Öğretici: Şablon kullanarak güvenli çalışma alanı oluşturma

Şablonlar, yeniden üretilebilir hizmet dağıtımları oluşturmak için kullanışlı bir yol sağlar. Şablon, şablonu kullanırken sağladığınız bazı bilgilerle ne oluşturulacağını tanımlar. Örneğin, Azure Machine Learning çalışma alanı için benzersiz bir ad belirtirsiniz.

Bu öğreticide, microsoft bicep veya Hashicorp Terraform şablonunu kullanarak arkasında aşağıdaki Azure kaynaklarının güvenli olduğu bir Azure sanal ağı oluşturmayı öğreneceksiniz.

• Azure Machine Learning çalışma alanı
  • Azure Machine Learning işlem örneği
  • Azure Machine Learning işlem kümesi
• Azure Depolama Hesabı
• Azure Key Vault
• Azure Application Insights
• Azure Container Registry
• Azure Bastion konağı
• Azure Machine Learning Veri Bilimi Sanal Makinesi (DSVM)

Bicep şablonu ayrıca bir Azure Kubernetes Service (AKS) kümesi ve AKS kümesi için ayrı bir kaynak grubu oluşturur.

İpucu

Bu makaledeki adımlar yerine Azure Machine Learning tarafından yönetilen sanal ağları kullanabilirsiniz. Yönetilen bir sanal ağ ile Azure Machine Learning, çalışma alanınız ve yönetilen işlemleriniz için ağ yalıtımı işini işler. Ayrıca, çalışma alanının ihtiyaç duyduğu kaynaklar için Azure Depolama Hesabı gibi özel uç noktalar da ekleyebilirsiniz. Daha fazla bilgi için bkz. Çalışma alanı yönetilen ağ izolasyonu.

Bicep veya Terraform bilgilerini görüntülemek için aşağıdaki bölümlerdeKi Bicep veya Terraform sekmelerini seçin.

Önkoşullar

• Azure Machine Learning'in ücretsiz veya ücretli sürümüne sahip bir Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• Git, şablon deposunu kopyalamak için geliştirme ortamınıza yüklendi. Komutunuz yoksa Git'i git adresinden https://git-scm.com/yükleyebilirsiniz.

• Azure CLI veya Azure PowerShell komut satırı.

Bicep

• Azure CLI veya Azure PowerShell Bicep komut satırı araçları, Bicep geliştirme ve dağıtım ortamlarını ayarlama'ya göre yüklenir.

• Bicep şablonunu içeren GitHub deposu Azure Machine Learning uçtan uca güvenli kurulum, yerel olarak kopyalandı ve aşağıdaki komutları çalıştırarak konumuna geçti:

  git clone https://github.com/Azure/azure-quickstart-templates
  cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
  

Terraform

• Terraform aşağıdaki makalelerden birinde yer alan adımları kullanarak Azure aboneliğinizde yüklü, yapılandırılmış ve kimliği doğrulanmış:

  • Azure Cloud Shell
  • Bash ile Windows
  • Azure PowerShell ile Windows

• Terraform şablonu Azure Machine Learning çalışma alanını (orta düzeyde güvenli ağ kurulumu) içeren GitHub deposu yerel olarak kopyalanmış ve aşağıdaki komutları çalıştırarak konumuna geçmiştir:

  git clone https://github.com/Azure/terraform
  cd terraform/quickstart/201-machine-learning-moderately-secure
  

Şablon biçimini anlama

Bicep

Bicep şablonu main.bicep ve modüller alt dizinindeki diğer *.bicep dosyalarından oluşur. Aşağıdaki tabloda her dosyanın nelerden sorumlu olduğu açıklanmaktadır:

Dosya	Açıklama
main.bicep	Parametreleri ve değişkenleri modüller alt dizinindeki diğer modüllere geçirir.
vnet.bicep	Azure sanal ağını ve alt ağlarını tanımlar.
nsg.bicep	Sanal ağ için ağ güvenlik grubu kurallarını tanımlar.
bastion.bicep	Azure Bastion ana bilgisayarını ve alt ağı tanımlar. Azure Bastion, web tarayıcınızı kullanarak sanal ağın içindeki bir sanal makineye (VM) kolayca erişmenizi sağlar.
dsvmjumpbox.bicep	DSVM'yi tanımlar. Azure Bastion, bu VM'ye web tarayıcınızdan erişmek için kullanılır.
storage.bicep	Çalışma alanı tarafından varsayılan depolama için kullanılan Azure Depolama hesabını tanımlar.
keyvault.bicep	Çalışma alanı tarafından kullanılan Azure Key Vault'unu tanımlar.
containerregistry.bicep	Çalışma alanı tarafından kullanılan Azure Container Registry'yi tanımlar.
applicationinsights.bicep	Çalışma alanı tarafından kullanılan Azure Uygulaması lication Insights örneğini tanımlar.
machinelearningnetworking.bicep	Çalışma alanı için özel uç noktaları ve Etki Alanı Adı Sistemi (DNS) bölgelerini tanımlar.
machinelearning.bicep	Azure Machine Learning çalışma alanını tanımlar.
machinelearningcompute.bicep	Azure Machine Learning işlem kümesini ve işlem örneğini tanımlar.
privateaks.bicep	AKS kümesi örneğini tanımlar.

