Samouczek: jak utworzyć bezpieczny obszar roboczy przy użyciu szablonu
Szablony zapewniają wygodny sposób tworzenia powtarzalnych wdrożeń usług. Szablon definiuje, co zostanie utworzone, z pewnymi informacjami dostarczonymi przez Użytkownika podczas korzystania z szablonu. Na przykład określenie unikatowej nazwy obszaru roboczego usługi Azure Machine Edukacja.
Z tego samouczka dowiesz się, jak utworzyć następujące zasoby platformy Azure przy użyciu szablonu Microsoft Bicep i Hashicorp Terraform :
- Azure Virtual Network. Następujące zasoby są zabezpieczone za tą siecią wirtualną:
- Obszar roboczy usługi Azure Machine Edukacja
- Wystąpienie obliczeniowe usługi Azure Machine Learning
- Klaster obliczeniowy usługi Azure Machine Edukacja
- Konto magazynu platformy Azure
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Host usługi Azure Bastion
- Maszyna wirtualna usługi Azure Machine Edukacja (maszyna wirtualna Nauka o danych)
- Szablon Bicep tworzy również klaster usługi Azure Kubernetes Service i oddzielną grupę zasobów.
- Obszar roboczy usługi Azure Machine Edukacja
Napiwek
Firma Microsoft zaleca korzystanie z usługi Azure Machine Edukacja zarządzanych sieci wirtualnych zamiast kroków opisanych w tym artykule. W przypadku zarządzanej sieci wirtualnej usługa Azure Machine Edukacja obsługuje zadanie izolacji sieci dla obszaru roboczego i zarządzanych zasobów obliczeniowych. Możesz również dodać prywatne punkty końcowe dla zasobów wymaganych przez obszar roboczy, na przykład konto usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Obszar roboczy zarządzana izolacja sieci.
Wymagania wstępne
Przed wykonaniem kroków opisanych w tym artykule musisz mieć subskrypcję platformy Azure. Jeśli nie masz subskrypcji platformy Azure, utwórz bezpłatne konto.
Musisz również mieć powłokę Bash lub wiersz polecenia programu Azure PowerShell.
Napiwek
Podczas czytania tego artykułu użyj kart w każdej sekcji, aby wybrać, czy chcesz wyświetlić informacje dotyczące korzystania z szablonów Bicep lub Terraform.
Aby zainstalować narzędzia wiersza polecenia, zobacz Konfigurowanie środowisk deweloperskich i wdrożeniowych Bicep.
Szablon Bicep używany w tym artykule znajduje się w lokalizacji https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Użyj następujących poleceń, aby sklonować repozytorium GitHub do środowiska deweloperskiego:
Napiwek
Jeśli nie masz
gitpolecenia w środowisku projektowym, możesz go zainstalować z witryny https://git-scm.com/.git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Opis szablonu
Szablon Bicep składa się z pliku main.bicep i .bicep plików w podkatalogu modules . W poniższej tabeli opisano, co każdy plik jest odpowiedzialny za:
| Plik | opis |
|---|---|
| main.bicep | Parametry i zmienne. Przekazywanie parametrów i zmiennych do innych modułów w podkatalogu modules . |
| vnet.bicep | Definiuje sieć wirtualną platformy Azure i podsieci. |
| nsg.bicep | Definiuje reguły sieciowej grupy zabezpieczeń dla sieci wirtualnej. |
| bastion.bicep | Definiuje hosta i podsieć usługi Azure Bastion. Usługa Azure Bastion umożliwia łatwy dostęp do maszyny wirtualnej wewnątrz sieci wirtualnej przy użyciu przeglądarki internetowej. |
| dsvmjumpbox.bicep | Definiuje maszynę wirtualną Nauka o danych (DSVM). Usługa Azure Bastion służy do uzyskiwania dostępu do tej maszyny wirtualnej za pośrednictwem przeglądarki internetowej. |
| storage.bicep | Definiuje konto usługi Azure Storage używane przez obszar roboczy dla magazynu domyślnego. |
| keyvault.bicep | Definiuje usługę Azure Key Vault używaną przez obszar roboczy. |
| containerregistry.bicep | Definiuje usługę Azure Container Registry używaną przez obszar roboczy. |
| applicationinsights.bicep | Definiuje wystąpienie aplikacja systemu Azure Szczegółowe informacje używane przez obszar roboczy. |
| machinelearningnetworking.bicep | Definiuje prywatne punkty końcowe i strefy DNS dla obszaru roboczego usługi Azure Machine Edukacja. |
| Machinelearning.bicep | Definiuje obszar roboczy usługi Azure Machine Edukacja. |
| machinelearningcompute.bicep | Definiuje klaster obliczeniowy i wystąpienie obliczeniowe usługi Azure Machine Edukacja. |
| privateaks.bicep | Definiuje wystąpienie klastra usługi Azure Kubernetes Services. |
Ważne
Przykładowe szablony mogą nie zawsze używać najnowszej wersji interfejsu API dla usługi Azure Machine Edukacja. Przed użyciem szablonu zalecamy zmodyfikowanie go w celu korzystania z najnowszych wersji interfejsu API. Aby uzyskać informacje na temat najnowszych wersji interfejsu API dla usługi Azure Machine Edukacja, zobacz interfejs API REST usługi Azure Machine Edukacja.
