Freigeben über

Tutorial: Erstellen eines sicheren Arbeitsbereichs mit einem Microsoft Azure Virtual Network

In diesem Artikel erfahren Sie, wie Sie einen sicheren Arbeitsbereich erstellen und mit einem Azure Machine Learning-Arbeitsbereich verbinden. In den Schritten in diesem Artikel dient ein virtuelles Azure-Netzwerk dazu, eine Sicherheitsgrenze um Ressourcen herum zu erstellen, die von Azure Machine Learning verwendet werden.

Wichtig

Verwenden Sie das von Azure Machine Learning verwaltete virtuelle Netzwerk anstelle eines virtuellen Azure-Netzwerks. Eine Version dieses Tutorials, die ein verwaltetes virtuelles Netzwerk verwendet, finden Sie unter Tutorial: Erstellen eines sicheren Arbeitsbereichs mit einem verwalteten virtuellen Netzwerk.

Sie führen in diesem Tutorial die folgenden Aufgaben durch:

  • Erstellen Sie ein Azure Virtual Network (VNet), um die Kommunikation zwischen Diensten im virtuellen Netzwerk zu sichern.
  • Sie erstellen ein Azure Storage-Konto (Blob und Datei) hinter dem VNet. Verwenden Sie diesen Dienst als Standardspeicher für den Arbeitsbereich.
  • Sie erstellen einen Azure Key Vault hinter dem VNet. Verwenden Sie diesen Dienst, um geheime Schlüssel zu speichern, die vom Arbeitsbereich verwendet werden, z. B. die Sicherheitsinformationen, die für den Zugriff auf das Speicherkonto erforderlich sind.
  • Erstellen Sie eine Azure Container Registry (ACR). Verwenden Sie diesen Dienst als Repository für Docker-Images. Docker-Images stellen die Computeumgebungen bereit, die zum Trainieren eines Machine Learning-Modells oder zum Bereitstellen eines trainierten Modells als Endpunkt erforderlich sind.
  • Erstellen Sie einen Azure Machine Learning-Arbeitsbereich.
  • Sie erstellen eine Jumpbox. Eine Jumpbox ist ein virtueller Azure-Computer, der sich hinter dem VNet befindet. Da das VNet den Zugriff über das öffentliche Internet einschränkt, verwenden Sie das Sprungfeld als Möglichkeit, eine Verbindung mit Ressourcen hinter dem VNet herzustellen.
  • Sie konfigurieren Azure Machine Learning Studio für die Arbeit hinter einem VNet. Das Studio bietet eine Webschnittstelle für Azure Machine Learning.
  • Erstellen eines Computeclusters für Azure Machine Learning Verwenden Sie einen Computecluster, wenn Sie Machine Learning-Modelle in der Cloud trainieren. In Konfigurationen, bei denen azure Container Registry sich hinter dem VNet befindet, erstellt sie auch Docker-Images.
  • Sie stellen eine Verbindung zur Jumpbox her und verwenden Azure Machine Learning Studio.

Tipp

Eine Vorlage, die das Erstellen eines sicheren Arbeitsbereichs veranschaulicht, finden Sie unter Bicep-Vorlage oder Terraform-Vorlage.

Nach Abschluss dieses Lernprogramms haben Sie die folgende Architektur:

  • Ein Azure Virtual Network, das drei Subnetze enthält:
    • Training: Enthält den Azure Machine Learning-Arbeitsbereich, Abhängigkeitsdienste und Ressourcen, die für Trainingsmodelle verwendet werden.
    • Bewertung: Für die Schritte in diesem Tutorial wird sie nicht verwendet. Wenn Sie diesen Arbeitsbereich jedoch weiterhin für andere Lernprogramme verwenden, verwenden Sie dieses Subnetz beim Bereitstellen von Modellen auf Endpunkten.
    • AzureBastionSubnet: Wird vom Azure Bastion-Dienst verwendet, um Clients sicher mit Azure Virtual Machines zu verbinden.
  • Ein Azure Machine Learning-Arbeitsbereich, der einen privaten Endpunkt für die Kommunikation mithilfe des virtuellen Netzwerks verwendet.
  • Ein Azure Storage-Konto, das private Endpunkte verwendet, damit Speicherdienste wie Blob- und Dateidienste über das virtuelle Netzwerk kommunizieren können.
  • Eine Azure-Containerregistrierung, die einen privaten Endpunkt verwendet, um mithilfe des virtuellen Netzwerks zu kommunizieren.
  • Azure Bastion, mit dem Sie mithilfe Ihres Browsers sicher mit der Jump-Box-VM innerhalb des virtuellen Netzwerks kommunizieren.
  • Ein virtueller Azure-Computer, mit dem Sie eine Remoteverbindung herstellen und auf Ressourcen zugreifen können, die im VNet geschützt sind.
  • Eine Azure Machine Learning-Computeinstanz und ein Compute-Cluster.

