-példányt.
machinelearningnetworking.bicep	Meghatározza a munkaterület privát végpontjait és DNS-zónáit.
machinelearning.bicep	Meghatározza az Azure Machine Learning-munkaterületet.
machinelearningcompute.bicep	Definiál egy Azure Machine Learning számítási fürtöt és számítási példányt.
privateaks.bicep	Definiál egy AKS-fürtpéldányt.

Fontos

Minden Azure-szolgáltatás saját API-verziókkal rendelkezik. Előfordulhat, hogy a példasablonok nem a legújabb API-verziókat használják az Azure Machine Learninghez és más erőforrásokhoz. A sablon használata előtt módosítania kell a legújabb API-verziók használatára.

Az adott szolgáltatás API-jára vonatkozó információkért tekintse meg a szolgáltatásinformációkat az Azure REST API-referenciában. Az Azure Machine Learning API legújabb verziójával kapcsolatos információkért tekintse meg az Azure Machine Learning REST API-t.

Az API-verzió frissítéséhez keresse meg az Microsoft.MachineLearningServices/<resource> erőforrástípus bejegyzését, és frissítse a legújabb verzióra.

Terraform

A Terraform-sablon több fájlból áll. Az alábbi táblázat az egyes fájlok felelősségét ismerteti:

Fájl	Leírás
variables.tf	A sablon által használt változókat és alapértelmezett értékeket határozza meg.
main.tf	Megadja az Azure Resource Manager-szolgáltatót, és meghatározza az erőforráscsoportot.
network.tf	Meghatározza az Azure-beli virtuális hálózatot, alhálózatokat és hálózati biztonsági csoportokat (NSG).
bastion.tf	Meghatározza az Azure Bastion-gazdagépet és a társított NSG-t. Az Azure Bastion lehetővé teszi a virtuális hálózaton belüli virtuális gépek egyszerű elérését a webböngésző használatával.
dsvm.tf	Meghatározza a DSVM-et. Az Azure Bastion segítségével a webböngészőn keresztül érheti el ezt a virtuális gépet.
workspace.tf	Meghatározza az Azure Machine Learning-munkaterületet, beleértve az Azure Storage, a Key Vault, az Application Insights és a Container Registry függő erőforrásait is.
compute.tf	Definiál egy Azure Machine Learning számítási példányt és -fürtöt.

Tipp.

A Terraform Azure-szolgáltató további argumentumokat támogat, amelyeket ez az oktatóanyag nem használ. A környezeti argumentum lehetővé teszi például a 21Vianet által üzemeltetett felhőrégiók, például az Azure Government és a Microsoft Azure megcélzását.

Fontos

A DSVM és az Azure Bastion egyszerűen csatlakozhat az oktatóanyag biztonságos munkaterületéhez. Éles környezetben jobb, ha egy Azure VPN-átjáró vagy az Azure ExpressRoute használatával közvetlenül a helyszíni hálózatról éri el a virtuális hálózaton belüli erőforrásokat.

A sablon konfigurálása

Bicep

A Bicep-sablon üzembe helyezéséhez győződjön meg arról, hogy a machine-learning-end-to-end-secure könyvtárban található a main.bicep fájl, és futtassa a következő parancsokat:

1. Új Azure-erőforráscsoport létrehozásához futtassa a következő példaparancsot egy erőforráscsoport nevére és <location> a használni kívánt Azure-régióra cserélve<myrgname>.

   • Azure CLI:

     az group create --name <myrgname> --location <location>
     

   • Azure PowerShell:

     New-AzResourceGroup -Name <myrgname> -Location <location>
     

2. A sablon üzembe helyezéséhez használja a következő parancsot, cserélje le <myrgname> a létrehozott erőforráscsoport nevére és <pref> egy egyedi előtagra, amelyet a szükséges erőforrások létrehozásakor használhat. Cserélje le <mydsvmpassword> a DSVM jump-box bejelentkezési fiók biztonságos jelszavára, amely az alábbi példákban található azureadmin .

   Tipp.

   A prefix karakternek öt vagy kevesebb karakternek kell lennie, és nem lehet teljesen numerikus, és nem tartalmazhat olyan karaktereket~!, amelyek , , @, #, (&=)*+^%$_[;|:\.}'"{]<>,/vagy .?

