자습서: 관리되는 가상 네트워크를 사용하여 안전한 작업 영역을 만드는 방법

  • 아티클

이 문서에서는 보안 Azure Machine Learning 작업 영역을 만들고 연결하는 방법을 알아봅니다. 이 문서의 단계에서는 Azure Machine Learning 관리되는 가상 네트워크를 사용하여 Azure Machine Learning에서 사용하는 리소스 주위에 보안 경계를 만듭니다.

이 자습서에서는 다음 작업을 완료합니다.

  • 관리되는 가상 네트워크를 사용하도록 구성된 Azure Machine Learning 작업 영역을 만듭니다.
  • Azure Machine Learning 컴퓨팅 클러스터를 만듭니다. 컴퓨팅 클러스터는 클라우드에서 기계 학습 모델을 학습시킬 때 사용됩니다.

이 자습서를 완료하면 다음 아키텍처가 제공됩니다.

  • 관리 네트워크를 통해 통신하기 위해 프라이빗 엔드포인트를 사용하는 Azure Machine Learning 작업 영역입니다.
  • Blob 및 파일과 같은 스토리지 서비스가 관리 네트워크를 통해 통신할 수 있도록 프라이빗 엔드포인트를 사용하는 Azure Storage 계정입니다.
  • 프라이빗 엔드포인트를 사용하는 Azure Container Registry는 관리 네트워크를 사용하여 통신합니다.
  • 관리 네트워크를 통해 통신하기 위해 프라이빗 엔드포인트를 사용하는 Azure Key Vault입니다.
  • 관리 네트워크로 보호되는 Azure Machine Learning 컴퓨팅 인스턴스 및 컴퓨팅 클러스터입니다.

필수 구성 요소

점프 상자(VM) 만들기

보안 작업 영역에 연결할 수 있는 여러 가지 방법이 있습니다. 이 자습서에서는 점프 상자가 사용됩니다. 점프 상자는 Azure Virtual Network의 가상 머신입니다. 웹 브라우저 및 Azure Bastion을 사용하여 연결할 수 있습니다.

다음 표에는 보안 작업 영역에 연결할 수 있는 몇 가지 다른 방법이 나와 있습니다.

메서드 설명
Azure VPN Gateway 프라이빗 연결을 통해 온-프레미스 네트워크를 Azure Virtual Network에 연결합니다. 작업 영역에 대한 프라이빗 엔드포인트가 해당 가상 네트워크 내에 만들어집니다. 공용 인터넷을 통해 연결됩니다.
ExpressRoute 프라이빗 연결을 통해 온-프레미스 네트워크를 클라우드에 연결합니다. 연결 공급자를 사용하여 연결합니다.

Important

VPN Gateway 또는 ExpressRoute를 사용하는 경우 온-프레미스 리소스와 클라우드 리소스 간에 이름 확인이 작동하는 방식을 계획해야 합니다. 자세한 내용은 사용자 지정 DNS 서버 사용을 참조하세요.

다음 단계를 사용하여 점프 상자로 사용할 Azure Virtual Machine을 만듭니다. 그런 다음 VM 데스크톱에서 VM의 브라우저를 사용하여 Azure Machine Learning 스튜디오와 같은 관리되는 가상 네트워크 내부의 리소스에 연결할 수 있습니다. 또는 VM에 개발 도구를 설치할 수 있습니다.

다음 단계에서는 Windows 11 엔터프라이즈 VM을 만듭니다. 요구 사항에 따라 다른 VM 이미지를 선택할 수 있습니다. Windows 11(또는 10) 엔터프라이즈 이미지는 VM을 조직의 도메인에 조인해야 하는 경우에 유용합니다.

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 + 리소스 만들기를 선택하고 가상 머신을 입력합니다. 가상 머신 항목을 선택한 후 만들기를 선택합니다.

  2. 기본 사항 탭에서 서비스를 만들 구독, 리소스 그룹지역을 선택합니다. 다음 필드에 대한 값을 제공합니다.

    • 가상 머신 이름: VM의 고유한 이름

    • 사용자 이름: VM에 로그인하는 데 사용하는 사용자 이름입니다.