Tipp

Der im Diagramm aufgeführte Azure Batch-Dienst ist ein Back-End-Dienst, der für die Computecluster und Compute-Instanzen erforderlich ist.

Diagramm der endgültigen Architektur, die in diesem Tutorial erstellt wurde.

Voraussetzungen

  • Vertrautheit mit virtuellen Azure-Netzwerken und IP-Netzwerken Wenn Sie nicht vertraut sind, probieren Sie die Grundlagen des Computernetzwerkmoduls aus.
  • Während für die meisten Schritte in diesem Artikel das Azure-Portal oder Azure Machine Learning Studio verwendet wird, wird bei einigen Schritten die Azure CLI-Erweiterung für Machine Learning v2 eingesetzt.

Erstellen eines virtuellen Netzwerks

Führen Sie die folgenden Schritte aus, um ein virtuelles Netzwerk zu erstellen:

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie anschließend im Suchfeld den Eintrag Virtuelles Netzwerk ein. Suchen Sie nach dem Eintrag Virtuelles Netzwerk, und wählen Sie dann Erstellen aus.

    Screenshot: Formular zum Suchen von Ressourcen, in dem ein virtuelles Netzwerk ausgewählt ist

    Screenshot: Formular zum Erstellen des virtuellen Netzwerks

  2. Wählen Sie auf der Registerkarte Grundlagen das Azure-Abonnement aus, das für diese Ressource verwendet werden soll, und wählen Sie dann eine Ressourcengruppe aus, oder erstellen Sie eine neue. Geben Sie unter Instanzdetails einen benutzerfreundlichen Namen für Ihr virtuelles Netzwerk ein, und wählen Sie die Region aus, in der es erstellt werden soll.

    Screenshot: Formular für die grundlegende Konfiguration eines virtuellen Netzwerks

  3. Wählen Sie Sicherheit aus. Wählen Sie Azure Bastion aktivieren aus. Azure Bastion bietet eine sichere Möglichkeit für den Zugriff auf die VM-Jumpbox, die Sie in einem späteren Schritt im VNet erstellen. Verwenden Sie die folgenden Werte für die restlichen Felder:

    • Bastion-Name: Ein eindeutiger Name für diese Bastion-Instanz
    • Öffentliche IP-Adresse: Erstellen Sie eine neue öffentliche IP-Adresse.

    Behalten Sie für die anderen Felder den Standardwert bei.

    Screenshot: Bastion-Konfiguration

  4. Wählen Sie IP-Adressen aus. Die Standardeinstellungen sollten der folgenden Abbildung ähneln:

    Führen Sie die folgenden Schritte aus, um die IP-Adresse und ein Subnetz für Trainings- und Bewertungsressourcen zu konfigurieren:

    Tipp

    Während Sie ein einzelnes Subnetz für alle Azure Machine Learning-Ressourcen verwenden können, zeigen die Schritte in diesem Artikel, wie sie zwei Subnetze erstellen, um die Schulungs- und Bewertungsressourcen zu trennen.

    Der Arbeitsbereich und andere Dienste, von denen Abhängigkeiten bestehen, werden in das Training-Subnetz aufgenommen. Sie können weiterhin von Ressourcen in anderen Subnetzen verwendet werden, z. B. dem Bewertungssubnetz.

    1. Beachten Sie den Standardwert des IPv4-Adressraums. Im Screenshot lautet der Wert 172.16.0.0/16. Der Wert kann für Sie unterschiedlich sein. Sie können zwar einen anderen Wert verwenden, die restlichen Schritte in diesem Tutorial basieren jedoch auf dem Wert 172.16.0.0/16.

      Warnung

      Verwenden Sie nicht den IP-Adressbereich 172.17.0.0/16 für Ihr virtuelles Netzwerk. Dieser Bereich ist der standardmäßige Subnetzbereich, der vom Docker-Brückennetzwerk verwendet wird, und führt zu Fehlern, wenn Sie ihn für Ihr virtuelles Netzwerk verwenden. Andere Bereiche können ebenfalls Konflikte verursachen, je nachdem, was Sie mit dem virtuellen Netzwerk verbinden möchten. Wenn Sie beispielsweise beabsichtigen, Ihr lokales Netzwerk mit dem virtuellen Netzwerk zu verbinden, und ihr lokales Netzwerk verwendet auch den Bereich 172.16.0.0/16. Letztendlich müssen Sie Ihre Netzwerkinfrastruktur planen.

    2. Wählen Sie das Standardsubnetz und dann das Bearbeitungssymbol aus.

      Screenshot: Auswählen des Bearbeitungssymbols für das Standardsubnetz

    3. Ändern Sie unter Name den Subnetznamen in Training. Behalten Sie die anderen Werte bei den Standardeinstellungen bei, und wählen Sie dann "Speichern" aus, um die Änderungen zu speichern.

