Tutorial: como criar um espaço de trabalho seguro com uma rede virtual gerenciada

  • Artigo

Neste artigo, aprenda a criar e conectar-se a um workspace seguro do Azure Machine Learning. As etapas deste artigo usam uma rede virtual gerenciada pelo Azure Machine Learning para criar um limite de segurança em torno dos recursos usados pelo Azure Machine Learning.

Neste tutorial, você realizará as seguintes tarefas:

  • Criar um espaço de trabalho do Azure Machine Learning configurado para usar uma rede virtual gerenciada.
  • Criar um cluster de cálculo do Azure Machine Learning. Um cluster de cálculo é usado na hora de treinar modelos de machine learning na nuvem.

Após concluir este tutorial, você terá a seguinte arquitetura:

  • Um espaço de trabalho do Azure Machine Learning que usa um ponto de extremidade privado para estabelecer comunicação usando uma rede gerenciada.
  • Uma Conta de Armazenamento do Microsoft Azure que usa pontos de extremidade privados para permitir que serviços de armazenamento, como blob e arquivo, se comuniquem usando a rede gerenciada.
  • Um Registro de Contêiner do Azure que usa um ponto de extremidade privado estabelece comunicação usando a rede gerenciada.
  • Um Azure Key Vault que usa um ponto de extremidade privado para se comunicar usando a rede gerenciada.
  • Uma instância de computação do Azure Machine Learning e um cluster de computação protegidos pela rede gerenciada.

Pré-requisitos

Criar uma jump box (VM)

Existem várias maneiras de se conectar ao workspace seguro. Neste tutorial, uma caixa de salto é utilizada. Uma jump box é uma máquina virtual em uma rede virtual do Azure. Você pode se conectar a ela usando seu navegador da Web e o Azure Bastion.

A tabela abaixo lista várias outras maneiras de se conectar ao workspace seguro:

Método Descrição
Gateway de VPN do Azure Conecta redes locais a uma rede virtual do Azure por meio de uma conexão privada. Um ponto de extremidade privado para seu espaço de trabalho foi criado dentro dessa rede virtual. A conexão é feita pela Internet pública.
ExpressRoute Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.

Importante

Ao usar um Gateway de VPN ou ExpressRoute, você precisará planejar como fazer para que a resolução de nomes funcione entre seus recursos locais e os da nuvem. Para obter mais informações, confira Usar um servidor DNS personalizado.

Use as etapas abaixo para criar uma Máquina Virtual do Azure e usá-la como uma jump box. Na área de trabalho da VM, você pode utilizar o navegador na VM para se conectar a recursos dentro da rede virtual gerenciada, como o estúdio de aprendizado de máquina do Azure. Ou você pode instalar ferramentas de desenvolvimento na VM.

Dica

As etapas a seguir criam uma VM corporativa do Windows 11. Dependendo de seus requisitos, é aconselhável selecionar uma imagem de VM diferente. A imagem corporativa do Windows 11 (ou 10) é útil se você precisar ingressar a VM no domínio da sua organização.

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Máquina virtual. Selecione a entrada Máquina virtual e selecione Criar.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a Região no qual criar o serviço. Forneça valores para os seguintes campos:

    • Nome da máquina virtual: um nome exclusivo para a VM.

    • Nome de usuário: o nome de usuário que você deve usar para entrar na VM.

    • Senha: a senha para o nome de usuário.

    • Tipo de segurança: padrão.

    • Imagem: Windows 11 Enterprise.

      Dica

      Se o Windows 11 corporativo não estiver na lista de seleção de imagens, use Ver todas as imagens_. Localize a entrada Windows 11 da Microsoft e use a lista suspensa Selecionar para selecionar a imagem corporativa.

    Mantenha os valores padrão nos outros campos.

    Captura de tela da configuração básica da máquina virtual.

  3. Selecione Rede. Analise as informações de rede e verifique se ela não está usando o intervalo de endereços IP 172.17.0.0/16. Se for o caso, selecionar um intervalo diferente, como 172.16.0.0/16; o intervalo 172.17.0.0/16 pode causar conflitos com o Docker.

    Observação

    A máquina virtual do Azure cria sua própria rede virtual do Azure para o isolamento da rede. Essa rede é separada da rede virtual gerenciada utilizada pelo Azure Machine Learning.

    Captura de tela da guia de rede da máquina virtual.

  4. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

Habilitar o Azure Bastion para a VM

O Azure Bastion permite que você se conecte à área de trabalho da VM por meio do navegador.

  1. No portal do Microsoft Azure, selecione a VM que você criou anteriormente. Na seção Operações da página, selecione Bastion e depois Implantar o Bastion.

    Captura de tela da opção implantar Bastion.

  2. Uma vez que o serviço Bastion tenha sido implantado, você verá uma página de conexão. Deixe essa caixa de diálogo por enquanto.

Criar um workspace

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Azure Machine Learning. Selecione a entrada Azure Machine Learning e selecione Criar.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a Região no qual criar o serviço. Insira um nome exclusivo em Nome do espaço. Deixe o restante dos campos com os valores padrão; novas instâncias dos serviços necessários são criadas para o espaço de trabalho.

