보안 작업 영역을 만드는 방법

이 문서에서는 보안 Azure Machine Learning 작업 영역을 만들고 연결하는 방법을 알아봅니다. 보안 작업 영역에서는 Azure Virtual Network를 사용하여 Azure Machine Learning에서 사용하는 리소스와 관련된 보안 경계를 만듭니다.

이 자습서에서는 다음 작업을 완료합니다.

  • 가상 네트워크의 서비스 간 통신을 보호하기 위해 Azure VNet(Virtual Network)를 만듭니다.
  • VNet 뒤에 Azure Storage 계정(Blob 및 파일)을 만듭니다. 이 서비스는 작업 영역에 대 한 기본 스토리지로 사용됩니다.
  • VNet 뒤에 Azure Key Vault를 만듭니다. 이 서비스는 작업 영역에서 사용하는 암호를 저장하는 데 사용됩니다. 스토리지 계정에 액세스하는 데 필요한 보안 정보를 예로 들 수 있습니다.
  • ACR(Azure Container Registry)를 만듭니다. 이 서비스는 Docker 이미지에 대한 리포지토리로 사용됩니다. Docker 이미지는 기계 학습 모델을 학습시키거나 학습된 모델을 엔드포인트로 배포할 때 필요한 컴퓨팅 환경을 제공합니다.
  • Azure Machine Learning 작업 영역을 만듭니다.
  • 점프 상자를 만듭니다. 점프 상자는 VNet 뒤에 있는 Azure 가상 머신입니다. VNet은 퍼블릭 인터넷의 액세스를 제한하므로 VNet 뒤에 있는 리소스에 연결하는 방법으로 점프 상자가 사용됩니다.
  • VNet 뒤에서 작동하도록 Azure Machine Learning 스튜디오를 구성합니다. 이 스튜디오에서는 Azure Machine Learning용 웹 인터페이스를 제공합니다.
  • Azure Machine Learning 컴퓨팅 클러스터를 만듭니다. 컴퓨팅 클러스터는 클라우드에서 기계 학습 모델을 학습시킬 때 사용됩니다. Azure Container Registry가 VNet 뒤에 있는 구성에서는 Docker 이미지를 빌드하는 데도 사용됩니다.
  • 점프 상자에 연결하고 Azure Machine Learning 스튜디오를 사용합니다.

보안 작업 영역을 만드는 방법을 보여 주는 템플릿(Microsoft Bicep 또는 Hashicorp Terraform)을 찾고 있는 경우 자습서 - 템플릿을 사용하여 보안 작업 영역 만들기를 참조하세요.

이 자습서를 완료하면 다음 아키텍처가 제공됩니다.

  • 세 개의 서브넷을 포함하는 Azure Virtual Network.
    • 교육: 학습 모델에 사용되는 Azure Machine Learning 작업 영역, 종속성 서비스 및 리소스를 포함합니다.
    • 점수 매기기: 이 자습서의 단계에서는 사용되지 않습니다. 그러나 다른 자습서에 이 작업 영역을 계속 사용하는 경우 모델을 엔드포인트에 배포할 때 이 서브넷을 사용하는 것이 좋습니다.
    • AzureBastionSubnet: Azure Bastion 서비스에서 클라이언트를 Azure Virtual Machines 안전하게 연결하는 데 사용됩니다.
  • 프라이빗 엔드포인트를 사용하여 VNet을 사용하여 통신하는 Azure Machine Learning 작업 영역입니다.
  • 프라이빗 엔드포인트를 사용하여 Blob 및 파일과 같은 스토리지 서비스가 VNet을 사용하여 통신할 수 있도록 하는 Azure Storage 계정입니다.
  • 프라이빗 엔드포인트를 사용하는 Azure Container Registry VNet을 사용하여 통신합니다.
  • Azure Bastion을 사용하면 브라우저를 사용하여 VNet 내의 점프 상자 VM과 안전하게 통신할 수 있습니다.
  • VNet 내에서 보호되는 리소스에 원격으로 연결하고 액세스할 수 있는 Azure Virtual Machine입니다.
  • Azure Machine Learning 컴퓨팅 인스턴스 및 컴퓨팅 클러스터.

