Поделиться через

Руководство: Как создать безопасную рабочую область с помощью виртуальной сети Azure

Из этой статьи вы узнаете, как создать защищенную рабочую область Машинного обучения Azure и подключиться к ней. Действия, описанные в этой статье, используют виртуальную сеть Azure для создания границы безопасности вокруг ресурсов, используемых машинным обучением Azure.

Внимание

Используйте управляемую виртуальную сеть Машинного обучения Azure вместо виртуальной сети Azure. Версия этого руководства, использующая управляемую виртуальную сеть, см. в руководстве по созданию безопасной рабочей области с управляемой виртуальной сетью.

В этом руководстве вы выполните следующие задачи:

  • Создайте виртуальную сеть Azure для защиты обмена данными между службами в виртуальной сети.
  • Создайте учетную запись хранилища Azure (объект BLOB и файл) внутри виртуальной сети. Используйте эту службу в качестве хранилища по умолчанию для рабочей области.
  • Создайте хранилище Azure Key Vault за виртуальной сетью. Эта служба используется для хранения секретов, используемых рабочей областью, таких как сведения о безопасности, необходимые для доступа к учетной записи хранения.
  • Создание реестра контейнеров Azure (ACR). Используйте эту службу в качестве репозитория для образов Docker. Образы Docker предоставляют вычислительные среды, необходимые при обучении модели машинного обучения или развертывании обученной модели в качестве конечной точки.
  • Создайте рабочую область Машинного обучения Azure.
  • Создать окно перехода. Джамп-бокс — это виртуальная машина Azure, которая находится за VNet. Так как виртуальная сеть ограничивает доступ из общедоступного Интернета, используйте поле перехода для подключения к ресурсам за виртуальной сетью.
  • Настройте Azure Machine Learning Studio для работы внутри виртуальной сети. Студия предоставляет веб-интерфейс для Машинного обучения Azure.
  • создадите вычислительный кластер Машинного обучения Azure; Используйте вычислительный кластер при обучении моделей машинного обучения в облаке. В конфигурациях, где реестр контейнеров Azure находится за виртуальной сетью, он также создает образы Docker.
  • Подключитесь к прыжковой машине и используйте студию машинного обучения Azure.

Подсказка

Шаблон, демонстрирующий создание безопасной рабочей области, см. в шаблоне Bicep или шаблоне Terraform.

После завершения работы с этим руководством у вас есть следующая архитектура:

  • Azure виртуальная сеть, которая содержит три подсети:
    • Учебный курс. Содержит рабочую область Машинное обучение Azure, службы зависимостей и ресурсы, используемые для моделей обучения.
    • Оценка. Для действий, описанных в этом руководстве, он не используется. Однако если вы продолжаете использовать эту рабочую область для других учебных материалов, используйте эту подсеть при развертывании моделей на конечных узлах.
    • AzureBastionSubnet: используется службой Azure Bastion для безопасного подключения клиентов к виртуальным машинам Azure.
  • Рабочая область Машинного обучения Azure, использующая частную конечную точку для обмена данными с помощью виртуальной сети.
  • Учетная запись хранения Azure, использующая частные конечные точки, чтобы службы хранения, такие как объект Blob и файл, взаимодействовали через виртуальную сеть.
  • Реестр контейнеров Azure, использующий частную конечную точку для обмена данными с помощью виртуальной сети.
  • Бастион Azure, который вы используете для безопасного взаимодействия с переходной виртуальной машиной в виртуальной сети через ваш браузер.
  • Виртуальная машина Azure, к которым можно удаленно подключаться и получать доступ к ресурсам, защищенным в виртуальной сети.
  • Экземпляр вычислений и кластер вычислений в Azure Machine Learning.

Подсказка

Служба Azure Batch, указанная на диаграмме, является вспомогательной службой, необходимой для вычислительных кластеров и экземпляров.

Схема окончательной архитектуры, созданной с помощью этого руководства.

