Zelfstudie: Een beveiligde werkruimte maken met een beheerd virtueel netwerk
In dit artikel leert u hoe u een beveiligde Azure Machine Learning-werkruimte maakt en er verbinding mee maakt. In de stappen in dit artikel wordt een beheerd virtueel netwerk van Azure Machine Learning gebruikt om een beveiligingsgrens te maken rond resources die worden gebruikt door Azure Machine Learning.
In deze zelfstudie voert u de volgende taken uit:
- Maak een Azure Machine Learning-werkruimte die is geconfigureerd voor het gebruik van een beheerd virtueel netwerk.
- Maak een Azure Machine Learning-rekencluster. Een rekencluster wordt gebruikt bij het trainen van machine learning-modellen in de cloud.
Nadat u deze zelfstudie hebt voltooid, beschikt u over de volgende architectuur:
- Een Azure Machine Learning-werkruimte die gebruikmaakt van een privé-eindpunt om te communiceren via het beheerde netwerk.
- Een Azure Storage-account dat gebruikmaakt van privé-eindpunten om opslagservices zoals blob en bestanden toe te staan om te communiceren via het beheerde netwerk.
- Een Azure Container Registry die gebruikmaakt van een privé-eindpunt communiceren via het beheerde netwerk.
- Een Azure-Key Vault die gebruikmaakt van een privé-eindpunt om te communiceren met behulp van het beheerde netwerk.
- Een Azure Machine Learning-rekenproces en rekencluster dat wordt beveiligd door het beheerde netwerk.
Vereisten
- Een Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint. Probeer de gratis of betaalde versie van Azure Machine Learning.
Een jumpbox maken (VM)
Er zijn verschillende manieren waarop u verbinding kunt maken met de beveiligde werkruimte. In deze zelfstudie wordt een jumpbox gebruikt. Een jumpbox is een virtuele machine in een Azure-Virtual Network. U kunt er verbinding mee maken via uw webbrowser en Azure Bastion.
De volgende tabel bevat een aantal andere manieren waarop u verbinding kunt maken met de beveiligde werkruimte:
| Methode | Beschrijving |
|---|---|
| Azure VPN-gateway | Verbindt on-premises netwerken met een Azure-Virtual Network via een privéverbinding. Er wordt een privé-eindpunt voor uw werkruimte gemaakt in dat virtuele netwerk. Er wordt verbinding gemaakt via het openbare internet. |
| ExpressRoute | On-premises netwerken verbinden met de cloud via een privéverbinding. Verbinding wordt gemaakt met behulp van een connectiviteitsprovider. |
Belangrijk
Wanneer u een VPN-gateway of ExpressRoute gebruikt, moet u plannen hoe naamomzetting werkt tussen uw on-premises resources en die in de cloud. Zie Een aangepaste DNS-server gebruiken voor meer informatie.
Gebruik de volgende stappen om een virtuele Azure-machine te maken die u als jumpbox kunt gebruiken. Vanaf het vm-bureaublad kunt u vervolgens de browser op de VM gebruiken om verbinding te maken met resources in het beheerde virtuele netwerk, zoals Azure Machine Learning-studio. U kunt ook ontwikkelhulpprogramma's installeren op de VM.
Tip
Met de volgende stappen maakt u een Windows 11 enterprise-VM. Afhankelijk van uw vereisten kunt u een andere VM-installatiekopieën selecteren. De Windows 11 (of 10) bedrijfsinstallatiekopieën zijn handig als u de VM wilt toevoegen aan het domein van uw organisatie.
Selecteer in de Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Virtuele machine in. Selecteer de vermelding Virtuele machine en selecteer vervolgens Maken.
Selecteer op het tabblad Basisinformatie het abonnement, de resourcegroep en de regio waarin u de service wilt maken. Geef waarden op voor de volgende velden:
Naam van virtuele machine: een unieke naam voor de virtuele machine.
Gebruikersnaam: de gebruikersnaam die u gebruikt om u aan te melden bij de VM.
Wachtwoord: het wachtwoord voor de gebruikersnaam.
Beveiligingstype: Standaard.
Afbeelding: Windows 11 Enterprise.
Tip
Als Windows 11 Enterprise niet in de lijst staat voor het selecteren van afbeeldingen, gebruikt u Alle afbeeldingen weergeven_. Zoek de Windows 11 vermelding van Microsoft en gebruik de vervolgkeuzelijst Selecteren om de bedrijfsinstallatiekopieën te selecteren.
U kunt andere velden op de standaardwaarden laten staan.
Selecteer Netwerken. Controleer de netwerkinformatie en zorg ervoor dat het IP-adresbereik 172.17.0.0/16 niet wordt gebruikt. Als dat zo is, selecteert u een ander bereik, zoals 172.16.0.0/16; het bereik 172.17.0.0/16 kan conflicten met Docker veroorzaken.
Notitie
De virtuele Machine van Azure maakt een eigen Azure-Virtual Network voor netwerkisolatie. Dit netwerk staat los van het beheerde virtuele netwerk dat wordt gebruikt door Azure Machine Learning.
Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer vervolgens Maken.
Azure Bastion inschakelen voor de VM
Met Azure Bastion kunt u via uw browser verbinding maken met het vm-bureaublad.
Selecteer in de Azure Portal de VM die u eerder hebt gemaakt. Selecteer bastion in de sectie Bewerkingen van de pagina en selecteer vervolgens Bastion implementeren.