다이어그램에 나열된 Azure Batch 서비스는 컴퓨팅 클러스터 및 컴퓨팅 인스턴스에 필요한 백 엔드 서비스입니다.

이 자습서를 통해 만든 최종 아키텍처의 다이어그램.

필수 구성 요소

  • Azure Virtual Network 및 IP 네트워킹 사용에 대한 지식 익숙하지 않은 경우 컴퓨터 네트워킹 모듈의 기본 사항을 사용해 보세요.
  • 이 문서의 단계 대부분은 Azure Portal 또는 Azure Machine Learning 스튜디오를 사용하지만 일부 단계에서는 Machine Learning v2용 Azure CLI 확장을 사용합니다.

가상 네트워크 만들기

가상 네트워크를 만들려면 다음 단계를 사용합니다.

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 + 리소스 만들기를 선택하고 검색 필드에 가상 네트워크를 입력합니다. 가상 네트워크 항목을 선택한 후 만들기를 선택합니다.

    리소스 만들기 UI 검색

    가상 네트워크 만들기

  2. 기본 사항 탭에서 이 리소스에 사용할 Azure 구독을 선택하고 새 리소스 그룹을 선택하거나 만듭니다. 인스턴스 정보에서 가상 네트워크의 이름을 입력하고 만들 지역을 선택합니다.

    기본 가상 네트워크 구성 이미지

  3. IP 주소 탭을 선택합니다. 기본 설정은 다음 이미지와 비슷해야 합니다.

    기본 IP 주소 화면

    다음 단계를 사용하여 IP 주소를 구성하고 학습 및 점수 매기기 리소스에 대한 서브넷을 구성합니다.

    모든 Azure ML 리소스에 대해 단일 서브넷을 사용할 수 있지만 이 문서의 단계에서는 학습 및 점수 매기기 리소스를 구분하는 두 개의 서브넷을 만드는 방법을 보여 줍니다.

    작업 영역 및 기타 종속성 서비스는 학습 서브넷으로 이동합니다. 이러한 서비스는 점수 매기기 서브넷 등의 다른 서브넷의 리소스에서 계속 사용할 수 있습니다.

    1. 기본 IPv4 주소 공간 값을 확인합니다. 스크린샷에서 이 값은 172.16.0.0/16입니다. 이 값은 사용자 환경에서 다를 수 있습니다. 다른 값을 사용할 수 있지만 이 자습서의 나머지 단계는 172.16.0.0/16 값을 기준으로 합니다.

      중요

      VNet에 172.17.0.0/16 IP 주소 범위를 사용하지 않는 것이 좋습니다. 이 주소는 Docker 브리지 네트워크에서 사용하는 기본 서브넷 범위입니다. 다른 범위는 가상 네트워크에 연결하려는 항목에 따라 충돌할 수도 있습니다. 예를 들어 온-프레미스 네트워크를 VNet에 연결하려는 경우 온-프레미스 네트워크도 172.16.0.0/16 범위를 사용합니다. 궁극적으로 네트워크 인프라를 계획하는 것은 사용자에게 달려 있습니다.

    2. 기본 서브넷을 선택하고 서브넷 제거를 선택합니다.

      기본 서브넷 삭제 스크린샷

    3. 작업 영역, 종속성 서비스 및 학습에 사용된 리소스를 포함하는 서브넷을 만들려면 + 서브넷 추가를 선택하고 서브넷 이름 및 주소 범위를 설정합니다. 이 자습서에서 사용되는 값은 다음과 같습니다.

      • 서브넷 이름: 학습
      • 서브넷 주소 범위: 172.16.0.0/24

      학습 서브넷 스크린샷

      서비스 엔드포인트를 사용하여 Azure Storage 계정, Azure Key Vault 및 Azure Container Registry를 VNet에 추가하려는 경우 서비스에서 다음을 선택합니다.

