Zelfstudie: Een beveiligde werkruimte maken met een beheerd virtueel netwerk
In dit artikel leert u hoe u een beveiligde Azure Machine Learning-werkruimte maakt en er verbinding mee maakt. In de stappen in dit artikel wordt een door Azure Machine Learning beheerd virtueel netwerk gebruikt om een beveiligingsgrens te maken rond resources die door Azure Machine Learning worden gebruikt.
In deze zelfstudie voert u de volgende taken uit:
- Maak een Azure Machine Learning-werkruimte die is geconfigureerd voor het gebruik van een beheerd virtueel netwerk.
- Maak een Azure Machine Learning-rekencluster. Een rekencluster wordt gebruikt bij het trainen van machine learning-modellen in de cloud.
Nadat u deze zelfstudie hebt voltooid, hebt u de volgende architectuur:
- Een Azure Machine Learning-werkruimte die gebruikmaakt van een privé-eindpunt om te communiceren met behulp van het beheerde netwerk.
- Een Azure Storage-account dat gebruikmaakt van privé-eindpunten, zodat opslagservices zoals blob en bestand kunnen communiceren met behulp van het beheerde netwerk.
- Een Azure Container Registry die gebruikmaakt van een privé-eindpunt, communiceert met behulp van het beheerde netwerk.
- Een Azure Key Vault die gebruikmaakt van een privé-eindpunt om te communiceren met behulp van het beheerde netwerk.
- Een Azure Machine Learning-rekenproces en een rekencluster dat wordt beveiligd door het beheerde netwerk.
Vereisten
- Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint. Probeer de gratis of betaalde versie van Azure Machine Learning.
Een jumpbox maken (VM)
Er zijn verschillende manieren waarop u verbinding kunt maken met de beveiligde werkruimte. In deze zelfstudie wordt een jumpbox gebruikt. Een jumpbox is een virtuele machine in een virtueel Azure-netwerk. U kunt er verbinding mee maken via uw webbrowser en Azure Bastion.
De volgende tabel bevat verschillende andere manieren waarop u verbinding kunt maken met de beveiligde werkruimte:
| Wijze | Description |
|---|---|
| Azure VPN-gateway | On-premises netwerken verbinden met een virtueel Azure-netwerk via een privéverbinding. Er wordt een privé-eindpunt voor uw werkruimte gemaakt binnen dat virtuele netwerk. Er wordt verbinding gemaakt via het openbare internet. |
| ExpressRoute | On-premises netwerken verbinden met de cloud via een privéverbinding. Verbinding wordt gemaakt met behulp van een connectiviteitsprovider. |
Belangrijk
Wanneer u een VPN-gateway of ExpressRoute gebruikt, moet u plannen hoe naamomzetting werkt tussen uw on-premises resources en die in de cloud. Zie Een aangepaste DNS-server gebruiken voor meer informatie.
Gebruik de volgende stappen om een virtuele Azure-machine te maken die u als jumpbox wilt gebruiken. Vanuit het VM-bureaublad kunt u vervolgens de browser op de VIRTUELE machine gebruiken om verbinding te maken met resources in het beheerde virtuele netwerk, zoals Azure Machine Learning-studio. U kunt ook ontwikkelhulpprogramma's installeren op de VIRTUELE machine.
Tip
Met de volgende stappen maakt u een virtuele Windows 11-onderneming. Afhankelijk van uw vereisten kunt u een andere VM-installatiekopieën selecteren. De bedrijfsinstallatiekopieën van Windows 11 (of 10) zijn handig als u de VIRTUELE machine wilt toevoegen aan het domein van uw organisatie.
Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Virtuele machine in. Selecteer de vermelding virtuele machine en selecteer vervolgens Maken.
Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio waarin u de service wilt maken. Geef waarden op voor de volgende velden:
Naam van virtuele machine: een unieke naam voor de virtuele machine.
Gebruikersnaam: de gebruikersnaam die u gebruikt om u aan te melden bij de virtuele machine.
Wachtwoord: het wachtwoord voor de gebruikersnaam.
Beveiligingstype: Standaard.
Afbeelding: Windows 11 Enterprise.
Tip
Als Windows 11 Enterprise niet in de lijst staat voor de selectie van installatiekopieën, gebruikt u Alle images_weergeven. Zoek de Windows 11-vermelding van Microsoft en gebruik de vervolgkeuzelijst Selecteren om de bedrijfsinstallatiekopieën te selecteren.
U kunt andere velden op de standaardwaarden laten staan.
Selecteer Netwerken. Controleer de netwerkgegevens en zorg ervoor dat deze niet het IP-adresbereik 172.17.0.0/16 gebruikt. Als dat het is, selecteert u een ander bereik, zoals 172.16.0.0/16; Het bereik 172.17.0.0/16 kan conflicten veroorzaken met Docker.
Notitie
De virtuele Azure-machine maakt een eigen Virtueel Azure-netwerk voor netwerkisolatie. Dit netwerk staat los van het beheerde virtuele netwerk dat wordt gebruikt door Azure Machine Learning.
Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.
Azure Bastion inschakelen voor de VIRTUELE machine
Met Azure Bastion kunt u verbinding maken met het vm-bureaublad via uw browser.
Selecteer in Azure Portal de VM die u eerder hebt gemaakt. Selecteer Bastion in de sectie Verbinding maken van de pagina en vervolgens Bastion implementeren.
