Как создать безопасную рабочую область с помощью шаблона

Шаблоны обеспечивают удобный способ создания воспроизводимых развертываний служб. Шаблон определяет, что будет создано. Также используются сведения, которые вы предоставили по время использования шаблона. Например, можно указать уникальное имя для рабочей области Машинного обучения Azure.

В этом руководстве описано, как использовать шаблоны Microsoft Bicep и Hashicorp Terraform для создания следующих ресурсов Azure:

  • Виртуальная сеть Azure. Эта виртуальная сеть защищает следующие ресурсы:
    • Рабочая область службы "Машинное обучение Azure"
      • Вычислительная операция Машинного обучения Azure
      • Вычислительный кластер Машинного обучения Azure
    • Учетная запись хранения Azure
    • Azure Key Vault
    • Azure Application Insights
    • Реестр контейнеров Azure
    • Узел Бастиона Azure
    • Виртуальная машина Машинного обучения Azure (Виртуальная машина для обработки и анализа данных)
    • Шаблон Bicep также создает кластер Службы Azure Kubernetes и отдельную группу ресурсов для нее.

Предварительные требования

Прежде чем приступать к действиям, описанным в этой статье, необходимо оформить подписку Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure.

Также потребуется командная строка Bash или Azure PowerShell.

Совет

В процессе чтения этой статьи используйте вкладки в каждом разделе, чтобы просматривать сведения для одного из шаблонов, Bicep или Terraform.

  1. Сведения об установке программ командной строки см. в статье Настройка сред разработки и развертывания Bicep.

  2. Шаблон Bicep, используемый в этой статье, находится по адресу https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Используйте следующие команды, чтобы клонировать репозиторий GitHub в свою среду разработки:

    Совет

    Если у вас нет команды git в среде разработки, ее можно установить из https://git-scm.com/.

    git clone https://github.com/Azure/azure-quickstart-templates
    cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
    

Общие сведения о шаблоне

Шаблон Bicep состоит из main.bicep и других файлов .bicep во вложенном каталоге modules. В следующей таблице описывается, что за каждый файл отвечает.

Файл Описание
main.bicep Параметры и переменные. Передача переменных и параметров в другие модули во вложенном каталоге modules.
vnet.bicep Определяет виртуальную сеть и подсети Azure.
nsg.bicep Определяет правила группы безопасности сети для виртуальной сети.
bastion.bicep Определяет узел и подсеть Бастиона Azure. Бастион Azure позволяет легко получить доступ к виртуальной машине в виртуальной сети с помощью веб-браузера.
dsvmjumpbox.bicep Определяет Виртуальную машину для обработки и анализа данных (DSVM). Бастион Azure используется для доступа к этой виртуальной машине через веб-браузер.
storage.bicep Определяет учетную запись службы хранилища Azure, которая используется рабочей областью как хранилище по умолчанию.
keyvault.bicep Определяет хранилище Azure Key Vault, которое используется рабочей областью.
containerregistry.bicep Определяет Реестр контейнеров Azure, который используется рабочей областью.
applicationinsights.bicep Определяет экземпляр Application Insights Azure, который используется рабочей областью.
machinelearningnetworking.bicep Определяет частные конечные точки и зоны DNS для рабочей области Машинного обучения Azure.
Machinelearning.bicep Определяет рабочую область Машинного обучения Azure.
machinelearningcompute.bicep Определяет вычислительный кластер и вычислительный экземпляр Машинного обучения Azure.
privateaks.bicep Определяет экземпляр кластера Службы Azure Kubernetes.

Важно!

DSVM и Бастион Azure используются в этом руководстве как простой способ подключения к защищенной рабочей области. В рабочей среде мы рекомендуем использовать VPN-шлюз Azure или Azure ExpressRoute, чтобы получать доступ к ресурсам в виртуальной сети непосредственно из локальной сети.

Настройка шаблона

Чтобы выполнить шаблон Bicep, используйте следующие команды из каталога machine-learning-end-to-end-secure, где находится файл main.bicep:

  1. Чтобы создать новую группу ресурсов Azure, выполните следующую команду. Замените exampleRG на имя группы ресурсов, а eastus — на регион Azure, который необходимо использовать:

    az group create --name exampleRG --location eastus
    
  2. Чтобы выполнить шаблон, используйте следующую команду:

    az deployment group create \
        --resource-group exampleRG \
        --template-file main.bicep \
        --parameters \
        prefix=myprefix \
        dsvmJumpboxUsername=azureadmin \
        dsvmJumpboxPassword=securepassword
    

Подключение к рабочей области

После завершения обработки шаблона выполните следующие действия, чтобы подключиться к DSVM:

  1. На портале Azure выберите группу ресурсов Azure, которая использовалась с шаблоном. Затем выберите Виртуальную машину для обработки и анализа данных, созданную с помощью шаблона. Если вы не можете найти ее, используйте раздел фильтров. Укажите для фильтра Тип значение виртуальная машина.

    Screenshot of filtering and selecting the vm.

  2. В разделе Обзор виртуальной машины выберите Подключить и укажите Бастион в раскрывающемся списке.

    Screenshot of selecting to connect using Bastion.

  3. При появлении запроса введите имя пользователя и пароль, указанные при настройке шаблона, а затем выберите Подключить.

    Важно!

    При первом подключении к рабочему столу DSVM открывается окно PowerShell и начнется выполнение скрипта. Дождитесь завершения, прежде чем перейти к следующему шагу.

  4. На рабочем столе DSVM запустите Microsoft Edge и введите адрес https://ml.azure.com. Войдите в подписку Azure, а затем выберите рабочую область, созданную с помощью шаблона. Откроется студия для рабочей области.

Дальнейшие действия

Важно!

Счет выставляется за каждый час работы Виртуальной машины для обработки и анализа данных (DSVM) и ресурсов вычислительных экземпляров. Чтобы избежать излишних затрат, следует останавливать работу ресурсов, когда они не используются. Дополнительные сведения см. в следующих статьях:

Дополнительные сведения о том, как использовать защищенную рабочую область в DSVM, см. в статье Учебник. Начало работы со скриптом Python в Машинном обучении Azure (часть 1 из 3).

Дополнительные сведения о стандартных конфигурациях защищенных рабочих областей и требованиях к входным и выходным данным см. в статье Поток трафика защищенной рабочей области Машинного обучения Azure.