教學課程：如何使用受控虛擬網路建立安全工作區

在本文中，您將了解如何建立並連線至安全的 Azure Machine Learning 工作區。 本文中的步驟會使用 Azure Machine Learning 受控虛擬網路，圍繞 Azure Machine Learning 所使用的資源建立安全性界限。

在本教學課程中，您將完成下列工作：

• 建立設定為使用受控虛擬網路的 Azure Machine Learning 工作區。
• 建立 Azure Machine Learning 計算叢集。 在雲端中定型機器學習模型時，會使用計算叢集。

完成本教學課程之後，您將擁有下列結構：

• 使用私人端點透過受控網路進行通訊的 Azure Machine Learning 工作區。
• 使用私人端點的 Azure 儲存體帳戶，允許 Blob 和檔案等儲存體服務透過受控網路進行通訊。
• 使用私人端點的 Azure Container Registry 透過受控網路進行通訊。
• 使用私人端點透過受控網路進行通訊的 Azure Key Vault。
• 由受控網路保護的 Azure Machine Learning 計算執行個體和計算叢集。

必要條件

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。 試用免費或付費版本的 Azure Machine Learning。

建立跳板機 (VM)

您可以透過數種方式連線到受保護的工作區。 本教學課程使用的是跳板機。 跳板機是 Azure 虛擬網路中的虛擬機器。 您可以使用網頁瀏覽器和 Azure Bastion 來與其連線。

下表列出您可能會連線到受保護工作區的其他數種方式：

方法	描述
Azure VPN 閘道	透過私人連線，將內部部署網路連線到 Azure 虛擬網路。 該虛擬網路內會建立您工作區的私人端點。 連線是透過公用網際網路所建立。
ExpressRoute	透過私人連線，將內部部署網路連線到雲端。 連線是透過連線提供者所建立。

重要

使用 VPN 閘道或 ExpressRoute 時，您需要規劃內部部署資源與雲端資源間的名稱解析運作方式。 如需詳細資訊，請參閱使用自訂 DNS 伺服器。

使用下列步驟來建立做為跳躍方塊使用的 Azure 虛擬機器。 透過虛擬機器桌面，您就可以使用虛擬機器的瀏覽器連線到受控虛擬網路內的資源，例如 Azure Machine Learning 工作室。 或者，您可以在虛擬機器上安裝開發工具。

提示

下列步驟會建立 Windows 11 企業版 VM。 根據您的需求，建議您選取不同的虛擬機器映像。 如果您需要將虛擬機器加入組織的網域，Windows 11 (或 10) 企業映像會很實用。

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入虛擬機器。 選取 [虛擬機器] 項目，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取要在其中建立服務的 [訂用帳戶]、[資源群組] 和 [區域]。 提供下列欄位的值︰

   • 虛擬機器名稱：VM 的唯一名稱。

   • 使用者名稱：您用來登入虛擬機器的使用者名稱。

   • 密碼：使用者名稱的密碼。

   • 安全性類型：標準。

   • 映像：Windows 11 企業版。

     提示

     如果 Windows 11 企業版不在映像選取清單中，請使用「查看所有映像」。 從 Microsoft 尋找 Windows 11 項目，並使用 [選取] 下拉式清單來選取企業映像。

   您可以將其他欄位保留為預設值。

   

3. 選取 [網路功能]。 檢閱網路資訊，並確定其未使用 172.17.0.0/16 IP 位址範圍。 如果有使用，則請選取不同的範圍，例如 172.16.0.0/16；172.17.0.0/16 範圍可能會與 Docker 發生衝突。

   注意

   Azure 虛擬機器會建立自己的 Azure 虛擬網路以實現網路隔離。 此網路會與 Azure Machine Learning 所使用的受控虛擬網路分開。

   

4. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

為 VM 啟用 Azure Bastion

Azure Bastion 可讓您透過瀏覽器連線到虛擬機器桌面。

1. 在 Azure 入口網站中，選取您稍早建立的 VM。 從頁面的 [連線] 區段中，選取 [Bastion]，然後選取 [部署 Bastion]。

   

2. 部署 Bastion 服務之後，您隨即到達連線對話方塊。 目前請先離開此對話方塊。

建立工作區

1. 在 Azure 入口網站中，選取左上角的入口網站功能表。 從功能表，選取 [+ 建立資源]，然後輸入 Azure Machine Learning。 選取 Azure 項目，然後選取 [建立]。