Предварительные условия

  • Знакомство с виртуальными сетями Azure и работа с IP-сетями. Если вы не знакомы, попробуйте ознакомиться с основами сетевого модуля компьютера .
  • Хотя для большинства действий в этой статье используются портал Azure или Студия машинного обучения Azure, на некоторых шагах используется расширение Azure CLI для Машинного обучения, версия 2.

Создание виртуальной сети

Чтобы создать виртуальную сеть, выполните следующие действия:

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс, а затем введите Виртуальная сеть в поле поиска. Выберите запись Виртуальная сеть и нажмите Создать.

    Снимок экрана: форма поиска ресурсов с выбранной виртуальной сетью.

    Снимок экрана: форма создания виртуальной сети.

  2. На вкладке основных сведений выберите подписку Azure для данного ресурса, а затем выберите или создайте новую группу ресурсов. В разделе сведений об экземпляре введите понятное имя вашей виртуальной сети и выберите регион для ее создания.

    Снимок экрана: базовая форма конфигурации виртуальной сети.

  3. Выберите Безопасность. Выберите, чтобы включить Azure Bastion. Azure Bastion предоставляет безопасный способ доступа к переходному серверу виртуальной машины, создаваемому в виртуальной сети на следующем шаге. Используйте для остальных полей следующие значения:

    • Имя бастиона: уникальное имя для этого экземпляра бастиона.
    • Общедоступный IP-адрес: создайте общедоступный IP-адрес.

    Оставьте в остальных полях значения по умолчанию.

    Снимок экрана: конфигурация Бастиона.

  4. Выберите IP-адреса. Параметры по умолчанию должны быть похожи на следующее изображение:

    Снимок экрана: форма IP-адреса по умолчанию.

    Выполните указанные ниже действия, чтобы настроить IP-адрес и подсеть для ресурсов обучения и оценки.

    Подсказка

    Хотя вы можете использовать одну подсеть для всех ресурсов машинного обучения Azure, в этой статье показано, как создать две подсети для разделения ресурсов обучения и оценки.

    Рабочая область и зависимые службы попадают в учебную подсеть. Их смогут использовать ресурсы в других подсетях, например, подсети для оценки.

    1. Посмотрите на значение по умолчанию в поле Диапазон IPv4-адресов. На снимке экрана это значение равно 172.16.0.0/16. Значение может отличаться для вас. Хотя можно указать другое значение, остальные действия в этом руководстве будут использовать значение 172.16.0.0/16.

      Предупреждение

      Не используйте диапазон IP-адресов 172.17.0.0/16 для виртуальной сети. Этот диапазон — это диапазон подсети по умолчанию, используемый сетью моста Docker, и он приводит к ошибкам, если он используется для виртуальной сети. Другие диапазоны также могут конфликтовать в зависимости от того, что требуется подключить к виртуальной сети. Например, если вы планируете подключить локальную сеть к виртуальной сети, а локальная сеть также использует диапазон 172.16.0.0/16. В конечном счете необходимо спланировать сетевую инфраструктуру.

    2. Выберите подсеть по умолчанию и щелкните значок редактирования.

      Снимок экрана: выбор значка редактирования подсети по умолчанию.

    3. Измените имя подсети на Обучение. Оставьте остальные значения в параметрах по умолчанию, а затем нажмите кнопку "Сохранить ", чтобы сохранить изменения.

    4. Чтобы создать подсеть для вычислительных ресурсов, используемых для оценки моделей, выберите +Добавить подсеть и задайте диапазон имен и адресов:

      • Имя подсети: Оценка
      • Начальный адрес: 172.16.2.0
      • Размер подсети: /24 (256 адресов)

      Снимок экрана подсети оценки.

    5. Нажмите кнопку "Добавить ", чтобы добавить подсеть.

  5. Выберите Просмотреть и создать.

    Снимок экрана: кнопка проверки и создания.

  6. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

    Снимок экрана: страница проверки и создания виртуальной сети.

Создание учетной записи хранилища

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс и введите Учетная запись хранения. Выберите запись Учетная запись хранения и нажмите Создать.

