Självstudie: Så här skapar du en säker arbetsyta med ett hanterat virtuellt nätverk

I den här artikeln får du lära dig hur du skapar och ansluter till en säker Azure Machine Learning-arbetsyta. Stegen i den här artikeln använder ett hanterat virtuellt Azure Machine Learning-nätverk för att skapa en säkerhetsgräns för resurser som används av Azure Machine Learning.

I den här självstudien utför du följande uppgifter:

  • Skapa en Azure Machine Learning-arbetsyta som konfigurerats för att använda ett hanterat virtuellt nätverk.
  • Skapa ett Azure Machine Learning-beräkningskluster. Ett beräkningskluster används när du tränar maskininlärningsmodeller i molnet.

När du har slutfört den här självstudien har du följande arkitektur:

  • En Azure Machine Learning-arbetsyta som använder en privat slutpunkt för att kommunicera med det hanterade nätverket.
  • Ett Azure Storage-konto som använder privata slutpunkter för att tillåta lagringstjänster som blob och fil att kommunicera med det hanterade nätverket.
  • En Azure Container Registry som använder en privat slutpunkt som kommunicerar med det hanterade nätverket.
  • En Azure-Key Vault som använder en privat slutpunkt för att kommunicera med det hanterade nätverket.
  • En Azure Machine Learning-beräkningsinstans och ett beräkningskluster som skyddas av det hanterade nätverket.

Förutsättningar

Skapa en hoppruta (VM)

Det finns flera sätt att ansluta till den skyddade arbetsytan. I den här självstudien används en hoppruta . En hoppruta är en virtuell dator i en Azure-Virtual Network. Du kan ansluta till den med hjälp av webbläsaren och Azure Bastion.

I följande tabell visas flera andra sätt att ansluta till den säkra arbetsytan:

Metod Beskrivning
Azure VPN-gateway Ansluter lokala nätverk till en Azure-Virtual Network över en privat anslutning. En privat slutpunkt för arbetsytan skapas i det virtuella nätverket. Anslutningen görs via det offentliga Internet.
ExpressRoute Ansluter lokala nätverk till molnet över en privat anslutning. Anslutningen upprättas med hjälp av en anslutningsleverantör.

Viktigt

När du använder en VPN-gateway eller ExpressRoute måste du planera hur namnmatchning fungerar mellan dina lokala resurser och dem i molnet. Mer information finns i Använda en anpassad DNS-server.

Använd följande steg för att skapa en virtuell Azure-dator som ska användas som en hoppruta. Från det virtuella datorskrivbordet kan du sedan använda webbläsaren på den virtuella datorn för att ansluta till resurser i det hanterade virtuella nätverket, till exempel Azure Machine Learning-studio. Eller så kan du installera utvecklingsverktyg på den virtuella datorn.

Tips

Följande steg skapar en Windows 11 virtuell företagsdator. Beroende på dina krav kanske du vill välja en annan VM-avbildning. Företagsavbildningen Windows 11 (eller 10) är användbar om du behöver ansluta den virtuella datorn till organisationens domän.

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Virtuell dator. Välj posten Virtuell dator och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som tjänsten ska skapas i. Ange värden för följande fält:

    • Namn på virtuell dator: Ett unikt namn för den virtuella datorn.

    • Användarnamn: Det användarnamn som du använder för att logga in på den virtuella datorn.

    • Lösenord: Lösenordet för användarnamnet.

    • Säkerhetstyp: Standard.

    • Bild: Windows 11 Enterprise.

      Tips

      Om Windows 11 Enterprise inte finns med i listan för bildval använder du Visa alla bilder_. Leta upp posten Windows 11 från Microsoft och använd listrutan Välj för att välja företagsavbildningen.

    Du kan lämna andra fält med standardvärdena.

    Skärmbild av den virtuella datorns grundläggande konfiguration.

  3. Välj Nätverk. Granska nätverksinformationen och kontrollera att den inte använder IP-adressintervallet 172.17.0.0/16. Om det är det väljer du ett annat intervall, till exempel 172.16.0.0/16. intervallet 172.17.0.0/16 kan orsaka konflikter med Docker.

    Anteckning

    Den virtuella Azure-datorn skapar en egen Azure-Virtual Network för nätverksisolering. Det här nätverket är separat från det hanterade virtuella nätverk som används av Azure Machine Learning.

    Skärmbild av fliken Nätverk för den virtuella datorn.

  4. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

Aktivera Azure Bastion för den virtuella datorn

Med Azure Bastion kan du ansluta till det virtuella datorskrivbordet via webbläsaren.

  1. I Azure Portal väljer du den virtuella dator som du skapade tidigare. I avsnittet Åtgärder på sidan väljer du Bastion och sedan Distribuera Bastion.

    Skärmbild av alternativet distribuera Bastion.

  2. När Bastion-tjänsten har distribuerats visas en anslutningssida. Lämna den här dialogrutan tills vidare.

Skapa en arbetsyta

  1. I Azure Portal väljer du portalmenyn i det övre vänstra hörnet. På menyn väljer du + Skapa en resurs och anger sedan Azure Machine Learning. Välj posten Azure Machine Learning och välj sedan Skapa.