   • Azure CLI:

     az deployment group create \
         --resource-group <myrgname> \
         --template-file main.bicep \
         --parameters \
         prefix=<pref> \
         dsvmJumpboxUsername=azureadmin \
         dsvmJumpboxPassword=<mydsvmpassword>
     

   • Azure PowerShell:

     $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
     New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
         -TemplateFile ./main.bicep `
         -prefix "<pref>" `
         -dsvmJumpboxUsername "azureadmin" `
         -dsvmJumpboxPassword $dsvmPassword
     

     Figyelmeztetés

     Ne használjon egyszerű szöveges sztringeket a szkriptekben vagy a parancssorban. Az egyszerű szöveg megjeleníthető az eseménynaplókban és a parancselőzményekben. További információ: ConvertTo-SecureString.

Terraform

A Terraform-sablon üzembe helyezéséhez győződjön meg arról, hogy a 201-machine-learning-moderately-secure könyvtárban van, ahol a sablonfájlok találhatók, és futtassa a következő parancsokat.

1. A Terraform használatához a címtár inicializálásához használja a következő parancsot:

   terraform init
   

2. Konfiguráció létrehozásához használja az alábbi parancsot. -var A paraméterek használatával állítsa be a sablon által használt változók értékeit. A változók teljes listáját a variables.tf fájlban találja.

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   A parancs befejeződése után a konfiguráció megjelenik a terminálban. Ha újra meg szeretné jeleníteni, használja a terraform show azureml.tfplan parancsot.

3. A sablon üzembe helyezéséhez és a mentett konfiguráció Azure-előfizetésre való alkalmazásához használja a következő parancsot:

   terraform apply azureml.tfplan
   

   A folyamat sablonfolyamatként jelenik meg.

Fontos

A DSVM és a számítási erőforrások az általuk futtatott óránként számláznak. A többletköltségek elkerülése érdekében le kell állítania ezeket az erőforrásokat, ha nincsenek használatban. További információért tekintse át az alábbi cikkeket:

• Virtuális gépek (Linux) létrehozása/kezelése.
• Virtuális gépek létrehozása/kezelése (Windows).
• Számítási példány létrehozása.

Csatlakozás a munkaterülethez

Az üzembe helyezés befejezése után a következő lépésekkel csatlakozhat a DSVM-hez:

1. Az Azure Portalon válassza ki a sablonhoz használt Azure-erőforráscsoportot. Ezután válassza ki a sablon által létrehozott DSVM-et. Ha nem találja, a szűrők szakaszban szűrheti a típust a virtuális gépre.

   

2. A DSVM Áttekintés lapján válassza a Csatlakozás lehetőséget, majd a legördülő listából válassza a Csatlakozás a Bastionon keresztül lehetőséget.

   

3. Amikor a rendszer kéri, adja meg a sablon konfigurálásakor megadott felhasználónevet és virtuálisgép-jelszót, majd válassza a Csatlakozás lehetőséget.

   Fontos

   Amikor először csatlakozik a DSVM asztali verziójához, megnyílik egy PowerShell-ablak, és futtat egy szkriptet. A következő lépés folytatása előtt engedélyezze a szkript befejezését.

4. A DSVM asztali verziójában indítsa el a Microsoft Edge-et, és adja meg https://ml.azure.com a címet. Jelentkezzen be az Azure-előfizetésbe, majd válassza ki a létrehozott munkaterületet. Megjelenik a munkaterület stúdiója.

Hibaelhárítás

A következő hiba akkor fordulhat elő, ha a DSVM jump box neve nagyobb 15 karakternél, vagy a következő karakterek egyikét tartalmazza: ~, , !, @, #,)(*&=^%$+_|\;}:{.'][<>"/vagy .?

Hiba: A Windows-számítógép neve nem lehet hosszabb 15 karakternél, nem lehet teljes szám, vagy a következő karaktereket tartalmazza ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' ' , <> / ?.

Bicep

A Bicep-sablon programozott módon hozza létre a jump box nevét a sablonhoz megadott előtagérték használatával. Ha meg szeretné győződni arról, hogy a név nem haladja meg a 15 karaktert, vagy érvénytelen karaktereket tartalmaz, használjon öt vagy kevesebb karakterből álló előtagot, és ne használja a karaktereket ~!, , @, (,)*&^=%$#+_|\;}:{.'][<>"/vagy .?

Terraform

A Terraform-sablon a paraméter használatával adja át a dsvm_name jump box nevét. A hiba elkerülése érdekében használjon 15 karakternél rövidebb nevet, és ne használja a karaktereket ~, !, @, ,(*)&^%=#:;$]{[}_\".|+<>', /vagy .?

Kapcsolódó tartalom

Az Azure Machine Learning használatának folytatásához tekintse meg az Azure Machine Learning használatának első lépéseit ismertető rövid útmutatót.

A biztonságos munkaterület általános konfigurációiról és bemeneti/kimeneti követelményeiről az Azure Machine Learning biztonságos munkaterületi forgalomfolyamatában olvashat bővebben.