Руководство. Создание безопасной рабочей области с помощью шаблона

Шаблоны обеспечивают удобный способ создания воспроизводимых развертываний служб. Шаблон определяет, что нужно создать, с некоторыми сведениями, предоставляемыми при использовании шаблона. Например, вы указываете уникальное имя для рабочей области Машинное обучение Azure.

В этом руководстве вы узнаете, как использовать шаблон Microsoft Bicep или Hashicorp Terraform для создания виртуальной сети Azure со следующими ресурсами Azure, защищенными за ним.

• Рабочая область Машинное обучение Azure
  • Вычислительная операция Машинного обучения Azure
  • Вычислительный кластер Машинного обучения Azure
• Учетная запись хранения Azure
• Azure Key Vault
• Azure Application Insights
• Реестр контейнеров Azure
• Узел Бастиона Azure
• Машинное обучение Azure Виртуальная машина для обработки и анализа данных (DSVM)

Шаблон Bicep также создает кластер Служба Azure Kubernetes (AKS) и отдельную группу ресурсов для кластера AKS.

Совет

Вместо действий, описанных в этой статье, можно использовать Машинное обучение Azure управляемых виртуальных сетей. С помощью управляемой виртуальной сети Машинное обучение Azure обрабатывает задание сетевой изоляции для рабочей области и управляемых вычислений. Вы также можете добавить частные конечные точки для ресурсов, необходимых рабочей области, например служба хранилища Azure account. Дополнительные сведения см. в изоляция управляемой сети рабочей области.

Чтобы просмотреть сведения Bicep или Terraform, выберите вкладки Bicep или Terraform в следующих разделах.

Необходимые компоненты

• Подписка Azure с бесплатной или платной версией Машинное обучение Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

• Git, установленный в среде разработки, чтобы клонировать репозиторий шаблонов. Если у вас нет git команды, вы можете установить Git из https://git-scm.com/.

• Командная строка Azure CLI или Azure PowerShell.

Bicep

• Средства командной строки Azure CLI или Azure PowerShell Bicep, установленные в соответствии с настройкой сред разработки и развертывания Bicep.

• Репозиторий GitHub, содержащий шаблон Bicep, Машинное обучение Azure сквозную безопасную настройку, клонированную локально и переключился на нее, выполнив следующие команды:

  git clone https://github.com/Azure/azure-quickstart-templates
  cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
  

Terraform

• Terraform установил, настроил и прошел проверку подлинности в подписке Azure, выполнив действия, описанные в одной из следующих статей:

  • Azure Cloud Shell
  • Windows с Bash
  • Windows с Azure PowerShell

• Репозиторий GitHub, содержащий шаблон Terraform Машинное обучение Azure рабочей области (умеренно безопасная настройка сети), клонирован локально и переключился, выполнив следующие команды:

  git clone https://github.com/Azure/terraform
  cd terraform/quickstart/201-machine-learning-moderately-secure
  

Общие сведения о шаблоне

Bicep

Шаблон Bicep состоит из файлов main.bicep и других файлов *.bicep в подкаталоге модулей. В следующей таблице описывается, что за каждый файл отвечает.

Файл	Description
main.bicep	Передает параметры и переменные другим модулям в подкаталоге модулей .
vnet.bicep	Определяет виртуальную сеть и подсети Azure.
nsg.bicep	Определяет правила группы безопасности сети для виртуальной сети.
bastion.bicep	Определяет узел и подсеть Бастиона Azure. Бастион Azure позволяет легко получить доступ к виртуальной машине в виртуальной сети с помощью веб-браузера.
dsvmjumpbox.bicep	Определяет DSVM. Бастион Azure используется для доступа к этой виртуальной машине через веб-браузер.
storage.bicep	Определяет учетную запись службы хранилища Azure, которая используется рабочей областью как хранилище по умолчанию.
keyvault.bicep	Определяет хранилище Azure Key Vault, которое используется рабочей областью.
containerregistry.bicep	Определяет Реестр контейнеров Azure, который используется рабочей областью.
applicationinsights.bicep	Определяет экземпляр Application Insights Azure, который используется рабочей областью.
machinelearningnetworking.bicep	Определяет частные конечные точки и зоны системы доменных имен (DNS) для рабочей области.
machinelearning.bicep	Определяет рабочую область Машинного обучения Azure.
machinelearningcompute.bicep	Определяет вычислительный кластер и вычислительный экземпляр Машинного обучения Azure.
privateaks.bicep	Определяет экземпляр кластера AKS.