    4. Wählen Sie + Subnetz hinzufügen aus, und legen Sie den Namen und den Adressbereich fest, um ein Subnetz für Computeressourcen zu erstellen, die zur Bewertung Ihrer Modelle verwendet werden:

      • Subnetzname: Bewertung
      • Startadresse: 172.16.2.0
      • Subnetzgröße: /24 (256 Adressen)

      Screenshot des Scoring-Subnetzes

    5. Wählen Sie Hinzufügen aus, um das Subnetz hinzuzufügen.

  5. Klicken Sie auf Überprüfen + erstellen.

    Screenshot der Schaltfläche „Überprüfen + Erstellen“

  6. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

    Screenshot der Seite

Erstellen eines Speicherkontos

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Speicherkonto ein. Wählen Sie den Speicherkonto-Eintrag und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Geben Sie einen eindeutigen Speicherkontonamen ein, und legen Sie Redundanz auf Lokal redundanter Speicher (LRS) fest.

    Screenshot: Grundlegende Konfiguration des Speicherkontos

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff deaktivieren und dann + Privaten Endpunkt hinzufügen aus.

    Screenshot: Formular zum Hinzufügen des privaten Netzwerks „blob“

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: BLOB
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Private DNS-Integration: Ja
    • Private DNS-Zone: privatelink.blob.core.windows.net

    Wählen Sie Hinzufügen aus, um den privaten Endpunkt zu erstellen.

  5. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  6. Nachdem das Speicherkonto erstellt wurde, wählen Sie "Zur Ressource wechseln" aus:

    Screenshot: Schaltfläche „Zu neuer Speicherressource wechseln“

  7. Wählen Sie im linken Navigationsbereich "Netzwerk" aus. Wählen Sie die Registerkarte "Private Endpunktverbindungen " aus, und wählen Sie dann +Privater Endpunkt aus:

    Hinweis

    Während Sie in den vorherigen Schritten einen privaten Endpunkt für Blob Storage erstellt haben, müssen Sie auch einen für File Storage erstellen.

    Screenshot: Netzwerkformular des Speicherkontos

  8. Verwenden Sie im Formular zum Erstellen eines privaten Endpunkts dasselbe Abonnement, die Ressourcengruppe und die Region , die Sie für vorherige Ressourcen verwendet haben. Geben Sie einen eindeutigen Namen ein.

    Screenshot des Grundformulars beim Hinzufügen des privaten Endpunkts „file“.

  9. Wählen Sie Weiter : Ressource aus, und legen Sie dann Zielunterressource auf Datei fest.

    Screenshot: Ressourcenformular bei Auswahl einer Unterressource „file“

  10. Wählen Sie Weiter: Virtuelles Netzwerk aus, und verwenden Sie die folgenden Werte:

    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training

    Screenshot: Konfigurationsformular zum Hinzufügen des privaten Endpunkts „file“

  11. Gehen Sie die Registerkarten durch, und wählen Sie die Standardwerte aus, bis Sie zu Überprüfen und erstellen gelangen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Tipp

Wenn Sie beabsichtigen, einen Batchendpunkt oder eine Azure Machine Learning-Pipeline zu verwenden, die einen ParallelRunStep verwendet, müssen Sie auch private Endpunkte konfigurieren, die für Warteschlange und Tabellenunterressourcen vorgesehen sind. ParallelRunStep verwendet intern Warteschlangen und Tabellen für die Aufgabenplanung und -verteilung.

Erstellen eines Schlüsseltresors

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Key Vault ein. Wählen Sie den Schlüsseltresor-Eintrag und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Geben Sie einen eindeutigen Namen für Schlüsseltresorname an. Behalten Sie für die anderen Felder den Standardwert bei.

    Screenshot: Grundlegendes Formular zum Hinzufügen eines neuen Schlüsseltresors

  3. Deaktivieren Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff aktivieren und wählen Sie anschließend + Privaten Endpunkt erstellen aus.

    Screenshot: Netzwerkformular zum Hinzufügen eines privaten Endpunkts für den Schlüsseltresor

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Zielunterressource: Vault
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Integration von privatem DNS aktivieren: Ja
    • Private DNS-Zone: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk und den Schlüsseltresor enthält.

    Wählen Sie Hinzufügen aus, um den privaten Endpunkt zu erstellen.

    Screenshot: Konfigurationsformular für den privaten Endpunkt des Schlüsseltresors

  5. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  6. Wenn der Schlüsseltresor erstellt wurde, wählen Sie "Ressource aufrufen" aus.

  7. Wählen Sie im linken Navigationsbereich "Netzwerk" aus. Aktivieren Sie auf der Registerkarte Firewalls und virtuelle Netzwerke das Kontrollkästchen für Vertrauten Microsoft Diensten die Möglichkeit bieten, diese Firewall zu umgehen und wählen Sie Anwenden.