    Captura de tela do formulário de criação de espaço de trabalho.

  3. Na guia Rede , selecione Privado com Saída da Internet.

    Captura de tela da guia de rede do espaço de trabalho com a saída da Internet selecionada.

  4. Na guia Rede, na seção Acesso de entrada ao espaço de trabalho, selecione + Adicionar.

    Captura de tela mostrando o botão de adicionar para o acesso de entrada.

  5. No formulário Criar ponto de extremidade privado, insira um valor exclusivo no campo Nome. Selecione a Rede virtual criada anteriormente com a VM e selecione a Sub-rede padrão. Deixe o restante dos campos com os valores padrão. Selecione OK para salvar o ponto de extremidade.

    Captura de tela do formulário criar ponto de extremidade privado.

  6. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

  7. Depois de criar o workspace, selecione Ir para o recurso.

Conectar-se à área de trabalho da VM

  1. No portal do Microsoft Azure, selecione a VM que você criou anteriormente.

  2. Na seção Conectar, selecione Bastion. Insira o nome do usuário e a senha que você configurou para a VM e selecione Conectar.

    Captura de tela do formulário de conexão do Bastion.

Conectar ao estúdio

Nesse momento, o espaço de trabalho foi criado mas a rede virtual gerenciada não. A rede virtual gerenciada é configurada quando você cria o espaço de trabalho, mas ela não é criada até que você crie o primeiro recurso de computação ou o provisione manualmente.

Use as etapas a seguir para criar uma instância de computação.

  1. Na área de trabalho da VM, utilize o navegador para abrir o Azure Machine Learning studio e selecione o espaço de trabalho que você criou anteriormente.

  2. No estúdio, selecione Computação, Instâncias de computação e + Novo.

    Captura de tela da nova opção de computação no estúdio.

  3. Na caixa de diálogo Definir as configurações necessárias, insira um valor exclusivo como o Nome da computação. Deixe as demais opções na configuração padrão.

  4. Selecione Criar. A instância de computação leva alguns minutos para ser criada. A instância de computação é criada na rede gerenciada.

    Dica

    Pode levar vários minutos para criar o primeiro recurso de computação. Esse atraso ocorre porque a rede virtual gerenciada também está sendo criada. A rede virtual gerenciada não é criada até que o primeiro recurso de computação seja criado. Os recursos de computação gerenciados subsequentes serão criados muito mais rapidamente.

Habilitar o acesso do estúdio ao armazenamento

Como o Estúdio do Azure Machine Learning é parcialmente executado no navegador da Web no cliente, o cliente precisa ser capaz de acessar diretamente a conta de armazenamento padrão para o espaço de trabalho para executar as operações de dados. Para habilitar isso, utilize as etapas a seguir:

  1. No portal do Microsoft Azure, selecione a VM jump box que você criou anteriormente. Na seção Visão geral, copie o Endereço IP público.

  2. No portal do Microsoft Azure, selecione o espaço de trabalho que você criou anteriormente. Na seção Visão geral, selecione o link para a entrada Armazenamento.

  3. Na conta de armazenamento, selecione Rede e adicione o endereço IP público da jumpbox à seção Firewall.

    Dica

    Em um cenário em que você utiliza um Gateway de VPN ou ExpressRoute em vez de um jump box, você deve adicionar um ponto de extremidade privado ou um ponto de extremidade de serviço na conta de armazenamento na Rede Virtual do Azure. Usar um ponto de extremidade privado ou um ponto de extremidade de serviço permitiria que vários clientes conectados por meio da Rede Virtual do Azure executassem com êxito as operações de armazenamento por meio do estúdio.

    Nesse ponto, você pode utilizar o studio para trabalhar interativamente com notebooks na instância de computação e executar trabalhos de treinamento. Para obter um tutorial, consulte Tutorial: Desenvolvimento de Modelos.

Parar a instância de computação

Enquanto está em execução (iniciada), a instância de computação continua cobrando sua assinatura. Para evitar custos excessivos, pare o serviço quando não estiver em uso.

No estúdio, selecione Computação, Instâncias de computação e selecione a instância de computação. Por fim, selecione Parar no início da página.

Captura de tela do botão Parar da instância de computação

Limpar recursos

Se você planeja continuar a usar o workspace seguro e outros recursos, ignore esta seção.

Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:

  1. No portal do Azure, clique em Grupos de recursos.

  2. Selecione o grupo de recursos que você criou neste tutorial por meio da lista.

  3. Selecione Excluir grupo de recursos.

    Captura de tela do botão Excluir grupo de recursos

  4. Insira o nome do grupo de recursos e selecione Excluir.

Próximas etapas

Agora que você criou um workspace seguro e poderá acessar o estúdio, saiba como implantar um modelo em um ponto de extremidade online com isolamento de rede.

Para obter mais informações sobre a rede virtual gerenciada, consulte Proteger seu espaço de trabalho com uma rede virtual gerenciada.