Руководство. Создание безопасной рабочей области с помощью управляемой виртуальной сети

Из этой статьи вы узнаете, как создать защищенную рабочую область Машинного обучения Azure и подключиться к ней. Действия, описанные в этой статье, используют управляемую виртуальную сеть Машинное обучение Azure для создания границы безопасности вокруг ресурсов, используемых Машинное обучение Azure.

В этом руководстве вы выполните следующие задачи:

  • Создайте рабочую область Машинное обучение Azure, настроенную для использования управляемой виртуальной сети.
  • создадите вычислительный кластер Машинного обучения Azure; Вычислительный кластер используется при обучении моделей машинного обучения в облаке.

После завершения работы с этим руководством вы получите следующую архитектуру:

  • Рабочая область Машинное обучение Azure, использующая частную конечную точку для обмена данными с помощью управляемой сети.
  • Учетная запись служба хранилища Azure, которая использует частные конечные точки, чтобы службы хранения, такие как BLOB-объект и файл, могли взаимодействовать с помощью управляемой сети.
  • Реестр контейнеров Azure, использующий частную конечную точку, обменивается данными с помощью управляемой сети.
  • Azure Key Vault, использующий частную конечную точку для обмена данными с помощью управляемой сети.
  • Машинное обучение Azure вычислительный экземпляр и вычислительный кластер, защищенный управляемой сетью.

Необходимые компоненты

Создание поля перехода (виртуальной машины)

Подключиться к защищенной рабочей области можно несколькими способами. В этом руководстве используется поле перехода. Поле перехода — это виртуальная машина в виртуальная сеть Azure. К нему можно подключиться с помощью веб-браузера и Бастиона Azure.

В таблице ниже перечислены другие способы подключения к защищенной рабочей области.

Метод Description
VPN-шлюз Azure Подключает локальные сети к azure виртуальная сеть через частное подключение. Частная конечная точка рабочей области создается в этой виртуальной сети. Подключение осуществляется через общедоступный Интернет.
ExpressRoute Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.

Внимание

При использовании VPN-шлюза или ExpressRoute необходимо спланировать, как работает разрешение имен между локальными ресурсами и ресурсами в облаке. Дополнительные сведения см. в статье Использование настраиваемого DNS-сервера.

Чтобы создать виртуальную машину Azure для использования в качестве поля перехода, выполните следующие действия. На рабочем столе виртуальной машины вы можете использовать браузер на виртуальной машине для подключения к ресурсам в управляемой виртуальной сети, например Студия машинного обучения Azure. Вы также можете установить средства разработки на виртуальной машине.

Совет

Ниже описано, как создать корпоративную виртуальную машину Windows 11. В зависимости от требований может потребоваться выбрать другой образ виртуальной машины. Корпоративный образ Windows 11 (или 10) полезен, если необходимо присоединить виртуальную машину к домену вашей организации.

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс и введите виртуальную машину. Выберите запись виртуальной машины и нажмите кнопку "Создать".

  2. На вкладке "Основы" выберите подписку, группу ресурсов и регион, чтобы создать службу. Введите значения для следующих полей:

    • Имя виртуальной машины: уникальное имя для виртуальной машины.

    • Имя пользователя: имя пользователя, которое вы используете для входа на виртуальную машину.

    • Пароль: пароль для имени пользователя

    • Тип безопасности: стандартный

    • Изображение: Windows 11 Корпоративная.

      Совет

      Если Windows 11 Корпоративная нет в списке для выбора изображений, используйте команду "Просмотреть все изображения". Найдите запись Windows 11 от Корпорации Майкрософт и используйте раскрывающийся список "Выбрать", чтобы выбрать корпоративный образ.

    Вы можете оставить в остальных полях значения по умолчанию.

    Снимок экрана: конфигурация основных компонентов виртуальной машины.

  3. Выберите Сети. Просмотрите сведения о сети и убедитесь, что он не использует диапазон IP-адресов 172.17.0.0/16. Если это так, выберите другой диапазон, например 172.16.0.0/16; Диапазон 172.17.0.0/16 может вызвать конфликты с Docker.

    Примечание.

    Виртуальная машина Azure создает собственную виртуальная сеть Azure для сетевой изоляции. Эта сеть отличается от управляемой виртуальной сети, используемой Машинное обучение Azure.

    Снимок экрана: вкладка

  4. Выберите Review + create (Просмотреть и создать). Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

Включение Бастиона Azure для виртуальной машины

Бастион Azure позволяет подключаться к рабочему столу виртуальной машины через браузер.

  1. В портал Azure выберите созданную ранее виртуальную машину. В разделе "Подключение" на странице выберите бастион и разверните бастион.

    Снимок экрана: параметр развертывания Бастиона.

  2. После развертывания службы бастиона прибудете в диалоговое окно подключения. Оставьте это диалоговое окно сейчас.

Создание рабочей области

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите +Создать ресурс и введите Машинное обучение Azure. Выберите запись Машинное обучение Azure и нажмите кнопку "Создать".