Każda usługa platformy Azure ma własny zestaw wersji interfejsu API. Aby uzyskać informacje na temat interfejsu API dla określonej usługi, zapoznaj się z informacjami o usłudze w dokumentacji interfejsu API REST platformy Azure.
Aby zaktualizować wersję interfejsu API, znajdź Microsoft.MachineLearningServices/<resource> wpis dla typu zasobu i zaktualizuj go do najnowszej wersji. Poniższy przykład to wpis dla obszaru roboczego usługi Azure Machine Edukacja korzystającego z wersji interfejsu API :2022-05-01
resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {
Ważne
Maszyny DSVM i Azure Bastion są używane jako łatwy sposób nawiązywania połączenia z zabezpieczonym obszarem roboczym na potrzeby tego samouczka. W środowisku produkcyjnym zalecamy używanie bramy sieci VPN platformy Azure lub usługi Azure ExpressRoute do uzyskiwania dostępu do zasobów wewnątrz sieci wirtualnej bezpośrednio z sieci lokalnej.
Konfigurowanie szablonu
Aby uruchomić szablon Bicep, użyj następujących poleceń z lokalizacji, w machine-learning-end-to-end-secure której znajduje się main.bicep plik:
Aby utworzyć nową grupę zasobów platformy Azure, użyj następującego polecenia. Zastąp
exampleRGciąg nazwą grupy zasobów ieastusregionem świadczenia usługi Azure, którego chcesz użyć:az group create --name exampleRG --location eastusAby uruchomić szablon, użyj następującego polecenia. Zastąp element
prefixunikatowym prefiksem. Prefiks będzie używany podczas tworzenia zasobów platformy Azure wymaganych dla usługi Azure Machine Edukacja. Zastąp elementsecurepasswordbezpiecznym hasłem dla pola przesiadkowego. Hasło jest przeznaczone dla konta logowania dla serwera przesiadkowego (azureadminw poniższych przykładach):Napiwek
Musi
prefixmieć co najmniej 5 znaków. Nie może być całkowicie numeryczna ani zawierać następujących znaków:~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.az deployment group create \ --resource-group exampleRG \ --template-file main.bicep \ --parameters \ prefix=prefix \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=securepassword
Połączenie do obszaru roboczego
Po zakończeniu pracy szablonu wykonaj następujące kroki, aby nawiązać połączenie z maszyną DSVM:
W witrynie Azure Portal wybierz grupę zasobów platformy Azure używaną z szablonem. Następnie wybierz Nauka o danych Maszynę wirtualną utworzoną przez szablon. Jeśli masz problemy ze znalezieniem go, użyj sekcji filtry, aby przefiltrować typ maszyny wirtualnej.
W sekcji Przegląd maszyny wirtualnej wybierz pozycję Połączenie, a następnie wybierz pozycję Bastion z listy rozwijanej.
Po wyświetleniu monitu podaj nazwę użytkownika i hasło określone podczas konfigurowania szablonu, a następnie wybierz pozycję Połączenie.
Ważne
Po pierwszym nawiązaniu połączenia z pulpitem DSVM zostanie otwarte okno programu PowerShell i rozpocznie uruchamianie skryptu. Zezwól na ukończenie tej czynności przed kontynuowaniem następnego kroku.
Na pulpicie DSVM uruchom przeglądarkę Microsoft Edge i wprowadź
https://ml.azure.comjako adres. Zaloguj się do subskrypcji platformy Azure, a następnie wybierz obszar roboczy utworzony przez szablon. Zostanie wyświetlone studio dla obszaru roboczego.
Rozwiązywanie problemów
Błąd: Nazwa komputera z systemem Windows nie może być dłuższa niż 15 znaków, być całkowicie numeryczna lub zawierać następujące znaki
Ten błąd może wystąpić, gdy nazwa pola przesiadkowego DSVM jest większa niż 15 znaków lub zawiera jeden z następujących znaków: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
W przypadku korzystania z szablonu Bicep nazwa pola przesiadkowego jest generowana programowo przy użyciu wartości prefiksu dostarczonej do szablonu. Aby upewnić się, że nazwa nie przekracza 15 znaków lub zawiera nieprawidłowe znaki, użyj prefiksu o wartości 5 znaków lub mniejszej i nie używaj żadnego z następujących znaków w prefiksie: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
W przypadku korzystania z szablonu narzędzia Terraform nazwa pola przesiadkowego jest przekazywana przy użyciu parametru dsvm_name . Aby uniknąć tego błędu, użyj nazwy, która nie jest większa niż 15 znaków i nie używa żadnego z następujących znaków w ramach nazwy: ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
Następne kroki
Ważne
Za każdą godzinę są naliczane opłaty za maszynę wirtualną Nauka o danych (DSVM) i wszystkie zasoby wystąpienia obliczeniowego. Aby uniknąć nadmiarowych opłat, należy zatrzymać te zasoby, gdy nie są używane. Aby uzyskać więcej informacji, zobacz następujące artykuły:
Aby kontynuować naukę korzystania z zabezpieczonego obszaru roboczego z maszyny DSVM, zobacz Samouczek: usługa Azure Machine Edukacja w ciągu dnia.
Aby dowiedzieć się więcej o typowych konfiguracjach bezpiecznego obszaru roboczego i wymaganiach wejściowych/wyjściowych, zobacz Azure Machine Edukacja bezpieczny przepływ ruchu obszaru roboczego.