Поделиться через

Руководство. Создание безопасной рабочей области с помощью управляемой виртуальной сети

Из этой статьи вы узнаете, как создать и подключиться к защищенной рабочей области Машинного обучения Azure. Действия, описанные в этой статье, используют управляемую виртуальную сеть Azure Machine Learning для создания периметра безопасности вокруг ресурсов, используемых Azure Machine Learning.

В этом руководстве вы выполните следующие задачи:

  • Создайте рабочую область Машинное обучение Azure, настроенную для использования управляемой виртуальной сети.
  • создадите вычислительный кластер Машинного обучения Azure; Вы используете вычислительный кластер при обучении моделей машинного обучения в облаке.

После завершения работы с этим руководством у вас есть следующая архитектура:

  • Рабочая область Машинного обучения Azure, которая использует частную конечную точку для обмена данными через управляемую сеть.
  • Учетная запись хранения Azure, использующая частные конечные точки, чтобы службы хранения, такие как BLOB-объект и файл, могли взаимодействовать через управляемую сеть.
  • Реестр контейнеров Azure, использующий частную конечную точку для обмена данными через управляемую сеть.
  • Azure Key Vault, использующий частную конечную точку для обмена данными через управляемую сеть.
  • Экземпляр вычислений Azure Machine Learning и вычислительный кластер, защищенные управляемой сетью.

Предварительные требования

Создание виртуальной машины-шлюза

Вы можете подключиться к защищенной рабочей области несколькими способами. В этом руководстве используйте поле перехода. Джамп-бокс — это виртуальная машина в виртуальной сети Azure. Вы можете подключиться к нему с помощью веб-браузера и Бастиона Azure.

В таблице ниже перечислены другие способы подключения к защищенной рабочей области.

Метод Описание
VPN-шлюз Azure Подключает локальные сети к виртуальной сети Azure по частному подключению. Частная конечная точка рабочей области создается в этой виртуальной сети. Подключение осуществляется через общедоступный Интернет.
ExpressRoute Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.

Внимание

При использовании VPN-шлюза или ExpressRoute спланируйте, как работает разрешение имен между локальными ресурсами и ресурсами в облаке. Дополнительные сведения см. в статье Использование настраиваемого DNS-сервера.

Чтобы создать виртуальную машину Azure для использования в качестве поля перехода, выполните следующие действия. На рабочем столе виртуальной машины вы можете использовать браузер на виртуальной машине для подключения к ресурсам в управляемой виртуальной сети, например Студии машинного обучения Azure. Вы также можете установить средства разработки на виртуальной машине.

Совет

Ниже описано, как создать корпоративную виртуальную машину Windows 11. В зависимости от требований может потребоваться выбрать другой образ виртуальной машины. Корпоративный образ Windows 11 (или 10) полезен, если необходимо присоединить виртуальную машину к домену вашей организации.

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс и введите виртуальную машину. Выберите вход виртуальной машины и затем выберите Создать.

  2. На вкладке "Основы" выберите подписку, группу ресурсов и регион, чтобы создать службу. Введите значения для следующих полей:

    • Имя виртуальной машины: уникальное имя для виртуальной машины.

    • Имя пользователя: имя пользователя, которое вы используете для входа на виртуальную машину.

    • Пароль: пароль для имени пользователя

    • Тип безопасности: стандартный

    • Изображение: Windows 11 Корпоративная версия.

      Совет

      Если Windows 11 Enterprise отсутствует в списке изображений для выбора, используйте Просмотреть все изображения. Найдите запись Windows 11 от Microsoft и используйте список 'Выбрать', чтобы выбрать корпоративный образ.

    Вы можете оставить в остальных полях значения по умолчанию.

    Снимок экрана: конфигурация основных компонентов виртуальной машины.

  3. Выберите Сети. Просмотрите сведения о сети и убедитесь, что он не использует диапазон IP-адресов 172.17.0.0/16. Если это так, выберите другой диапазон, например 172.16.0.0/16. Диапазон 172.17.0.0/16 может вызвать конфликты с Docker.

    Примечание.

    Виртуальная машина Azure создает собственную сеть Azure для сетевой изоляции. Эта сеть является отдельной от управляемой виртуальной сети, используемой Azure Machine Learning.

    Снимок экрана: вкладка

  4. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

Включение Бастиона Azure для виртуальной машины

С помощью Бастиона Azure вы можете подключиться к рабочему столу виртуальной машины через браузер.

  1. В портал Azure выберите созданную ранее виртуальную машину. В разделе "Подключение" на странице выберите бастион и разверните бастион.

    Снимок экрана: параметр развертывания Бастиона.

  2. После развертывания службы Bastion портал возвращается в диалоговое окно подключения. Не используйте это диалоговое окно.

Создание рабочей области

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите +Создать ресурс и введите Машинное обучение Azure. Выберите запись Машинное обучение Azure и нажмите кнопку "Создать".

  2. На вкладке "Основы" выберите подписку, группу ресурсов и регион, чтобы создать службу. Введите уникальное имя для названия рабочей области. Оставьте остальные поля значениями по умолчанию. На портале создаются новые экземпляры необходимых служб для рабочей области.