      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.ContainerRegistry

      프라이빗 엔드포인트를 사용하여 이러한 서비스를 VNet에 추가하려는 경우 이러한 항목을 선택할 필요가 없습니다. 이 문서의 단계에서는 이러한 서비스를 위해 프라이빗 엔드포인트를 사용하므로 이러한 단계를 수행할 때 선택할 필요가 없습니다.

    4. 모델 점수를 매기는 데 사용되는 컴퓨팅 리소스에 대한 서브넷을 만들려면 + 서브넷 추가를 다시 선택하고 이름 및 주소 범위를 설정합니다.

      • 서브넷 이름: 점수 매기기
      • 서브넷 주소 범위: 172.16.1.0/24

      점수 매기기 서브넷 스크린샷

      서비스 엔드포인트를 사용하여 Azure Storage 계정, Azure Key Vault 및 Azure Container Registry를 VNet에 추가하려는 경우 서비스에서 다음을 선택합니다.

      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.ContainerRegistry

      프라이빗 엔드포인트를 사용하여 이러한 서비스를 VNet에 추가하려는 경우 이러한 항목을 선택할 필요가 없습니다. 이 문서의 단계에서는 이러한 서비스를 위해 프라이빗 엔드포인트를 사용하므로 이러한 단계를 수행할 때 선택할 필요가 없습니다.

  4. 보안을 선택합니다. BastionHost에서 사용을 선택합니다. Azure Bastion 은 이후 단계에서 VNet 내에서 만들 VM 점프 상자에 액세스할 수 있는 안전한 방법을 제공합니다. 나머지 필드에 대해 다음 값을 사용합니다.

    • Bastion 이름: 이 Bastion 인스턴스의 고유한 이름입니다.
    • AzureBastionSubnetAddress 공간: 172.16.2.0/27
    • 공용 IP 주소: 새 공용 IP 주소를 만듭니다.

    다른 필드는 기본값으로 둡니다.

    Bastion 구성 스크린샷

  5. 검토 + 만들기를 선택합니다.

    검토 + 만들기 단추를 보여 주는 스크린샷

  6. 정보가 올바른지 확인한 후 만들기를 선택합니다.

    검토 페이지 스크린샷

스토리지 계정 만들기

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고, 스토리지 계정을 입력합니다. 스토리지 계정 항목을 선택하고 만들기를 선택합니다.

  2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹지역을 선택합니다. 고유한 스토리지 계정 이름을 입력하고 중복성LRS(로컬 중복 스토리지) 로 설정합니다.

    스토리지 계정 기본 구성 이미지

  3. 네트워킹 탭에서 프라이빗 엔드포인트를 선택한 다음, + 프라이빗 엔드포인트 추가를 선택합니다.

    Blob 프라이빗 네트워크를 추가하는 UI

  4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

    • 구독: 이전에 만든 리소스를 포함하는 동일한 Azure 구독입니다.
    • 리소스 그룹: 이전에 만든 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
    • 위치: 이전에 만든 리소스를 포함하는 동일한 Azure 지역입니다.
    • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
    • 대상 하위 리소스: Blob
    • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
    • 서브넷: 학습(172.16.0.0/24)
    • 프라이빗 DNS 통합: 예
    • 프라이빗 DNS 영역: privatelink.blob.core.windows.net

    확인을 선택하여 프라이빗 엔드포인트를 만듭니다.

  5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

  6. 스토리지 계정이 만들어지면 리소스로 이동을 선택합니다.

    새 스토리지 리소스로 이동

  7. 왼쪽 탐색 영역에서 네트워킹, 프라이빗 엔드포인트 연결 탭, + 프라이빗 엔드포인트를 차례로 선택합니다.

    참고

    이전 단계에서 Blob Storage에 대한 프라이빗 엔드포인트를 만들었지만 File Storage에 대한 엔드포인트도 만들어야 합니다.

    스토리지 계정 네트워킹용 UI

  8. 프라이빗 엔드포인트 만들기 양식에서 이전 리소스에 사용한 것과 동일한 구독, 리소스 그룹지역을 사용합니다. 고유한 이름을 입력합니다.