    • 암호: 사용자 이름의 암호

    • 보안 형식: 표준

    • 이미지: Windows 11 Enterprise입니다.

      Windows 11 Enterprise가 이미지 선택 목록에 없으면 모든 이미지 보기를 사용합니다. Microsoft에서 Windows 11 항목을 찾고 선택 드롭다운을 사용하여 엔터프라이즈 이미지를 선택합니다.

    다른 필드는 기본값으로 둘 수 있습니다.

    Screenshot of the virtual machine basics configuration.

  3. 네트워킹을 선택합니다. 네트워킹 정보를 검토하고 172.17.0.0/16 IP 주소 범위를 사용하고 있지 않은지 확인합니다. 그렇다면 172.16.0.0/16과 같은 다른 범위를 선택합니다. 172.17.0.0/16 범위는 Docker와 충돌을 일으킬 수 있습니다.

    참고 항목

    Azure Virtual Machine은 네트워크 격리를 위해 자체 Azure Virtual Network를 만듭니다. 이 네트워크는 Azure Machine Learning에서 사용하는 관리되는 가상 네트워크와 별개입니다.

    Screenshot of the networking tab for the virtual machine.

  4. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

VM에 Azure Bastion 사용

Azure Bastion을 사용하면 브라우저를 통해 VM 데스크톱에 연결할 수 있습니다.

  1. Azure Portal에서 이전에 만든 VM을 선택합니다. 페이지의 작업 섹션에서 Bastion을 선택한 다음 Bastion 배포를 선택합니다.

    Screenshot of the deploy Bastion option.

  2. Bastion 서비스가 배포되면 연결 페이지가 표시됩니다. 지금은 이 대화 상자를 그대로 둡니다.

작업 영역 만들기

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 + 리소스 만들기를 선택한 다음 Azure Machine Learning을 입력합니다. Azure Machine Learning 항목을 선택한 다음 만들기를 선택합니다.

  2. 기본 사항 탭에서 서비스를 만들 구독, 리소스 그룹지역을 선택합니다. 작업 영역 이름에 고유한 이름을 입력합니다. 나머지 필드는 기본값으로 둡니다. 작업 영역에 필요한 서비스의 새 인스턴스가 만들어집니다.

    Screenshot of the workspace creation form.

  3. 네트워킹 탭에서 인터넷 아웃바운드를 통한 프라이빗을 선택합니다.

    Screenshot of the workspace network tab with internet outbound selected.

  4. 네트워킹 탭의 작업 영역 인바운드 액세스 섹션에서 + 추가를 선택합니다.

    Screenshot showing the add button for inbound access.

  5. 프라이빗 엔드포인트 만들기 양식에서 이름 필드에 고유한 값을 입력합니다. 이전에 VM으로 만든 가상 네트워크를 선택하고 기본 서브넷을 선택합니다. 나머지 필드는 기본값으로 둡니다. 엔드포인트를 저장하려면 확인을 선택합니다.

    Screenshot of the create private endpoint form.

  6. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

  7. 작업 영역을 만들었으면 리소스로 이동을 선택합니다.

VM 데스크톱에 연결

  1. Azure Portal에서 이전에 만든 VM을 선택합니다.

  2. 연결 섹션에서 Bastion을 선택합니다. VM에 대해 구성한 사용자 이름과 암호를 입력한 다음 연결을 선택합니다.

    Screenshot of the Bastion connect form.

스튜디오에 연결

이 시점에서 작업 영역은 만들어졌지만 관리되는 가상 네트워크는 만들어지지 않았습니다. 관리되는 가상 네트워크는 작업 영역을 만들 때 구성되지만, 첫 번째 컴퓨팅 리소스를 만들거나 수동으로 프로비전할 때까지는 만들어지지 않습니다.

컴퓨팅 인스턴스를 만들려면 다음 단계를 따릅니다.

  1. VM 데스크톱에서 브라우저를 사용하여 Azure Machine Learning 스튜디오를 열고 이전에 만든 작업 영역을 선택합니다.

  2. 스튜디오에서 컴퓨팅, 컴퓨팅 인스턴스, + 새로 만들기를 차례로 선택합니다.