  2. На вкладке основных сведений выберите подписку, группу ресурсов и регион, который до этого использовали для виртуальной сети. Введите уникальное имя учетной записи хранения и установите резервирование на локально избыточное хранилище (LRS).

    Снимок экрана: базовая конфигурация учетной записи хранения.

  3. На вкладке "Сеть" выберите "Отключить общедоступный доступ " и нажмите кнопку "Добавить частную конечную точку".

    Снимок экрана формы добавления частной сети blob.

  4. В форме создания частной конечной точки укажите следующие значения:

    • Подписка: та же подписка Azure, которая содержит предыдущие ресурсы.
    • Группа ресурсов: та же группа ресурсов Azure, которая содержит предыдущие ресурсы.
    • Расположение: тот же регион Azure, который содержит предыдущие ресурсы.
    • Имя: уникальное имя для этой частной конечной точки.
    • Целевой подресурс: blob.
    • Виртуальная сеть: созданная ранее виртуальная сеть.
    • Подсеть: обучение (172.16.0.0/24)
    • Интеграция с частной зоной DNS: да.
    • Частная зона DNS: privatelink.blob.core.windows.net.

    Нажмите кнопку "Добавить ", чтобы создать частную конечную точку.

  5. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  6. После создания учетной записи хранения выберите "Перейти к ресурсу":

    Снимок экрана: кнопка

  7. В области навигации слева выберите "Сеть". Перейдите на вкладку "Подключения к частной конечной точке ", а затем выберите +Частная конечная точка:

    Примечание.

    Кроме частной конечной точки для хранилища BLOB-объектов, созданной на предыдущих шагах, необходимо также создать такую точку для хранилища файлов.

    Снимок экрана формы настройки сети учетной записи хранения.

  8. В форме создания частной конечной точки используйте ту же подписку, группу ресурсов и регион , который использовался для предыдущих ресурсов. Введите уникальное имя.

    Снимок экрана основной формы при добавлении частной конечной точки файла.

  9. Выберите Далее: ресурс и задайте для параметра Целевой подресурс значение file.

    Снимок экрана формы ресурса при выборе подресурса «файл».

  10. Нажмите кнопку Далее: виртуальная сеть, а затем используйте следующие значения:

    • Виртуальная сеть: созданная ранее виртуальная сеть.
    • Подсеть: Обучение.

    Снимок экрана: форма конфигурации при добавлении частной конечной точки файла.

  11. Перейдите на вкладки, выбрав значения по умолчанию, пока не достигнете значения "Просмотр и создание". Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

Подсказка

Если вы планируете использовать пакетную конечную точку или конвейер машинного обучения Azure, использующий ParallelRunStep, необходимо также настроить частные конечные точки, которые нацелены на подресурсы очередей и таблиц. ParallelRunStep внутренне использует очередь и таблицу для планирования и отправки задач.

Создание хранилища ключей

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс и введите Хранилище ключей. Выберите запись Хранилище ключей и нажмите Создать.

  2. На вкладке основных сведений выберите подписку, группу ресурсов и регион, который до этого использовали для виртуальной сети. Введите уникальное имя хранилища ключей. Оставьте в остальных полях значения по умолчанию.

    Снимок экрана: раздел

  3. На вкладке "Сеть" удалите флажок "Включить общедоступный доступ ", а затем выберите "+ Создать частную конечную точку".

    Снимок экрана сетевой формы при добавлении частной конечной точки хранилища ключей.

  4. В форме создания частной конечной точки укажите следующие значения:

    • Подписка: та же подписка Azure, которая содержит предыдущие ресурсы.
    • Группа ресурсов: та же группа ресурсов Azure, которая содержит предыдущие ресурсы.
    • Расположение: тот же регион Azure, который содержит предыдущие ресурсы.
    • Имя: уникальное имя для этой частной конечной точки.
    • Целевой подресурс: Vault.
    • Виртуальная сеть: созданная ранее виртуальная сеть.
    • Подсеть: обучение (172.16.0.0/24)
    • Включить интеграцию частного DNS: Да
    • Частная зона DNS зона: выберите группу ресурсов, содержащую виртуальную сеть и хранилище ключей.

