Руководство. Создание безопасной рабочей области с помощью шаблона
Шаблоны обеспечивают удобный способ создания воспроизводимых развертываний служб. Шаблон определяет, что нужно создать, с некоторыми сведениями, предоставляемыми при использовании шаблона. Например, вы указываете уникальное имя для рабочей области Машинное обучение Azure.
В этом руководстве вы узнаете, как использовать шаблон Microsoft Bicep или Hashicorp Terraform для создания виртуальной сети Azure со следующими ресурсами Azure, защищенными за ним.
- Рабочая область Машинное обучение Azure
- Вычислительная операция Машинного обучения Azure
- Вычислительный кластер Машинного обучения Azure
- Учетная запись хранения Azure
- Azure Key Vault
- Azure Application Insights
- Реестр контейнеров Azure
- Узел Бастиона Azure
- Машинное обучение Azure Виртуальная машина для обработки и анализа данных (DSVM)
Шаблон Bicep также создает кластер Служба Azure Kubernetes (AKS) и отдельную группу ресурсов для кластера AKS.
Совет
Вместо действий, описанных в этой статье, можно использовать Машинное обучение Azure управляемых виртуальных сетей. С помощью управляемой виртуальной сети Машинное обучение Azure обрабатывает задание сетевой изоляции для рабочей области и управляемых вычислений. Вы также можете добавить частные конечные точки для ресурсов, необходимых рабочей области, например служба хранилища Azure account. Дополнительные сведения см. в изоляция управляемой сети рабочей области.
Чтобы просмотреть сведения Bicep или Terraform, выберите вкладки Bicep или Terraform в следующих разделах.
Необходимые компоненты
Подписка Azure с бесплатной или платной версией Машинное обучение Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Git, установленный в среде разработки, чтобы клонировать репозиторий шаблонов. Если у вас нет
git
команды, вы можете установить Git из https://git-scm.com/.Командная строка Azure CLI или Azure PowerShell.
Средства командной строки Azure CLI или Azure PowerShell Bicep, установленные в соответствии с настройкой сред разработки и развертывания Bicep.
Репозиторий GitHub, содержащий шаблон Bicep, Машинное обучение Azure сквозную безопасную настройку, клонированную локально и переключился на нее, выполнив следующие команды:
git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Общие сведения о шаблоне
Шаблон Bicep состоит из файлов main.bicep и других файлов *.bicep в подкаталоге модулей. В следующей таблице описывается, что за каждый файл отвечает.
Файл | Description |
---|---|
main.bicep | Передает параметры и переменные другим модулям в подкаталоге модулей . |
vnet.bicep | Определяет виртуальную сеть и подсети Azure. |
nsg.bicep | Определяет правила группы безопасности сети для виртуальной сети. |
bastion.bicep | Определяет узел и подсеть Бастиона Azure. Бастион Azure позволяет легко получить доступ к виртуальной машине в виртуальной сети с помощью веб-браузера. |
dsvmjumpbox.bicep | Определяет DSVM. Бастион Azure используется для доступа к этой виртуальной машине через веб-браузер. |
storage.bicep | Определяет учетную запись службы хранилища Azure, которая используется рабочей областью как хранилище по умолчанию. |
keyvault.bicep | Определяет хранилище Azure Key Vault, которое используется рабочей областью. |
containerregistry.bicep | Определяет Реестр контейнеров Azure, который используется рабочей областью. |
applicationinsights.bicep | Определяет экземпляр Application Insights Azure, который используется рабочей областью. |
machinelearningnetworking.bicep | Определяет частные конечные точки и зоны системы доменных имен (DNS) для рабочей области. |
machinelearning.bicep | Определяет рабочую область Машинного обучения Azure. |
machinelearningcompute.bicep | Определяет вычислительный кластер и вычислительный экземпляр Машинного обучения Azure. |
privateaks.bicep | Определяет экземпляр кластера AKS. |
Внимание
Каждая служба Azure имеет собственный набор версий API. Примеры шаблонов могут не использовать последние версии API для Машинное обучение Azure и других ресурсов. Перед использованием шаблона необходимо изменить его, чтобы использовать последние версии API.
Дополнительные сведения об API для конкретной службы см. в справочнике по REST API Azure. Сведения о последней версии API Машинное обучение Azure см. в Машинное обучение Azure REST API.
Чтобы обновить версию API, найдите Microsoft.MachineLearningServices/<resource>
запись для типа ресурса и обновите ее до последней версии.
