Partilhar via

Tutorial: Como criar um espaço de trabalho seguro usando um modelo

  • Artigo

Os modelos fornecem uma maneira conveniente de criar implantações de serviço reproduzíveis. O modelo define o que criar, com algumas informações que você fornece quando usa o modelo. Por exemplo, você especifica um nome exclusivo para um espaço de trabalho do Azure Machine Learning.

Neste tutorial, você aprenderá a usar um modelo Microsoft Bicep ou Hashicorp Terraform para criar uma rede virtual do Azure com os seguintes recursos do Azure protegidos por trás dela.

  • Espaço de trabalho do Azure Machine Learning
    • Instância de computação do Azure Machine Learning
    • Cluster de computação do Azure Machine Learning
  • Conta de armazenamento do Azure
  • Azure Key Vault
  • Azure Application Insights
  • Registo de Contentores do Azure
  • Azure Bastion host
  • Máquina Virtual de Ciência de Dados do Azure Machine Learning (DSVM)

O modelo Bicep também cria um cluster do Serviço Kubernetes do Azure (AKS) e um grupo de recursos separado para o cluster AKS.

Gorjeta

Você pode usar redes virtuais gerenciadas do Azure Machine Learning em vez das etapas neste artigo. Com uma rede virtual gerenciada, o Azure Machine Learning lida com o trabalho de isolamento de rede para seu espaço de trabalho e cálculos gerenciados. Você também pode adicionar pontos de extremidade privados para recursos necessários para o espaço de trabalho, como a Conta de Armazenamento do Azure. Para obter mais informações, consulte Isolamento de rede gerenciado pelo espaço de trabalho.

Para visualizar as informações do Bicep ou do Terraform, selecione as guias Bicep ou Terraform nas seções a seguir.

Pré-requisitos

  • Uma subscrição do Azure com uma versão gratuita ou paga do Azure Machine Learning. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

  • Git instalado em seu ambiente de desenvolvimento para clonar o repositório de modelos. Se não tiver o comando, pode instalar o git Git a partir do https://git-scm.com/.

  • Uma linha de comando da CLI do Azure ou do Azure PowerShell.

  • As ferramentas de linha de comando do Azure CLI ou do Azure PowerShell Bicep instaladas de acordo com Configurar ambientes de desenvolvimento e implantação do Bicep.

  • O repositório GitHub que contém o modelo Bicep Azure Machine Learning configuração segura de ponta a ponta, clonado localmente e alternado para executando os seguintes comandos:

    git clone https://github.com/Azure/azure-quickstart-templates
cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure

Compreender o modelo

O modelo Bicep é composto pelo main.bicep e outros arquivos *.bicep no subdiretório modules . A tabela a seguir descreve o que cada arquivo é responsável:

Ficheiro Description
main.bicep Passa parâmetros e variáveis para outros módulos no subdiretório modules .
vnet.bicep Define a rede virtual e as sub-redes do Azure.
NSG.BICEP Define as regras do grupo de segurança de rede para a rede virtual.
bastião.bicep Define o host e a sub-rede do Azure Bastion. O Azure Bastion permite que você acesse facilmente uma máquina virtual (VM) dentro da rede virtual usando seu navegador da Web.
dsvmjumpbox.bicep Define a DSVM. O Azure Bastion é usado para acessar essa VM por meio de seu navegador da Web.
armazenamento.bicep Define a conta de Armazenamento do Azure usada pelo espaço de trabalho para armazenamento padrão.
keyvault.bicep Define o Cofre da Chave do Azure usado pelo espaço de trabalho.
containerregistry.bicep Define o Registro de Contêiner do Azure usado pelo espaço de trabalho.
applicationinsights.bicep Define a instância do Azure Application Insights usada pelo espaço de trabalho.
machinelearningnetworking.bicep Define os pontos de extremidade privados e as zonas DNS (Sistema de Nomes de Domínio) para o espaço de trabalho.
aprendizagem automática.bicep Define o espaço de trabalho do Azure Machine Learning.
machinelearningcompute.bicep Define um cluster de computação e uma instância de computação do Azure Machine Learning.
privateaks.bicep Define uma instância de cluster AKS.

Importante

Cada serviço do Azure tem seu próprio conjunto de versões de API. Os modelos de exemplo podem não usar as versões mais recentes da API para o Azure Machine Learning e outros recursos. Antes de usar o modelo, você deve modificá-lo para usar as versões mais recentes da API.

Para obter informações sobre a API de um serviço específico, verifique as informações de serviço na referência da API REST do Azure. Para obter informações sobre a versão mais recente da API do Azure Machine Learning, consulte a API REST do Azure Machine Learning.

Para atualizar a versão da API, localize a Microsoft.MachineLearningServices/<resource> entrada para o tipo de recurso e atualize-a para a versão mais recente.

