자습서: Azure Virtual Network를 사용하여 안전한 작업 영역을 만드는 방법

이 문서에서는 보안 Azure Machine Learning 작업 영역을 만들고 연결하는 방법을 알아봅니다. 이 문서의 단계에서는 Azure Virtual Network를 사용하여 Azure Machine Learning에서 사용하는 리소스 주위에 보안 경계를 만듭니다.

중요

Azure Virtual Network 대신 Azure Machine Learning 관리형 가상 네트워크를 사용합니다. 관리되는 가상 네트워크를 사용하는 이 자습서 버전은 자습서: 관리되는 가상 네트워크를 사용하여 안전한 작업 영역 만들기를 참조하세요.

이 자습서에서는 다음 작업을 완료합니다.

• 가상 네트워크의 서비스 간 통신을 보호하는 Azure VNet(Virtual Network)을 만듭니다.
• VNet 뒤에 Azure Storage 계정(Blob 및 파일)을 만듭니다. 이 서비스를 작업 영역의 기본 스토리지로 사용합니다.
• VNet 뒤에 Azure Key Vault를 만듭니다. 이 서비스를 사용하여 스토리지 계정에 액세스하는 데 필요한 보안 정보와 같이 작업 영역에서 사용하는 비밀을 저장합니다.
• ACR(Azure Container Registry)를 만듭니다. 이 서비스를 Docker 이미지의 리포지토리로 사용합니다. Docker 이미지는 기계 학습 모델을 학습하거나 학습된 모델을 엔드포인트로 배포할 때 필요한 컴퓨팅 환경을 제공합니다.
• Azure Machine Learning 작업 영역을 만듭니다.
• 점프 상자를 만듭니다. 점프 상자는 VNet 뒤에 있는 Azure 가상 머신입니다. VNet은 공용 인터넷에서의 액세스를 제한하므로 VNet 뒤에 있는 리소스에 연결하는 방법으로 점프 상자를 사용합니다.
• VNet 뒤에서 작동하도록 Azure Machine Learning 스튜디오를 구성합니다. 스튜디오는 Azure Machine Learning용 웹 인터페이스를 제공합니다.
• Azure Machine Learning 컴퓨팅 클러스터를 만듭니다. 클라우드에서 기계 학습 모델을 학습할 때 컴퓨팅 클러스터를 사용합니다. Azure Container Registry가 VNet 뒤에 있는 구성에서는 Docker 이미지도 빌드합니다.
• 점프 상자에 연결하고 Azure Machine Learning 스튜디오를 사용합니다.

팁

보안 작업 영역을 만드는 방법을 보여 주는 템플릿은 Bicep 템플릿 또는 Terraform 템플릿을 참조하세요.

이 자습서를 완료하면 다음과 같은 아키텍처가 제공됩니다.

• Azure Virtual Network는 세 개의 서브넷이 포함되어 있습니다.
  • 교육: Azure Machine Learning 작업 영역, 종속성 서비스 및 학습 모델에 사용되는 리소스를 포함합니다.
  • 채점: 이 자습서의 단계에서는 사용되지 않습니다. 그러나 다른 자습서에 이 작업 영역을 계속 사용하는 경우 모델을 엔드포인트에 배포할 때 이 서브넷을 사용합니다.
  • AzureBastionSubnet: Azure Bastion 서비스가 클라이언트를 Azure Virtual Machines에 안전하게 연결하는 데 사용됩니다.
• 프라이빗 엔드포인트를 사용하여 가상 네트워크를 사용하여 통신하는 Azure Machine Learning 작업 영역입니다.
• 프라이빗 엔드포인트를 사용하여 Blob 및 파일과 같은 스토리지 서비스가 가상 네트워크를 사용하여 통신할 수 있도록 하는 Azure Storage 계정입니다.
• 프라이빗 엔드포인트를 사용하여 가상 네트워크를 사용하여 통신하는 Azure Container Registry입니다.
• Azure Bastion- 브라우저를 사용하여 가상 네트워크 내의 점프 박스 VM과 안전하게 통신합니다.
• 가상 네트워크 내에서 보호되는 리소스에 원격으로 연결하고 액세스할 수 있는 Azure Virtual Machine입니다.
• Azure Machine Learning 컴퓨팅 인스턴스 및 컴퓨팅 클러스터입니다.