    Screenshot of the new compute option in studio.

  3. 필수 설정 구성 대화 상자에서 컴퓨팅 이름으로 고유한 값을 입력합니다. 나머지 선택 항목은 기본값으로 둡니다.

  4. 만들기를 실행합니다. 컴퓨팅 인스턴스를 만드는 데 몇 분 정도 걸립니다. 컴퓨팅 인스턴스는 관리 네트워크 내에 만들어집니다.

    첫 번째 컴퓨팅 리소스를 만드는 데 몇 분 정도 걸릴 수 있습니다. 이러한 지연은 관리되는 가상 네트워크도 만들어지기 때문에 발생합니다. 관리되는 가상 네트워크는 첫 번째 컴퓨팅 리소스가 만들어질 때까지 만들어지지 않습니다. 후속 관리 컴퓨팅 리소스는 훨씬 빠르게 만들어집니다.

스토리지에 대한 스튜디오 액세스 사용

Azure Machine Learning 스튜디오는 부분적으로 클라이언트의 웹 브라우저에서 실행되므로 클라이언트는 데이터 작업을 수행하기 위해 작업 영역의 기본 스토리지 계정에 직접 액세스할 수 있어야 합니다. 이를 사용하도록 설정하려면 다음 단계를 따릅니다.

  1. Azure Portal에서 이전에 만든 Jumpbox VM을 선택합니다. 개요 섹션에서 공용 IP 주소를 복사합니다.

  2. Azure Portal에서 이전에 만든 작업 영역을 선택합니다. 개요 섹션에서 스토리지 항목 링크를 선택합니다.

  3. 스토리지 계정에서 네트워킹을 선택하고 점프박스의 공용 IP 주소를 방화벽 섹션에 추가합니다.

    점프 상자 대신 VPN Gateway 또는 ExpressRoute를 사용하는 시나리오에서는 스토리지 계정에 대한 프라이빗 엔드포인트 또는 서비스 엔드포인트를 Azure Virtual Network에 추가할 수 있습니다. 프라이빗 엔드포인트 또는 서비스 엔드포인트를 사용하면 Azure Virtual Network를 통해 연결하는 여러 클라이언트가 스튜디오를 통해 스토리지 작업을 성공적으로 수행할 수 있습니다.

    이 시점에서 스튜디오를 사용하여 컴퓨팅 인스턴스에서 Notebooks를 대화형으로 작업하고 학습 작업을 실행할 수 있습니다. 자습서는 자습서: 모델 개발을 참조하세요.

컴퓨팅 인스턴스 중지

실행(시작)되는 동안 컴퓨팅 인스턴스는 계속해서 구독 요금을 청구합니다. 과도한 비용을 방지하려면 사용하지 않을 때는 중지합니다.

스튜디오에서 컴퓨팅, 컴퓨팅 인스턴스를 선택한 다음 컴퓨팅 인스턴스를 선택합니다. 마지막으로 페이지 위쪽에서 중지를 선택합니다.

Screenshot of stop button for compute instance

리소스 정리

보안 작업 영역 및 기타 리소스를 계속 사용하려는 경우 이 섹션을 건너뜁니다.

이 자습서에서 만든 모든 리소스를 삭제하려면 다음 단계를 사용합니다.

  1. Azure Portal에서 리소스 그룹을 선택합니다.

  2. 목록에서 이 자습서를 진행하면서 만든 리소스 그룹을 선택합니다.

  3. 리소스 그룹 삭제를 선택합니다.

    Screenshot of delete resource group button

  4. 리소스 그룹 이름을 입력한 다음, 삭제를 선택합니다.

다음 단계

이제 보안 작업 영역을 만들었고 스튜디오에 액세스할 수 있으므로 네트워크 격리를 사용하여 온라인 엔드포인트에 모델을 배포하는 방법을 알아봅니다.

관리되는 가상 네트워크에 대한 자세한 내용은 관리되는 가상 네트워크로 작업 영역 보안를 참조하세요.