Erstellen einer Containerregistrierung

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus und geben Sie anschließend Container-Registry ein. Wählen Sie den Eintrag Containerregistrierung und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Ort aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Geben Sie einen eindeutigen Wert für Registrierungsname ein, und legen Sie die SKU auf Premium fest.

    Screenshot: Grundlegendes Formular zum Erstellen einer Containerregistrierung

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Privater Endpunkt und dann + Hinzufügen aus.

    Screenshot: Netzwerkformular zum Hinzufügen eines privaten Endpunkts für die Containerregistrierung

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: Register
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Private DNS-Integration: Ja
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk und die Containerregistrierung enthält.

    Wählen Sie Hinzufügen aus, um den privaten Endpunkt zu erstellen.

    Screenshot: Konfigurationsformular für den privaten Endpunkt der Containerregistrierung

  5. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  6. Nachdem die Containerregistrierung erstellt wurde, wählen Sie Zu Ressource wechseln aus.

    Screenshot der Schaltfläche

  7. Wählen Sie im linken Bereich der Seite die Option Zugriffsschlüssel aus, und aktivieren Sie dann den Administratorbenutzer. Sie benötigen diese Einstellung, wenn Sie azure Container Registry in einem virtuellen Netzwerk mit Azure Machine Learning verwenden.

    Screenshot des Formulars 'Zugriffsschlüssel für die Containerregistrierung', wobei die Admin-Benutzeroption aktiviert ist.

Erstellen eines Arbeitsbereichs

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Machine Learning ein. Wählen Sie den Eintrag Machine Learning und dann Erstellen aus.

    Screenshot: Seite „Erstellen“ für Azure Machine Learning

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Verwenden Sie für die übrigen Felder die folgenden Werte:

    • Name: Ein eindeutiger Name für den Arbeitsbereich
    • Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben.
    • Schlüsseltresor: Wählen Sie den Schlüsseltresor aus, den Sie zuvor erstellt haben.
    • Application Insights: Verwenden Sie den Standardwert.
    • Containerregistrierung: Verwenden Sie die zuvor erstellte Containerregistrierung.

    Screenshot des Formulars zur grundlegenden Konfiguration des Arbeitsbereichs

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit ausgehendem Internetdatenverkehr aus. Wählen Sie im Abschnitt Eingehender Zugriff des Arbeitsbereichs die Option + Hinzufügen aus.

  4. Verwenden Sie im Formular Privaten Endpunkt erstellen die folgenden Werte:

    • Abonnement: Dasselbe Azure-Abonnement, das die vorherigen Ressourcen enthält
    • Ressourcengruppe: Dieselbe Azure-Ressourcengruppe, die vorherigen Ressourcen enthält
    • Standort: Dieselbe Azure-Region, die die vorherigen Ressourcen enthält
    • Name: Ein eindeutiger Name für diesen privaten Endpunkt
    • Untergeordnete Zielressource: amlworkspace
    • Virtuelles Netzwerk: Das zuvor erstellte virtuelle Netzwerk
    • Subnetz: Training (172.16.0.0/24)
    • Private DNS-Integration: Ja
    • Private DNS-Zone: Lassen Sie die beiden privaten DNS-Zonen auf die Standardwerte privatelink.api.azureml.ms und privatelink.notebooks.azure.net festgelegt.

    Wählen Sie OK aus, um den privaten Endpunkt zu erstellen.

    Screenshot: Formular zur Konfiguration des privaten Netzwerks des Arbeitsbereichs

  5. Wählen Sie auf der Registerkarte Netzwerk im Abschnitt Ausgehender Zugriff des Arbeitsbereichs die Option Eigenes virtuelles Netzwerk verwenden aus.

  6. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  7. Wählen Sie nach der Erstellung des Arbeitsbereichs die Option Zu Ressource wechseln aus.

  8. Wählen Sie links im Abschnitt Einstellungen die Option Netzwerk > Private Endpunktverbindungen und dann den Link in der Spalte Privater Endpunkt aus:

    Screenshot der Verbindungen zu den privaten Endpunkten des Arbeitsbereichs.

  9. Sobald die Informationen zum privaten Endpunkt angezeigt werden, wählen Sie links auf der Seite die Option DNS-Konfiguration aus. Speichern Sie die IP-Adresse und den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) auf dieser Seite.

    Screenshot der IP-Adresse und FQDN-Einträge des Arbeitsbereichs.

Wichtig

Es sind noch einige Konfigurationsschritte erforderlich, bevor Sie den Arbeitsbereich vollständig verwenden können. Für diese Schritte müssen Sie jedoch eine Verbindung mit dem Arbeitsbereich herstellen.