팁

다이어그램에 나열된 Azure Batch 서비스는 컴퓨팅 클러스터 및 컴퓨팅 인스턴스에 필요한 백 엔드 서비스입니다.

필수 구성 요소

• Azure Virtual Network 및 IP 네트워킹 사용에 대한 지식 잘 모르는 경우 컴퓨터 네트워킹 모듈의 기본 사항을 사용해 보세요.
• 이 문서의 단계 대부분은 Azure Portal 또는 Azure Machine Learning 스튜디오를 사용하지만 일부 단계에서는 Machine Learning v2용 Azure CLI 확장을 사용합니다.

가상 네트워크 만들기

가상 네트워크를 만들려면 다음 단계를 사용합니다.

1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 + 리소스 만들기를 선택하고 검색 필드에 가상 네트워크를 입력합니다. Virtual Network 항목을 선택한 후 만들기를 선택합니다.

   

   

2. 기본 사항 탭에서 이 리소스에 사용할 Azure 구독을 선택하고 새 리소스 그룹을 선택하거나 만듭니다. 인스턴스 정보에서 가상 네트워크의 이름을 입력하고 만들 지역을 선택합니다.

   

3. 보안을 선택합니다. Azure Bastion 사용을 선택합니다. Azure Bastion 이후 단계에서 가상 네트워크 내에서 만드는 VM 점프 상자에 안전하게 액세스할 수 있는 방법을 제공합니다. 나머지 필드에 대해 다음 값을 사용합니다.

   • Bastion 이름: 이 Bastion 인스턴스의 고유한 이름입니다.
   • 공용 IP 주소: 새 공용 IP 주소를 만듭니다.

   다른 필드는 기본값으로 둡니다.

   

4. IP 주소를 선택합니다. 기본 설정은 다음 이미지와 유사해야 합니다.

   

   다음 단계를 사용하여 IP 주소를 구성하고 학습 및 점수 매기기 리소스에 대한 서브넷을 구성합니다.

   팁

   모든 Azure Machine Learning 리소스에 단일 서브넷을 사용할 수 있지만 이 문서의 단계에서는 학습 및 채점 리소스를 구분하는 두 개의 서브넷을 만드는 방법을 보여 줍니다.

   작업 영역 및 기타 종속성 서비스는 학습 서브넷으로 이동합니다. 이러한 서비스는 점수 매기기 서브넷 등의 다른 서브넷의 리소스에서 계속 사용할 수 있습니다.

   1. 기본 IPv4 주소 공간 값을 확인합니다. 스크린샷에서 이 값은 172.16.0.0/16입니다. 값이 다를 수 있습니다. 다른 값을 사용할 수 있지만 이 자습서의 나머지 단계는 172.16.0.0/16 값을 기준으로 합니다.

      경고

      가상 네트워크에 172.17.0.0/16 IP 주소 범위를 사용하지 마세요. 이 범위는 Docker 브리지 네트워크에서 사용하는 기본 서브넷 범위이며 가상 네트워크에 사용하는 경우 오류가 발생합니다. 다른 범위는 가상 네트워크에 연결하려는 항목에 따라 충돌할 수도 있습니다. 예를 들어 온-프레미스 네트워크를 가상 네트워크에 연결하려는 경우 온-프레미스 네트워크도 172.16.0.0/16 범위를 사용합니다. 궁극적으로 네트워크 인프라를 계획해야 합니다.

   2. 기본 서브넷을 선택한 다음 편집 아이콘을 선택합니다.

      

   3. 서브넷 이름을 학습으로 변경합니다. 다른 값을 기본 설정에 두고 저장 을 선택하여 변경 내용을 저장합니다.

   4. 모델의 점수를 매기는 데 사용되는 컴퓨팅 리소스에 대한 서브넷을 만들려면 + 서브넷 추가를 선택하고 이름 및 주소 범위를 설정합니다.

