Tutorial: Como criar uma área de trabalho segura com uma rede virtual gerida

  • Artigo

Neste artigo, saiba como criar e ligar a uma área de trabalho segura do Azure Machine Learning. Os passos neste artigo utilizam uma rede virtual gerida do Azure Machine Learning para criar um limite de segurança em torno dos recursos utilizados pelo Azure Machine Learning.

Neste tutorial, vai realizar as seguintes tarefas:

  • Crie uma área de trabalho do Azure Machine Learning configurada para utilizar uma rede virtual gerida.
  • Criar um cluster de cálculo do Azure Machine Learning. É utilizado um cluster de computação ao preparar modelos de machine learning na cloud.

Depois de concluir este tutorial, terá a seguinte arquitetura:

  • Uma área de trabalho do Azure Machine Learning que utiliza um ponto final privado para comunicar com a rede gerida.
  • Uma Conta de Armazenamento do Azure que utiliza pontos finais privados para permitir que serviços de armazenamento como blob e ficheiro comuniquem com a rede gerida.
  • Uma Azure Container Registry que utiliza um ponto final privado comunica através da rede gerida.
  • Um Key Vault do Azure que utiliza um ponto final privado para comunicar com a rede gerida.
  • Uma instância de computação e um cluster de computação do Azure Machine Learning protegidos pela rede gerida.

Pré-requisitos

Criar uma jump box (VM)

Existem várias formas de ligar à área de trabalho protegida. Neste tutorial, é utilizada uma jump box . Uma jump box é uma máquina virtual num Rede Virtual do Azure. Pode ligar-se ao mesmo através do browser e do Azure Bastion.

A tabela seguinte lista várias outras formas de ligar à área de trabalho segura:

Método Descrição
Gateway de VPN do Azure Liga redes no local a um Rede Virtual do Azure através de uma ligação privada. É criado um ponto final privado para a área de trabalho nessa rede virtual. A ligação é efetuada através da Internet pública.
ExpressRoute Liga redes no local à cloud através de uma ligação privada. A ligação é efetuada com um fornecedor de conectividade.

Importante

Ao utilizar um gateway de VPN ou o ExpressRoute, terá de planear como funciona a resolução de nomes entre os recursos no local e os da cloud. Para obter mais informações, veja Utilizar um servidor DNS personalizado.

Utilize os seguintes passos para criar uma Máquina Virtual do Azure para utilizar como uma jump box. A partir do ambiente de trabalho da VM, pode utilizar o browser na VM para ligar a recursos dentro da rede virtual gerida, como estúdio do Azure Machine Learning. Em alternativa, pode instalar ferramentas de desenvolvimento na VM.

Dica

Os passos seguintes criam uma VM empresarial Windows 11. Consoante os seus requisitos, poderá querer selecionar uma imagem de VM diferente. A imagem Windows 11 (ou 10) empresarial é útil se precisar de associar a VM ao domínio da sua organização.

  1. Na portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, introduza Máquina Virtual. Selecione a entrada Máquina Virtual e, em seguida, selecione Criar.

  2. No separador Noções básicas , selecione a subscrição, o grupo de recursos e a Região na qual criar o serviço. Forneça valores para os seguintes campos:

    • Nome da máquina virtual: um nome exclusivo para a VM.

    • Nome de utilizador: o nome de utilizador que utiliza para iniciar sessão na VM.

    • Palavra-passe: a palavra-passe do nome de utilizador.

    • Tipo de segurança: Standard.

    • Imagem: Windows 11 Enterprise.

      Dica

      Se Windows 11 Enterprise não estiver na lista de seleção de imagens, utilize Ver todas as imagens_. Localize a entrada Windows 11 da Microsoft e utilize o menu pendente Selecionar para selecionar a imagem empresarial.

    Pode deixar outros campos nos valores predefinidos.

    Captura de ecrã a mostrar a configuração básica da máquina virtual.

  3. Selecione Rede. Reveja as informações de rede e certifique-se de que não está a utilizar o intervalo de endereços IP 172.17.0.0/16. Se estiver, selecione um intervalo diferente, como 172.16.0.0/16; O intervalo 172.17.0.0/16 pode causar conflitos com o Docker.

    Nota

    A Máquina Virtual do Azure cria os seus próprios Rede Virtual do Azure para isolamento de rede. Esta rede é separada da rede virtual gerida utilizada pelo Azure Machine Learning.

    Captura de ecrã a mostrar o separador de rede da máquina virtual.

  4. Selecione Rever + criar. Verifique se as informações estão corretas e, em seguida, selecione Criar.

Ativar o Azure Bastion para a VM

O Azure Bastion permite-lhe ligar-se ao ambiente de trabalho da VM através do browser.

  1. Na portal do Azure, selecione a VM que criou anteriormente. Na secção Operações da página, selecione Bastion e , em seguida, Implementar o Bastion.

    Captura de ecrã a mostrar a opção implementar o Bastion.

  2. Assim que o serviço Bastion tiver sido implementado, ser-lhe-ão apresentadas uma página de ligação. Deixe esta caixa de diálogo por agora.

Criar uma área de trabalho

  1. Na portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, introduza Azure Machine Learning. Selecione a entrada Azure Machine Learning e, em seguida, selecione Criar.