Importante

A DSVM e o Azure Bastion são maneiras fáceis de se conectar ao espaço de trabalho seguro para este tutorial. Em um ambiente de produção, é melhor usar um gateway de VPN do Azure ou o Azure ExpressRoute para acessar os recursos dentro da rede virtual diretamente da sua rede local.

Configurar o modelo

Para implantar o modelo Bicep, verifique se você está no diretório de aprendizado de máquina de ponta a ponta onde o arquivo main.bicep está localizado e execute os seguintes comandos:

  1. Para criar um novo grupo de recursos do Azure, execute o seguinte comando de exemplo, substituindo <myrgname> por um nome de grupo de recursos e <location> pela região do Azure que você deseja usar.

    • CLI do Azure:

      az group create --name <myrgname> --location <location>

    • Azure PowerShell:

      New-AzResourceGroup -Name <myrgname> -Location <location>

  2. Para implantar o modelo, use o comando a seguir, substituindo <myrgname> pelo nome do grupo de recursos criado e <pref> por um prefixo exclusivo a ser usado ao criar os recursos necessários. Substitua <mydsvmpassword> por uma senha segura para a conta de entrada da caixa de salto DSVM, que está azureadmin nos exemplos a seguir.

    Gorjeta

    O prefix deve ter cinco ou menos caracteres e não pode ser totalmente numérico ou conter os caracteres ~, !, @, #, , <}{]\[_+|=);"',.>/%&?^*(:$

    • CLI do Azure:

      az deployment group create \
    --resource-group <myrgname> \
    --template-file main.bicep \
    --parameters \
    prefix=<pref> \
    dsvmJumpboxUsername=azureadmin \
    dsvmJumpboxPassword=<mydsvmpassword>

    • Azure PowerShell:

      $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
    -TemplateFile ./main.bicep `
    -prefix "<pref>" `
    -dsvmJumpboxUsername "azureadmin" `
    -dsvmJumpboxPassword $dsvmPassword

      Aviso

      Você deve evitar o uso de cadeias de caracteres de texto sem formatação em scripts ou na linha de comando. O texto sem formatação pode aparecer nos logs de eventos e no histórico de comandos. Para obter mais informações, consulte ConvertTo-SecureString.

Importante

A DSVM e quaisquer recursos de computação cobram por cada hora que são executados. Para evitar cobranças excessivas, você deve interromper esses recursos quando eles não estiverem em uso. Para obter mais informações, consulte os seguintes artigos:

Conectar-se ao espaço de trabalho

Após a conclusão da implantação, use as seguintes etapas para se conectar à DSVM:

  1. No portal do Azure, selecione o grupo de recursos do Azure que você usou com o modelo. Em seguida, selecione a DSVM que o modelo criou. Se você tiver problemas para encontrá-lo, use a seção de filtros para filtrar o Tipo para máquina virtual.

    Captura de tela da filtragem e seleção da VM.

  2. Na página Visão Geral da DSVM, selecione Conectar e, em seguida, selecione Conectar via Bastion na lista suspensa.

    Captura de tela mostrando a seleção para se conectar usando Bastion.

  3. Quando solicitado, forneça o nome de usuário e a senha da VM especificados ao configurar o modelo e selecione Conectar.

    Importante

    Na primeira vez que você se conectar à área de trabalho da DSVM, uma janela do PowerShell será aberta e executará um script. Permita que o script seja concluído antes de continuar com a próxima etapa.

  4. Na área de trabalho da DSVM, inicie o Microsoft Edge e digite https://ml.azure.com como o endereço. Entre na sua assinatura do Azure e selecione o espaço de trabalho que o modelo criou. O estúdio do seu espaço de trabalho é exibido.

Resolução de Problemas

O seguinte erro pode ocorrer quando o nome da caixa de salto DSVM é maior que 15 caracteres ou inclui um dos seguintes caracteres: ~, !, @, #, <)(*&=^%$+_|\;}:{.'][,>"/ou .?

Erro: O nome do computador Windows não pode ter mais de 15 caracteres, ser totalmente numérico ou conter os seguintes caracteres ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.

O modelo Bicep gera o nome da caixa de salto programaticamente usando o valor de prefixo fornecido ao modelo. Para garantir que o nome não exceda 15 caracteres ou contenha caracteres inválidos, use um prefixo com cinco ou menos caracteres e não use os caracteres , , , , .[]_+={)(*}&^%$/:'";<?,\|>#@!~

Conteúdos relacionados

Para continuar a começar a utilizar o Azure Machine Learning, consulte Guia de início rápido: introdução ao Azure Machine Learning.

Para saber mais sobre configurações comuns de espaço de trabalho seguro e requisitos de entrada/saída, consulte Fluxo de tráfego de espaço de trabalho seguro do Azure Machine Learning.