      • 서브넷 이름: 점수 매기기
      • 시작 주소: 172.16.2.0
      • 서브넷 크기: /24(주소 256개)

      

   5. 추가를 선택하여 서브넷을 추가합니다.

5. 검토 + 만들기를 선택합니다.

   

6. 정보가 올바른지 확인한 후 만들기를 선택합니다.

   

스토리지 계정 만들기

1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고, 스토리지 계정을 입력합니다. 스토리지 계정 항목을 선택하고 만들기를 선택합니다.

2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹 및 지역을 선택합니다. 고유한 스토리지 계정 이름을 입력하고 중복성을 LRS(로컬 중복 스토리지)로 설정합니다.

   

3. 네트워킹 탭에서 공용 액세스를 사용하지 않도록 설정한 다음, + 프라이빗 엔드포인트 추가를 선택합니다.

   

4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

   • 구독: 이전 리소스를 포함하는 동일한 Azure 구독입니다.
   • 리소스 그룹: 이전 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
   • 위치: 이전 리소스를 포함하는 동일한 Azure 지역입니다.
   • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
   • 대상 하위 리소스: Blob
   • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
   • 서브넷: 학습(172.16.0.0/24)
   • 프라이빗 DNS 통합: 예
   • 프라이빗 DNS 영역: privatelink.blob.core.windows.net

   추가를 선택하여 프라이빗 엔드포인트를 만듭니다.

5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

6. 스토리지 계정이 만들어지면 리소스로 이동을 선택합니다.

   

7. 왼쪽 탐색 영역에서 네트워킹을 선택합니다. 프라이빗 엔드포인트 연결 탭을 선택한 다음+ 프라이빗 엔드포인트를 선택합니다.

   참고

   이전 단계에서 Blob Storage에 대한 프라이빗 엔드포인트를 만들었지만 File Storage에 대한 엔드포인트도 만들어야 합니다.

   

8. 프라이빗 엔드포인트 만들기 양식에서 이전 리소스에 사용한 것과 동일한 구독, 리소스 그룹 및 지역을 사용합니다. 고유한 이름을 입력합니다.

   

9. 다음: 리소스를 선택하고 대상 하위 리소스를 파일로 설정합니다.

   

10. 다음: Virtual Network을 선택한 후, 다음 값을 사용합니다.

    • 가상 네트워크: 이전에 만든 네트워크입니다.
    • 서브넷: 학습

    

11. 검토 + 만들기에 도달할 때까지 기본값을 선택하는 탭을 계속 진행합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

팁

ParallelRunStep을 사용하는 일괄 처리 엔드포인트 또는 Azure Machine Learning 파이프라인을 사용하려는 경우 큐 및 테이블 하위 리소스를 대상으로 하는 프라이빗 엔드포인트도 구성해야 합니다. ParallelRunStep 는 내부적으로 작업 예약 및 디스패치에 큐 및 테이블을 사용합니다.

키 자격 증명 모음 만들기

1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고 Key Vault를 입력합니다. Key Vault 항목을 선택한 다음, 만들기를 선택합니다.

2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹 및 지역을 선택합니다. 고유한 Key Vault 이름을 입력합니다. 다른 필드는 기본값으로 둡니다.

   

3. 네트워킹 탭에서 공용 액세스 사용 선택을 취소한 다음 + 프라이빗 엔드포인트 만들기를 선택합니다.

   

4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

   • 구독: 이전 리소스를 포함하는 동일한 Azure 구독입니다.
   • 리소스 그룹: 이전 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
   • 위치: 이전 리소스를 포함하는 동일한 Azure 지역입니다.
   • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
   • 대상 하위 리소스: 자격 증명 모음
   • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
   • 서브넷: 학습(172.16.0.0/24)
   • 프라이빗 DNS 통합 사용: 예
   • 프라이빗 DNS 영역: 가상 네트워크 및 키 자격 증명 모음이 포함된 리소스 그룹을 선택합니다.

   추가를 선택하여 프라이빗 엔드포인트를 만듭니다.