    Нажмите кнопку "Добавить ", чтобы создать частную конечную точку.

    Снимок экрана: форма конфигурации частной конечной точки хранилища ключей.

  5. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  6. При создании хранилища ключей выберите "Перейти к ресурсу".

  7. В области навигации слева выберите "Сеть". На вкладке "Брандмауэры и виртуальные сети " установите флажок "Разрешить доверенным службам Майкрософт", чтобы обойти этот брандмауэр и нажмите кнопку "Применить".

Создание реестра контейнеров

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс и введите Реестр контейнеров. Выберите запись Реестр контейнеров и нажмите Создать.

  2. На вкладке основных сведений выберите подписку, группу ресурсов и расположение, который до этого использовали для виртуальной сети. Введите уникальное имя реестра и выберите SKUПремиум.

    Скриншот формы

  3. На вкладке Сеть выберите Частная конечная точка, а затем выберите + Добавить.

    Снимок экрана формы настройки сети при добавлении частной конечной точки реестра контейнеров.

  4. В форме создания частной конечной точки укажите следующие значения:

    • Подписка: та же подписка Azure, которая содержит предыдущие ресурсы.
    • Группа ресурсов: та же группа ресурсов Azure, которая содержит предыдущие ресурсы.
    • Расположение: тот же регион Azure, который содержит предыдущие ресурсы.
    • Имя: уникальное имя для этой частной конечной точки.
    • Целевой подресурс: registry.
    • Виртуальная сеть: созданная ранее виртуальная сеть.
    • Подсеть: обучение (172.16.0.0/24)
    • Интеграция с частной зоной DNS: да.
    • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть и реестр контейнеров.

    Нажмите кнопку "Добавить ", чтобы создать частную конечную точку.

    Снимок экрана: форма конфигурации для частной конечной точки реестра контейнеров.

  5. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  6. После создания реестра контейнеров выберите "Перейти к ресурсу".

    Снимок экрана: кнопка

  7. С левой стороны страницы выберите параметр Ключи доступа, а затем включите Администратор. Этот параметр необходим при использовании реестра контейнеров Azure в виртуальной сети с машинным обучением Azure.

    Снимок экрана: форма ключей доступа реестра контейнеров с включенным параметром администратора.

Создание рабочей области

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню слева выберите + Создать ресурс, а затем введите Машинное обучение. Выберите запись Машинное обучение и нажмите Создать.

    Скриншот страницы создания для Azure Machine Learning.

  2. На вкладке основных сведений выберите подписку, группу ресурсов и регион, который до этого использовали для виртуальной сети. Для других полей используйте следующие значения:

    • Имя: уникальное имя рабочей области.
    • Учетная запись хранения: выберите учетную запись хранения, которую создали ранее.
    • Хранилище ключей: выберите хранилище ключей, которое создали ранее.
    • Application Insights: оставьте значение по умолчанию.
    • Реестр контейнеров: используйте реестр контейнеров, который создали ранее.

    Снимок экрана: базовая форма конфигурации рабочей области.

  3. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом. В разделе "Входящий доступ к рабочей области" нажмите кнопку "+ Добавить".

  4. В форме создания частной конечной точки укажите следующие значения:

    • Подписка: та же подписка Azure, которая содержит предыдущие ресурсы.
    • Группа ресурсов: та же группа ресурсов Azure, которая содержит предыдущие ресурсы.
    • Расположение: тот же регион Azure, который содержит предыдущие ресурсы.
    • Имя: уникальное имя для этой частной конечной точки.
    • Целевой подресурс: amlworkspace
    • Виртуальная сеть: созданная ранее виртуальная сеть.
    • Подсеть: обучение (172.16.0.0/24)
    • Интеграция с частной зоной DNS: да.
    • Частная зона DNS: оставьте для двух частных зон DNS значения по умолчанию privatelink.api.azureml.ms и privatelink.notebooks.azure.net.

