Zelfstudie: Een beveiligde werkruimte maken met behulp van een sjabloon
Sjablonen bieden een handige manier om reproduceerbare service-implementaties te maken. De sjabloon definieert wat er wordt gemaakt, met enkele informatie die door u wordt verstrekt wanneer u de sjabloon gebruikt. Geef bijvoorbeeld een unieke naam op voor de Azure Machine Learning-werkruimte.
In deze zelfstudie leert u hoe u een Microsoft Bicep - en Hashicorp Terraform-sjabloon gebruikt om de volgende Azure-resources te maken:
- Azure Virtual Network. De volgende resources worden achter dit VNet beveiligd:
- Azure Machine Learning-werkruimte
- Azure Machine Learning-rekeninstantie
- Azure Machine Learning-rekenclusters
- Azure-opslagaccount
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Azure Bastion-host
- Azure Machine Learning Virtual Machine (Datawetenschap Virtual Machine)
- Met de Bicep-sjabloon maakt u ook een Azure Kubernetes Service-cluster en een afzonderlijke resourcegroep.
- Azure Machine Learning-werkruimte
Tip
Microsoft raadt het gebruik van door Azure Machine Learning beheerde virtuele netwerken aan in plaats van de stappen in dit artikel. Met een beheerd virtueel netwerk verwerkt Azure Machine Learning de taak van netwerkisolatie voor uw werkruimte en beheerde berekeningen. U kunt ook privé-eindpunten toevoegen voor resources die nodig zijn voor de werkruimte, zoals een Azure Storage-account. Zie Werkruimte-beheerd netwerkisolatie voor meer informatie.
Vereisten
Voordat u de stappen in dit artikel gebruikt, moet u een Azure-abonnement hebben. Als u nog geen Azure-abonnement hebt, maakt u een gratis account.
U moet ook een Bash- of Azure PowerShell-opdrachtregel hebben.
Tip
Wanneer u dit artikel leest, gebruikt u de tabbladen in elke sectie om te selecteren of u informatie wilt weergeven over het gebruik van Bicep- of Terraform-sjablonen.
Zie Bicep-ontwikkel- en implementatieomgevingen instellen om de opdrachtregelprogramma's te installeren.
De Bicep-sjabloon die in dit artikel wordt gebruikt, bevindt zich in https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Gebruik de volgende opdrachten om de GitHub-opslagplaats te klonen naar uw ontwikkelomgeving:
Tip
Als u de
git
opdracht niet in uw ontwikkelomgeving hebt, kunt u deze installeren vanaf https://git-scm.com/.git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Informatie over de sjabloon
De Bicep-sjabloon bestaat uit de main.bicep en de .bicep
bestanden in de submap van de modules . In de volgende tabel wordt beschreven waarvoor elk bestand verantwoordelijk is:
Bestand | Beschrijving |
---|---|
main.bicep | Parameters en variabelen. Parameters en variabelen doorgeven aan andere modules in de modules submap. |
vnet.bicep | Definieert het virtuele Azure-netwerk en de subnetten. |
nsg.bicep | Definieert de regels voor de netwerkbeveiligingsgroep voor het VNet. |
bastion.bicep | Definieert de Azure Bastion-host en het subnet. Met Azure Bastion kunt u eenvoudig toegang krijgen tot een VIRTUELE machine in het VNet met behulp van uw webbrowser. |
dsvmjumpbox.bicep | Definieert de Datawetenschap Virtual Machine (DSVM). Azure Bastion wordt gebruikt voor toegang tot deze VIRTUELE machine via uw webbrowser. |
storage.bicep | Hiermee definieert u het Azure Storage-account dat door de werkruimte wordt gebruikt voor standaardopslag. |
keyvault.bicep | Hiermee definieert u de Azure Key Vault die door de werkruimte wordt gebruikt. |
containerregistry.bicep | Hiermee definieert u het Azure Container Registry dat door de werkruimte wordt gebruikt. |
applicationinsights.bicep | Hiermee definieert u het Azure-toepassing Insights-exemplaar dat door de werkruimte wordt gebruikt. |
machinelearningnetworking.bicep | Definieert de privé-eindpunten en DNS-zones voor de Azure Machine Learning-werkruimte. |
Machinelearning.bicep | Hiermee definieert u de Azure Machine Learning-werkruimte. |
machinelearningcompute.bicep | Definieert een Azure Machine Learning-rekencluster en rekenproces. |
privateaks.bicep | Hiermee definieert u een Azure Kubernetes Services-clusterexemplaren. |
Belangrijk
De voorbeeldsjablonen gebruiken mogelijk niet altijd de nieuwste API-versie voor Azure Machine Learning. Voordat u de sjabloon gebruikt, raden we u aan deze te wijzigen om de nieuwste API-versies te gebruiken. Zie de Azure Machine Learning REST API voor informatie over de nieuwste API-versies voor Azure Machine Learning.
Elke Azure-service heeft een eigen set API-versies. Raadpleeg de servicegegevens in de Naslaginformatie over de Azure REST API voor informatie over de API voor een specifieke service.
