Condividi tramite

Esercitazione: Come creare un'area di lavoro sicura con una rete virtuale Azure

In questo articolo, apprendere come creare e connettersi a un'area di lavoro Azure Machine Learning sicura. I passaggi descritti in questo articolo utilizzano una rete virtuale Azure per creare un limite di sicurezza attorno alle risorse utilizzate da Azure Machine Learning.

Importante

Usare la rete virtuale gestita di Azure Machine Learning anziché una rete virtuale di Azure. Per una versione di questa esercitazione che utilizza una rete virtuale gestita, vedere Esercitazione: Creare un'area di lavoro sicura con una rete virtuale gestita.

In questa esercitazione, si svolgeranno le attività seguenti:

  • Creare una rete virtuale di Azure per proteggere le comunicazioni tra i servizi nella rete virtuale.
  • Creare un account di archiviazione Azure (BLOB e file) dietro al VNet. Usare questo servizio come risorsa di archiviazione predefinita per l'area di lavoro.
  • Creare un Azure Key Vault protetto dalla VNet. Usare questo servizio per archiviare i segreti usati dall'area di lavoro, ad esempio le informazioni di sicurezza necessarie per accedere all'account di archiviazione.
  • Creare un Registro Azure Container (ACR). Usare questo servizio come repository per le immagini Docker. Le immagini Docker forniscono gli ambienti di calcolo necessari per il training di un modello di Machine Learning o la distribuzione di un modello sottoposto a training come endpoint.
  • Creare un'area di lavoro di Azure Machine Learning.
  • Creare una jump box. Un jump box è una macchina virtuale di Azure situata dietro la VNet. Poiché la rete virtuale limita l'accesso da Internet pubblico, usare il jump box come modo per connettersi alle risorse dietro la rete virtuale.
  • Configurare lo studio di Azure Machine Learning per funzionare dietro una VNet. Lo studio fornisce un'interfaccia Web per Azure Machine Learning.
  • Creare un cluster di elaborazione di Azure Machine Learning. Usare un cluster di calcolo per il training di modelli di Machine Learning nel cloud. Nelle configurazioni in cui Registro Azure Container si trova dietro la rete virtuale, compila anche immagini Docker.
  • Connettersi alla jump box e utilizzare lo studio di Azure Machine Learning.

Suggerimento

Per un modello che illustra come creare un'area di lavoro sicura, vedere Modello Bicep o modello Terraform.

Dopo aver completato questa esercitazione, è disponibile l'architettura seguente:

  • Una rete virtuale Azure contenente tre subnet:
    • Training: Contiene l'area di lavoro Azure Machine Learning, i servizi di dipendenza e le risorse utilizzate per il training dei modelli.
    • Punteggio: nei passaggi di questa esercitazione, non viene usato. Tuttavia, se continui a usare questa area di lavoro per altri tutorial, utilizza questa subnet quando distribuisci i modelli verso gli endpoint.
    • AzureBastionSubnet: Usatta dal servizio Azure Bastion per connettere in modo sicuro i client alle macchine virtuali Azure.
  • Un'area di lavoro di Azure Machine Learning che usa un endpoint privato per comunicare usando la rete virtuale.
  • Un account di archiviazione di Azure che usa endpoint privati per consentire ai servizi di archiviazione, ad esempio BLOB e file, di comunicare tramite la rete virtuale.
  • Registro Azure Container che usa un endpoint privato per comunicare tramite la rete virtuale.
  • Azure Bastion, in cui si utilizza il browser per comunicare in modo sicuro con la macchina virtuale jump box all'interno della rete virtuale.
  • Una macchina virtuale Azure a cui è possibile collegarsi da remoto e accedere alle risorse protette all'interno della rete virtuale.
  • Un'istanza di ambiente di calcolo Azure Machine Learning e un cluster di elaborazione.

Suggerimento

Il servizio Azure Batch elencato nel diagramma è un servizio back-end richiesto dai cluster di elaborazione e dalle istanze di ambiente di calcolo.

Diagramma dell'architettura finale creata tramite questa esercitazione.