   

5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

6. 키 자격 증명 모음이 생성되면 리소스로 이동을 선택합니다.

7. 왼쪽 탐색 영역에서 네트워킹을 선택합니다. 방화벽 및 가상 네트워크 탭에서 신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 우회하도록 허용 확인란을 선택하고 적용을 선택합니다.

컨테이너 레지스트리 만들기

1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고 컨테이너 레지스트리를 입력합니다. 컨테이너 레지스트리 항목을 선택한 후 만들기를 선택합니다.

2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹 및 위치를 선택합니다. 고유한 레지스트리 이름을 입력하고 SKU를 프리미엄으로 설정합니다.

   

3. 네트워킹 탭에서 프라이빗 엔드포인트를 선택한 다음, + 추가를 선택합니다.

   

4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

   • 구독: 이전 리소스를 포함하는 동일한 Azure 구독입니다.
   • 리소스 그룹: 이전 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
   • 위치: 이전 리소스를 포함하는 동일한 Azure 지역입니다.
   • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
   • 대상 하위 리소스: 레지스트리
   • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
   • 서브넷: 학습(172.16.0.0/24)
   • 프라이빗 DNS 통합: 예
   • 리소스 그룹: 가상 네트워크 및 컨테이너 레지스트리가 포함된 리소스 그룹을 선택합니다.

   추가를 선택하여 프라이빗 엔드포인트를 만듭니다.

   

5. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

6. 컨테이너 레지스트리를 만든 후 리소스로 가기를 선택합니다.

   

7. 페이지 왼쪽에서 액세스 키를 선택한 다음, 관리 사용자를 사용하도록 설정합니다. Azure Machine Learning을 사용하여 가상 네트워크 내에서 Azure Container Registry를 사용하는 경우 이 설정이 필요합니다.

   

작업 영역 만들기

1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 +리소스 만들기를 선택하고 Machine Learning을 입력합니다. Machine Learning을 선택하고 만들기를 선택합니다.

   

2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹 및 지역을 선택합니다. 다른 필드에 대해 다음 값을 사용합니다.

   • 이름: 작업 영역의 고유한 이름입니다.
   • 스토리지 계정: 이전에 만든 스토리지 계정을 선택합니다.
   • Key Vault: 이전에 만든 Key Vault를 선택합니다.
   • Application insights: 기본값을 사용합니다.
   • 컨테이너 레지스트리: 이전에 만든 컨테이너 레지스트리를 사용합니다.

   

3. 네트워킹 탭에서 인터넷 아웃바운드를 통한 프라이빗를 선택합니다. 작업 영역 인바운드 액세스 섹션에서 + 추가를 선택합니다.

4. 프라이빗 엔드포인트 만들기 양식에서 다음 값을 사용합니다.

   • 구독: 이전 리소스를 포함하는 동일한 Azure 구독입니다.
   • 리소스 그룹: 이전 리소스를 포함하는 동일한 Azure 리소스 그룹입니다.
   • 위치: 이전 리소스를 포함하는 동일한 Azure 지역입니다.
   • 이름: 이 프라이빗 엔드포인트의 고유한 이름입니다.
   • 대상 하위 리소스: amlworkspace
   • 가상 네트워크: 이전에 만든 가상 네트워크입니다.
   • 서브넷: 학습(172.16.0.0/24)
   • 프라이빗 DNS 통합: 예
   • 프라이빗 DNS 영역: 두 개의 프라이빗 DNS 영역을 기본값인 privatelink.api.azureml.ms 및 privatelink.notebooks.azure.net 상태로 둡니다.

   확인을 선택하여 프라이빗 엔드포인트를 만듭니다.

   

5. 네트워킹 탭의 Workspace 아웃바운드 액세스 섹션에서 내 가상 네트워크 사용을 선택합니다.

6. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

7. 작업 영역이 만들어지면 리소스로 가기를 선택합니다.

8. 왼쪽의 설정 섹션에서 네트워킹, 프라이빗 엔드포인트 연결을 선택한 다음, 프라이빗 엔드포인트 열에서 링크를 선택합니다.

