Como criar um espaço de trabalho seguro usando o modelo

Os modelos fornecem uma maneira conveniente de criar implementações de serviço reprodutíveis. O modelo define o que será criado, com algumas informações fornecidas por si quando utilizar o modelo. Por exemplo, especificando um nome único para o Azure Machine Learning espaço de trabalho.

Neste tutorial, você aprende a usar um modelo Terraform Microsoft Bicep e Hashicorp para criar os seguintes recursos Azure:

  • Azure Rede Virtual. Os seguintes recursos estão assegurados por trás deste VNet:
    • Área de trabalho do Azure Machine Learning
      • Instância de computação do Azure Machine Learning
      • Azure Machine Learning cluster de computação
    • Conta de Armazenamento do Azure
    • Azure Key Vault
    • Azure Application Insights
    • Registo de Contentores do Azure
    • Anfitrião do Azure Bastion
    • Azure Machine Learning Máquina Virtual (Máquina Virtual de Ciência de Dados)
    • O modelo Bicep também cria um cluster Azure Kubernetes Service, e um grupo de recursos separado para ele.

Pré-requisitos

Antes de utilizar os passos deste artigo, deve ter uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita.

Também deve ter uma linha de comando bash ou Azure PowerShell.

Dica

Ao ler este artigo, utilize os separadores em cada secção para selecionar se deve ver informações sobre a utilização de modelos Bicep ou Terraform.

  1. Para instalar as ferramentas de linha de comando, consulte Configurar ambientes de desenvolvimento e implantação de Bicep.

  2. O modelo Bicep utilizado neste artigo está localizado em https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Use os seguintes comandos para clonar o GitHub repo ao seu ambiente de desenvolvimento:

    Dica

    Se não tiver o git comando no seu ambiente de desenvolvimento, pode instalá-lo a partir de https://git-scm.com/.

    git clone https://github.com/Azure/azure-quickstart-templates
    cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
    

Compreender o modelo

O modelo Bicep é composto pelo principal.bíceps e os .bicep ficheiros na subdiretória dos módulos . A tabela a seguir descreve o que cada ficheiro é responsável:

Ficheiro Description
main.bicep Parâmetros e variáveis. Passando variáveis & de parâmetros para outros módulos na modules subdireção.
vnet.bicep Define o Azure Rede Virtual e sub-redes.
nsg.bicep Define as regras do grupo de segurança de rede para o VNet.
bastion.bicep Define o anfitrião e a sub-rede Azure Bastion. O Azure Bastion permite-lhe aceder facilmente a um VM dentro do VNet utilizando o seu navegador web.
dsvmjumpbox.bicep Define o Máquina Virtual de Ciência de Dados (DSVM). Azure Bastion é utilizado para aceder a este VM através do seu navegador web.
armazenamento.bicep Define a conta Azure Armazenamento utilizada pelo espaço de trabalho para armazenamento predefinido.
keyvault.bicep Define o Key Vault Azure utilizado pelo espaço de trabalho.
containerregistry.bicep Define o Azure Container Registry utilizado pelo espaço de trabalho.
applicationinsights.bicep Define o Aplicação Azure Informações instância utilizado pelo espaço de trabalho.
machinelearningnetworking.bicep Define os pontos finais privados e as zonas de DNS para o espaço de trabalho Azure Machine Learning.
Machinelearning.bicep Define o espaço de trabalho Azure Machine Learning.
machinelearningcompute.bicep Define um Azure Machine Learning cálculo e caso de computação.
privateaks.bicep Define uma instância de cluster dos Serviços Azure Kubernetes.

Importante

O DSVM e o Bastião Azure são usados como uma forma fácil de ligar ao espaço de trabalho seguro para este tutorial. Num ambiente de produção, recomendamos a utilização de um gateway Azure VPN ou Azure ExpressRoute para aceder aos recursos dentro da VNet diretamente a partir da sua rede de instalações.

Configurar o modelo

Para executar o modelo Bicep, utilize os seguintes comandos a machine-learning-end-to-end-secure partir do local onde o main.bicep ficheiro é:

  1. Para criar um novo Grupo de Recursos Azure, utilize o seguinte comando. Substitua-o exampleRG pelo nome do seu grupo de recursos e eastus pela região Azure que pretende utilizar:

    az group create --name exampleRG --location eastus
    
  2. Para executar o modelo, utilize o seguinte comando:

    az deployment group create \
        --resource-group exampleRG \
        --template-file main.bicep \
        --parameters \
        prefix=myprefix \
        dsvmJumpboxUsername=azureadmin \
        dsvmJumpboxPassword=securepassword
    

Ligação para o espaço de trabalho

Após a conclusão do modelo, utilize os seguintes passos para ligar ao DSVM:

  1. A partir do portal do Azure, selecione o Grupo de Recursos Azure que utilizou com o modelo. Em seguida, selecione a Máquina Virtual de Ciência de Dados que foi criada pelo modelo. Se tiver dificuldade em encontrá-lo, utilize a secção de filtros para filtrar o Tipo para máquina virtual.

    Screenshot of filtering and selecting the vm.

  2. A partir da secção de visão geral da Máquina Virtual, selecione Ligação e, em seguida, selecione Bastion a partir do dropdown.

    Screenshot of selecting to connect using Bastion.

  3. Quando solicitado, forneça o nome de utilizador e a palavra-passe especificados ao configurar o modelo e, em seguida, selecione Ligação.

    Importante

    A primeira vez que se liga ao ambiente de trabalho DSVM, uma janela PowerShell abre e começa a executar um script. Deixe que isto se concretize antes de continuar com o próximo passo.

  4. A partir do ambiente de trabalho DSVM, comece Microsoft Edge e insira https://ml.azure.com como endereço. Faça o sômis para a subscrição do Azure e, em seguida, selecione o espaço de trabalho criado pelo modelo. O estúdio para o seu espaço de trabalho é exibido.

Passos seguintes

Importante

O Máquina Virtual de Ciência de Dados (DSVM) e qualquer conta de recursos de instância de computação cobram-lhe por cada hora que estão a executar. Para evitar encargos excessivos, deve parar estes recursos quando não estiverem a ser utilizados. Para obter mais informações, veja os seguintes artigos:

Para continuar a aprender a utilizar o espaço de trabalho seguro do DSVM, consulte Tutorial: Introdução com um script Python em Azure Machine Learning.

Para saber mais sobre configurações comuns de espaço de trabalho seguros e requisitos de entrada/saída, consulte Azure Machine Learning fluxo de tráfego seguro do espaço de trabalho.