Tutorial: crear un área de trabajo segura con una red virtual administrada

En este artículo, aprenderá a crear y un área de trabajo de Azure Machine Learning segura y a conectarse a ella. Los pasos de este artículo utilizan una red virtual administrada de Azure Machine Learning para crear un límite de seguridad alrededor de los recursos utilizados por Azure Machine Learning.

En este tutorial, realizará las siguientes tareas:

  • Cree un área de trabajo de Azure Machine Learning configurada para usar una red virtual administrada.
  • Creará un clúster de proceso de Azure Machine Learning. Los clústeres de proceso se usan al entrenar modelos de Machine Learning en la nube.

Después de completar este tutorial, tendrá la siguiente arquitectura:

  • Un área de trabajo de Azure Machine Learning que usa un punto de conexión privado para comunicarse mediante la red administrada.
  • Una cuenta de Azure Storage que usa puntos de conexión privados para permitir que los servicios de almacenamiento, como blobs y archivos, se comuniquen mediante la red administrada.
  • Un Azure Container Registry que utiliza un punto de conexión privado se comunica mediante la red administrada.
  • Una instancia de Azure Key Vault que usa un punto de conexión privado para comunicarse mediante la red administrada.
  • Una instancia de proceso de Azure Machine Learning y un clúster de proceso protegidos por la red administrada.

Requisitos previos

Creación de un jumpbox (máquina virtual)

Hay varias formas de conectarse a un área de trabajo protegida. En este tutorial se usa un jumpbox. Un jumpbox es una máquina virtual en Azure Virtual Network. Puede conectarse a él mediante un explorador web y Azure Bastion.

En la tabla siguiente se enumeran otras formas de conectarse al área de trabajo segura:

Método Descripción
Azure VPN Gateway Conecta redes locales a una instancia de Azure Virtual Network a través de una conexión privada. Se crea un punto de conexión privado para el área de trabajo dentro de esa red virtual. La conexión se realiza a través de la red pública de Internet.
ExpressRoute Conecta redes locales a la nube a través de una conexión privada. La conexión se realiza mediante un proveedor de conectividad.

Importante

Al usar una puerta de enlace de VPN o ExpressRoute, deberá planear cómo funciona la resolución de nombres entre los recursos locales y los de la nube. Para obtener más información, vea Creación de un servidor DNS personalizado.

Siga estos pasos para crear una instancia de Azure Virtual Machine para usarla como jumpbox. Desde este escritorio puede usar el explorador en la máquina virtual para conectarse a los recursos de dentro de la red virtual administrada, como Estudio de Azure Machine Learning. También puede instalar herramientas de desarrollo en la máquina virtual.

Sugerencia

En los pasos siguientes se crea una máquina virtual con Windows 11 Enterprise. En función de sus requisitos, puede seleccionar una imagen de otra máquina virtual. La imagen de Windows 11 (o 10) Enterprise es útil si necesita unir la máquina virtual al dominio de una organización.

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Máquina virtual. Seleccione la entrada Máquina virtual y, después, seleccione Crear.

  2. En la pestaña Básico, seleccione la suscripción, el grupo de recursos y la región en la que crear el servicio. Proporcione valores para los campos siguientes:

    • Nombre de máquina virtual: un nombre exclusivo para la máquina virtual.

    • Nombre de usuario: el nombre de usuario que usa para iniciar sesión en la máquina virtual.

    • Contraseña: contraseña del nombre de usuario.

    • Tipo de seguridad: Estándar.

    • Imagen: Windows 11 Enterprise.

      Sugerencia

      Si Windows 11 Enterprise no está en la lista de selección de imágenes, use Ver todas las imágenes_. Busque la entrada Windows 11 de Microsoft y use la lista desplegable Seleccionar para seleccionar la imagen empresarial.

    Puede dejar los restantes campos con los valores predeterminados.

    Captura de pantalla de la configuración básica de la máquina virtual.

  3. Seleccionar Redes. Revise la información de red y asegúrese de que no usa el intervalo de direcciones IP 172.17.0.0/16. Si es así, seleccione un intervalo diferente, como 172.16.0.0/16; El intervalo 172.17.0.0/16 puede causar conflictos con Docker.

    Nota:

    La máquina virtual de Azure crea su propia Virtual Network de Azure para el aislamiento de red. Esta red es independiente de la red virtual administrada que usa Azure Machine Learning.

    Captura de pantalla de la hoja Redes de la máquina virtual.

  4. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Habilitar Azure Bastion para la máquina virtual

Azure Bastion le permite conectarse al escritorio de la máquina virtual mediante un explorador.

  1. En Azure Portal, seleccione la máquina virtual que creó anteriormente. En la sección Conectar de la página, seleccione Bastion y después Implementar Bastion.

    Captura de pantalla de la opción de Implementar Bastion.

  2. Una vez implementado el servicio Bastion, llegará a un cuadro de diálogo de conexión. Deje este cuadro de diálogo por ahora.

Crear un área de trabajo

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Azure Machine Learning. Seleccione la entrada Azure Machine Learning y, después, seleccione Crear.

  2. En la pestaña Básico, seleccione la suscripción, el grupo de recursos y la región en la que crear el servicio. Escriba un nombre único para el Nombre del área de trabajo. Deje el resto de los campos en los valores predeterminados; Se crean nuevas instancias de los servicios necesarios para el área de trabajo.