   

9. 프라이빗 엔드포인트 정보가 표시되면 페이지 왼쪽에서 DNS 구성을 선택합니다. 이 페이지에 IP 주소 및 FQDN(정규화된 도메인 이름) 정보를 저장합니다.

   

중요

작업 영역을 완전히 사용하려면 먼저 몇 가지 구성 단계가 필요합니다. 그러나 이러한 단계를 수행하려면 작업 영역에 연결해야 합니다.

스튜디오 사용

Azure Machine Learning 스튜디오는 작업 영역을 관리하는 데 사용하는 웹 기반 애플리케이션입니다. 그러나 가상 네트워크 내에서 보호된 리소스와 함께 사용하기 전에 몇 가지 추가 구성이 필요합니다. 스튜디오를 사용하려면 다음 단계를 사용합니다.

1. 프라이빗 엔드포인트가 있는 Azure Storage 계정을 사용하는 경우 작업 영역에 대한 서비스 주체를 스토리지 프라이빗 엔드포인트의 읽기 권한자로 추가합니다. Azure Portal에서 스토리지 계정을 선택한 다음, 네트워킹을 선택합니다. 다음으로, 프라이빗 엔드포인트 연결을 선택합니다.

   

2. 나열된 각 프라이빗 엔드포인트에 대해 다음 단계를 사용합니다.

   1. 프라이빗 엔드포인트 열에서 링크를 선택합니다.

      

   2. 왼쪽에서 액세스 제어(IAM)를 선택합니다.

   3. + 추가를 선택한 다음 역할 할당 추가(미리 보기)를 선택합니다.

      

   4. 역할 탭에서 읽기 권한자 역할을 선택합니다.

      

   5. 구성원 탭의 액세스 권한 할당 대상에서 사용자, 그룹 또는 서비스 주체를 선택하고 + 구성원 선택을 선택합니다. 구성원 선택 대화 상자에서 이름을 Azure Machine Learning 작업 영역으로 입력합니다. 작업 영역에 대한 서비스 주체를 선택한 다음, 선택 단추를 사용합니다.

   6. 검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

Azure Monitor 및 Application Insights 보안

참고

Azure Monitor 및 Application Insights 보안에 대한 자세한 내용은 다음 문서를 참조하세요.

• 작업 영역 기반 Application Insights 리소스로 마이그레이션
• Azure Monitor 프라이빗 링크 구성

1. Azure Portal에서 홈을 선택한 다음 Private 링크를 검색합니다. Azure Monitor Private Link 범위 결과를 선택한 후 만들기를 선택합니다.

2. 기본 탭에서 Azure Machine Learning 작업 영역과 동일한 구독, 리소스 그룹 및 리소스 그룹 지역을 선택합니다. 인스턴스의 이름을 입력한 후 검토 + 만들기를 선택합니다. 인스턴스를 만들려면 만들기를 선택합니다.

3. Azure Monitor Private Link 범위 인스턴스를 만든 후 Azure Portal에서 인스턴스를 선택합니다. 구성 섹션에서 Azure Monitor 리소스를 선택한 후 + 추가를 선택합니다.

   

4. 범위 선택에서 필터를 사용하여 Azure Machine Learning 작업 영역에 대한 Application Insights 인스턴스를 선택합니다. 적용을 선택하여 인스턴스를 추가합니다.

5. 구성 섹션에서 프라이빗 엔드포인트 연결을 선택한 후 + 프라이빗 엔드포인트를 선택합니다.

   

6. 가상 네트워크를 포함하는 동일한 구독, 리소스 그룹 및 지역을 선택합니다. 다음: 리소스를 선택합니다.

   

7. Microsoft.insights/privateLinkScopes를 리소스 유형으로 선택합니다. 이전에 만든 Private Link 범위를 리소스로 선택합니다. azuremonitor로 를 선택합니다. 다음을 선택합니다. 계속하려면 Virtual Network를 선택합니다.