  2. На вкладке "Основы" выберите подписку, группу ресурсов и регион, чтобы создать службу. Введите уникальное имя для имени рабочей области. Оставьте остальные поля значениями по умолчанию; для рабочей области создаются новые экземпляры необходимых служб.

    Снимок экрана: форма создания рабочей области.

  3. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом.

    Снимок экрана: вкладка

  4. На вкладке "Сеть" в разделе "Рабочая область входящего доступа " нажмите кнопку "+ Добавить".

    Снимок экрана: кнопка добавления для входящего доступа.

  5. В форме создания частной конечной точки введите уникальное значение в поле "Имя ". Выберите виртуальную сеть, созданную ранее с виртуальной машиной, и выберите подсеть по умолчанию. Оставьте остальные поля значениями по умолчанию. Нажмите кнопку "ОК ", чтобы сохранить конечную точку.

    Снимок экрана: форма для создания частной конечной точки.

  6. Выберите Review + create (Просмотреть и создать). Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  7. После создания рабочей области выберите "Перейти к ресурсу".

Подключение к рабочему столу виртуальной машины

  1. В портал Azure выберите созданную ранее виртуальную машину.

  2. В разделе "Подключение" выберите Бастион. Введите имя пользователя и пароль, настроенные для виртуальной машины, а затем нажмите кнопку "Подключить".

    Снимок экрана: форма подключения бастиона.

Подключение к студии

На этом этапе создается рабочая область , но управляемая виртуальная сеть не является. При создании рабочей области настраивается управляемая виртуальная сеть. Чтобы создать управляемую виртуальную сеть, создайте вычислительный ресурс или вручную подготовьте сеть.

Чтобы создать вычислительный экземпляр, выполните следующие действия.

  1. На рабочем столе виртуальной машины откройте браузер Студия машинного обучения Azure и выберите созданную ранее рабочую область.

  2. В студии выберите "Вычисления", "Вычислительные экземпляры" и "Создать".

    Снимок экрана: новый параметр вычислений в студии.

  3. В диалоговом окне "Настройка необходимых параметров" введите уникальное значение в качестве имени вычисления. Оставьте остальные выбранные значения по умолчанию.

  4. Нажмите кнопку создания. Создание вычислительного экземпляра занимает несколько минут. Вычислительный экземпляр создается в управляемой сети.

    Совет

    Создание первого вычислительного ресурса может занять несколько минут. Эта задержка возникает, так как также создается управляемая виртуальная сеть. Управляемая виртуальная сеть не создается до создания первого вычислительного ресурса. Последующие управляемые вычислительные ресурсы будут создаваться гораздо быстрее.

Включение доступа студии к хранилищу

Так как Студия машинного обучения Azure частично выполняется в веб-браузере на клиенте, клиент должен иметь возможность напрямую получить доступ к учетной записи хранения по умолчанию для рабочей области для выполнения операций с данными. Чтобы включить прямой доступ, выполните следующие действия.

  1. В портал Azure выберите виртуальную машину, созданную ранее. Скопируйте общедоступный IP-адрес из раздела "Обзор".

  2. В портал Azure выберите созданную ранее рабочую область. В разделе "Обзор" выберите ссылку для записи хранилища.

  3. В учетной записи хранения выберите "Сеть" и добавьте общедоступный IP-адрес поля перехода в раздел брандмауэра.

    Совет

    В сценарии использования VPN-шлюза или ExpressRoute вместо поля перехода можно добавить частную конечную точку или конечную точку службы для учетной записи хранения в azure виртуальная сеть. Использование частной конечной точки или конечной точки службы позволит нескольким клиентам подключаться через azure виртуальная сеть успешно выполнять операции хранения через студию.

    На этом этапе можно использовать студию для интерактивной работы с записными книжками в вычислительном экземпляре и выполнении заданий обучения. Руководство по разработке моделей см. в руководстве.

Остановка вычислительного экземпляра

Пока она запущена (запущена), вычислительный экземпляр продолжает взимать плату за подписку. Чтобы избежать лишних затрат, остановите его, если он не используется.

В студии выберите вычислительные, вычислительные экземпляры и выберите экземпляр вычислений. Наконец, в верхней части страницы выберите Остановить.

Снимок экрана: кнопка

Очистка ресурсов

Если вы планируете и далее использовать защищенную рабочую область и другие ресурсы, пропустите этот раздел.

Чтобы удалить все ресурсы, созданные при работе с этим руководством, сделайте следующее:

  1. На портале Azure выберите "Группы ресурсов".

  2. Выберите из списка созданную в этом руководстве группу ресурсов.

  3. Выберите команду Удалить группу ресурсов.

    Снимок экрана: кнопка удаления группы ресурсов.

  4. Введите имя группы ресурсов, а затем нажмите кнопку Удалить.

Следующие шаги

Теперь, когда у вас есть безопасная рабочая область и вы можете получить доступ к студии, узнайте, как развернуть модель в сетевой конечной точке с сетевой изоляцией.

Дополнительные сведения об управляемой виртуальной сети см. в статье "Защита рабочей области с помощью управляемой виртуальной сети".