Внимание
DSVM и Бастион Azure — это простые способы подключения к защищенной рабочей области для этого руководства. В рабочей среде лучше использовать VPN-шлюз Azure или Azure ExpressRoute для доступа к ресурсам в виртуальной сети непосредственно из локальной сети.
Настройка шаблона
Чтобы развернуть шаблон Bicep, убедитесь, что вы находитесь в защищенном каталоге машинного обучения , где находится файл main.bicep , и выполните следующие команды:
Чтобы создать новую группу ресурсов Azure, выполните следующую команду, заменив
<myrgname>
имя группы ресурсов и<location>
регион Azure, который вы хотите использовать.Azure CLI:
az group create --name <myrgname> --location <location>
Azure PowerShell:
New-AzResourceGroup -Name <myrgname> -Location <location>
Чтобы развернуть шаблон, используйте следующую команду, заменив
<myrgname>
имя созданной группы ресурсов и<pref>
уникальным префиксом, используемым при создании необходимых ресурсов. Замените<mydsvmpassword>
защищенным паролем для учетной записи входа в систему dsVM, которая приведенаazureadmin
в следующих примерах.Совет
prefix
Должно быть пять или меньше символов и не может быть полностью числовым или содержать символы,<
&
{
]
}
[
_
+
\
=
)
(
|
*
^
;
"
'
,
.
>
/
!
#
?
@
$
%
:
~
Azure CLI:
az deployment group create \ --resource-group <myrgname> \ --template-file main.bicep \ --parameters \ prefix=<pref> \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=<mydsvmpassword>
Azure PowerShell:
$dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force New-AzResourceGroupDeployment -ResourceGroupName <myrgname> ` -TemplateFile ./main.bicep ` -prefix "<pref>" ` -dsvmJumpboxUsername "azureadmin" ` -dsvmJumpboxPassword $dsvmPassword
Предупреждение
Следует избегать использования строк обычного текста в скриптах или из командной строки. Обычный текст может отображаться в журналах событий и журналах команд. Дополнительные сведения см. в статье ConvertTo-SecureString.
Внимание
DSVM и все вычислительные ресурсы выставляются за каждый час их выполнения. Чтобы избежать превышения расходов, следует остановить эти ресурсы, если они не используются. Дополнительные сведения см. в следующих статьях:
Подключение к рабочей области
После завершения развертывания выполните следующие действия, чтобы подключиться к DSVM:
В портал Azure выберите группу ресурсов Azure, используемую с шаблоном. Затем выберите dsVM, созданный шаблоном. Если вы не можете найти ее, используйте раздел фильтров. Укажите для фильтра Тип значение виртуальная машина.
На странице обзора DSVM выберите "Подключиться" и выберите "Подключиться через бастион" из раскрывающегося списка.
При появлении запроса укажите имя пользователя и пароль виртуальной машины, указанные при настройке шаблона, а затем нажмите кнопку "Подключить".
Внимание
При первом подключении к рабочему столу DSVM откроется окно PowerShell и запускает скрипт. Разрешите скрипту завершить работу перед продолжением следующего шага.
На рабочем столе DSVM запустите Microsoft Edge и введите адрес https://ml.azure.com. Войдите в подписку Azure и выберите рабочую область, созданную шаблоном. Откроется студия для рабочей области.
Устранение неполадок
Следующая ошибка может возникать, если имя поля прыжка DSVM больше 15 символов или включает один из следующих символов: ~
, !
@
#
$
%
^
&
*
(
)
=
+
_
[
]
{
}
\
|
;
:
.
'
"
,
<
>
/
?
Ошибка: имя компьютера Windows не может иметь длину более 15 символов, быть полностью числовым или содержать следующие символы ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.
Шаблон Bicep создает имя поля перехода программным способом с помощью значения префикса, предоставленного шаблону. Чтобы убедиться, что имя не превышает 15 символов или содержит недопустимые символы, используйте префикс, который имеет пять или меньше символов и не использует символы ~
, !
@
#
$
%
^
&
*
(
)
=
+
_
[
]
{
}
\
|
;
:
.
'
"
,
<
>
/
?
Связанный контент
Чтобы продолжить работу с Машинное обучение Azure, см. краткое руководство. Начало работы с Машинное обучение Azure.
Дополнительные сведения о стандартных конфигурациях защищенных рабочих областей и требованиях к входным и выходным данным см. в статье Поток трафика защищенной рабочей области Машинного обучения Azure.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по