Udostępnij za pośrednictwem

Samouczek: jak utworzyć bezpieczny obszar roboczy z zarządzaną siecią wirtualną

  • Artykuł

Z tego artykułu dowiesz się, jak utworzyć bezpieczny obszar roboczy usługi Azure Machine Learning i nawiązać z nią połączenie. Kroki opisane w tym artykule korzystają z zarządzanej sieci wirtualnej usługi Azure Machine Learning w celu utworzenia granicy zabezpieczeń wokół zasobów używanych przez usługę Azure Machine Learning.

W tym samouczku wykonasz następujące zadania:

  • Utwórz obszar roboczy usługi Azure Machine Learning skonfigurowany do korzystania z zarządzanej sieci wirtualnej.
  • Tworzenie klastra obliczeniowego usługi Azure Machine Learning. Klaster obliczeniowy jest używany podczas trenowania modeli uczenia maszynowego w chmurze.

Po ukończeniu tego samouczka będziesz mieć następującą architekturę:

  • Obszar roboczy usługi Azure Machine Learning, który używa prywatnego punktu końcowego do komunikowania się przy użyciu sieci zarządzanej.
  • Konto usługi Azure Storage, które korzysta z prywatnych punktów końcowych, aby umożliwić usługom magazynu, takim jak obiekt blob i plik, komunikowanie się przy użyciu sieci zarządzanej.
  • Usługa Azure Container Registry korzystająca z prywatnego punktu końcowego komunikuje się przy użyciu sieci zarządzanej.
  • Usługa Azure Key Vault, która używa prywatnego punktu końcowego do komunikowania się przy użyciu sieci zarządzanej.
  • Wystąpienie obliczeniowe i klaster obliczeniowy usługi Azure Machine Learning zabezpieczone przez sieć zarządzaną.

Wymagania wstępne

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto. Wypróbuj bezpłatną lub płatną wersję usługi Azure Machine Learning.

Tworzenie urządzenia przesiadkowego (VM)

Istnieje kilka sposobów łączenia się z zabezpieczonym obszarem roboczym. W tym samouczku jest używany serwer przesiadkowy. Serwer przesiadkowy to maszyna wirtualna w usłudze Azure Virtual Network. Możesz nawiązać z nim połączenie przy użyciu przeglądarki internetowej i usługi Azure Bastion.

W poniższej tabeli wymieniono kilka innych sposobów łączenia się z bezpiecznym obszarem roboczym:

Metoda opis
Brama sieci VPN platformy Azure Łączy sieci lokalne z siecią wirtualną platformy Azure za pośrednictwem połączenia prywatnego. Prywatny punkt końcowy dla obszaru roboczego jest tworzony w ramach tej sieci wirtualnej. Połączenie odbywa się za pośrednictwem publicznego Internetu.
ExpressRoute Łączy sieci lokalne z chmurą za pośrednictwem połączenia prywatnego. Połączenie jest wykonywane przy użyciu dostawcy łączności.

Ważne

W przypadku korzystania z bramy sieci VPN lub usługi ExpressRoute należy zaplanować sposób działania rozpoznawania nazw między zasobami lokalnymi a tymi w chmurze. Aby uzyskać więcej informacji, zobacz Używanie niestandardowego serwera DNS.

Wykonaj poniższe kroki, aby utworzyć maszynę wirtualną platformy Azure do użycia jako pole przesiadkowe. Na pulpicie maszyny wirtualnej możesz następnie użyć przeglądarki na maszynie wirtualnej, aby nawiązać połączenie z zasobami w zarządzanej sieci wirtualnej, takiej jak Azure Machine Learning Studio. Możesz też zainstalować narzędzia programistyczne na maszynie wirtualnej.

Napiwek

Poniższe kroki umożliwiają utworzenie maszyny wirtualnej z systemem Windows 11 Enterprise. W zależności od wymagań możesz wybrać inny obraz maszyny wirtualnej. Obraz systemu Windows 11 (lub 10) przedsiębiorstwa jest przydatny, jeśli musisz dołączyć maszynę wirtualną do domeny organizacji.

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź ciąg Maszyna wirtualna. Wybierz wpis Maszyna wirtualna, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i region, w którym chcesz utworzyć usługę. Podaj wartości dla następujących pól:

    • Nazwa maszyny wirtualnej: unikatowa nazwa maszyny wirtualnej.

    • Nazwa użytkownika: nazwa użytkownika używana do logowania się do maszyny wirtualnej.

    • Hasło: hasło dla nazwy użytkownika.

    • Typ zabezpieczeń: Standardowa.

    • Obraz: Windows 11 Enterprise.