Önemli

Her Azure hizmetinin kendi API sürümleri kümesi vardır. Örnek şablonlar, Azure Machine Learning ve diğer kaynaklar için en son API sürümlerini kullanmayabilir. Şablonu kullanmadan önce en son API sürümlerini kullanacak şekilde değiştirmeniz gerekir.

Belirli bir hizmete yönelik API hakkında bilgi için Azure REST API başvurusundaki hizmet bilgilerini gözden geçirin. En son Azure Machine Learning API sürümü hakkında bilgi için bkz. Azure Machine Learning REST API'sine.

API sürümünü güncelleştirmek için kaynak türünün girdisini Microsoft.MachineLearningServices/<resource> bulun ve en son sürüme güncelleştirin.

Terraform

Terraform şablonu birden çok dosyadan oluşur. Aşağıdaki tabloda her dosyanın nelerden sorumlu olduğu açıklanmaktadır:

Dosya	Açıklama
variables.tf	Şablon tarafından kullanılan değişkenleri ve varsayılan değerleri tanımlar.
main.tf	Azure Resource Manager sağlayıcısını belirtir ve kaynak grubunu tanımlar.
network.tf	Azure sanal ağını, alt ağları ve ağ güvenlik gruplarını (NSG) tanımlar.
bastion.tf	Azure Bastion ana bilgisayarını ve ilişkili NSG'yi tanımlar. Azure Bastion, web tarayıcınızı kullanarak sanal ağ içindeki bir VM'ye kolayca erişmenizi sağlar.
dsvm.tf	DSVM'yi tanımlar. Azure Bastion, bu VM'ye web tarayıcınızdan erişmek için kullanılır.
workspace.tf	Azure Depolama, Key Vault, Application Insights ve Container Registry için bağımlı kaynaklar dahil olmak üzere Azure Machine Learning çalışma alanını tanımlar.
compute.tf	Azure Machine Learning işlem örneğini ve kümesini tanımlar.

İpucu

Terraform Azure sağlayıcısı, bu öğreticinin kullanmadığı daha fazla bağımsız değişkeni destekler. Örneğin ortam bağımsız değişkeni, Azure Kamu ve 21Vianet tarafından sağlanan Microsoft Azure gibi bulut bölgelerini hedeflemenizi sağlar.

Önemli

DSVM ve Azure Bastion, bu öğretici için güvenli çalışma alanına bağlanmanın kolay yollarıdır. Üretim ortamında, sanal ağın içindeki kaynaklara doğrudan şirket içi ağınızdan erişmek için Azure VPN ağ geçidi veya Azure ExpressRoute kullanmak daha iyidir.

Şablonu yapılandırma

Bicep

Bicep şablonunu dağıtmak için main.bicep dosyasının bulunduğu machine-learning-uçtan uca güvenli dizinde olduğunuzdan emin olun ve aşağıdaki komutları çalıştırın:

1. Yeni bir Azure kaynak grubu oluşturmak için aşağıdaki örnek komutu çalıştırın ve yerine <myrgname> kaynak grubu adını ve <location> kullanmak istediğiniz Azure bölgesini yazın.

   • Azure CLI:

     az group create --name <myrgname> --location <location>
     

   • Azure PowerShell:

     New-AzResourceGroup -Name <myrgname> -Location <location>
     

2. Şablonu dağıtmak için aşağıdaki komutu kullanın; öğesini oluşturduğunuz kaynak grubunun adıyla ve <pref> gerekli kaynakları oluştururken kullanılacak benzersiz bir ön ekle değiştirerek <myrgname> kullanın. değerini aşağıdaki örneklerde yer alan DSVM atlama kutusu oturum açma hesabı azureadmin için güvenli bir parolayla değiştirin<mydsvmpassword>.

   İpucu

   prefix beş veya daha az karakter olmalıdır ve tamamen sayısal olamaz veya , !, , @, #, ^%(&)$*, =+, , _, , , [, ], }\{:;|, , ., ', /",<>veya ?karakterlerini ~içeremez.

   • Azure CLI:

     az deployment group create \
         --resource-group <myrgname> \
         --template-file main.bicep \
         --parameters \
         prefix=<pref> \
         dsvmJumpboxUsername=azureadmin \
         dsvmJumpboxPassword=<mydsvmpassword>
     

   • Azure PowerShell:

     $dsvmPassword = ConvertTo-SecureString "<mydsvmpassword>" -AsPlainText -Force
     New-AzResourceGroupDeployment -ResourceGroupName <myrgname> `
         -TemplateFile ./main.bicep `
         -prefix "<pref>" `
         -dsvmJumpboxUsername "azureadmin" `
         -dsvmJumpboxPassword $dsvmPassword
     

     Uyarı

     Betiklerde veya komut satırında düz metin dizeleri kullanmaktan kaçınmanız gerekir. Düz metin olay günlüklerinde ve komut geçmişinde görünebilir. Daha fazla bilgi için bkz . ConvertTo-SecureString.