2. 從 [基本] 索引標籤，選取要在其中建立服務的 [訂用帳戶]、[資源群組] 和 [區域]。 針對 [工作區名稱] 輸入唯一名稱。 讓其餘欄位保留預設值；系統會為工作區建立所需服務的新執行個體。

   

3. 從 [網路] 索引標籤中，選取 [具有網際網路輸出的私人]。

   

4. 從 [網路] 索引標籤的 [工作區輸入存取] 區段中，選取 [+ 新增]。

   

5. 從 [建立私人端點] 表單中，於 [名稱] 欄位中輸入唯一值。 選取稍早隨 VM 建立的 [虛擬網路]，然後選取預設 [子網路]。 讓其餘欄位保留預設值。 選取 [確定] 以儲存端點。

   

6. 選取 [檢閱 + 建立]。 驗證資訊正確無誤，然後選取 [建立]。

7. 在建立工作區之後，選取 [前往資源]。

連線到 VM 桌面

1. 從 Azure 入口網站選取您稍早建立的 VM。

2. 從 [連線] 區段，選取 [Bastion]。 輸入您為 VM 設定的使用者名稱和密碼，然後選取 [連線]。

   

連線至工作室

至此，您已建立工作區，但尚未建立受控虛擬網路。 當您建立工作區時，會設定受控虛擬網路。 若要建立受控虛擬網路，請建立計算資源或手動佈建網路。

使用下列步驟來建立計算執行個體。

1. 從 VM 桌面使用瀏覽器開啟 Azure Machine Learning 工作室，然後選取您稍早建立的工作區。

2. 從工作室，依序選取 [計算]、[計算執行個體] 和 [+ 新增]。

   

3. 從 [設定必要設定] 對話方塊，輸入唯一值作為 [計算名稱]。 保留其餘選項的預設值。

4. 選取 建立。 建立計算執行個體需要幾分鐘的時間。 計算執行個體會建立在受控網路內。

   提示

   建立第一個計算資源可能需要幾分鐘的時間。 有此延遲是因為也會建立受控虛擬網路。 要等到建立第一個計算資源後，才會建立受控虛擬網路。 後續受控計算資源的建立速度則會快很多。

啟用工作室對儲存體的存取權

由於 Azure Machine Learning 工作室會有一部分在用戶端的網頁瀏覽器中執行，因此用戶端必須能夠直接存取工作區的預設儲存體帳戶以執行資料作業。 若要啟用直接存取，請使用下列步驟：

1. 從 Azure 入口網站中，選取您稍早建立的跳板機 VM。 從 [概觀] 區段複製 [公用 IP 位址]。

2. 從 Azure 入口網站中，選取您稍早建立的工作區。 從 [概觀] 區段中，選取 [儲存體] 項目的連結。

3. 從儲存體帳戶中，選取 [網路]，然後將跳板機的「公用」IP 位址新增至 [防火牆] 區段。

   提示

   在使用 VPN 閘道或 ExpressRoute 而不是跳板機的案例中，您可以將儲存體帳戶的私人端點或服務端點新增至 Azure 虛擬網路。 使用私人端點或服務端點可讓多個用戶端透過 Azure 虛擬網路來連線，以透過工作室成功執行儲存體作業。

   此時，您可以使用工作室，以互動方式在計算執行個體上使用筆記本，並執行定型作業。 如需教學課程，請參閱教學課程：模型開發。

停止計算執行個體

計算執行個體只要有執行 (已啟動)，便會繼續向您的訂用帳戶收費。 若要避免超出成本，請在不使用時將其停止。

從工作室中，選取 [計算]、[計算執行個體]，然後選取該計算執行個體。 最後，從頁面頂端選取 [停止]。

清除資源

如果您打算繼續使用受保護的工作區和其他資源，請略過本節。

若要刪除在本教學課程中建立的所有資源，請使用下列步驟：

1. 在 Azure 入口網站，中選取 [資源群組]。

2. 從清單中選取您在本教學課程中建立的資源群組。

3. 選取 [刪除資源群組]。

   

4. 輸入資源群組名稱，然後選取 [刪除]。

下一步

既然您已經有安全的工作區，而且可存取工作室，請了解如何使用網路隔離將模型部署至線上端點。

如需受控虛擬網路的詳細資訊，請參閱使用受控虛擬網路保護工作區。