   

8. 이전에 만든 가상 네트워크와 학습 서브넷을 선택합니다. 검토 + 만들기에 도달할 때까지 다음을 선택합니다. 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

   

9. 프라이빗 엔드포인트를 만든 후 포털에서 Azure Monitor Private Link 범위 리소스로 돌아갑니다. 구성 섹션에서 액세스 모드를 선택합니다. 수집 액세스 모드 및 쿼리 액세스 모드에 대해서만 Private을 선택한 다음 저장을 선택합니다.

   

작업 영역에 연결

여러 가지 방법으로 보안 작업 영역에 연결할 수 있습니다. 이 문서의 단계에서는 가상 네트워크의 가상 머신인 점프 상자를 사용합니다. 웹 브라우저 및 Azure Bastion을 사용하여 연결할 수 있습니다. 다음 표에는 보안 작업 영역에 연결할 수 있는 몇 가지 다른 방법이 나와 있습니다.

방법	설명
Azure VPN Gateway	프라이빗 연결을 통해 온-프레미스 네트워크를 가상 네트워크에 연결합니다. 공용 인터넷을 통해 연결됩니다.
ExpressRoute	프라이빗 연결을 통해 온-프레미스 네트워크를 클라우드에 연결합니다. 연결 공급자를 사용하여 연결합니다.

중요

VPN Gateway 또는 ExpressRoute를 사용하는 경우 온-프레미스 리소스와 가상 네트워크에 있는 리소스 간에 이름 확인이 작동하는 방식을 계획해야 합니다. 자세한 내용은 사용자 지정 DNS 서버 사용을 참조하세요.

점프 상자(VM) 만들기

다음 단계를 사용하여 점프 상자로 사용할 Azure Virtual Machine을 만듭니다. Azure Bastion을 사용하여 브라우저를 통해 VM 데스크톱에 연결할 수 있습니다. VM 데스크톱에서 VM의 브라우저를 사용하여 Azure Machine Learning 스튜디오와 같은 가상 네트워크 내의 리소스에 연결할 수 있습니다. 또는 VM에 개발 도구를 설치할 수 있습니다.

팁

다음 단계에서는 Windows 11 Enterprise VM을 만듭니다. 요구 사항에 따라 다른 VM 이미지를 선택할 수 있습니다. Windows 11(또는 10) 엔터프라이즈 이미지는 VM을 조직의 도메인에 가입해야 하는 경우에 유용합니다.

1. Azure Portal에서 왼쪽 위 구석에 있는 Portal 메뉴를 선택합니다. 메뉴에서 + 리소스 만들기를 선택하고 가상 머신을 입력합니다. 가상 머신 항목을 선택한 후 만들기를 선택합니다.

2. 기본 사항 탭에서 가상 네트워크에 대해 이전에 사용한 구독, 리소스 그룹 및 지역을 선택합니다. 다음 필드에 대한 값을 제공합니다.

   • 가상 머신 이름: VM의 고유한 이름

   • 사용자 이름: VM에 로그인하는 데 사용하는 사용자 이름입니다.

   • 암호: 사용자 이름의 암호

   • 보안 형식: 표준

   • 이미지: Windows 11 Enterprise입니다.

     팁

     Windows 11 Enterprise가 이미지 선택 목록에 없으면 모든 이미지 참조를 사용합니다. Microsoft에서 Windows 11 항목을 찾고 선택 드롭다운을 사용하여 엔터프라이즈 이미지를 선택합니다.

   다른 필드는 기본값으로 둘 수 있습니다.

   

3. 네트워킹에서 앞서 만든 가상 네트워크를 선택합니다. 다음 정보를 사용하여 나머지 필드를 설정합니다.

   • 학습 서브넷을 선택합니다.
   • 공용 IP를 없음으로 설정합니다.
   • 다른 필드는 기본값으로 둡니다.

   

4. 검토 + 만들기를 선택합니다. 정보가 올바른지 확인한 후 만들기를 선택합니다.

점프 상자에 연결

1. 가상 머신을 만든 후 리소스로 이동을 선택합니다.

2. 페이지 위쪽에서 연결을 선택한 다음 Bastion을 통해 연결합니다.