Aktivieren von Studio

Azure Machine Learning Studio ist eine webbasierte Anwendung, die Sie zum Verwalten Ihres Arbeitsbereichs verwenden. Sie benötigt jedoch eine zusätzliche Konfiguration, bevor Sie sie mit Ressourcen verwenden können, die in einem virtuellen Netzwerk gesichert sind. Führen Sie die folgenden Schritte aus, um Studio zu aktivieren:

  1. Wenn Sie ein Azure Storage-Konto mit einem privaten Endpunkt verwenden, fügen Sie den Dienstprinzipal für den Arbeitsbereich als Reader für die privaten Endpunkte des Storage hinzu. Wählen Sie im Azure-Portal Ihr Speicherkonto und dann Netzwerk aus. Wählen Sie als Nächstes Private Endpunktverbindungen aus.

    Screenshot von privaten Speicherendpunktverbindungen.

  2. Führen Sie für jeden aufgeführten privaten Endpunkt die folgenden Schritte aus:

    1. Wählen Sie den Link in der Spalte Privater Endpunkt aus.

      Screenshot: Endpunktlinks in der Spalte für private Endpunkte

    2. Wählen Sie auf der linken Seite Zugriffssteuerung (IAM) aus.

    3. Wählen Sie +Hinzufügen und dann " Rollenzuweisung hinzufügen" (Vorschau) aus.

      Seite „Zugriffssteuerung (IAM)“ mit geöffnetem Menü „Rollenzuweisung hinzufügen“

    4. Wählen Sie auf der Registerkarte Rollen die Rolle Leser aus.

      Seite „Rollenzuweisung hinzufügen“ mit ausgewählter Registerkarte „Rolle“

    5. Wählen Sie auf der Registerkarte Mitglieder im Bereich Zugriff zuweisen zu die Option Benutzer, Gruppe oder Dienstprinzipal und dann die Option + Mitglieder auswählen aus. Geben Sie im Dialogfeld Mitglieder auswählen den Namen als Azure Machine Learning-Arbeitsbereich ein. Wählen Sie den Dienstprinzipal für den Arbeitsbereich aus, und verwenden Sie dann die Schaltfläche Auswählen.

    6. Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

Sicherung von Azure Monitor und Application Insights

Hinweis

Weitere Informationen zum Sichern von Azure Monitor und Application Insights finden Sie in den folgenden Artikeln:

  1. Wählen Sie im Azure-Portal die Option Start aus, und suchen Sie dann nach Private Link. Wählen Sie das Ergebnis Azure Monitor Private Link Scope und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen dasselbe Abonnement, diesselbe Ressourcengruppe und Region für Ressourcengruppe wie in Ihrem Azure Machine Learning-Arbeitsbereich aus. Geben Sie einen Namen für die Instanz ein, und wählen Sie dann Überprüfen + Erstellen aus. Um die Instanz zu erstellen, wählen Sie Erstellen aus.

  3. Nachdem Sie die Azure Monitor Private Link Scope-Instanz erstellt haben, wählen Sie die Instanz im Azure-Portal aus. Wählen Sie im Abschnitt Konfigurieren die Option Azure Monitor-Ressourcen und dann + Hinzufügen aus.

    Screenshot der Schaltfläche „Hinzufügen“.

  4. Verwenden Sie unter Bereich auswählen die Filter, um die Application Insights-Instanz für Ihren Azure Machine Learning-Arbeitsbereich auszuwählen. Wählen Sie Anwenden aus, um die Instanz hinzuzufügen.

  5. Wählen Sie im Abschnitt Konfigurieren die Option Private Endpunktverbindungen und dann + Privater Endpunkt aus.

    Screenshot der Schaltfläche „Privaten Endpunkt hinzufügen“.

  6. Wählen Sie dasselbe Abonnement, dieselbe Ressourcengruppe und dieselbe Region wie für Ihr virtuelles Netzwerk aus. Wählen Sie Weiter: Ressource.

    Screenshot der Grundlagen des privaten Azure Monitor-Endpunkts.

  7. Wählen Sie Microsoft.insights/privateLinkScopes als Ressourcentyp aus. Wählen Sie den Private Link-Bereich aus, den Sie zuvor als Ressource erstellt haben. Wählen Sie azuremonitor als Ziel-Unteresource aus. Wählen Sie "Weiter" aus: Virtuelles Netzwerk , um den Vorgang fortzusetzen.

    Screenshot der Ressourcen des privaten Azure Monitor-Endpunkts.

  8. Wählen Sie das zuvor erstellte Virtuelle Netzwerk und das Subnetz Training aus. Wählen Sie Weiter aus, bis Sie zu Überprüfen + Erstellen gelangen. Wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.

    Screenshot des Netzwerks des privaten Azure Monitor-Endpunkts.

