Tutorial: Cara membuat ruang kerja yang aman dengan menggunakan templat

Templat menyediakan cara yang mudah untuk membuat penyebaran layanan yang dapat direproduksi. Templat menentukan apa yang harus dibuat, dengan beberapa informasi yang Anda berikan saat Anda menggunakan templat. Misalnya, Anda menentukan nama unik untuk ruang kerja Azure Pembelajaran Mesin.

Dalam tutorial ini, Anda mempelajari cara menggunakan templat Microsoft Bicep atau Hashicorp Terraform untuk membuat jaringan virtual Azure dengan sumber daya Azure berikut yang diamankan di belakangnya.

• Ruang kerja Azure Pembelajaran Mesin
  • Instans komputasi Azure Machine Learning
  • Kluster komputasi Azure Machine Learning
• Akun Azure Storage
• Azure Key Vault
• Azure Application Insights
• Azure Container Registry
• Host Azure Bastion
• Azure Pembelajaran Mesin Ilmu Data Virtual Machine (DSVM)

Templat Bicep juga membuat kluster Azure Kubernetes Service (AKS), dan grup sumber daya terpisah untuk kluster AKS.

Tip

Anda dapat menggunakan Azure Pembelajaran Mesin jaringan virtual terkelola alih-alih langkah-langkah dalam artikel ini. Dengan jaringan virtual terkelola, Azure Pembelajaran Mesin menangani pekerjaan isolasi jaringan untuk ruang kerja Dan komputasi terkelola Anda. Anda juga dapat menambahkan titik akhir privat untuk sumber daya yang diperlukan oleh ruang kerja, seperti Akun Azure Storage. Untuk informasi selengkapnya, lihat Isolasi jaringan terkelola Ruang Kerja.

Untuk melihat informasi Bicep atau Terraform, pilih tab Bicep atau Terraform di bagian berikut.

Prasyarat

• Langganan Azure dengan versi gratis atau berbayar Azure Pembelajaran Mesin. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

• Git diinstal pada lingkungan pengembangan Anda untuk mengkloning repositori templat. Jika Anda tidak memiliki git perintah , Anda dapat menginstal Git dari https://git-scm.com/.

• Baris perintah Azure CLI atau Azure PowerShell.

Bicep

• Alat baris perintah Azure CLI atau Azure PowerShell Bicep diinstal sesuai dengan Menyiapkan lingkungan pengembangan dan penyebaran Bicep.

• Repositori GitHub yang berisi templat Bicep Azure Pembelajaran Mesin penyiapan aman end-to-end, dikloning secara lokal dan dialihkan dengan menjalankan perintah berikut:

  git clone https://github.com/Azure/azure-quickstart-templates
  cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
  

Terraform

• Terraform diinstal, dikonfigurasi, dan diautentikasi ke langganan Azure Anda dengan menggunakan langkah-langkah di salah satu artikel berikut:

  • Azure Cloud Shell
  • Windows dengan Bash
  • Windows dengan Azure PowerShell

• Repositori GitHub yang berisi templat Terraform Ruang kerja Azure Pembelajaran Mesin (penyiapan jaringan yang cukup aman), dikloning secara lokal dan dialihkan dengan menjalankan perintah berikut:

  git clone https://github.com/Azure/terraform
  cd terraform/quickstart/201-machine-learning-moderately-secure
  

Memahami templat

Bicep

Templat Bicep terdiri dari file main.bicep dan *.bicep lainnya dalam subdirektori modul. Tabel berikut menjelaskan peran setiap file:

File	Deskripsi
main.bicep	Meneruskan parameter dan variabel ke modul lain dalam subdirektori modul .
vnet.bicep	Menentukan jaringan virtual Azure dan subnet.
nsg.bicep	Menentukan aturan grup keamanan jaringan untuk jaringan virtual.
bastion.bicep	Menentukan host dan subnet Azure Bastion. Azure Bastion memungkinkan Anda untuk dengan mudah mengakses komputer virtual (VM) di dalam jaringan virtual menggunakan browser web Anda.
dsvmjumpbox.bicep	Menentukan DSVM. Azure Bastion digunakan untuk mengakses mesin virtual ini melalui browser web Anda.
storage.bicep	Menentukan akun Azure Storage yang digunakan oleh ruang kerja untuk penyimpanan default.
keyvault.bicep	Menentukan Azure Key Vault yang digunakan oleh ruang kerja.
containerregistry.bicep	Menentukan Azure Container Registry yang digunakan oleh ruang kerja.
applicationinsights.bicep	Menentukan instans Application Insights Azure yang digunakan oleh ruang kerja.
machinelearningnetworking.bicep	Menentukan titik akhir privat dan zona Sistem Nama Domain (DNS) untuk ruang kerja.
machinelearning.bicep	Menentukan ruang kerja Azure Machine Learning.
machinelearningcompute.bicep	Menentukan kluster komputasi dan instans komputasi Azure Machine Learning.
privateaks.bicep	Menentukan instans kluster AKS.