  2. På fliken Grundläggande väljer du den prenumeration, resursgrupp och region som tjänsten ska skapas i. Ange ett unikt namn för arbetsytans namn. Lämna standardvärdena för resten av fälten. nya instanser av de nödvändiga tjänsterna skapas för arbetsytan.

    Skärmbild av formuläret för att skapa arbetsytan.

  3. På fliken Nätverk väljer du Privat med Utgående Internet.

    Skärmbild av fliken för arbetsytans nätverk med utgående internet valt.

  4. Välj + Lägg tilli avsnittet Inkommande åtkomst för arbetsyta på fliken Nätverk.

    Skärmbild som visar knappen Lägg till för inkommande åtkomst.

  5. I formuläret Skapa privat slutpunkt anger du ett unikt värde i fältet Namn . Välj det virtuella nätverk som skapades tidigare med den virtuella datorn och välj standardundernätet. Lämna standardvärdena för resten av fälten. Välj OK för att spara slutpunkten.

    Skärmbild av formuläret skapa privat slutpunkt.

  6. Välj Granska + skapa. Kontrollera att informationen är korrekt och välj sedan Skapa.

  7. När arbetsytan har skapats väljer du Gå till resurs.

Ansluta till det virtuella datorskrivbordet

  1. I Azure Portal väljer du den virtuella dator som du skapade tidigare.

  2. I avsnittet Anslut väljer du Bastion. Ange det användarnamn och lösenord som du konfigurerade för den virtuella datorn och välj sedan Anslut.

    Skärmbild av bastionanslutningsformuläret.

Ansluta till studio

Nu har arbetsytan skapats, men det hanterade virtuella nätverket har inte gjort det. Det hanterade virtuella nätverket konfigureras när du skapar arbetsytan, men det skapas inte förrän du skapar den första beräkningsresursen eller etablerar den manuellt.

Använd följande steg för att skapa en beräkningsinstans.

  1. Från det virtuella datorskrivbordet använder du webbläsaren för att öppna Azure Machine Learning-studio och välja den arbetsyta som du skapade tidigare.

  2. Från studio väljer du Beräkning, Beräkningsinstanser och sedan + Ny.

    Skärmbild av det nya beräkningsalternativet i studio.

  3. I dialogrutan Konfigurera nödvändiga inställningar anger du ett unikt värde som beräkningsnamn. Låt resten av valen vara kvar som standardvärde.

  4. Välj Skapa. Det tar några minuter att skapa beräkningsinstansen. Beräkningsinstansen skapas i det hanterade nätverket.

    Tips

    Det kan ta flera minuter att skapa den första beräkningsresursen. Den här fördröjningen beror på att det hanterade virtuella nätverket också skapas. Det hanterade virtuella nätverket skapas inte förrän den första beräkningsresursen har skapats. Efterföljande hanterade beräkningsresurser skapas mycket snabbare.

Aktivera studioåtkomst till lagring

Eftersom Azure Machine Learning-studio delvis körs i webbläsaren på klienten måste klienten kunna komma åt standardlagringskontot direkt för att arbetsytan ska kunna utföra dataåtgärder. Använd följande steg för att aktivera detta:

  1. I Azure Portal väljer du den virtuella jump box-dator som du skapade tidigare. I avsnittet Översikt kopierar du den offentliga IP-adressen.

  2. I Azure Portal väljer du den arbetsyta som du skapade tidigare. I avsnittet Översikt väljer du länken för posten Lagring .

  3. Från lagringskontot väljer du Nätverk och lägger till hopprutans offentliga IP-adress i avsnittet Brandvägg .

    Tips

    I ett scenario där du använder en VPN-gateway eller ExpressRoute i stället för en hoppruta kan du lägga till en privat slutpunkt eller tjänstslutpunkt för lagringskontot till Azure Virtual Network. Om du använder en privat slutpunkt eller tjänstslutpunkt kan flera klienter som ansluter via Azure Virtual Network utföra lagringsåtgärder via studio.

    Nu kan du använda studion för att interaktivt arbeta med notebook-filer på beräkningsinstansen och köra träningsjobb. En självstudiekurs finns i Självstudie: Modellutveckling.

Stoppa beräkningsinstans

Medan den körs (startad) fortsätter beräkningsinstansen att debitera din prenumeration. Stoppa den när den inte används för att undvika överkostnader.

Från studio väljer du Beräkning, Beräkningsinstanser och sedan beräkningsinstansen. Välj slutligen Stoppa överst på sidan.

Skärmbild av stoppknappen för beräkningsinstansen

Rensa resurser

Om du planerar att fortsätta använda den skyddade arbetsytan och andra resurser hoppar du över det här avsnittet.

Om du vill ta bort alla resurser som skapats i den här självstudien använder du följande steg:

  1. I Azure Portal väljer du Resursgrupper.

  2. I listan väljer du den resursgrupp som du skapade i den här självstudien.

  3. Välj Ta bort resursgrupp.

    Skärmbild av knappen Ta bort resursgrupp

  4. Ange resursgruppens namn och välj sedan Ta bort.

Nästa steg

Nu när du har skapat en säker arbetsyta och har åtkomst till studio kan du lära dig hur du distribuerar en modell till en onlineslutpunkt med nätverksisolering.

Mer information om det hanterade virtuella nätverket finns i Skydda din arbetsyta med ett hanterat virtuellt nätverk.