Zodra de Bastion-service is geïmplementeerd, komt u aan bij een verbindingsdialoogvenster. Laat dit dialoogvenster voorlopig staan.
Een werkruimte maken
Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Azure Machine Learning in. Selecteer de Azure Machine Learning-vermelding en selecteer vervolgens Maken.
Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio waarin u de service wilt maken. Voer een unieke naam in voor de naam van de werkruimte. Laat de rest van de velden op de standaardwaarden staan; nieuwe exemplaren van de vereiste services worden gemaakt voor de werkruimte.
Selecteer Privé met uitgaand internet op het tabblad Netwerken.
Selecteer + Toevoegen op het tabblad Netwerken in de sectie Binnenkomende toegang voor werkruimte.
Voer in het formulier Privé-eindpunt maken een unieke waarde in het veld Naam in. Selecteer het virtuele netwerk dat u eerder hebt gemaakt met de virtuele machine en selecteer het standaardsubnet. Laat de rest van de velden op de standaardwaarden staan. Selecteer OK om het eindpunt op te slaan.
Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer Vervolgens Maken.
Zodra de werkruimte is gemaakt, selecteert u Ga naar de resource.
Verbinding maken met het VM-bureaublad
Selecteer in Azure Portal de VM die u eerder hebt gemaakt.
Selecteer Bastion in de sectie Verbinding maken. Voer de gebruikersnaam en het wachtwoord in die u voor de virtuele machine hebt geconfigureerd en selecteer vervolgens Verbinding maken.
Verbinding maken met studio
Op dit moment wordt de werkruimte gemaakt , maar het beheerde virtuele netwerk is dat niet. Het beheerde virtuele netwerk wordt geconfigureerd wanneer u de werkruimte maakt. Als u het beheerde virtuele netwerk wilt maken , maakt u een rekenresource of richt u het netwerk handmatig in.
Gebruik de volgende stappen om een rekenproces te maken.
Gebruik de browser om de Azure Machine Learning-studio te openen en selecteer de werkruimte die u eerder hebt gemaakt.
Selecteer in studio Compute, Compute-exemplaren en vervolgens + Nieuw.
Voer in het dialoogvenster Vereiste instellingen configureren een unieke waarde in als rekennaam. Laat de rest van de selecties op de standaardwaarde staan.
Selecteer Maken. Het duurt enkele minuten voordat het rekenproces is gemaakt. Het rekenproces wordt gemaakt in het beheerde netwerk.
Tip
Het kan enkele minuten duren voordat de eerste rekenresource is gemaakt. Deze vertraging treedt op omdat het beheerde virtuele netwerk ook wordt gemaakt. Het beheerde virtuele netwerk wordt pas gemaakt als de eerste rekenresource is gemaakt. Volgende beheerde rekenresources worden veel sneller gemaakt.
Studio-toegang tot opslag inschakelen
Omdat de Azure Machine Learning-studio gedeeltelijk wordt uitgevoerd in de webbrowser op de client, moet de client rechtstreeks toegang hebben tot het standaardopslagaccount voor de werkruimte om gegevensbewerkingen uit te voeren. Als u directe toegang wilt inschakelen, gebruikt u de volgende stappen:
Selecteer in Azure Portal de jumpbox-VM die u eerder hebt gemaakt. Kopieer in de sectie Overzicht het openbare IP-adres.
Selecteer in Azure Portal de werkruimte die u eerder hebt gemaakt. Selecteer in de sectie Overzicht de koppeling voor de opslagvermelding .
Selecteer Netwerken in het opslagaccount en voeg het openbare IP-adres van de jumpbox toe aan de sectie Firewall.
Tip
In een scenario waarin u een VPN-gateway of ExpressRoute gebruikt in plaats van een jumpbox, kunt u een privé-eindpunt of service-eindpunt voor het opslagaccount toevoegen aan het virtuele Azure-netwerk. Als u een privé-eindpunt of service-eindpunt gebruikt, kunnen meerdere clients die verbinding maken via het virtuele Azure-netwerk, opslagbewerkingen uitvoeren via studio.
Op dit moment kunt u de studio gebruiken om interactief te werken met notebooks in het rekenproces en trainingstaken uit te voeren. Zie Zelfstudie: Modelontwikkeling voor een zelfstudie.
Rekenproces stoppen
Terwijl het wordt uitgevoerd (gestart), blijft het rekenproces uw abonnement opladen. Als u overtollige kosten wilt voorkomen, moet u deze stoppen wanneer deze niet in gebruik is.
Selecteer in studio Compute, Compute-exemplaren en selecteer vervolgens het rekenproces. Selecteer ten slotte Stoppen boven aan de pagina.
Resources opschonen
Als u van plan bent om de beveiligde werkruimte en andere resources te blijven gebruiken, slaat u deze sectie over.
Als u alle resources wilt verwijderen die in deze zelfstudie zijn gemaakt, gebruikt u de volgende stappen:
Selecteer resourcegroepen in de Azure-portal.
Selecteer in de lijst de resourcegroep die u in deze zelfstudie hebt gemaakt.
Selecteer Resourcegroep verwijderen.
Voer de naam van de resourcegroep in en selecteer Vervolgens Verwijderen.
Volgende stappen
Nu u een beveiligde werkruimte hebt en toegang hebt tot Studio, leert u hoe u een model implementeert op een online-eindpunt met netwerkisolatie.