Penting

Setiap layanan Azure memiliki sekumpulan versi API sendiri. Contoh templat mungkin tidak menggunakan versi API terbaru untuk Azure Pembelajaran Mesin dan sumber daya lainnya. Sebelum menggunakan templat, Anda harus memodifikasinya untuk menggunakan versi API terbaru.

Untuk informasi tentang API untuk layanan tertentu, periksa informasi layanan di referensi Azure REST API. Untuk informasi tentang versi Azure Pembelajaran Mesin API terbaru, lihat Azure Pembelajaran Mesin REST API.

Untuk memperbarui versi API, temukan Microsoft.MachineLearningServices/<resource> entri untuk jenis sumber daya dan perbarui ke versi terbaru.

Terraform

Templat Terraform terdiri dari beberapa file. Tabel berikut menjelaskan peran setiap file:

File	Deskripsi
variables.tf	Menentukan variabel dan nilai default yang digunakan oleh templat.
main.tf	Menentukan penyedia Azure Resource Manager dan menentukan grup sumber daya.
network.tf	Menentukan jaringan virtual Azure, subnet, dan grup keamanan jaringan (NSG).
bastion.tf	Menentukan host Azure Bastion dan NSG terkait. Azure Bastion memungkinkan Anda mengakses VM dengan mudah di dalam jaringan virtual dengan menggunakan browser web Anda.
dsvm.tf	Menentukan DSVM. Azure Bastion digunakan untuk mengakses mesin virtual ini melalui browser web Anda.
workspace.tf	Menentukan ruang kerja Azure Pembelajaran Mesin, termasuk sumber daya dependen untuk Azure Storage, Key Vault, Application Insights, dan Container Registry.
compute.tf	Menentukan instans dan kluster komputasi Azure Machine Learning.

Tip

Penyedia Terraform Azure mendukung lebih banyak argumen yang tidak digunakan tutorial ini. Misalnya, argumen lingkungan memungkinkan Anda menargetkan wilayah cloud seperti Azure Government dan Microsoft Azure yang dioperasikan oleh 21Vianet.

Penting

DSVM dan Azure Bastion adalah cara mudah untuk terhubung ke ruang kerja yang aman untuk tutorial ini. Di lingkungan produksi, lebih baik menggunakan gateway Azure VPN atau Azure ExpressRoute untuk mengakses sumber daya di dalam jaringan virtual langsung dari jaringan lokal Anda.

Mengonfigurasi templat

Bicep

Untuk menyebarkan templat Bicep, pastikan Anda berada di direktori machine-learning-end-to-end-secure tempat file main.bicep berada, dan jalankan perintah berikut:

1. Untuk membuat grup sumber daya Azure baru, jalankan perintah contoh berikut, ganti <myrgname> dengan nama grup sumber daya dan <location> dengan wilayah Azure yang ingin Anda gunakan.

   • Azure CLI:

     az group create --name <myrgname> --location <location>
     

   • Azure PowerShell:

     New-AzResourceGroup -Name <myrgname> -Location <location>
     

2. Untuk menyebarkan templat, gunakan perintah berikut, ganti <myrgname> dengan nama grup sumber daya yang Anda buat, dan <pref> dengan awalan unik untuk digunakan saat membuat sumber daya yang diperlukan. Ganti <mydsvmpassword> dengan kata sandi aman untuk akun masuk jump box DSVM, yang ada azureadmin dalam contoh berikut.

   Tip

   prefix harus lima karakter atau lebih sedikit, dan tidak boleh sepenuhnya numerik atau berisi karakter ~, , .*&^%($#@)!=,{][_}\|:'+;", <, >, /, atau .?

   • Azure CLI:

     az deployment group create \
         --resource-group <myrgname> \
         --template-file main.bicep \
         --parameters \
         prefix=<pref> \
         dsvmJumpboxUsername=azureadmin \
         dsvmJumpboxPassword=<mydsvmpassword>
     

   • Azure PowerShell:

     $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
     New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
         -TemplateFile ./main.bicep `
         -prefix "<pref>" `
         -dsvmJumpboxUsername "azureadmin" `
         -dsvmJumpboxPassword $dsvmPassword
     

     Peringatan

     Anda harus menghindari penggunaan string teks biasa dalam skrip atau dari baris perintah. Teks biasa dapat muncul di log kejadian dan riwayat perintah. Untuk informasi lebih lanjut, lihat ConvertTo-SecureString.