    Снимок экрана: форма создания рабочей области.

  3. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом.

    Примечание.

    В этом руководстве используется исходящий доступ к Интернету для простой настройки. Если для организации требуются более строгие элементы управления исходящим трафиком, используйте конфигурацию управляемой виртуальной сети, которая разрешает только утвержденный исходящий трафик.

    Снимок экрана: вкладка

  4. На вкладке "Сеть" в разделе "Рабочая область входящего доступа " нажмите кнопку "+ Добавить".

    Снимок экрана: кнопка добавления для входящего доступа.

  5. В форме Создание частной конечной точки введите уникальное значение в поле «Имя». Выберите виртуальную сеть , созданную ранее с помощью виртуальной машины, и выберите подсеть по умолчанию. Оставьте остальные поля значениями по умолчанию. Нажмите кнопку "ОК ", чтобы сохранить конечную точку.

    Снимок экрана: форма для создания частной конечной точки.

  6. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  7. После создания рабочей области на портале выберите "Перейти к ресурсу".

Подключение к рабочему столу виртуальной машины

  1. На портале Azure выберите виртуальную машину, которую вы создали ранее.

  2. В разделе "Подключение" выберите Бастион. Введите имя пользователя и пароль, настроенные для виртуальной машины, а затем нажмите кнопку "Подключить".

    Снимок экрана формы подключения Bastion.

Подключение к студии

На этом этапе создается рабочая область, но управляемая виртуальная сеть еще не создана. Вы настраиваете управляемую виртуальную сеть при создании рабочей области. Чтобы создать управляемую виртуальную сеть, создайте вычислительный ресурс или вручную подготовьте сеть.

Внимание

Если вы планируете запускать бессерверные задания Spark, вручную запустите подготовку управляемой виртуальной сети перед отправкой заданий Spark.

Чтобы создать вычислительный экземпляр, выполните следующие действия.

  1. С настольного компьютера на виртуальной машине используйте браузер, чтобы открыть Azure Machine Learning Studio и выбрать рабочую область, которую вы создали ранее.

  2. Из студии выберите Вычисления, Вычислительные экземпляры и затем + Новый.

    Снимок экрана: новый параметр вычислений в студии.

  3. В диалоговом окне "Настройка необходимых параметров" введите уникальное значение в качестве имени вычисления. Оставьте остальные выбранные значения по умолчанию.

  4. Нажмите кнопку создания. Создание вычислительного экземпляра занимает несколько минут. Вычислительный экземпляр создается в управляемой сети.

    Совет

    Создание первого вычислительного ресурса может занять несколько минут. Эта задержка возникает, так как также создается управляемая виртуальная сеть. Управляемая виртуальная сеть не создается до создания первого вычислительного ресурса. Последующие управляемые вычислительные ресурсы создаются гораздо быстрее.

Включение доступа студии к хранилищу

Так как студия машинного обучения Azure частично выполняется в веб-браузере клиента, клиент должен иметь прямой доступ к учетной записи хранения по умолчанию рабочей области для выполнения операций с данными. Чтобы включить прямой доступ, выполните следующие действия.

  1. Из портала Azure выберите виртуальную машину для прыжков, созданную ранее. Скопируйте общедоступный IP-адрес из раздела "Обзор".

  2. На портале Azure выберите ту рабочую область, которую вы создали ранее. В разделе "Обзор" выберите ссылку на запись "Хранилище".

  3. В учетной записи хранения выберите Сетевое взаимодействие и добавьте общедоступный IP-адрес поля перехода в раздел брандмауэра.

    Совет

    В сценарии, в котором вы используете VPN-шлюз или ExpressRoute вместо поля перехода, можно добавить частную конечную точку или конечную точку службы для учетной записи хранения в виртуальную сеть Azure. Используя частную конечную точку или конечную точку службы, несколько клиентов, подключающихся через виртуальную сеть Azure, могут успешно выполнять операции хранения через студию.

    На этом этапе можно использовать студию для работы с записными книжками на вычислительном ресурсе и выполнения задач обучения. Для получения информации см. Руководство: Разработка моделей.

Остановка вычислительного экземпляра

Пока она работает, вычислительный экземпляр продолжает взимать плату за подписку. Чтобы избежать избыточных затрат, остановите его, если вы не используете его.

В студии выберите Вычисления, Вычислительные экземпляры, а затем выберите вычислительный экземпляр. Наконец, в верхней части страницы выберите Остановить.

Скриншот кнопки

Очистка ресурсов

Если вы планируете и далее использовать защищенную рабочую область и другие ресурсы, пропустите этот раздел.

Чтобы удалить все ресурсы, созданные в этом руководстве, выполните следующие действия.

  1. На портале Azure выберите "Группы ресурсов".

  2. Выберите из списка созданную в этом руководстве группу ресурсов.

  3. Выберите команду Удалить группу ресурсов.

    Снимок экрана: кнопка удаления группы ресурсов.

  4. Введите имя группы ресурсов и нажмите кнопку "Удалить".

Следующие шаги

Теперь, когда у вас есть безопасная рабочая область и вы можете получить доступ к студии, рассмотрите следующие ресурсы:

  • Last updated on