Tutorial: como criar um espaço de trabalho seguro com uma rede virtual gerenciada
Neste artigo, aprenda a criar e conectar-se a um workspace seguro do Azure Machine Learning. As etapas deste artigo usam uma rede virtual gerenciada pelo Azure Machine Learning para criar um limite de segurança em torno dos recursos usados pelo Azure Machine Learning.
Neste tutorial, você realizará as seguintes tarefas:
- Criar um espaço de trabalho do Azure Machine Learning configurado para usar uma rede virtual gerenciada.
- Criar um cluster de cálculo do Azure Machine Learning. Um cluster de cálculo é usado na hora de treinar modelos de machine learning na nuvem.
Após concluir este tutorial, você terá a seguinte arquitetura:
- Um espaço de trabalho do Azure Machine Learning que usa um ponto de extremidade privado para estabelecer comunicação usando uma rede gerenciada.
- Uma Conta de Armazenamento do Microsoft Azure que usa pontos de extremidade privados para permitir que serviços de armazenamento, como blob e arquivo, se comuniquem usando a rede gerenciada.
- Um Registro de Contêiner do Azure que usa um ponto de extremidade privado estabelece comunicação usando a rede gerenciada.
- Um Azure Key Vault que usa um ponto de extremidade privado para se comunicar usando a rede gerenciada.
- Uma instância de computação do Azure Machine Learning e um cluster de computação protegidos pela rede gerenciada.
Pré-requisitos
- Uma assinatura do Azure. Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar. Experimente a versão gratuita ou paga do Azure Machine Learning.
Criar uma jump box (VM)
Existem várias maneiras de se conectar ao workspace seguro. Neste tutorial, uma caixa de salto é utilizada. Uma jump box é uma máquina virtual em uma rede virtual do Azure. Você pode se conectar a ela usando seu navegador da Web e o Azure Bastion.
A tabela abaixo lista várias outras maneiras de se conectar ao workspace seguro:
Método | Descrição |
---|---|
Gateway de VPN do Azure | Conecta redes locais a uma rede virtual do Azure por meio de uma conexão privada. Um ponto de extremidade privado para seu espaço de trabalho foi criado dentro dessa rede virtual. A conexão é feita pela Internet pública. |
ExpressRoute | Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade. |
Importante
Ao usar um Gateway de VPN ou ExpressRoute, você precisará planejar como fazer para que a resolução de nomes funcione entre seus recursos locais e os da nuvem. Para obter mais informações, confira Usar um servidor DNS personalizado.
Use as etapas abaixo para criar uma Máquina Virtual do Azure e usá-la como uma jump box. Na área de trabalho da VM, você pode utilizar o navegador na VM para se conectar a recursos dentro da rede virtual gerenciada, como o estúdio de aprendizado de máquina do Azure. Ou você pode instalar ferramentas de desenvolvimento na VM.
Dica
As etapas a seguir criam uma VM corporativa do Windows 11. Dependendo de seus requisitos, é aconselhável selecionar uma imagem de VM diferente. A imagem corporativa do Windows 11 (ou 10) é útil se você precisar ingressar a VM no domínio da sua organização.
No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Máquina virtual. Selecione a entrada Máquina virtual e selecione Criar.
Na guia Básico, selecione a assinatura, o grupo de recursos e a Região no qual criar o serviço. Forneça valores para os seguintes campos:
Nome da máquina virtual: um nome exclusivo para a VM.
Nome de usuário: o nome de usuário que você deve usar para entrar na VM.
Senha: a senha para o nome de usuário.
Tipo de segurança: padrão.
Imagem: Windows 11 Enterprise.
Dica
Se o Windows 11 corporativo não estiver na lista de seleção de imagens, use Ver todas as imagens_. Localize a entrada Windows 11 da Microsoft e use a lista suspensa Selecionar para selecionar a imagem corporativa.
Mantenha os valores padrão nos outros campos.
Selecione Rede. Analise as informações de rede e verifique se ela não está usando o intervalo de endereços IP 172.17.0.0/16. Se for o caso, selecionar um intervalo diferente, como 172.16.0.0/16; o intervalo 172.17.0.0/16 pode causar conflitos com o Docker.
Observação
A máquina virtual do Azure cria sua própria rede virtual do Azure para o isolamento da rede. Essa rede é separada da rede virtual gerenciada utilizada pelo Azure Machine Learning.
Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.
Habilitar o Azure Bastion para a VM
O Azure Bastion permite que você se conecte à área de trabalho da VM por meio do navegador.
No portal do Microsoft Azure, selecione a VM que você criou anteriormente. Na seção Conectar da página, selecione Bastion e depois Implantar o Bastion.