    파일 프라이빗 엔드포인트를 추가하는 UI

  9. 다음: 리소스를 선택하고 대상 하위 리소스파일로 설정합니다.

    하위 리소스 '파일' 추가

  10. 다음: 구성을 선택하고 다음 값을 사용합니다.

    • 가상 네트워크: 이전에 만든 네트워크입니다.
    • 서브넷: 학습
    • 프라이빗 DNS 영역과 통합: 예
    • 프라이빗 DNS 영역: privatelink.file.core.windows.net

    파일 프라이빗 엔드포인트를 구성하는 UI

  11. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

ParallelRunStep을 사용하는 일괄 처리 엔드포인트 또는 Azure Machine Learning 파이프라인을 사용하려는 경우 프라이빗 엔드포인트 대상 테이블 하위 리소스를 구성해야 합니다. ParallelRunStep은 작업 예약 및 디스패치를 위해 후드에서 큐와 테이블을 사용합니다.

키 자격 증명 모음 만들기

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고 Key Vault를 입력합니다. Key Vault 항목을 선택한 다음, 만들기를 선택합니다.

  2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹지역을 선택합니다. 고유한 Key Vault 이름을 입력합니다. 다른 필드는 기본값으로 둡니다.

    새 Key Vault 만들기

  3. 네트워킹 탭에서 프라이빗 엔드포인트를 선택한 다음, + 추가를 선택합니다.

    Key Vault 네트워킹

  4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

    • 구독: 이전에 만든 리소스를 포함하는 동일한 Azure 구독입니다.
    • 리소스 그룹: 이전에 만든 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
    • 위치: 이전에 만든 리소스를 포함하는 동일한 Azure 지역입니다.
    • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
    • 대상 하위 리소스: 자격 증명 모음
    • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
    • 서브넷: 학습(172.16.0.0/24)
    • 프라이빗 DNS 통합: 예
    • 프라이빗 DNS 영역: privatelink.vaultcore.azure.net

    확인을 선택하여 프라이빗 엔드포인트를 만듭니다.

    Key Vault 프라이빗 엔드포인트 구성

  5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

컨테이너 레지스트리 만들기

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고 컨테이너 레지스트리를 입력합니다. 컨테이너 레지스트리 항목을 선택한 후 만들기를 선택합니다.

  2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹위치를 선택합니다. 고유한 레지스트리 이름을 입력하고 SKU프리미엄으로 설정합니다.

    컨테이너 레지스트리 만들기

  3. 네트워킹 탭에서 프라이빗 엔드포인트를 선택한 다음, + 추가를 선택합니다.

    컨테이너 레지스트리 네트워킹

  4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

    • 구독: 이전에 만든 리소스를 포함하는 동일한 Azure 구독입니다.
    • 리소스 그룹: 이전에 만든 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
    • 위치: 이전에 만든 리소스를 포함하는 동일한 Azure 지역입니다.
    • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
    • 대상 하위 리소스: 레지스트리
    • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
    • 서브넷: 학습(172.16.0.0/24)
    • 프라이빗 DNS 통합: 예
    • 프라이빗 DNS 영역: privatelink.azurecr.io

    확인을 선택하여 프라이빗 엔드포인트를 만듭니다.

    컨테이너 레지스트리 프라이빗 엔드포인트 구성

  5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

  6. 컨테이너 레지스트리가 만들어진 후 리소스로 이동을 선택합니다.

    ‘리소스로 이동’ 선택

  7. 페이지 왼쪽에서 액세스 키를 선택한 다음, 관리 사용자를 사용하도록 설정합니다. 이 설정은 Azure Machine Learning에사 가상 네트워크 내의 Azure Container Registry를 사용할 때 필요합니다.

    관리 사용자 토글 스크린샷

작업 영역 만들기

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고 Machine Learning을 입력합니다. Machine Learning을 선택하고 만들기를 선택합니다.

    {대체 텍스트}

  2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹지역을 선택합니다. 다른 필드에 대해 다음 값을 사용합니다.