Внимание

Каждая служба Azure имеет собственный набор версий API. Примеры шаблонов могут не использовать последние версии API для Машинное обучение Azure и других ресурсов. Перед использованием шаблона необходимо изменить его, чтобы использовать последние версии API.

Дополнительные сведения об API для конкретной службы см. в справочнике по REST API Azure. Сведения о последней версии API Машинное обучение Azure см. в Машинное обучение Azure REST API.

Чтобы обновить версию API, найдите Microsoft.MachineLearningServices/<resource> запись для типа ресурса и обновите ее до последней версии.

Terraform

Шаблон Terraform состоит из нескольких файлов. В следующей таблице описывается, что за каждый файл отвечает.

Файл	Description
variables.tf	Определяет переменные и значения по умолчанию, используемые шаблоном.
main.tf	Указывает поставщика Azure Resource Manager и определяет группу ресурсов.
network.tf	Определяет виртуальную сеть Azure, подсети и группы безопасности сети (NSG).
bastion.tf	Определяет узел Бастиона Azure и связанную группу безопасности сети. Бастион Azure позволяет легко получить доступ к виртуальной машине в виртуальной сети с помощью веб-браузера.
dsvm.tf	Определяет DSVM. Бастион Azure используется для доступа к этой виртуальной машине через веб-браузер.
workspace.tf	Определяет рабочую область Машинное обучение Azure, включая зависимые ресурсы для служба хранилища Azure, Key Vault, Application Insights и реестра контейнеров.
compute.tf	Определяет вычислительный экземпляр и вычислительный кластер Машинного обучения Azure.

Совет

Поставщик Terraform Azure поддерживает больше аргументов, которые не используются в этом руководстве. Например, аргумент среды позволяет целевым облачным регионам, таким как Azure для государственных организаций и Microsoft Azure, управляемые 21Vianet.

Внимание

DSVM и Бастион Azure — это простые способы подключения к защищенной рабочей области для этого руководства. В рабочей среде лучше использовать VPN-шлюз Azure или Azure ExpressRoute для доступа к ресурсам в виртуальной сети непосредственно из локальной сети.

Настройка шаблона

Bicep

Чтобы развернуть шаблон Bicep, убедитесь, что вы находитесь в защищенном каталоге машинного обучения , где находится файл main.bicep , и выполните следующие команды:

1. Чтобы создать новую группу ресурсов Azure, выполните следующую команду, заменив <myrgname> имя группы ресурсов и <location> регион Azure, который вы хотите использовать.

   • Azure CLI:

     az group create --name <myrgname> --location <location>
     

   • Azure PowerShell:

     New-AzResourceGroup -Name <myrgname> -Location <location>
     

2. Чтобы развернуть шаблон, используйте следующую команду, заменив <myrgname> имя созданной группы ресурсов и <pref> уникальным префиксом, используемым при создании необходимых ресурсов. Замените <mydsvmpassword> защищенным паролем для учетной записи входа в систему dsVM, которая приведена azureadmin в следующих примерах.

   Совет

   prefix Должно быть пять или меньше символов и не может быть полностью числовым или содержать символы, <&{]}[_+\=)(|*^;"',.>/!#?@$%:~

   • Azure CLI:

     az deployment group create \
         --resource-group <myrgname> \
         --template-file main.bicep \
         --parameters \
         prefix=<pref> \
         dsvmJumpboxUsername=azureadmin \
         dsvmJumpboxPassword=<mydsvmpassword>
     

   • Azure PowerShell:

     $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
     New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
         -TemplateFile ./main.bicep `
         -prefix "<pref>" `
         -dsvmJumpboxUsername "azureadmin" `
         -dsvmJumpboxPassword $dsvmPassword
     

     Предупреждение

     Следует избегать использования строк обычного текста в скриптах или из командной строки. Обычный текст может отображаться в журналах событий и журналах команд. Дополнительные сведения см. в статье ConvertTo-SecureString.