    Нажмите кнопку ОК, чтобы создать частную конечную точку.

    Снимок экрана: форма конфигурации частной сети рабочей области.

  5. На вкладке "Сеть" в разделе "Исходящий доступ к рабочей области" выберите "Использовать собственную виртуальную сеть".

  6. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  7. После создания рабочей области выберите "Перейти к ресурсу".

  8. В разделе "Параметры" слева выберите "Сеть", "Подключения к частной конечной точке" и выберите ссылку в столбце "Частная конечная точка".

    Снимок экрана подключений частной конечной точки для рабочей области.

  9. Когда появится информация о частной конечной точке, в левой части страницы выберите Конфигурация DNS. Сохраните ip-адрес и полное доменное имя (FQDN) на этой странице.

    Снимок экрана: записи IP-адреса и полное доменное имя для рабочей области.

Внимание

Прежде чем можно будет в полной мере использовать рабочую область, необходимо выполнить некоторые действия по настройке. Однако эти действия требуют подключения к рабочей области.

Включить студию

Студия машинного обучения Azure — это веб-приложение, которое используется для управления рабочей областью. Однако для использования ресурсов, защищенных в виртуальной сети, требуется дополнительная конфигурация. Используйте следующие шаги, чтобы включить студию:

  1. При использовании учетной записи хранения Azure с частной конечной точкой добавьте субъект-службу для рабочей области в качестве читателя для частных конечных точек хранилища. На портале Azure выберите свою учетную запись хранения и нажмите сеть. Затем выберите Подключения к частной конечной точке.

    Снимок экрана: подключения частной конечной точки хранилища.

  2. Для каждой из перечисленных частных конечных точек выполните следующие действия:

    1. Выберите ссылку в столбце Частная конечная точка.

      Снимок экрана: ссылки конечной точки в столбце частной конечной точки.

    2. В области слева выберите Управление доступом (IAM).

    3. Нажмите кнопку "+ Добавить", а затем выберите "Добавить назначение ролей" (предварительная версия).

      Страница

    4. На вкладке Роль выберите роль Читатель.

      Добавить страницу назначения роли с выбранной вкладкой Role.

    5. На вкладке Члены в области Назначение доступа для выберите Пользователь, группа или субъект-служба и нажмите + Выбрать участников. В диалоговом окне Выбор участников введите имя в своей рабочей области Машинного обучения Azure. Выберите субъект-службу для рабочей области, а затем нажмите кнопку Выбрать.

    6. Чтобы назначить роль, на вкладке Проверка и назначение выберите Проверка и назначение.

Обеспечение безопасности Azure Monitor и Application Insights

Примечание.

Дополнительные сведения о защите Azure Monitor и Application Insights см. в следующих статьях:

  1. В портал Azure выберите "Главная" и найдите приватную ссылку. Выберите результат Область частного соединения Azure Monitor, затем нажмите Создать.

  2. На вкладке «Основные сведения» выберите ту же подписку, группу ресурсов и регион группы ресурсов, что и в вашей рабочей области Azure Machine Learning. Введите имя экземпляра и нажмите кнопку "Проверить и создать". Чтобы создать экземпляр, нажмите кнопку "Создать".

  3. После создания экземпляра области действия приватной ссылки Azure Monitor выберите экземпляр на портале Azure. В разделе "Настройка" выберите "Ресурсы Azure Monitor", а затем нажмите кнопку "+ Добавить".

    Снимок экрана: кнопка добавления.

  4. В разделе "Выбор области" используйте фильтры для выбора экземпляра Application Insights для рабочей области Машинное обучение Azure. Нажмите кнопку "Применить" , чтобы добавить экземпляр.

  5. В разделе "Настройка" выберите подключения к частной конечной точке и выберите +Частная конечная точка.

    Снимок экрана: кнопка добавления частной конечной точки.