Zodra de Bastion-service is geïmplementeerd, krijgt u een verbindingspagina te zien. Laat dit dialoogvenster voorlopig staan.
Een werkruimte maken
Selecteer in de Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Azure Machine Learning in. Selecteer de vermelding Azure Machine Learning en selecteer vervolgens Maken.
Selecteer op het tabblad Basisinformatie het abonnement, de resourcegroep en de regio waarin u de service wilt maken. Voer een unieke naam in voor de naam van de werkruimte. Laat de rest van de velden op de standaardwaarden staan; nieuwe exemplaren van de vereiste services worden gemaakt voor de werkruimte.
Selecteer op het tabblad Netwerkende optie Privé met Uitgaand internet.
Selecteer op het tabblad Netwerken in de sectie Binnenkomende toegang voor werkruimte de optie + Toevoegen.
Voer in het formulier Privé-eindpunt maken een unieke waarde in het veld Naam in. Selecteer het virtuele netwerk dat u eerder hebt gemaakt met de virtuele machine en selecteer het standaardsubnet. Laat de rest van de velden op de standaardwaarden staan. Selecteer OK om het eindpunt op te slaan.
Selecteer Controleren + maken. Controleer of de informatie juist is en selecteer vervolgens Maken.
Nadat de werkruimte is gemaakt, selecteert u Ga naar resource.
Verbinding maken met het vm-bureaublad
Selecteer in de Azure Portal de VM die u eerder hebt gemaakt.
Selecteer Bastion in de sectie Verbinding maken. Voer de gebruikersnaam en het wachtwoord in die u hebt geconfigureerd voor de virtuele machine en selecteer vervolgens Verbinding maken.
Verbinding maken met studio
Op dit moment is de werkruimte gemaakt, maar het beheerde virtuele netwerk niet. Het beheerde virtuele netwerk wordt geconfigureerd wanneer u de werkruimte maakt, maar wordt pas gemaakt als u de eerste rekenresource hebt gemaakt of handmatig hebt ingericht.
Gebruik de volgende stappen om een rekenproces te maken.
Gebruik de browser om de Azure Machine Learning-studio te openen en de werkruimte te selecteren die u eerder hebt gemaakt.
Selecteer in Studio Compute, Compute-exemplaren en vervolgens + Nieuw.
Voer in het dialoogvenster Vereiste instellingen configureren een unieke waarde in als rekennaam. Laat de rest van de selecties op de standaardwaarde staan.
Selecteer Maken. Het duurt enkele minuten voordat het rekenproces is gemaakt. Het rekenproces wordt gemaakt in het beheerde netwerk.
Tip
Het kan enkele minuten duren om de eerste rekenresource te maken. Deze vertraging treedt op omdat het beheerde virtuele netwerk ook wordt gemaakt. Het beheerde virtuele netwerk wordt pas gemaakt als de eerste rekenresource is gemaakt. Volgende beheerde rekenresources worden veel sneller gemaakt.
Studiotoegang tot opslag inschakelen
Omdat de Azure Machine Learning-studio gedeeltelijk wordt uitgevoerd in de webbrowser op de client, moet de client rechtstreeks toegang hebben tot het standaardopslagaccount voor de werkruimte om gegevensbewerkingen uit te voeren. Voer de volgende stappen uit om dit in te schakelen:
Selecteer in de Azure Portal de jumpbox-VM die u eerder hebt gemaakt. Kopieer in de sectie Overzicht het openbare IP-adres.
Selecteer in de Azure Portal de werkruimte die u eerder hebt gemaakt. Selecteer in de sectie Overzicht de koppeling voor de vermelding Opslag .
Selecteer netwerken in het opslagaccount en voeg het openbare IP-adres van de jumpbox toe aan de sectie Firewall .
Tip
In een scenario waarin u een VPN-gateway of ExpressRoute gebruikt in plaats van een jumpbox, kunt u een privé-eindpunt of service-eindpunt voor het opslagaccount toevoegen aan de Azure Virtual Network. Als u een privé-eindpunt of service-eindpunt gebruikt, kunnen meerdere clients verbinding maken via de Azure Virtual Network opslagbewerkingen uitvoeren via Studio.
Op dit moment kunt u de studio gebruiken om interactief te werken met notebooks op het rekenproces en trainingstaken uit te voeren. Zie Zelfstudie: Modelontwikkeling voor een zelfstudie.
Rekenproces stoppen
Terwijl het wordt uitgevoerd (gestart), blijft het rekenproces uw abonnement in rekening brengen. Om overtollige kosten te voorkomen, stopt u deze wanneer deze niet in gebruik is.
Selecteer in Studio Compute, Compute-exemplaren en selecteer vervolgens het rekenproces. Selecteer ten slotte Stoppen bovenaan de pagina.
Resources opschonen
Als u van plan bent om de beveiligde werkruimte en andere resources te blijven gebruiken, slaat u deze sectie over.
Voer de volgende stappen uit om alle resources te verwijderen die in deze zelfstudie zijn gemaakt:
Selecteer Resourcegroepen in de Azure Portal.
Selecteer in de lijst de resourcegroep die u in deze zelfstudie hebt gemaakt.
Selecteer Resourcegroep verwijderen.
Voer de naam van de resourcegroep in en selecteer vervolgens Verwijderen.
Volgende stappen
Nu u een beveiligde werkruimte hebt gemaakt en toegang hebt tot Studio, leert u hoe u een model implementeert op een online-eindpunt met netwerkisolatie.