Als u de API-versie wilt bijwerken, zoekt u de Microsoft.MachineLearningServices/<resource>
vermelding voor het resourcetype en werkt u deze bij naar de nieuwste versie. Het volgende voorbeeld is een vermelding voor de Azure Machine Learning-werkruimte die gebruikmaakt van een API-versie van 2022-05-01
:
resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {
Belangrijk
De DSVM en Azure Bastion worden gebruikt als een eenvoudige manier om verbinding te maken met de beveiligde werkruimte voor deze zelfstudie. In een productieomgeving raden we u aan om een Azure VPN-gateway of Azure ExpressRoute te gebruiken om rechtstreeks vanuit uw on-premises netwerk toegang te krijgen tot de resources in het VNet.
De sjabloon configureren
Als u de Bicep-sjabloon wilt uitvoeren, gebruikt u de volgende opdrachten vanaf de machine-learning-end-to-end-secure
locatie waar het main.bicep
bestand zich bevindt:
Gebruik de volgende opdracht om een nieuwe Azure-resourcegroep te maken. Vervang door
exampleRG
de naam van uw resourcegroep eneastus
door de Azure-regio die u wilt gebruiken:az group create --name exampleRG --location eastus
Gebruik de volgende opdracht om de sjabloon uit te voeren. Vervang het
prefix
door een uniek voorvoegsel. Het voorvoegsel wordt gebruikt bij het maken van Azure-resources die vereist zijn voor Azure Machine Learning. Vervang hetsecurepassword
door een beveiligd wachtwoord voor de jumpbox. Het wachtwoord is voor het aanmeldingsaccount voor de jumpbox (azureadmin
in de onderstaande voorbeelden):Tip
Het
prefix
moet 5 of minder tekens zijn. Het mag niet volledig numeriek zijn of de volgende tekens bevatten:~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?
.az deployment group create \ --resource-group exampleRG \ --template-file main.bicep \ --parameters \ prefix=prefix \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=securepassword
Verbinding maken naar de werkruimte
Nadat de sjabloon is voltooid, gebruikt u de volgende stappen om verbinding te maken met de DSVM:
Selecteer in Azure Portal de Azure-resourcegroep die u met de sjabloon hebt gebruikt. Selecteer vervolgens de Datawetenschap virtuele machine die door de sjabloon is gemaakt. Als u deze niet kunt vinden, gebruikt u de sectie Filters om het type naar de virtuele machine te filteren.
Selecteer in de sectie Overzicht van de virtuele machine Verbinding maken en selecteer Vervolgens Bastion in de vervolgkeuzelijst.
Wanneer u hierom wordt gevraagd, geeft u de gebruikersnaam en het wachtwoord op die u hebt opgegeven bij het configureren van de sjabloon en selecteert u vervolgens Verbinding maken.
Belangrijk
De eerste keer dat u verbinding maakt met het DSVM-bureaublad, wordt een PowerShell-venster geopend en wordt een script uitgevoerd. Sta dit toe voordat u verdergaat met de volgende stap.
Start Microsoft Edge vanaf het DSVM-bureaublad en voer
https://ml.azure.com
dit in als het adres. Meld u aan bij uw Azure-abonnement en selecteer vervolgens de werkruimte die door de sjabloon is gemaakt. De studio voor uw werkruimte wordt weergegeven.
Probleemoplossing
Fout: Windows-computernaam mag niet langer zijn dan 15 tekens, volledig numeriek zijn of de volgende tekens bevatten
Deze fout kan optreden wanneer de naam voor de DSVM-jumpbox groter is dan 15 tekens of een van de volgende tekens bevat: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?
Wanneer u de Bicep-sjabloon gebruikt, wordt de naam van de jump box programmatisch gegenereerd met behulp van de voorvoegselwaarde die aan de sjabloon is opgegeven. Als u ervoor wilt zorgen dat de naam niet langer is dan 15 tekens of ongeldige tekens bevat, gebruikt u een voorvoegsel van 5 tekens of minder en gebruikt u geen van de volgende tekens in het voorvoegsel: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?
Wanneer u de Terraform-sjabloon gebruikt, wordt de naam van de jump box doorgegeven met behulp van de dsvm_name
parameter. Als u deze fout wilt voorkomen, gebruikt u een naam die niet groter is dan 15 tekens en gebruikt u geen van de volgende tekens als onderdeel van de naam: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?
Volgende stappen
Belangrijk
De Datawetenschap Virtual Machine (DSVM) en eventuele rekeninstantieresources factureren u voor elk uur dat ze worden uitgevoerd. Als u overtollige kosten wilt voorkomen, moet u deze resources stoppen wanneer ze niet in gebruik zijn. Raadpleeg voor meer informatie de volgende artikelen:
Zie zelfstudie: Azure Machine Learning in een dag voor meer informatie over het gebruik van de beveiligde werkruimte vanuit de DSVM.
Zie de verkeersstroom voor beveiligde werkruimten voor Azure Machine Learning voor meer informatie over algemene configuraties en invoer-/uitvoervereisten voor beveiligde werkruimten.