  6. Выберите ту же подписку, группу ресурсов и регион, где находится ваша виртуальная сеть. По завершении выберите Далее: Ресурс.

    Снимок экрана основ работы с частной конечной точкой Azure Monitor.

  7. Выберите Microsoft.insights/privateLinkScopes тип ресурса. Выберите область Private Link, созданную ранее, в качестве ресурса. Выберите azuremonitor в качестве целевого подресурса. Нажмите кнопку "Далее": виртуальная сеть , чтобы продолжить.

    Снимок экрана: ресурсы частной конечной точки Azure Monitor.

  8. Выберите созданную ранее виртуальную сеть и подсеть обучения . Нажмите «Далее» до тех пор, пока вы не попадёте на Проверка и Создание. Выберите "Создать", чтобы создать частную конечную точку.

    Снимок экрана: сеть частной конечной точки Azure Monitor.

  9. После создания частной конечной точки вернитесь к ресурсу области приватной связи Azure Monitor в портале. В разделе "Настройка" выберите режимы доступа. Выберите Только "Частный" для Режим доступа приема и Режим доступа к запросу, а затем выберите "Сохранить".

    Снимок экрана с режимами доступа в области действия приватной ссылки.

Подключение к рабочей области

Вы можете подключиться к защищенной рабочей области несколькими способами. Действия, описанные в этой статье, используют переходной узел, который является виртуальной машиной в виртуальной сети. Вы можете подключиться к нему с помощью веб-браузера и Бастиона Azure. В таблице ниже перечислены другие способы подключения к защищенной рабочей области.

Метод Описание
VPN-шлюз Azure Подключает локальные сети к виртуальной сети через частное подключение. Подключение осуществляется через общедоступный Интернет.
ExpressRoute Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.

Внимание

При использовании VPN-шлюза или ExpressRoute необходимо спланировать, как работает разрешение имен между локальными ресурсами и ресурсами в виртуальной сети. Дополнительные сведения см. в статье Использование настраиваемого DNS-сервера.

Создание поля перехода (виртуальной машины)

Чтобы создать виртуальную машину Azure для использования в качестве поля перехода, выполните следующие действия. С помощью Бастиона Azure вы можете подключиться к рабочему столу виртуальной машины через браузер. На рабочем столе виртуальной машины вы можете использовать браузер на виртуальной машине для подключения к ресурсам в виртуальной сети, например Студии машинного обучения Azure. Вы также можете установить средства разработки на виртуальной машине.

Подсказка

Ниже описано, как создать виртуальную машину Windows 11 Корпоративная. В зависимости от требований может потребоваться выбрать другой образ виртуальной машины. Корпоративный образ Windows 11 (или 10) полезен, если необходимо присоединить виртуальную машину к домену вашей организации.

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс и введите виртуальную машину. Выберите запись Виртуальная машина, а затем выберите Создать.

  2. На вкладке основных сведений выберите подписку, группу ресурсов и регион, который до этого использовали для виртуальной сети. Введите значения для следующих полей:

    • Имя виртуальной машины: уникальное имя для виртуальной машины.

    • Имя пользователя: имя пользователя, которое вы используете для входа на виртуальную машину.

    • Пароль: пароль для имени пользователя

    • Тип безопасности: стандартный

    • Изображение: Windows 11 Корпоративная версия.

      Подсказка

      Если Windows 11 Корпоративная отсутствует в списке для выбора изображений, используйте команду "Просмотреть все изображения". Найдите запись Windows 11 от Корпорации Майкрософт и используйте раскрывающийся список "Выбрать", чтобы выбрать корпоративный образ.

    Вы можете оставить в остальных полях значения по умолчанию.

    Снимок экрана: конфигурация основных компонентов виртуальной машины.

  3. Выберите Сеть и укажите созданную ранее виртуальную сеть. В остальных полях укажите следующие значения:

    • Выберите подсеть Training.
    • Для общедоступного IP-адреса выберите Нет.
    • Оставьте в остальных полях значения по умолчанию.