    • 작업 영역 이름: 작업 영역에 대한 고유한 이름입니다.
    • 스토리지 계정: 이전에 만든 스토리지 계정을 선택합니다.
    • Key Vault: 이전에 만든 Key Vault를 선택합니다.
    • Application insights: 기본값을 사용합니다.
    • 컨테이너 레지스트리: 이전에 만든 컨테이너 레지스트리를 사용합니다.

    기본 작업 영역 구성

  3. 네트워킹 탭에서 프라이빗 엔드포인트를 선택한 다음, + 추가를 선택합니다.

    작업 영역 네트워킹

  4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

    • 구독: 이전에 만든 리소스를 포함하는 동일한 Azure 구독입니다.
    • 리소스 그룹: 이전에 만든 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
    • 위치: 이전에 만든 리소스를 포함하는 동일한 Azure 지역입니다.
    • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
    • 대상 하위 리소스: amlworkspace
    • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
    • 서브넷: 학습(172.16.0.0/24)
    • 프라이빗 DNS 통합: 예
    • 프라이빗 DNS 영역: 두 개의 프라이빗 DNS 영역을 기본값인 privatelink.api.azureml.msprivatelink.notebooks.azure.net 상태로 둡니다.

    확인을 선택하여 프라이빗 엔드포인트를 만듭니다.

    작업 영역 프라이빗 네트워크 구성 스크린샷

  5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

  6. 작업 영역을 만들었으면 리소스로 이동을 선택합니다.

  7. 왼쪽의 설정 섹션에서 프라이빗 엔드포인트 연결을 선택한 후 프라이빗 엔드포인트 열의 링크를 선택합니다.

    작업 영역 프라이빗 엔드포인트 연결 스크린샷

  8. 프라이빗 엔드포인트 정보가 표시되면 페이지 왼쪽에서 DNS 구성을 선택합니다. 나중에 사용되기 때문에 이 페이지에 IP 주소 및 FQDN(정규화된 도메인 이름) 정보를 저장합니다.

    IP 및 FQDN 항목 스크린샷

중요

작업 영역을 완전히 사용하려면 먼저 몇 가지 구성 단계가 필요합니다. 그러나 이를 위해 작업 영역에 연결해야 합니다.

스튜디오 사용

Azure Machine Learning 스튜디오는 작업 영역을 쉽게 관리할 수 있는 웹 기반 애플리케이션입니다. 그러나 VNet 내에서 보호되는 리소스와 함께 사용하려면 몇 가지 추가 구성이 필요합니다. 스튜디오를 사용하려면 다음 단계를 사용합니다.

  1. 프라이빗 엔드포인트가 있는 Azure Storage 계정을 사용하는 경우 작업 영역에 대한 서비스 주체를 스토리지 프라이빗 엔드포인트에 대한 읽기 권한자로 추가합니다. Azure Portal에서 스토리지 계정을 선택한 다음, 네트워킹을 선택합니다. 다음으로, 프라이빗 엔드포인트 연결을 선택합니다.

    스토리지 프라이빗 엔드포인트 스크린샷

  2. 나열된 각 프라이빗 엔드포인트에 대해 다음 단계를 사용합니다.

    1. 프라이빗 엔드포인트 열에서 링크를 선택합니다.

      선택할 엔드포인트 스크린샷

    2. 왼쪽에서 액세스 제어(IAM) 를 선택합니다.

    3. + 추가를 선택한 다음, 역할 할당 추가(미리 보기) 를 선택합니다.

      역할 할당 추가 메뉴가 열려 있는 액세스 제어(IAM) 페이지.

    4. 역할 탭에서 읽기 권한자를 선택합니다.

      역할 탭이 선택된 역할 할당 페이지를 추가합니다.

    5. 구성원 탭의 액세스 권한 할당 대상에서 사용자, 그룹 또는 서비스 주체를 선택하고 + 구성원 선택을 선택합니다. 구성원 선택 대화 상자에서 이름을 Azure Machine Learning 작업 영역으로 입력합니다. 작업 영역에 대한 서비스 주체를 선택한 다음, 선택 단추를 사용합니다.