      Napiwek

      Jeśli system Windows 11 Enterprise nie znajduje się na liście do wyboru obrazu, użyj opcji Zobacz wszystkie obrazy_. Znajdź wpis systemu Windows 11 od firmy Microsoft i użyj listy rozwijanej Wybierz, aby wybrać obraz przedsiębiorstwa.

    Możesz pozostawić inne pola w wartościach domyślnych.

    Zrzut ekranu przedstawiający konfigurację podstawową maszyny wirtualnej.

  3. Wybierz pozycję Sieć. Przejrzyj informacje o sieci i upewnij się, że nie używa on zakresu adresów IP 172.17.0.0/16. Jeśli tak jest, wybierz inny zakres, taki jak 172.16.0.0/16; zakres 172.17.0.0/16 może powodować konflikty z platformą Docker.

    Uwaga

    Maszyna wirtualna platformy Azure tworzy własną sieć wirtualną platformy Azure na potrzeby izolacji sieci. Ta sieć jest oddzielona od zarządzanej sieci wirtualnej używanej przez usługę Azure Machine Learning.

    Zrzut ekranu przedstawiający kartę sieci dla maszyny wirtualnej.

  4. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

Włączanie usługi Azure Bastion dla maszyny wirtualnej

Usługa Azure Bastion umożliwia łączenie się z pulpitem maszyny wirtualnej za pośrednictwem przeglądarki.

  1. W witrynie Azure Portal wybierz utworzoną wcześniej maszynę wirtualną. W sekcji Połącz na stronie wybierz pozycję Bastion, a następnie pozycję Wdróż usługę Bastion.

    Zrzut ekranu przedstawiający opcję wdróż usługę Bastion.

  2. Po wdrożeniu usługi Bastion zostanie wyświetlone okno dialogowe połączenia. Na razie pozostaw to okno dialogowe.

Tworzenie obszaru roboczego

  1. W witrynie Azure Portal wybierz menu portalu w lewym górnym rogu. Z menu wybierz pozycję + Utwórz zasób , a następnie wprowadź wartość Azure Machine Learning. Wybierz wpis Azure Machine Learning, a następnie wybierz pozycję Utwórz.

  2. Na karcie Podstawowe wybierz subskrypcję, grupę zasobów i region, w którym chcesz utworzyć usługę. Wprowadź unikatową nazwę obszaru roboczego. Pozostaw pozostałe pola w wartościach domyślnych; dla obszaru roboczego są tworzone nowe wystąpienia wymaganych usług.

    Zrzut ekranu przedstawiający formularz tworzenia obszaru roboczego.

  3. Na karcie Sieć wybierz pozycję Prywatna z internetem wychodzącym.

    Zrzut ekranu przedstawiający kartę sieci obszaru roboczego z wybraną siecią wychodzącą z Internetu.

  4. Na karcie Sieć w sekcji Dostęp przychodzący obszaru roboczego wybierz pozycję + Dodaj.

    Zrzut ekranu przedstawiający przycisk dodawania dostępu przychodzącego.

  5. W formularzu Tworzenie prywatnego punktu końcowego wprowadź unikatową wartość w polu Nazwa . Wybierz sieć wirtualną utworzoną wcześniej z maszyną wirtualną i wybierz domyślną podsieć. Pozostaw pozostałe pola w wartościach domyślnych. Wybierz przycisk OK , aby zapisać punkt końcowy.

    Zrzut ekranu przedstawiający formularz umożliwiający utworzenie prywatnego punktu końcowego.

  6. Wybierz pozycję Przejrzyj i utwórz. Sprawdź, czy informacje są poprawne, a następnie wybierz pozycję Utwórz.

  7. Po utworzeniu obszaru roboczego wybierz pozycję Przejdź do zasobu.

Nawiązywanie połączenia z pulpitem maszyny wirtualnej

  1. W witrynie Azure Portal wybierz utworzoną wcześniej maszynę wirtualną.

  2. W sekcji Połącz wybierz pozycję Bastion. Wprowadź nazwę użytkownika i hasło skonfigurowane dla maszyny wirtualnej, a następnie wybierz pozycję Połącz.

    Zrzut ekranu przedstawiający formularz połączenia usługi Bastion.

Nawiązywanie połączenia z programem Studio

Na tym etapie obszar roboczy jest tworzony , ale zarządzana sieć wirtualna nie jest. Zarządzana sieć wirtualna jest konfigurowana podczas tworzenia obszaru roboczego. Aby utworzyć zarządzaną sieć wirtualną, utwórz zasób obliczeniowy lub ręcznie zaaprowizuj sieć.