Depois que o serviço do Bastion for implantado, você chegará a uma caixa de diálogo de conexão. Deixe essa caixa de diálogo por enquanto.
Criar um workspace
No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Azure Machine Learning. Selecione a entrada Azure Machine Learning e selecione Criar.
Na guia Básico, selecione a assinatura, o grupo de recursos e a Região no qual criar o serviço. Insira um nome exclusivo em Nome do espaço. Deixe o restante dos campos com os valores padrão; novas instâncias dos serviços necessários são criadas para o espaço de trabalho.
Na guia Rede , selecione Privado com Saída da Internet.
Na guia Rede, na seção Acesso de entrada ao espaço de trabalho, selecione + Adicionar.
No formulário Criar ponto de extremidade privado, insira um valor exclusivo no campo Nome. Selecione a Rede virtual criada anteriormente com a VM e selecione a Sub-rede padrão. Deixe o restante dos campos com os valores padrão. Selecione OK para salvar o ponto de extremidade.
Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.
Assim que o workspace for criado, escolha Ir para o recurso.
Conectar-se à área de trabalho da VM
No portal do Microsoft Azure, selecione a VM que você criou anteriormente.
Na seção Conectar, selecione Bastion. Insira o nome do usuário e a senha que você configurou para a VM e selecione Conectar.
Conectar ao estúdio
Neste ponto, o workspace é criado, mas a rede virtual gerenciada não. A rede virtual gerenciada é configurada quando você cria o workspace. Para criar a rede virtual gerenciada, crie um recurso de computação ou provisione a rede manualmente.
Use as etapas a seguir para criar uma instância de computação.
Na área de trabalho da VM, utilize o navegador para abrir o Azure Machine Learning studio e selecione o espaço de trabalho que você criou anteriormente.
No estúdio, selecione Computação, Instâncias de computação e + Novo.
Na caixa de diálogo Definir as configurações necessárias, insira um valor exclusivo como o Nome da computação. Deixe as demais opções na configuração padrão.
Selecione Criar. A instância de computação leva alguns minutos para ser criada. A instância de computação é criada na rede gerenciada.
Dica
Pode levar vários minutos para criar o primeiro recurso de computação. Esse atraso ocorre porque a rede virtual gerenciada também está sendo criada. A rede virtual gerenciada não é criada até que o primeiro recurso de computação seja criado. Os recursos de computação gerenciados subsequentes serão criados muito mais rapidamente.
Habilitar o acesso do estúdio ao armazenamento
Como o Estúdio do Azure Machine Learning é parcialmente executado no navegador da Web no cliente, o cliente precisa ser capaz de acessar diretamente a conta de armazenamento padrão para o espaço de trabalho para executar as operações de dados. Para habilitar o acesso direto, use as seguintes etapas:
No portal do Microsoft Azure, selecione a VM jump box que você criou anteriormente. Na seção Visão geral, copie o Endereço IP público.
No portal do Microsoft Azure, selecione o espaço de trabalho que você criou anteriormente. Na seção Visão geral, selecione o link para a entrada Armazenamento.
Na conta de armazenamento, selecione Rede e adicione o endereço IP público da jumpbox à seção Firewall.
Dica
Em um cenário em que você utiliza um Gateway de VPN ou ExpressRoute em vez de um jump box, você deve adicionar um ponto de extremidade privado ou um ponto de extremidade de serviço na conta de armazenamento na Rede Virtual do Azure. Usar um ponto de extremidade privado ou um ponto de extremidade de serviço permitiria que vários clientes conectados por meio da Rede Virtual do Azure executassem com êxito as operações de armazenamento por meio do estúdio.
Nesse ponto, você pode utilizar o studio para trabalhar interativamente com notebooks na instância de computação e executar trabalhos de treinamento. Para obter um tutorial, consulte Tutorial: Desenvolvimento de Modelos.
Parar a instância de computação
Enquanto está em execução (iniciada), a instância de computação continua cobrando sua assinatura. Para evitar custos excessivos, pare o serviço quando não estiver em uso.
No estúdio, selecione Computação, Instâncias de computação e selecione a instância de computação. Por fim, selecione Parar no início da página.
Limpar os recursos
Se você planeja continuar a usar o workspace seguro e outros recursos, ignore esta seção.
Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:
No portal do Azure, selecione Grupos de recursos.
Selecione o grupo de recursos que você criou neste tutorial por meio da lista.
Selecione Excluir grupo de recursos.
Insira o nome do grupo de recursos e selecione Excluir.
Próximas etapas
Agora que você tem um workspace seguro e pode acessar o estúdio, saiba como implantar um modelo em um ponto de extremidade online com isolamento de rede.
Para obter mais informações sobre a rede virtual gerenciada, consulte Proteger seu espaço de trabalho com uma rede virtual gerenciada.