    6. 검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

작업 영역에 연결

보안 작업 영역에 연결할 수 있는 여러 가지 방법이 있습니다. 이 문서의 단계에서는 VNet의 가상 머신인 점프 상자를 사용합니다. 웹 브라우저 및 Azure Bastion을 사용하여 연결할 수 있습니다. 다음 표에는 보안 작업 영역에 연결할 수 있는 몇 가지 다른 방법이 나와 있습니다.

메서드 설명
Azure VPN Gateway 프라이빗 연결을 통해 VNet에 온-프레미스 네트워크를 연결합니다. 공용 인터넷을 통해 연결됩니다.
ExpressRoute 프라이빗 연결을 통해 온-프레미스 네트워크를 클라우드에 연결합니다. 연결 공급자를 사용하여 연결합니다.

중요

VPN Gateway 또는 ExpressRoute를 사용하는 경우 온-프레미스 리소스와 VNet 간에 이름 확인이 작동하는 방식을 계획해야 합니다. 자세한 내용은 사용자 지정 DNS 서버 사용을 참조하세요.

점프 상자(VM) 만들기

다음 단계를 사용하여 점프 상자로 사용할 Azure Virtual Machine을 만듭니다. Azure Bastion을 사용하면 브라우저를 통해 VM 데스크톱에 연결할 수 있습니다. 그런 다음 VM 데스크톱에서 VM의 브라우저를 사용하여 VNet 내의 리소스(예: Azure Machine Learning 스튜디오)에 연결할 수 있습니다. 또는 VM에 개발 도구를 설치할 수 있습니다.

아래 단계에서는 Windows 11 엔터프라이즈 VM을 만듭니다. 요구 사항에 따라 다른 VM 이미지를 선택할 수 있습니다. Windows 11(또는 10) 엔터프라이즈 이미지는 VM을 조직의 도메인에 가입해야 하는 경우에 유용합니다.

  1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 + 리소스 만들기를 선택한 다음 , Virtual Machine을 입력합니다. Virtual Machine 항목을 선택한 다음, 만들기를 선택합니다.

  2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹지역을 선택합니다. 다음 필드에 대한 값을 제공합니다.

    • 가상 머신 이름: VM의 고유한 이름

    • 사용자 이름: VM에 로그인하는 데 사용할 사용자 이름입니다.

    • 암호: 사용자 이름의 암호

    • 보안 형식: 표준

    • 이미지: Windows 11 Enterprise.

      Windows 11 Enterprise 이미지 선택 목록에 없으면 모든 images_를 사용합니다. Microsoft에서 Windows 11 항목을 찾고 선택 드롭다운을 사용하여 엔터프라이즈 이미지를 선택합니다.

    다른 필드는 기본값으로 둘 수 있습니다.

    VM 기본 구성 이미지

  3. 네트워킹에서 앞서 만든 가상 네트워크를 선택합니다. 다음 정보를 사용하여 나머지 필드를 설정합니다.

    • 학습 서브넷을 선택합니다.
    • 공용 IP없음으로 설정합니다.
    • 다른 필드는 기본값으로 둡니다.

    VM 네트워크 구성 이미지

  4. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

점프 상자에 연결

  1. 가상 머신을 만들었으면 리소스로 이동을 선택합니다.

  2. 페이지 맨 위에서 연결을 선택하고 배스천을 선택합니다.

    연결/배스천 UI 이미지

  3. Bastion 사용을 선택한 다음, 가상 머신에 대한 인증 정보를 제공하면 브라우저에 대해 연결이 설정됩니다.

    배스션 사용 대화 상자 이미지

컴퓨팅 클러스터 및 컴퓨팅 인스턴스 만들기

컴퓨팅 클러스터는 학습 작업에서 사용됩니다. 컴퓨팅 인스턴스는 작업 영역에 연결된 공유 컴퓨팅 리소스에 대한 Jupyter Notebook 환경을 제공합니다.