    Снимок экрана: конфигурация сети виртуальной машины.

  4. Выберите Просмотреть и создать. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

Подключение к полю перехода

  1. После создания виртуальной машины выберите "Перейти к ресурсу".

  2. В верхней части страницы выберите «Подключиться» и затем «Подключиться через бастион».

    Подсказка

    Бастион Azure использует порт 443 для входящего взаимодействия. Если у вас есть брандмауэр, который ограничивает исходящий трафик, убедитесь, что он разрешает трафик через порт 443 в службу Бастиона Azure. Дополнительные сведения см. в статье "Работа с группами безопасности сети и бастионом Azure".

    Скриншот списка подключений с выбранным Bastion.

  3. Введите сведения о проверке подлинности для виртуальной машины. Подключение устанавливается в браузере.

Создайте вычислительный кластер и экземпляр

Вычислительный экземпляр обеспечивает интерфейс Jupyter Notebook на общем вычислительном ресурсе, подключенном к вашей рабочей области.

  1. Через подключение Azure Bastion к прыжковому серверу откройте на удаленном рабочем столе браузер Microsoft Edge.

  2. В сеансе удаленного браузера перейдите по адресу https://ml.azure.com. При появлении запроса выполните проверку подлинности с помощью учетной записи Microsoft Entra.

  3. На экране приветствия студии выберите созданную ранее рабочую область Машинного обучения, а затем — Начало работы.

    Подсказка

    Если у вашей учетной записи Microsoft Entra есть доступ к нескольким подпискам или каталогам, используйте раскрывающийся список каталогов и подписок , чтобы выбрать тот, который содержит рабочую область.

    Снимок экрана формы выбора рабочей области для машинного обучения.

  4. В студии выберите Вычислить, компьютерные кластеры, а затем + Новый.

    Снимок экрана: страница вычислительных кластеров с выбранной новой кнопкой.

  5. В диалоговом окне "Виртуальная машина" нажмите кнопку "Далее ", чтобы принять конфигурацию виртуальной машины по умолчанию.

    Снимок экрана: конфигурация виртуальной машины вычислительного кластера.

  6. В диалоговом окне "Настройка параметров" введите имя вычисления cpu-cluster. Задайте для подсети Training и нажмите кнопку "Создать ", чтобы создать кластер.

    Подсказка

    Вычислительные кластеры динамически масштабируют узлы в кластере по мере необходимости. Оставьте минимальное количество узлов 0, чтобы сократить затраты, если кластер не используется.

    Снимок экрана: форма настройки параметров.

  7. В Студии выберите Вычисление, Вычислительный экземпляр и + Создать.

    Скриншот страницы вычислительных экземпляров с выделенной новой кнопкой.

  8. В поле "Обязательные параметры" введите уникальное имя компьютера и нажмите кнопку "Далее".

    Снимок экрана: конфигурация виртуальной машины вычислительного экземпляра.

  9. Продолжайте нажимать кнопку "Далее", пока не прибудете в диалоговое окно "Безопасность", выберите виртуальную сеть и установите подсеть для обучения. Выберите Просмотр + Создание, а затем выберите Создать.

    Снимок экрана: дополнительные параметры.

Подсказка

При создании вычислительного кластера или вычислительного экземпляра Служба "Машинное обучение Azure" динамически добавляет группу безопасности сети (NSG). Этот NSG содержит следующие правила, относящиеся к вычислительному кластеру и вычислительному экземпляру:

  • Разрешить входящий TCP-трафик через порты 29876–29877 от тега службы BatchNodeManagement.
  • Разрешить входящий TCP-трафик через порт 44224 от тега службы AzureMachineLearning.