   팁

   Azure Bastion은 인바운드 통신에 포트 443을 사용합니다. 아웃바운드 트래픽을 제한하는 방화벽이 있는 경우 포트 443에서 Azure Bastion 서비스로의 트래픽을 허용하는지 확인합니다. 자세한 내용은 NSG 및 Azure Bastion 작업을 참조하세요.

   

3. 가상 머신에 대한 인증 정보를 입력합니다. 브라우저에서 연결이 설정됩니다.

컴퓨팅 클러스터 및 인스턴스 만들기

컴퓨팅 인스턴스는 작업 영역에 연결된 공유 컴퓨팅 리소스에 대한 Jupyter Notebook 환경을 제공합니다.

1. 점프 상자에 대한 Azure Bastion 연결에서 원격 데스크톱의 Microsoft Edge 브라우저를 엽니다.

2. 원격 브라우저 세션에서 https://ml.azure.com으로 이동합니다. 메시지가 표시되면 Microsoft Entra 계정을 사용하여 인증합니다.

3. 스튜디오 시작! 화면에서 앞서 만든 Machine Learning 작업 영역을 선택하고 시작을 선택합니다.

   팁

   Microsoft Entra 계정에 여러 구독 또는 디렉터리에 대한 액세스 권한이 있는 경우 디렉터리 및 구독 드롭다운을 사용하여 작업 영역이 포함된 항목을 선택합니다.

   

4. 스튜디오에서 Compute, Compute 클러스터를 선택한 다음 + 새로 만들기를 선택합니다.

   

5. Virtual Machine 대화 상자에서 다음 을 선택하여 기본 가상 머신 구성을 적용합니다.

   

6. 설정 구성 대화 상자에서 컴퓨팅 이름으로 입력 cpu-cluster 합니다. 서브넷을 설정한 다음 Training를 선택하여 클러스터를 만듭니다.

   팁

   컴퓨팅 클러스터는 필요에 따라 클러스터의 노드를 동적으로 스케일링합니다. 클러스터를 사용하지 않을 때 비용을 줄이기 위해 최소 노드 수를 0으로 둡니다.

   

7. 스튜디오에서 컴퓨팅, 컴퓨팅 인스턴스, + 새로 만들기를 차례로 선택합니다.

   

8. 필수 설정에서, 고유한 컴퓨터 이름을 입력하고 다음을 선택합니다.

   

9. 보안 대화 상자에 도달할 때까지 다음을 계속 선택하고, 가상 네트워크를 선택하고, 서브넷을 학습으로 설정합니다. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

   

팁

컴퓨팅 클러스터 또는 컴퓨팅 인스턴스를 만들 때 Azure Machine Learning은 NSG(네트워크 보안 그룹)를 동적으로 추가합니다. 이 NSG에는 컴퓨팅 클러스터 및 컴퓨팅 인스턴스에 해당되는 다음 규칙이 포함되어 있습니다.

• BatchNodeManagement 서비스 태그에서 포트 29876-29877의 인바운드 TCP 트래픽을 허용합니다.
• AzureMachineLearning 서비스 태그에서 포트 44224의 인바운드 TCP 트래픽을 허용합니다.

다음 스크린샷에서는 이러한 규칙의 예를 보여줍니다.

Python 및 CLI를 사용하여 컴퓨팅 클러스터 및 컴퓨팅 인스턴스를 만드는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

• 컴퓨팅 클러스터 만들기
• 컴퓨팅 인스턴스 만들기

이미지 빌드 구성

적용 대상:Azure CLI ml 확장 v2(현재)

Azure Container Registry가 가상 네트워크 뒤에 있는 경우 Azure Machine Learning은 Docker 이미지(학습 및 배포에 사용)를 직접 빌드하는 데 이 서비스를 사용할 수 없습니다. 대신, 이전에 만든 컴퓨팅 클러스터를 사용하도록 작업 영역을 구성합니다. 다음 단계를 사용하여 컴퓨팅 클러스터를 만들고, 이미지 빌드에 이 클러스터를 사용하도록 작업 영역을 구성합니다.