    Captura de pantalla del formulario de creación del área de trabajo.

  3. En la pestaña Redes, seleccione Privado con Salida a Internet.

    Captura de pantalla de la pestaña de red del área de trabajo con la salida de Internet seleccionada.

  4. En la pestaña Redes, en la sección Acceso de entrada del área de trabajo, seleccione + Agregar.

    Captura de pantalla que muestra el botón del acceso de entrada.

  5. En el formulario Crear punto de conexión privado, escriba un valor único en el campo Nombre. Seleccione la red virtual creada anteriormente con la máquina virtual y seleccione la subred predeterminada. Deje el resto de los campos con los valores predeterminados. Seleccione Aceptar para guardar el punto de conexión.

    Captura de pantalla de la manera de crear un punto de conexión privado.

  6. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  7. Cuando se cree el área de trabajo, seleccione Ir al recurso.

Conéctese al escritorio de la máquina virtual

  1. Desde Azure Portal, seleccione la máquina virtual que creó anteriormente.

  2. En la sección Conectar, seleccione Bastion. Escriba el nombre de usuario y la contraseña que configuró para la máquina virtual y, a continuación, seleccione Conectar.

    Captura de pantalla del formulario de conexión de Bastion.

Conectarse al estudio

En este momento se ha creado el área de trabajo , pero la red virtual administrada no se ha creado. La red virtual administrada se configura al crear el área de trabajo. Para crear la red virtual administrada, cree un recurso de proceso o aprovisione manualmente la red.

Siga estos pasos para crear una instancia de proceso.

  1. En el escritorio de la máquina virtual, use el explorador para abrir el Estudio de Azure Machine Learning y seleccione el área de trabajo que creó anteriormente.

  2. En Estudio, seleccione Compute, Instancias de Compute y, después, + Nuevo.

    Captura de pantalla de la nueva opción de proceso en estudio.

  3. En el cuadro de diálogo Configurar los valores necesarios, escriba un valor único como Nombre del proceso. Deje el resto de las selecciones en el valor predeterminado.

  4. Seleccione Crear. La instancia de proceso tarda unos minutos en crearse. La instancia de proceso se crea dentro de la red administrada.

    Sugerencia

    Puede tardar varios minutos en crear el primer recurso de proceso. Este retraso se produce porque también se está creando la red virtual administrada. La red virtual administrada no se crea hasta que se crea el primer recurso de proceso. Los recursos de proceso administrados posteriores se crearán mucho más rápido.

Habilitación del acceso de Studio al almacenamiento

Dado que el Estudio de Azure Machine Learning se ejecuta parcialmente en el explorador web en el cliente, el cliente debe poder acceder directamente a la cuenta de almacenamiento predeterminada para que el área de trabajo realice operaciones de datos. Para habilitar el acceso directo, siga estos pasos:

  1. Desde Azure Portal, seleccione la máquina virtual de jumpbox que creó anteriormente. Copie la IP pública de la sección Información general.

  2. Desde Azure Portal, seleccione el área de trabajo que creó anteriormente. En la sección Información general, seleccione el vínculo de la entrada Almacenamiento.

  3. En la cuenta de almacenamiento, seleccione Redes y agregue la IP pública del jumpbox a la sección Firewall.

    Sugerencia

    En un escenario en el que se usa una puerta de enlace de VPN o ExpressRoute en lugar de un jumpbox, podría agregar un punto de conexión privado o un punto de conexión de servicio para la cuenta de almacenamiento a Azure Virtual Network. El uso de un punto de conexión privado o un punto de conexión de servicio permitiría que varios clientes se conecten a través de Azure Virtual Network para realizar correctamente las operaciones de almacenamiento a través de Studio.

    En este momento, puede usar Estudio para trabajar interactivamente con cuadernos en la instancia de proceso y ejecutar trabajos de entrenamiento. Para obtener un tutorial, vea Tutorial: desarrollo del modelo.

Detención de una instancia de proceso

Mientras se ejecuta (iniciado), la instancia de proceso continúa cobrando la suscripción. Para evitar costes excesivos, deténgalo cuando no esté en uso.

En Estudio, seleccione Compute, Instancias de proceso y, después, seleccione la instancia de proceso. Por último, seleccione Detener en la parte superior de la página.

Captura de pantalla del botón Detener de una instancia de proceso

Limpieza de recursos

Si tiene previsto seguir usando el área de trabajo protegida y otros recursos, omita esta sección.

Para eliminar todos los recursos creados en este artículo, siga estos pasos:

  1. En Azure Portal, seleccione Grupos de recursos.

  2. En la lista, seleccione el grupo de recursos que ha creado en este tutorial.

  3. Seleccione Eliminar grupo de recursos.

    Captura de pantalla del botón Eliminar grupo de recursos

  4. Escriba el nombre del grupo de recursos y, después, seleccione Eliminar.

Pasos siguientes

Ahora que tiene un área de trabajo segura y puede acceder a Estudio, aprenda a implementar un modelo en un punto de conexión en línea con aislamiento de red.

Para más información sobre la red virtual administrada, consulte Protección del área de trabajo con una red virtual administrada.