Terraform

Untuk menyebarkan templat Terraform, pastikan Anda berada di direktori 201-machine-learning-moderate-secure tempat file templat berada, dan jalankan perintah berikut.

1. Untuk menginisialisasi direktori agar bekerja dengan Terraform, gunakan perintah berikut:

   terraform init
   

2. Gunakan perintah berikut untuk membuat konfigurasi. -var Gunakan parameter untuk mengatur nilai untuk variabel yang digunakan templat. Untuk daftar lengkap variabel, lihat file variables.tf .

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   Setelah perintah ini selesai, konfigurasi akan ditampilkan di terminal. Untuk menampilkannya lagi, gunakan perintah terraform show azureml.tfplan.

3. Untuk menyebarkan templat dan menerapkan konfigurasi tersimpan ke langganan Azure Anda, gunakan perintah berikut:

   terraform apply azureml.tfplan
   

   Kemajuan ditampilkan sebagai proses templat.

Penting

DSVM dan sumber daya komputasi apa pun menagih Anda untuk setiap jam yang mereka jalankan. Untuk menghindari kelebihan biaya, Anda harus menghentikan sumber daya ini saat tidak digunakan. Untuk informasi lebih lanjut, baca artikel berikut:

• Membuat/mengelola mesin virtual (Linux).
• Membuat/mengelola mesin virtual (Windows).
• Membuat instans komputasi.

Menyambungkan ke ruang kerja

Setelah penyebaran selesai, gunakan langkah-langkah berikut untuk menyambungkan ke DSVM:

1. Dari portal Azure, pilih grup sumber daya Azure yang Anda gunakan dengan templat. Kemudian, pilih DSVM yang dibuat templat. Jika Anda mengalami kesulitan saat menemukannya, gunakan bagian filter untuk memfilter Jenis ke mesin virtual.

   

2. Dari halaman Gambaran Umum DSVM, pilih Sambungkan, lalu pilih Sambungkan melalui Bastion dari daftar dropdown.

   

3. Saat diminta, berikan Nama Pengguna dan kata sandi VM yang Anda tentukan saat mengonfigurasi templat, lalu pilih Sambungkan.

   Penting

   Pertama kali Anda tersambung ke desktop DSVM, jendela PowerShell terbuka dan menjalankan skrip. Izinkan skrip selesai sebelum melanjutkan dengan langkah berikutnya.

4. Dari desktop DSVM, buka Microsoft Edge dan masukkan https://ml.azure.com sebagai alamat. Masuk ke langganan Azure Anda, lalu pilih ruang kerja yang dibuat templat. Studio untuk ruang kerja Anda muncul.

Pemecahan Masalah

Kesalahan berikut dapat terjadi ketika nama untuk jump box DSVM lebih besar dari 15 karakter atau menyertakan salah satu karakter berikut: ~, , !, "(*&)^%$=@:;#]{[}_\,.|+<>', , /atau .?

Kesalahan: Panjang nama komputer Windows tidak boleh lebih dari 15 karakter, sepenuhnya numerik, atau berisi karakter berikut ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.

Bicep

Templat Bicep menghasilkan nama jump box secara terprogram dengan menggunakan nilai awalan yang disediakan untuk templat. Untuk memastikan nama tidak melebihi 15 karakter atau berisi karakter yang tidak valid, gunakan awalan yang lima karakter atau lebih sedikit dan tidak menggunakan karakter ~, , .*&^%($#@)!=,{][_}\|:"+;', <, >, , /atau .?

Terraform

Templat Terraform meneruskan nama jump box dengan menggunakan dsvm_name parameter . Untuk menghindari kesalahan, gunakan nama yang 15 karakter atau lebih sedikit dan tidak menggunakan karakter ~, , , .*&^%($#@)!=,{][_}\|:'+;", <, >, /, , atau .?

Konten terkait

Untuk terus mulai menggunakan Azure Pembelajaran Mesin, lihat Mulai Cepat: Mulai menggunakan Azure Pembelajaran Mesin.

Untuk mempelajari lebih lanjut konfigurasi ruang kerja aman umum dan persyaratan input/output, lihat Alur lalu lintas ruang kerja aman Azure Machine Learning.