  9. Kehren Sie nach dem Erstellen des privaten Endpunkts zur Ressource "Azure Monitor Private Link Scope" im Portal zurück. Wählen Sie im Abschnitt Konfigurieren die Option Zugriffsmodi aus. Wählen Sie "Privat" nur für den Zugriffsmodus "Erfassung " und " Abfragezugriffsmodus" aus, und wählen Sie dann " Speichern" aus.

    Screenshot: Zugriffsmodi des Private Link Scope.

Mit dem Arbeitsbereich verbinden

Sie können auf verschiedene Arten eine Verbindung mit dem gesicherten Arbeitsbereich herstellen. In den Schritten in diesem Artikel wird eine Jumpbox verwendet, bei der es sich um einen virtuellen Computer im VNet handelt. Sie können eine Verbindung mit diesem herstellen, indem Sie Ihren Webbrowser und Azure Bastion verwenden. In der folgenden Tabelle sind mehrere andere Möglichkeiten aufgeführt, wie Sie eine Verbindung mit dem sicheren Arbeitsbereich herstellen können:

Methode BESCHREIBUNG
Azure VPN Gateway Stellt eine private Verbindung zwischen lokalen Netzwerken und dem virtuellen Netzwerk her. Die Verbindung erfolgt über das öffentliche Internet.
ExpressRoute Stellt über eine private Verbindung eine Verbindung zwischen lokalen Netzwerken und der Cloud her. Die Verbindung erfolgt mithilfe eines Konnektivitätsanbieters.

Wichtig

Wenn Sie ein VPN-Gateway oder ExpressRoute verwenden, müssen Sie planen, wie die Namensauflösung zwischen Ihren lokalen Ressourcen und denen im virtuellen Netzwerk funktioniert. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten DNS-Servers.

Erstellen einer Jumpbox (VM)

Verwenden Sie die folgenden Schritte, um eine Azure Virtual Machine für die Verwendung als Jumpbox zu erstellen. Mithilfe von Azure Bastion können Sie über Ihren Browser eine Verbindung mit dem VM-Desktop herstellen. Über den VM-Desktop können Sie den Browser auf der VM verwenden, um eine Verbindung mit Ressourcen innerhalb des virtuellen Netzwerks herzustellen, z. B. Azure Machine Learning Studio. Sie können auch Entwicklungstools auf der VM installieren.

Tipp

Die folgenden Schritte erstellen einen virtuellen Windows 11 Enterprise-Computer. Je nach Ihren Anforderungen sollten Sie unter Umständen ein anderes VM-Image auswählen. Das Windows 11 (oder 10) Enterprise-Image ist nützlich, wenn Sie die VM in die Domäne Ihrer Organisation einbinden müssen.

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Virtual Machine ein. Suchen Sie nach dem Eintrag Virtual Machine, und wählen Sie dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen die Einträge für Abonnement, Ressourcengruppe und Region aus, die Sie zuvor für das virtuelle Netzwerk verwendet haben. Stellen Sie Werte für die folgenden Felder bereit:

    • Name des virtuellen Computers: Ein eindeutiger Name für den virtuellen Computer.

    • Benutzername: Der Benutzername, den Sie für die Anmeldung beim virtuellen Computer verwenden.

    • Kennwort: Das Kennwort für den Benutzernamen.

    • Sicherheitstyp: Standard.

    • Bild: Windows 11 Enterprise

      Tipp

      Wenn sich Windows 11 Enterprise nicht in der Liste für die Bildauswahl befindet, verwenden Sie "Alle Bilder anzeigen". Suchen Sie den Windows 11-Eintrag von Microsoft und verwenden Sie die Dropdownliste Auswählen, um das Enterprise-Bild auszuwählen.

    Für die anderen Felder können Sie die Standardwerte belassen.

    Screenshot: Grundlegende Konfiguration einer VM

  3. Wählen Sie Netzwerk und dann das zuvor erstellte Virtuelle Netzwerk aus. Legen Sie die übrigen Felder mithilfe folgender Informationen fest:

    • Wählen Sie das Subnetz Training aus.
    • Legen Sie das Feld Öffentliche IP-Adresse auf Keine fest.
    • Behalten Sie für die anderen Felder den Standardwert bei.

    Screenshot: Netzwerkkonfiguration einer VM

  4. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Verbindung mit der Jump-Box herstellen

  1. Nachdem der virtuelle Computer erstellt wurde, wählen Sie "Zur Ressource wechseln" aus.

  2. Wählen Sie oben auf der Seite die Option Verbinden und dann Über Bastion verbinden aus.

    Tipp

    Azure Bastion verwendet Port 443 für eingehende Kommunikation. Wenn Sie über eine Firewall verfügen, die ausgehenden Datenverkehr einschränkt, stellen Sie sicher, dass sie den Datenverkehr auf Port 443 zum Azure Bastion-Dienst zulässt. Weitere Informationen finden Sie unter Arbeiten mit NSGs und Azure Bastion.