  1. 점프 상자에 대한 Azure Bastion 연결에서 원격 데스크톱의 Microsoft Edge 브라우저를 엽니다.

  2. 원격 브라우저 세션에서 https://ml.azure.com 으로 이동합니다. 메시지가 표시되면 Azure AD 계정을 사용하여 인증합니다.

  3. 스튜디오 시작! 화면에서 앞서 만든 Machine Learning 작업 영역을 선택하고 시작을 선택합니다.

    Azure AD 계정에 여러 구독 또는 디렉터리에 대한 액세스 권한이 있는 경우 디렉터리 및 구독 드롭다운을 사용하여 작업 영역이 포함된 항목을 사용합니다.

    작업 영역 선택 대화 상자 스크린샷

  4. 스튜디오에서 컴퓨팅, 컴퓨팅 클러스터, + 새로 만들기를 차례로 선택합니다.

    새 컴퓨팅 클러스터 워크플로 스크린샷

  5. 가상 머신 대화 상자에서 다음을 선택하여 기본 가상 머신 구성을 적용합니다.

    컴퓨팅 클러스터 VM 설정 스크린샷

  6. 설정 구성 대화 상자에서 cpu-cluster컴퓨팅 이름으로 입력합니다. 서브넷학습으로 설정한 후 만들기를 선택하여 클러스터를 만듭니다.

    컴퓨팅 클러스터는 필요에 따라 클러스터의 노드를 동적으로 스케일링합니다. 클러스터를 사용하지 않을 때 비용을 줄이려면 최소 노드 수를 0으로 두는 것이 좋습니다.

    새 컴퓨팅 클러스터 설정 스크린샷

  7. 스튜디오에서 컴퓨팅, 컴퓨팅 인스턴스, + 새로 만들기를 차례로 선택합니다.

    새 컴퓨팅 인스턴스 워크플로 스크린샷

  8. 가상 머신 대화 상자에서 고유한 컴퓨터 이름을 입력하고 다음: 고급 설정을 선택합니다.

    컴퓨팅 인스턴스 VM 설정 스크린샷

  9. 고급 설정 대화 상자에서 서브넷학습으로 설정한 다음, 만들기를 선택합니다.

    컴퓨팅 인스턴스 설정 스크린샷

컴퓨팅 클러스터 또는 컴퓨팅 인스턴스를 만들 때 Azure Machine Learning은 NSG(네트워크 보안 그룹)를 동적으로 추가합니다. 이 NSG에는 컴퓨팅 클러스터 및 컴퓨팅 인스턴스에 해당되는 다음 규칙이 포함되어 있습니다.

  • BatchNodeManagement 서비스 태그에서 포트 29876-29877의 인바운드 TCP 트래픽을 허용합니다.
  • AzureMachineLearning 서비스 태그에서 포트 44224의 인바운드 TCP 트래픽을 허용합니다.

다음 스크린샷에서는 이러한 규칙의 예를 보여줍니다.

NSG 스크린샷

Python 및 CLI를 사용하여 컴퓨팅 클러스터 및 컴퓨팅 인스턴스를 만드는 방법을 포함하여 이러한 항목을 만드는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

이미지 빌드 구성

적용 대상:Azure CLI ml 확장 v2(현재)

Azure Container Registry가 가상 네트워크 뒤에 있는 경우 Azure Machine Learning은 Docker 이미지(학습 및 배포에 사용)를 직접 빌드하는 데 이 서비스를 사용할 수 없습니다. 대신, 이전에 만든 컴퓨팅 클러스터를 사용하도록 작업 영역을 구성합니다. 다음 단계를 사용하여 컴퓨팅 클러스터를 만들고, 이미지 빌드에 이 클러스터를 사용하도록 작업 영역을 구성합니다.

  1. https://shell.azure.com/으로 이동하여 Azure Cloud Shell을 엽니다.