Wykonaj poniższe kroki, aby utworzyć wystąpienie obliczeniowe.

  1. Na pulpicie maszyny wirtualnej użyj przeglądarki, aby otworzyć program Azure Machine Learning Studio i wybrać utworzony wcześniej obszar roboczy.

  2. W programie Studio wybierz pozycję Obliczenia, Wystąpienia obliczeniowe, a następnie pozycję + Nowy.

    Zrzut ekranu przedstawiający nową opcję obliczeniową w programie Studio.

  3. W oknie dialogowym Konfigurowanie wymaganych ustawień wprowadź unikatową wartość jako nazwę obliczeniową. Pozostaw pozostałą część zaznaczeń na wartości domyślnej.

  4. Wybierz pozycję Utwórz. Utworzenie wystąpienia obliczeniowego trwa kilka minut. Wystąpienie obliczeniowe jest tworzone w sieci zarządzanej.

    Napiwek

    Utworzenie pierwszego zasobu obliczeniowego może potrwać kilka minut. To opóźnienie występuje, ponieważ tworzona jest również zarządzana sieć wirtualna. Zarządzana sieć wirtualna nie zostanie utworzona do momentu utworzenia pierwszego zasobu obliczeniowego. Kolejne zarządzane zasoby obliczeniowe zostaną utworzone znacznie szybciej.

Włączanie dostępu do magazynu w programie Studio

Ponieważ program Azure Machine Learning Studio częściowo działa w przeglądarce internetowej na kliencie, klient musi mieć bezpośredni dostęp do domyślnego konta magazynu dla obszaru roboczego w celu wykonywania operacji na danych. Aby włączyć bezpośredni dostęp, wykonaj następujące czynności:

  1. W witrynie Azure Portal wybierz utworzoną wcześniej maszynę wirtualną przesiadkową. W sekcji Przegląd skopiuj publiczny adres IP.

  2. W witrynie Azure Portal wybierz utworzony wcześniej obszar roboczy. W sekcji Przegląd wybierz link dla wpisu Magazyn.

  3. Na koncie magazynu wybierz pozycję Sieć i dodaj publiczny adres IP serwera przesiadkowego do sekcji Zapora.

    Napiwek

    W scenariuszu, w którym używasz bramy sieci VPN lub usługi ExpressRoute zamiast serwera przesiadkowego, możesz dodać prywatny punkt końcowy lub punkt końcowy usługi dla konta magazynu do sieci wirtualnej platformy Azure. Użycie prywatnego punktu końcowego lub punktu końcowego usługi umożliwi wielu klientom nawiązywanie połączenia za pośrednictwem sieci wirtualnej platformy Azure w celu pomyślnego wykonania operacji magazynu za pośrednictwem programu Studio.

    W tym momencie możesz użyć programu Studio do interaktywnej pracy z notesami w wystąpieniu obliczeniowym i uruchamiania zadań szkoleniowych. Aby zapoznać się z samouczkiem, zobacz Samouczek: tworzenie modeli.

Zatrzymywanie wystąpienia obliczeniowego

Gdy jest uruchomiona (uruchomiona), wystąpienie obliczeniowe kontynuuje naliczanie opłat za subskrypcję. Aby uniknąć nadmiernego kosztu, zatrzymaj go, gdy nie jest używany.

W programie Studio wybierz pozycję Obliczenia, Wystąpienia obliczeniowe, a następnie wybierz wystąpienie obliczeniowe. Na koniec wybierz pozycję Zatrzymaj w górnej części strony.

Zrzut ekranu przedstawiający przycisk zatrzymania dla wystąpienia obliczeniowego

Czyszczenie zasobów

Jeśli planujesz nadal korzystać z zabezpieczonego obszaru roboczego i innych zasobów, pomiń tę sekcję.

Aby usunąć wszystkie zasoby utworzone w tym samouczku, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz pozycję Grupy zasobów.

  2. Z listy wybierz grupę zasobów utworzoną w tym samouczku.

  3. Wybierz pozycję Usuń grupę zasobów.

    Zrzut ekranu przedstawiający przycisk Usuń grupę zasobów

  4. Wprowadź nazwę grupy zasobów, a następnie wybierz pozycję Usuń.

Następne kroki

Teraz, gdy masz bezpieczny obszar roboczy i masz dostęp do programu Studio, dowiedz się, jak wdrożyć model w punkcie końcowym online z izolacją sieci.

Aby uzyskać więcej informacji na temat zarządzanej sieci wirtualnej, zobacz Zabezpieczanie obszaru roboczego za pomocą zarządzanej sieci wirtualnej.