  2. No separador Noções básicas , selecione a subscrição, o grupo de recursos e a Região na qual criar o serviço. Introduza um nome exclusivo para o nome da Área de Trabalho. Deixe os restantes campos nos valores predefinidos; são criadas novas instâncias dos serviços necessários para a área de trabalho.

    Captura de ecrã do formulário de criação da área de trabalho.

  3. No separador Rede , selecione Privado com Saída da Internet.

    Captura de ecrã a mostrar o separador rede da área de trabalho com a saída da Internet selecionada.

  4. No separador Rede , na secção Acesso de entrada da Área de Trabalho, selecione + Adicionar.

    Captura de ecrã a mostrar o botão Adicionar para acesso de entrada.

  5. No formulário Criar ponto final privado , introduza um valor exclusivo no campo Nome . Selecione a Rede virtual criada anteriormente com a VM e selecione a Sub-rede predefinida. Deixe os restantes campos nos valores predefinidos. Selecione OK para guardar o ponto final.

    Captura de ecrã a mostrar o formulário criar ponto final privado.

  6. Selecione Rever + criar. Verifique se as informações estão corretas e, em seguida, selecione Criar.

  7. Assim que a área de trabalho tiver sido criada, selecione Ir para recurso.

Ligar ao ambiente de trabalho da VM

  1. Na portal do Azure, selecione a VM que criou anteriormente.

  2. Na secção Ligar , selecione Bastion. Introduza o nome de utilizador e a palavra-passe que configurou para a VM e, em seguida, selecione Ligar.

    Captura de ecrã do formulário de ligação do Bastion.

Ligar ao studio

Neste momento, a área de trabalho foi criada, mas a rede virtual gerida não. A rede virtual gerida é configurada quando cria a área de trabalho, mas não é criada até criar o primeiro recurso de computação ou aprovisioná-la manualmente.

Utilize os seguintes passos para criar uma instância de computação.

  1. No ambiente de trabalho da VM, utilize o browser para abrir o estúdio do Azure Machine Learning e selecione a área de trabalho que criou anteriormente.

  2. No studio, selecione Computação, Instâncias de computação e, em seguida, + Novo.

    Captura de ecrã a mostrar a nova opção de computação no studio.

  3. Na caixa de diálogo Configurar definições necessárias , introduza um valor exclusivo como nome de Computação. Deixe o resto das seleções no valor predefinido.

  4. Selecione Criar. A criação da instância de computação demora alguns minutos. A instância de computação é criada na rede gerida.

    Dica

    Pode demorar vários minutos a criar o primeiro recurso de computação. Este atraso ocorre porque a rede virtual gerida também está a ser criada. A rede virtual gerida não é criada até que o primeiro recurso de computação seja criado. Os recursos de computação geridos subsequentes serão criados muito mais rapidamente.

Ativar o acesso do studio ao armazenamento

Uma vez que o estúdio do Azure Machine Learning é parcialmente executado no browser do cliente, o cliente tem de conseguir aceder diretamente à conta de armazenamento predefinida da área de trabalho para realizar operações de dados. Para ativar esta opção, utilize os seguintes passos:

  1. Na portal do Azure, selecione a VM jump box que criou anteriormente. Na secção Descrição geral , copie o endereço IP público.

  2. Na portal do Azure, selecione a área de trabalho que criou anteriormente. Na secção Descrição geral , selecione a ligação para a entrada Armazenamento .

  3. Na conta de armazenamento, selecione Rede e adicione o endereço IP público da jump box à secção Firewall .

    Dica

    Num cenário em que utiliza um gateway de VPN ou o ExpressRoute em vez de uma jump box, pode adicionar um ponto final privado ou um ponto final de serviço para a conta de armazenamento ao Rede Virtual do Azure. A utilização de um ponto final privado ou de um ponto final de serviço permitiria que vários clientes se ligassem através do Azure Rede Virtual executar com êxito operações de armazenamento através do studio.

    Neste momento, pode utilizar o estúdio para trabalhar interativamente com blocos de notas na instância de computação e executar tarefas de preparação. Para obter um tutorial, veja Tutorial: Desenvolvimento de modelos.

Parar instância de computação

Enquanto está em execução (iniciada), a instância de computação continua a cobrar a sua subscrição. Para evitar o excesso de custos, pare-o quando não estiver a ser utilizado.

No studio, selecione Computação, Instâncias de computação e, em seguida, selecione a instância de computação. Por fim, selecione Parar na parte superior da página.

Captura de ecrã do botão parar para a instância de computação

Limpar os recursos

Se planear continuar a utilizar a área de trabalho protegida e outros recursos, ignore esta secção.

Para eliminar todos os recursos criados neste tutorial, siga os seguintes passos:

  1. Na portal do Azure, selecione Grupos de recursos.

  2. Na lista, selecione o grupo de recursos que criou neste tutorial.

  3. Selecione Eliminar grupo de recursos.

    Captura de ecrã do botão eliminar grupo de recursos

  4. Introduza o nome do grupo de recursos e, em seguida, selecione Eliminar.

Passos seguintes

Agora que criou uma área de trabalho segura e pode aceder ao studio, saiba como implementar um modelo num ponto final online com isolamento de rede.

Para obter mais informações sobre a rede virtual gerida, veja Proteger a área de trabalho com uma rede virtual gerida.