  2. Cloud Shell에서 다음 명령을 사용하여 Azure Machine Learning에 대한 2.0 CLI를 설치합니다.

    az extension add -n ml
    
  3. 컴퓨팅 클러스터를 사용하여 Docker 이미지를 빌드하도록 작업 영역을 업데이트하려면 docs-ml-rg를 리소스 그룹으로 바꿉니다. docs-ml-ws를 작업 영역으로 바꿉니다. cpu-cluster를 사용할 컴퓨팅 클러스터로 바꿉니다.

    az ml workspace update \
      -n myworkspace \
      -g myresourcegroup \
      -i mycomputecluster
    

    참고

    동일한 컴퓨팅 클러스터를 사용하여 모델을 학습시키고 작업 영역에 대한 Docker 이미지를 빌드할 수 있습니다.

작업 영역 사용

중요

이 문서의 단계에서는 Azure Container Registry를 VNet 뒤에 배치합니다. 이 구성에서는 VNet 내의 Azure Container Instances에 모델을 배포할 수 없습니다. 가상 네트워크에서 Azure Machine Learning으로 Azure Container Instances를 사용하지 않는 것이 좋습니다. 자세한 내용은 유추 환경 보안(SDK/CLI v1)을 참조하세요.

Azure Container Instances 대신 관리형 Azure Machine Learning 온라인 엔드포인트를 사용하세요. 자세한 내용은 관리형 온라인 엔드포인트에 대한 네트워크 격리 사용(미리 보기)을 참조하세요.

이 시점에서 스튜디오를 사용하여 컴퓨팅 인스턴스에서 Notebook을 대화형으로 사용하고 컴퓨팅 클러스터에서 학습 작업을 실행할 수 있습니다. 컴퓨팅 인스턴스 및 컴퓨팅 클러스터 사용에 대한 자습서는 자습서: 하루 만에 Azure Machine Learning을 참조하세요.

컴퓨팅 인스턴스 및 점프 상자 중지

경고

실행 중(시작됨)일 때 컴퓨팅 인스턴스 및 점프 상자에 대해 구독 요금이 계속 청구됩니다. 과도한 비용을 방지하려면 사용하지 않을 때 중지합니다.

컴퓨팅 클러스터는 만들 때 설정한 최소 노드 수와 최대 노드 수 사이에서 동적으로 스케일링됩니다. 기본값을 수락한 경우 최솟값은 0으로, 사용하지 않을 때 클러스터를 효과적으로 해제합니다.

컴퓨팅 인스턴스 중지

스튜디오에서 컴퓨팅, 컴퓨팅 클러스터를 선택한 다음, 컴퓨팅 인스턴스를 선택합니다. 마지막으로 페이지 위쪽에서 중지를 선택합니다.

컴퓨팅 인스턴스의 중지 단추 스크린샷

점프 상자 중지

가상 머신이 만들어지면 Azure Portal에서 해당 가상 머신을 선택한 다음, 중지 단추를 사용합니다. 다시 사용할 준비가 되면 시작 단추를 사용하여 시작합니다.

VM에 대한 중지 단추의 스크린샷

특정 시간에 자동으로 종료하도록 점프 상자를 구성할 수도 있습니다. 이렇게 하려면 자동 종료, 사용을 선택하고 시간을 설정한 다음, 저장을 선택합니다.

자동 종료 옵션 스크린샷

리소스 정리

보안 작업 영역 및 기타 리소스를 계속 사용하려는 경우 이 섹션을 건너뜁니다.

이 자습서에서 만든 모든 리소스를 삭제하려면 다음 단계를 사용합니다.

  1. Azure Portal의 맨 왼쪽에서 리소스 그룹을 선택합니다.

  2. 목록에서 이 자습서를 진행하면서 만든 리소스 그룹을 선택합니다.

  3. 리소스 그룹 삭제를 선택합니다.

    리소스 그룹 삭제 단추 스크린샷

  4. 리소스 그룹 이름을 입력한 다음, 삭제를 선택합니다.

다음 단계

이제 보안 작업 영역을 만들고 스튜디오에 액세스할 수 있으므로 네트워크 격리를 사용하여 온라인 엔드포인트에 모델을 배포하는 방법을 알아봅니다.