1. https://shell.azure.com/로 이동하여 Azure Cloud Shell을 엽니다.

2. Cloud Shell에서 다음 명령을 사용하여 Azure Machine Learning에 대한 2.0 CLI를 설치합니다.

   az extension add -n ml
   

3. 컴퓨팅 클러스터를 사용하여 Docker 이미지를 빌드하도록 작업 영역을 업데이트합니다. docs-ml-rg를 리소스 그룹으로 바꿉니다. docs-ml-ws를 작업 영역으로 바꿉니다. cpu-cluster을(를) 컴퓨팅 클러스터 이름으로 대체합니다.

   az ml workspace update \
     -n docs-ml-ws \
     -g docs-ml-rg \
     -i cpu-cluster
   

   참고

   동일한 컴퓨팅 클러스터를 사용하여 모델을 학습시키고 작업 영역에 대한 Docker 이미지를 빌드할 수 있습니다.

작업 영역 사용

중요

이 문서의 단계에서는 Azure Container Registry를 가상 네트워크 뒤에 배치합니다. 이 구성에서는 가상 네트워크 내의 Azure Container Instances에 모델을 배포할 수 없습니다. 가상 네트워크에서 Azure Machine Learning과 함께 Azure Container Instances를 사용하지 마세요. 자세한 내용은 유추 환경 보안(SDK/CLI v1)을 참조하세요.

Azure Container Instances 대신 관리형 Azure Machine Learning 온라인 엔드포인트를 사용하세요. 자세한 내용은 관리형 온라인 엔드포인트에 대한 네트워크 격리 사용을 참조하세요.

이때 스튜디오를 사용하여 컴퓨팅 인스턴스에서 Notebook을 통해 대화형으로 사용하고 컴퓨팅 클러스터에서 학습 작업을 실행할 수 있습니다. 컴퓨팅 인스턴스 및 컴퓨팅 클러스터 사용에 대한 자습서는 자습서: 하루 만에 Azure Machine Learning을 참조하세요.

컴퓨팅 인스턴스 및 점프 상자 중지

경고

실행 중(시작됨) 동안 컴퓨팅 인스턴스 및 점프 박스에 대해 구독에 계속 요금이 부과됩니다. 과도한 비용을 방지하려면 사용하지 않을 때 중지 합니다.

컴퓨팅 클러스터는 만들 때 설정된 최소 노드 수와 최대 노드 수 집합 간에 동적으로 확장됩니다. 기본값을 적용하는 경우 최소값은 0이며 사용하지 않을 때 클러스터를 효과적으로 해제합니다.

컴퓨팅 인스턴스 중지

스튜디오에서 컴퓨팅, 컴퓨팅 클러스터를 선택한 다음, 컴퓨팅 인스턴스를 선택합니다. 마지막으로 페이지 위쪽에서 중지를 선택합니다.

점프 상자 중지

점프 상자를 만든 후 Azure Portal에서 가상 머신을 선택한 다음 중지 단추를 사용합니다. 다시 사용할 준비가 되면 시작 단추를 사용하여 시작합니다.

특정 시간에 자동으로 종료하도록 점프 상자를 구성할 수도 있습니다. 이렇게 하려면 자동 종료, 사용을 선택하고 시간을 설정한 다음, 저장을 선택합니다.

리소스 정리

보안 작업 영역 및 기타 리소스를 계속 사용하려는 경우 이 섹션을 건너뜁니다.

이 자습서에서 만든 모든 리소스를 삭제하려면 다음 단계를 사용합니다.

1. Azure Portal의 맨 왼쪽에서 리소스 그룹을 선택합니다.

2. 목록에서 이 자습서를 진행하면서 만든 리소스 그룹을 선택합니다.

3. 리소스 그룹 삭제를 선택합니다.

   

4. 리소스 그룹 이름을 입력한 다음 삭제를 선택합니다.

다음 단계

보안 작업 영역 및 액세스 스튜디오를 설정한 후 네트워크 격리를 사용하여 온라인 엔드포인트에 모델을 배포하는 방법을 알아봅니다.