На следующем снимке экрана приведен пример этих правил:

Снимок экрана: NSG

Дополнительные сведения о создании вычислительного кластера и вычислительного экземпляра, в том числе о том, как это сделать с помощью Python и CLI, см. в следующих статьях:

Настройка сборок образов

ПРИМЕНЯЕТСЯ К:Расширение Azure CLI ML версии 2 (текущий)

Если реестр контейнеров Azure находится за виртуальной сетью, Машинное обучение Azure не может использовать его для непосредственного создания образов Docker (применяемых для обучения и развертывания). Вместо этого настройте рабочую область для использования созданного ранее вычислительного кластера. Чтобы создать вычислительный кластер и настроить рабочую область для создания образов, выполните следующие действия:

  1. Перейдите к https://shell.azure.com/, чтобы открыть Azure Cloud Shell.

  2. В Cloud Shell с помощью следующей команды установите CLI 2.0 для службы "Машинное обучение Azure":

    az extension add -n ml

  3. Обновите рабочую область, чтобы использовать вычислительный кластер для создания образов Docker. Замените docs-ml-rg именем группы ресурсов. Замените docs-ml-ws на вашу рабочую область. Замените cpu-cluster именем вычислительного кластера:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Примечание.

    Вы можете использовать один вычислительный кластер для обучения моделей и создания образов Docker для рабочей области.

Используйте пространство для работы

Внимание

Действия, описанные в этой статье, помещают Azure Container Registry внутрь виртуальной сети. В этой конфигурации нельзя разместить модель в контейнерных экземплярах Azure внутри виртуальной сети. Не используйте службы Azure Container Instances и Azure Machine Learning в виртуальной сети. Дополнительные сведения см. в разделе "Защита среды вывода" (SDK/CLI версии 1).

В качестве альтернативы Экземплярам контейнеров Azure попробуйте использовать управляемые онлайн конечные точки машинного обучения Azure. Дополнительные сведения см. в статье Включение сетевой изоляции для управляемых подключенных конечных точек.

На этом этапе можно использовать студию для интерактивной работы с записными книжками в вычислительном экземпляре и выполнения заданий обучения в вычислительном кластере. Инструкцию по использованию вычислительного экземпляра и вычислительного кластера см. в Учебник: Машинное обучение в Azure за один день.

Остановка вычислительного экземпляра и поля перехода

Предупреждение

Пока она работает, вычислительный экземпляр и шлюз продолжают взимать плату с подписки. Чтобы избежать лишних затрат, остановите их, когда они не используются.

Вычислительный кластер динамически масштабируется между минимальным и максимальным числом узлов при его создании. Если вы принимаете значения по умолчанию, минимальное значение равно 0, что эффективно отключает кластер, если он не используется.

Остановка вычислительной операции

в студии выберите Вычисления, Кластеры вычислений, а затем выберите вычислительный экземпляр. Наконец, в верхней части страницы выберите Остановить.

Снимок экрана: кнопка остановки для вычислительного экземпляра.

Остановка поля перехода

После создания поля перехода выберите виртуальную машину на портале Azure и нажмите кнопку "Остановить ". Когда вы будете готовы снова использовать его, нажмите кнопку "Пуск ", чтобы запустить ее.

Снимок экрана кнопки выключения для виртуальной машины jump box.

Вы также можете настроить jump box для автоматического завершения работы в определенное время. Для этого выберите Автозавершение работы, затем — Включить, установите время и нажмите Сохранить.

Снимок экрана параметра автоотключения.

Очистка ресурсов

Если вы планируете использовать защищенную рабочую область и другие ресурсы, пропустите этот раздел.

Чтобы удалить все ресурсы, созданные при работе с этим руководством, сделайте следующее:

  1. На портале Azure выберите Группы ресурсов в левой части окна.

  2. Выберите из списка созданную в этом руководстве группу ресурсов.

  3. Выберите команду Удалить группу ресурсов.

    Снимок экрана: ссылка на удаленную группу ресурсов.

  4. Введите имя группы ресурсов и нажмите кнопку "Удалить".

Следующие шаги

После настройки безопасной рабочей области и студии доступа вы узнаете, как развернуть модель в сетевой конечной точке с сетевой изоляцией.

После настройки безопасной рабочей области узнайте, как развернуть модель.

  • Last updated on