    Screenshot der Verbindungsliste, wobei Bastion ausgewählt ist.

  3. Geben Sie Ihre Authentifizierungsinformationen für den virtuellen Computer ein. Eine Verbindung wird in Ihrem Browser hergestellt.

Erstellen eines Computeclusters und einer Compute-Instanz

Eine Compute-Instanz ermöglicht die Nutzung von Jupyter-Notebooks auf einer freigegebenen Rechneressource, die an Ihren Arbeitsbereich angeschlossen ist.

  1. Öffnen Sie über eine Azure Bastion-Verbindung mit der Jumpbox den Microsoft Edge-Browser auf dem Remotedesktop.

  2. Wechseln Sie in der Remotebrowsersitzung zu https://ml.azure.com . Wenn Sie dazu aufgefordert werden, authentifizieren Sie sich mit Ihrem Microsoft Entra-Konto.

  3. Wählen Sie auf der Seite Willkommen bei Studio den zuvor erstellten Machine Learning-Arbeitsbereich und anschließend Erste Schritte aus.

    Tipp

    Wenn Ihr Microsoft Entra-Konto Zugriff auf mehrere Abonnements oder Verzeichnisse hat, wählen Sie in der Dropdownliste Verzeichnis und Abonnement dasjenige aus, das den Arbeitsbereich enthält.

    Screenshot: Formular zum Auswählen des Machine Learning-Arbeitsbereichs

  4. Wählen Sie in Studio "Berechnen", "Computecluster" und dann +Neu aus.

    Screenshot der Seite

  5. Wählen Sie im Dialogfeld "Virtueller Computer" die Option "Weiter" aus, um die Standardkonfiguration des virtuellen Computers zu übernehmen.

    Screenshot: VM-Konfiguration für Computecluster

  6. Geben Sie im Dialogfeld "Einstellungen konfigurieren" cpu-cluster als Computernamen ein. Legen Sie das Subnetz auf Training und wählen Sie dann "Erstellen" aus, um den Cluster zu erstellen.

    Tipp

    Von Computeclustern werden die Knoten im Cluster nach Bedarf dynamisch skaliert. Lassen Sie die Mindestanzahl von Knoten bei 0, um Kosten zu reduzieren, wenn der Cluster nicht verwendet wird.

    Screenshot des Formulars „Einstellungen konfigurieren“

  7. Wählen Sie in Studio die Optionen Compute, Compute-Instanz und dann + Neu aus.

    Screenshot der Seite Compute Instanzen, auf der die neue Schaltfläche ausgewählt ist.

  8. Geben Sie unter Erforderliche Einstellungen einen eindeutigen Namen für Computername ein, und wählen Sie Weiter aus.

    Screenshot: VM-Konfiguration für Compute-Instanz

  9. Wählen Sie weiterhin Weiter aus, bis Sie zum Dialogfeld Sicherheit gelangen. Wählen Sie unter virtuelles Netzwerk ein VNet aus, und legen Sie Subnetz auf Training fest. Wählen Sie Überprüfen + erstellen und anschließend Erstellen aus.

    Screenshot: „Erweiterte Einstellungen“

Tipp

Wenn Sie einen Computecluster oder eine Compute-Instanz erstellen, wird von Azure Machine Learning eine Netzwerksicherheitsgruppe (NSG) dynamisch hinzugefügt. Diese NSG enthält die folgenden Regeln, die spezifisch für Computecluster und Compute-Instanzen sind:

  • Zulassen des eingehenden TCP-Datenverkehrs an den Ports 29876-29877 vom Diensttag BatchNodeManagement.
  • Zulassen des eingehenden TCP-Datenverkehrs am Port 44224 vom Diensttag AzureMachineLearning.

Im folgenden Screenshot sehen Sie ein Beispiel für diese Regeln:

Screenshot von NSG

Weitere Informationen zum Erstellen eines Computeclusters und einer Computeinstanz, einschließlich der Vorgehensweise mit Python und der CLI, finden Sie in den folgenden Artikeln:

Konfigurieren der Imageerstellung

GILT FÜRAzure CLI-ML-Erweiterung v2 (aktuell)

Wenn sich Azure Container Registry hinter dem virtuellen Netzwerk befindet, kann es von Azure Machine Learning nicht dazu verwendet werden, (für Training und Bereitstellung verwendete) Docker-Images direkt zu erstellen. Konfigurieren Sie stattdessen den Arbeitsbereich für die Verwendung des Computeclusters, den Sie zuvor erstellt haben. Führen Sie die folgenden Schritte aus, um einen Computecluster zu erstellen und den Arbeitsbereich so zu konfigurieren, dass er zum Erstellen von Images verwendet wird:

  1. Wechseln Sie zu https://shell.azure.com/, um die Azure Cloud Shell zu öffnen.

  2. Verwenden Sie in Cloud Shell den folgenden Befehl, um die CLI 2.0 für Azure Machine Learning zu installieren:

    az extension add -n ml

  3. Aktualisieren Sie den Arbeitsbereich, um den Computecluster zum Erstellen von Docker-Images zu verwenden. Ersetzen Sie docs-ml-rg durch Ihre Ressourcengruppe. Ersetzen Sie docs-ml-ws durch den Arbeitsbereich. Ersetzen Sie cpu-cluster durch den Namen des Computeclusters:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Hinweis

    Sie können denselben Computecluster verwenden, um Modelle zu trainieren und Docker-Images für den Arbeitsbereich zu erstellen.

Verwenden Sie den Arbeitsbereich

Wichtig

Die Schritte in diesem Artikel positionieren Azure Container Registry hinter dem virtuellen Netzwerk. In dieser Konfiguration können Sie kein Modell für Azure-Containerinstanzen innerhalb des virtuellen Netzwerks bereitstellen. Verwenden Sie keine Azure-Containerinstanzen mit Azure Machine Learning in einem virtuellen Netzwerk. Weitere Informationen finden Sie unter Schützen der Inferenzumgebung (SDK/CLI v1).

Als Alternative zu Azure Container Instances können Sie verwaltete Onlineendpunkte von Azure Machine Learning ausprobieren. Weitere Informationen finden Sie unter Aktivieren der Netzwerkisolation für verwaltete Onlineendpunkte.

An diesem Punkt können Sie das Studio verwenden, um interaktiv mit Notebooks in der Compute-Instanz zu arbeiten und Trainingsaufträge im Computecluster ausführen zu können. Ein Tutorial zur Verwendung der Compute-Instanz und des Computeclusters finden Sie unter Tutorial: Azure Machine Learning in einem Tag.

Beenden von Compute-Instanz und Jumpbox

Warnung

Während die Compute Instanz ausgeführt (gestartet) wird, greifen die Compute Instanz und die Jump Box weiterhin auf Ihr Abonnement zu. Um übermäßige Kosten zu vermeiden, beenden Sie sie, wenn sie nicht verwendet werden.

Der Computecluster skaliert dynamisch zwischen der minimalen und der maximalen Knotenanzahl, die beim Erstellen festgelegt wurde. Wenn Sie die Standardwerte akzeptieren, beträgt der Mindestwert 0, wodurch der Cluster effektiv deaktiviert wird, wenn er nicht verwendet wird.

Beenden der Compute-Instanz

Wählen Sie in Studio die Optionen Compute, Computecluster und anschließend die Compute-Instanz aus. Wählen Sie abschließend oben auf der Seite die Option Beenden aus.

Screenshot der Schaltfläche „Stop“ für die Compute-Instanz

Beenden der Jumpbox

Nachdem Sie das Sprungfeld erstellt haben, wählen Sie den virtuellen Computer im Azure-Portal aus, und verwenden Sie dann die Schaltfläche " Beenden ". Wenn Sie den virtuellen Computer wiederverwenden möchten, klicken Sie auf die Schaltfläche Starten, um ihn zu starten.

Screenshot: Schaltfläche „Stopp“ für die VM „Jump box“

Sie können die Jumpbox auch so konfigurieren, dass sie zu einem bestimmten Zeitpunkt automatisch heruntergefahren wird. Wählen Sie dazu Automatisch herunterfahren aus, Aktivieren, legen Sie eine Zeit fest, und wählen Sie Speichern aus.

Screenshot der Option „Automatische Abschaltung“.

Bereinigen von Ressourcen

Wenn Sie beabsichtigen, den gesicherten Arbeitsbereich und andere Ressourcen weiterhin zu verwenden, überspringen Sie diesen Abschnitt.

Führen Sie die folgenden Schritte aus, um alle in diesem Tutorial erstellten Ressourcen zu löschen:

  1. Wählen Sie ganz links im Azure-Portal Ressourcengruppen aus.

  2. Wählen Sie in der Liste die Ressourcengruppe aus, die Sie in diesem Tutorial erstellt haben.

  3. Klicken Sie auf Ressourcengruppe löschen.

    Screenshot: Link „Ressourcengruppe löschen“

  4. Geben Sie den Ressourcengruppennamen ein, und wählen Sie dann "Löschen" aus.

Nächste Schritte

Nachdem Sie einen sicheren Arbeitsbereich und ein Zugriffsstudio eingerichtet haben, erfahren Sie, wie Sie ein Modell für einen Onlineendpunkt mit Netzwerkisolation bereitstellen.

Nachdem Sie einen sicheren Arbeitsbereich eingerichtet haben, erfahren Sie, wie Sie ein Modell bereitstellen.

  • Last updated on