Esercitazione: Come creare un'area di lavoro sicura con una rete virtuale gestita

  • Articolo

Questo articolo illustra come creare e connettersi a un'area di lavoro sicura di Azure Machine Learning. I passaggi descritti in questo articolo usano una rete virtuale gestita di Azure Machine Learning per creare un limite di sicurezza attorno alle risorse usate da Azure Machine Learning.

In questa esercitazione si svolgeranno le attività seguenti:

  • Creare un'area di lavoro di Azure Machine Learning configurata per l'uso di una rete virtuale gestita.
  • Creare un cluster di elaborazione di Azure Machine Learning. Un cluster di calcolo si usa pereseguire il training di modelli di Machine Learning nel cloud.

Dopo aver completato questa esercitazione, si avrà l'architettura seguente:

  • Un'area di lavoro di Azure Machine Learning che usa un endpoint privato per comunicare tramite la rete gestita.
  • Un account di Archiviazione di Azure che usa endpoint privati per consentire ai servizi di archiviazione, come BLOB e file, di comunicare tramite la rete gestita.
  • Un'istanza di Registro Azure Container che usa un endpoint privato per comunicare tramite la rete gestita.
  • Un'istanza di Azure Key Vault che usa un endpoint privato per comunicare tramite la rete gestita.
  • Un'istanza di ambiente di calcolo di Azure Machine Learning e un cluster di elaborazione protetti dalla rete gestita.

Prerequisiti

Creare una jump box (macchina virtuale)

È possibile connettersi all'area di lavoro protetta in diversi modi. In questa esercitazione viene usata una jump box. Una jump box è una macchina virtuale in una rete virtuale di Azure. È possibile connettersi a questa VM usando il proprio browser web e Azure Bastion.

La tabella seguente elenca diversi altri modi in cui è possibile connettersi all'area di lavoro sicura:

metodo Descrizione
Gateway VPN di Azure Connette le reti locali a una rete virtuale di Azure tramite una connessione privata. All'interno della rete virtuale viene creato un endpoint privato per l'area di lavoro. La connessione viene stabilita nella rete Internet pubblica.
ExpressRoute Connette le reti locali nel cloud tramite una connessione privata. La connessione viene stabilita usando un provider di connettività.

Importante

Quando si usano un gateway VPN o ExpressRoute, è necessario pianificare il funzionamento della risoluzione dei nomi tra le risorse locali e quelle nel cloud. Per altre informazioni, vedere Usare un server DNS personalizzato.

Usare la procedura seguente per creare una macchina virtuale di Azure da usare come jump box. Dal desktop della macchina virtuale si può quindi usare il browser nella macchina virtuale per connettersi alle risorse all'interno della rete virtuale gestita, come lo studio di Azure Machine Learning. In alternativa, è possibile installare strumenti di sviluppo nella macchina virtuale.

Suggerimento

La procedura seguente consente di creare una macchina virtuale Windows 11 Enterprise. A seconda delle proprie esigenze, si potrebbe voler selezionare un'immagine di macchina virtuale diversa. L'immagine di Windows 11 (o 10) Enterprise è utile se occorre aggiungere la macchina virtuale al dominio dell'organizzazione.

  1. Nel portale di Azure selezionare il menu del portale nell'angolo in alto a sinistra. Nel menu selezionare + Crea una risorsa e poi inserire Macchina virtuale. Selezionare la voce Macchina virtuale e quindi selezionare Crea.

  2. Nella scheda Informazioni di base selezionare la sottoscrizione, il gruppo di risorse e l'Area in cui creare il servizio. Fornire i valori per i campi seguenti:

    • Nome macchina virtuale: un nome univoco per la macchina virtuale.

    • Nome utente: il nome utente usato per accedere alla macchina virtuale.

    • Password: la password del nome utente.

    • Tipo di sicurezza: Standard.

    • Immagine: Windows 11 Enterprise.

      Suggerimento

      Se Windows 11 Enterprise non appare nell'elenco per la selezione dell'immagine, usare Visualizza tutte le immagini. Trovare la voce Windows 11 di Microsoft e usare il menu a discesa di selezione per scegliere l'immagine Enterprise.

    È possibile mantenere i valori predefiniti per gli altri campi.

    Screenshot of the virtual machine basics configuration.

  3. Selezionare Rete. Esaminare le informazioni di rete e assicurarsi che non venga usato l'intervallo di indirizzi IP 172.17.0.0/16. Se viene usato, selezionare un intervallo diverso, ad esempio 172.16.0.0/16. L'intervallo 172.17.0.0/16 può causare conflitti con Docker.

    Nota

    La macchina virtuale di Azure crea una propria rete virtuale di Azure per l'isolamento rete. Questa rete è separata dalla rete virtuale gestita usata da Azure Machine Learning.

    Screenshot of the networking tab for the virtual machine.

  4. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

Abilitare Azure Bastion per la macchina virtuale

Azure Bastion consente di connettersi al desktop della macchina virtuale tramite il browser.

  1. Nel portale di Azure selezionare la macchina virtuale creata in precedenza. Nella sezione Operazioni della pagina selezionare Bastion e quindi Distribuisci Azure Bastion.

    Screenshot of the deploy Bastion option.

  2. Dopo la distribuzione del servizio Bastion viene visualizzata una pagina di connessione. Per il momento, lasciare questa finestra di dialogo.

Creare un'area di lavoro

  1. Nel portale di Azure selezionare il menu del portale nell'angolo in alto a sinistra. Nel menu selezionare + Crea una risorsa e poi inserire Azure Machine Learning. Selezionare la voce Azure Machine Learning e quindi selezionare Crea.