Terraform

Terraform şablonunu dağıtmak için, şablon dosyalarının bulunduğu 201-machine-learning-moderately-secure dizininde olduğunuzdan emin olun ve aşağıdaki komutları çalıştırın.

1. Terraform ile çalışmak üzere dizini başlatmak için aşağıdaki komutu kullanın:

   terraform init
   

2. Yapılandırma oluşturmak için aşağıdaki komutu kullanın. Şablonun -var kullandığı değişkenlerin değerlerini ayarlamak için parametrelerini kullanın. Değişkenlerin tam listesi için variables.tf dosyasına bakın.

   terraform plan \
       -var name=myworkspace \
       -var environment=dev \
       -var location=westus \
       -var dsvm_name=jumpbox \
       -var dsvm_host_password=secure_password \
       -out azureml.tfplan
   

   Bu komut tamamlandıktan sonra yapılandırma terminalde görüntülenir. Yeniden görüntülemek için komutunu kullanın terraform show azureml.tfplan .

3. Şablonu dağıtmak ve kaydedilmiş yapılandırmayı Azure aboneliğinize uygulamak için aşağıdaki komutu kullanın:

   terraform apply azureml.tfplan
   

   İlerleme, şablon işlenirken görüntülenir.

Önemli

DSVM ve tüm işlem kaynakları çalıştırdıkları her saat için faturalandırılır. Fazla ücretlerden kaçınmak için, kullanımda olmayan bu kaynakları durdurmanız gerekir. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

• VM'leri (Linux) oluşturma/yönetme.
• VM'leri oluşturma/yönetme (Windows).
• İşlem örneği oluşturma.

Çalışma alanına bağlanma

Dağıtım tamamlandıktan sonra DSVM'ye bağlanmak için aşağıdaki adımları kullanın:

1. Azure portalından şablonla birlikte kullandığınız Azure kaynak grubunu seçin. Ardından, şablonun oluşturduğu DSVM'yi seçin. Bunu bulma konusunda sorun yaşıyorsanız, Sanal makineye türü filtrelemek için filtreler bölümünü kullanın.

   

2. DSVM Genel Bakış sayfasında Bağlan'ı ve ardından açılan listeden Bastion aracılığıyla bağlan'ı seçin.

   

3. İstendiğinde, şablonu yapılandırırken belirttiğiniz Kullanıcı adı ve VM parolasını girin ve bağlan'ı seçin.

   Önemli

   DSVM masaüstüne ilk kez bağlandığınızda bir PowerShell penceresi açılır ve bir betik çalıştırılır. Sonraki adıma devam etmeden önce betiğin tamamlanmasına izin verin.

4. DSVM masaüstünden Microsoft Edge'i başlatın ve adres olarak girinhttps://ml.azure.com. Azure aboneliğinizde oturum açın ve şablonun oluşturduğu çalışma alanını seçin. Çalışma alanınızın stüdyosu görüntülenir.

Sorun giderme

DSVM atlama kutusunun adı 15 karakterden büyükse veya şu karakterlerden birini içeriyorsa aşağıdaki hata oluşabilir: ~, !, @, #, $, , <)(*=&^%+_|\;}:{.'][,>"/veya .?

Hata: Windows bilgisayar adı 15 karakterden uzun olamaz, tamamen sayısal olamaz veya ~ ! ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , <> / ?.

Bicep

Bicep şablonu, şablona sağlanan ön ek değerini kullanarak atlama kutusu adını program aracılığıyla oluşturur. Adın 15 karakteri aşmadığından veya geçersiz karakter içermediğinden emin olmak için, beş veya daha az karakter içeren ve , , , , , , $, >[_+]=)({*&}^|:.;'\",?/<%veya karakterlerini ~kullanmayan bir ön ek kullanın. #@!

Terraform

Terraform şablonu, parametresini kullanarak dsvm_name atlama kutusu adını geçirir. Hatadan kaçınmak için 15 karakter veya daha az olan ve , , , , #, , $, , %, ^&, {([_=+)\|}*];, ",'/.?<>:veya karakterlerini ~kullanmayan bir ad kullanın. @!

İlgili içerik

Azure Machine Learning'i kullanmaya devam etmek için bkz . Hızlı Başlangıç: Azure Machine Learning'i kullanmaya başlama.

Yaygın güvenli çalışma alanı yapılandırmaları ve giriş/çıkış gereksinimleri hakkında daha fazla bilgi edinmek için bkz . Azure Machine Learning güvenli çalışma alanı trafik akışı.