Terraform

Чтобы развернуть шаблон Terraform, убедитесь, что вы находитесь в каталоге 201-machine-learning-moderately-secure , где находятся файлы шаблонов, и выполните следующие команды.

1. Чтобы инициализировать каталог для работы с Terraform, используйте следующую команду:

   terraform init
   

2. Чтобы создать конфигурацию, используйте следующую команду. -var Используйте параметры, чтобы задать значения для переменных, используемых шаблоном. Полный список переменных см . в файле variables.tf .

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   После завершения этой команды конфигурация отображается в терминале. Чтобы снова отобразить ее, используйте команду terraform show azureml.tfplan.

3. Чтобы развернуть шаблон и применить сохраненную конфигурацию к подписке Azure, выполните следующую команду:

   terraform apply azureml.tfplan
   

   Ход выполнения отображается как процессы шаблона.

Внимание

DSVM и все вычислительные ресурсы выставляются за каждый час их выполнения. Чтобы избежать превышения расходов, следует остановить эти ресурсы, если они не используются. Дополнительные сведения см. в следующих статьях:

• Создание виртуальных машин и управление ими (Linux).
• Создание виртуальных машин и управление ими (Windows).
• Создайте вычислительный экземпляр.

Подключение к рабочей области

После завершения развертывания выполните следующие действия, чтобы подключиться к DSVM:

1. В портал Azure выберите группу ресурсов Azure, используемую с шаблоном. Затем выберите dsVM, созданный шаблоном. Если вы не можете найти ее, используйте раздел фильтров. Укажите для фильтра Тип значение виртуальная машина.

   

2. На странице обзора DSVM выберите "Подключиться" и выберите "Подключиться через бастион" из раскрывающегося списка.

   

3. При появлении запроса укажите имя пользователя и пароль виртуальной машины, указанные при настройке шаблона, а затем нажмите кнопку "Подключить".

   Внимание

   При первом подключении к рабочему столу DSVM откроется окно PowerShell и запускает скрипт. Разрешите скрипту завершить работу перед продолжением следующего шага.

4. На рабочем столе DSVM запустите Microsoft Edge и введите адрес https://ml.azure.com. Войдите в подписку Azure и выберите рабочую область, созданную шаблоном. Откроется студия для рабочей области.

Устранение неполадок

Следующая ошибка может возникать, если имя поля прыжка DSVM больше 15 символов или включает один из следующих символов: ~, !@#$%^&*()=+_[]{}\|;:.'",<>/?

Ошибка: имя компьютера Windows не может иметь длину более 15 символов, быть полностью числовым или содержать следующие символы ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.

Bicep

Шаблон Bicep создает имя поля перехода программным способом с помощью значения префикса, предоставленного шаблону. Чтобы убедиться, что имя не превышает 15 символов или содержит недопустимые символы, используйте префикс, который имеет пять или меньше символов и не использует символы ~, !@#$%^&*()=+_[]{}\|;:.'",<>/?

Terraform

Шаблон Terraform передает имя поля перехода с помощью dsvm_name параметра. Чтобы избежать ошибки, используйте имя, которое равно 15 символам или меньше, а не использует символы~, !@#$%^&*()=+_[]{}\|;:.'",<>/?

Связанный контент

Чтобы продолжить работу с Машинное обучение Azure, см. краткое руководство. Начало работы с Машинное обучение Azure.

Дополнительные сведения о стандартных конфигурациях защищенных рабочих областей и требованиях к входным и выходным данным см. в статье Поток трафика защищенной рабочей области Машинного обучения Azure.