  2. Nella scheda Informazioni di base selezionare la sottoscrizione, il gruppo di risorse e l'Area in cui creare il servizio. Immettere un nome univoco in Nome dell'area di lavoro. Mantenere i valori predefiniti per il resto dei campi. Verranno create nuove istanze dei servizi necessari per l'area di lavoro.

    Screenshot of the workspace creation form.

  3. Nella scheda Rete selezionare Privato con Internet in uscita.

    Screenshot of the workspace network tab with internet outbound selected.

  4. Nella sezione Accesso in ingresso all'area di lavoro della scheda Rete selezionare + Aggiungi.

    Screenshot showing the add button for inbound access.

  5. Nel modulo Crea endpoint privato immettere un valore univoco nel campo Nome. Selezionare la Rete virtuale creata in precedenza con la macchina virtuale e selezionare la Subnet predefinita. Lasciare i valori predefiniti per il resto dei campi. Scegliere OK per salvare l'endpoint.

    Screenshot of the create private endpoint form.

  6. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  7. Una volta creata l'area di lavoro, selezionare Vai alla risorsa.

Connettersi al desktop della macchina virtuale

  1. Nel portale di Azure selezionare la macchina virtuale creata in precedenza.

  2. Nella sezione Connetti selezionare Bastion. Digitare il nome utente e la password configurati per la macchina virtuale e quindi selezionare Connetti.

    Screenshot of the Bastion connect form.

Eseguire la connessione allo studio

A questo punto è stata creata l'area di lavoro, ma non la rete virtuale gestita. La rete virtuale gestita viene configurata quando si crea l'area di lavoro, ma non viene creata finché non si crea la prima risorsa di calcolo o non ne viene effettuato manualmente il provisioning.

Seguire questa procedura per creare un'istanza di ambiente di calcolo.

  1. Dal desktop della macchina virtuale usare il browser per aprire lo studio di Azure Machine Learning e selezionare l'area di lavoro creata in precedenza.

  2. Nello studio selezionare Ambiente di calcolo, Istanze di ambiente di calcolo e successivamente + Nuovo.

    Screenshot of the new compute option in studio.

  3. Nella finestra di dialogo Configurare le impostazioni necessarie inserire un valore univoco in Nome dell'ambiente di calcolo. Accettare i valori predefiniti per il resto delle selezioni.

  4. Seleziona Crea. La creazione dell'istanza di ambiente di calcolo richiede qualche minuto. L'istanza di ambiente di calcolo viene creata all'interno della rete gestita.

    Suggerimento

    La creazione della prima risorsa di calcolo può richiedere qualche minuto. Questo ritardo si verifica perché viene creata anche la rete virtuale gestita. La rete virtuale gestita non viene creata finché non viene creata la prima risorsa di calcolo. Le risorse di calcolo gestite successive verranno create molto più velocemente.

Abilitare l'accesso dello studio all'archiviazione

Poiché lo studio di Azure Machine Learning viene eseguito parzialmente nel Web browser nel client, il client deve essere in grado di accedere direttamente all'account di archiviazione predefinito per l'area di lavoro per eseguire operazioni sui dati. Per abilitare l'accesso, seguire questa procedura:

  1. Nel portale di Azure selezionare la VM jump box creata in precedenza. Nella sezione Panoramica copiare l'indirizzo IP pubblico.

  2. Nel portale di Azure selezionare l'area di lavoro creata in precedenza. Nella sezione Panoramica selezionare il collegamento per la voce Archiviazione.

  3. Nell'account di archiviazione selezionare Retee aggiungere l'indirizzo IP pubblico della jump box alla sezione Firewall.

    Suggerimento

    In uno scenario in cui si usa un gateway VPN o ExpressRoute anziché una jump box, è possibile aggiungere un endpoint privato o un endpoint di servizio per l'account di archiviazione alla rete virtuale di Azure. L'uso di un endpoint privato o di un endpoint di servizio consente a più client che si connettono tramite Rete virtuale di Microsoft Azure di eseguire correttamente operazioni di archiviazione tramite lo studio.

    A questo punto è possibile usare lo studio per lavorare interattivamente con i notebook sull'istanza di ambiente di calcolo ed eseguire processi di training. Per un'esercitazione, vedere Esercitazione: Sviluppo di modelli.

Arrestare l'istanza di ambiente di calcolo

Quando è in esecuzione (avviata), l'istanza di ambiente di calcolo continua a generare addebiti sulla sottoscrizione. Per evitare costi eccessivi, arrestarla quando non è in uso.

Nello studio selezionare Ambiente di calcolo, Istanze di ambiente di calcolo e quindi selezionare l'istanza di ambiente di calcolo. Infine, selezionare Arresta nella parte superiore della pagina.

Screenshot of stop button for compute instance

Pulire le risorse

Se si prevede di continuare a usare l'area di lavoro protetta e altre risorse, saltare questa sezione.

Per eliminare tutte le risorse create in questa esercitazione, seguire questa procedura:

  1. Nel portale di Azure, selezionare Gruppi di risorse.

  2. Nell'elenco selezionare il gruppo di risorse creato in questa esercitazione.

  3. Selezionare Elimina gruppo di risorse.

    Screenshot of delete resource group button

  4. Immetti il nome del gruppo di risorse, quindi seleziona Elimina.

Passaggi successivi

Ora che è stata creata un'area di lavoro sicura e che si può accedere allo studio, imparare come distribuire un modello in un endpoint online con isolamento di rete.

Per altre informazioni sulla rete virtuale gestita, vedere Proteggere l'area di lavoro con una rete virtuale gestita.