Prerequisiti

  • Acquisire familiarità con le reti virtuali Azure e il networking IP. Se non si ha familiarità, provare il modulo Nozioni fondamentali sulla rete di computer .
  • Sebbene la maggior parte dei passaggi in questo articolo utilizzi il portale Azure o lo studio Azure Machine Learning, alcuni passaggi utilizzano l'estensione dell'interfaccia della riga di comando di Azure per Machine Learning v2.

Creare una rete virtuale

Per creare una rete virtuale, seguire i passaggi seguenti:

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e quindi inserire Rete virtuale nel campo di ricerca. Selezionare la voce Rete virtuale, e quindi selezionare Crea.

    Screenshot del modulo di ricerca risorse con la rete virtuale selezionata.

    Screenshot del modulo di creazione della rete virtuale.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento Azure da usare per questa risorsa e quindi selezionare o creare un nuovo gruppo di risorse. In Dettagli istanza, inserire un nome descrittivo per la propria rete virtuale e selezionare l'area in cui crearla.

    Screenshot del modulo di configurazione di rete virtuale di base.

  3. Seleziona Sicurezza. Selezionare per abilitare Azure Bastion. Azure Bastion offre un modo sicuro per accedere alla jump box della macchina virtuale che viene creata all'interno della rete virtuale in un passaggio successivo. Utilizzare i seguenti valori per i campi rimanenti:

    • Nome Bastion: Un nome univoco per questa istanza di Bastion
    • Indirizzo IP pubblico: Creare un nuovo indirizzo IP pubblico.

    Mantenere i valori predefiniti per gli altri campi.

    Screenshot della configurazione di Bastion.

  4. Selezionare Indirizzi IP. Le impostazioni predefinite dovrebbero essere simili a quelle riportate nell'immagine seguente:

    Screenshot del modulo indirizzo IP predefinito.

    Utilizzare i passaggi seguenti per configurare l'indirizzo IP e configurare una subnet per le risorse di training e valutazione:

    Suggerimento

    Anche se è possibile usare una singola subnet per tutte le risorse di Azure Machine Learning, i passaggi descritti in questo articolo illustrano come creare due subnet per separare le risorse di training e assegnazione dei punteggi.

    L'area di lavoro e altri servizi di dipendenza passano alla subnet di training. Possono comunque essere utilizzati da risorse in altre subnet, come la subnet di valutazione.

    1. Osservare il valore predefinito dello spazio degli indirizzi IPv4. Nello screenshot, il valore è 172.16.0.0/16. Il valore potrebbe essere diverso per l'utente. Sebbene si possa utilizzare un valore diverso, il resto dei passaggi in questa esercitazione si basa sul valore 172.16.0.0/16.

      Avviso

      Non usare l'intervallo di indirizzi IP 172.17.0.0/16 per la rete virtuale. Questo intervallo è l'intervallo di subnet predefinito usato dalla rete bridge Docker e genera errori se viene usato per la rete virtuale. Anche altri intervalli potrebbero essere in conflitto, a seconda di ciò che si vuole connettere alla rete virtuale. Ad esempio, se si prevede di connettere la rete locale alla rete virtuale e la rete locale usa anche l'intervallo 172.16.0.0/16. In definitiva, è necessario pianificare l'infrastruttura di rete.

    2. Selezionare la subnet Predefinita e quindi selezionare l'icona di modifica.

      Screenshot della selezione dell'icona di modifica della subnet predefinita.

    3. Modificare il nome della subnet in Training. Lasciare gli altri valori nelle impostazioni predefinite e quindi selezionare Salva per salvare le modifiche.

    4. Per creare una subnet per le risorse di calcolo usate per assegnare un punteggio ai modelli, selezionare + Aggiungi subnet e impostare il nome e l'intervallo di indirizzi:

      • Nome subnet: Valutazione
      • Indirizzo iniziale: 172.16.2.0
      • Dimensione subnet: /24 (256 indirizzi)

      Screenshot della subnet di assegnazione del punteggio.

    5. Selezionare Aggiungi per aggiungere la subnet.

  5. Selezionare Rivedi e crea.

    Screenshot del pulsante Rivedi + crea.

  6. Verificare che le informazioni siano corrette e quindi selezionare Crea.

    Screenshot della pagina di revisione e creazione della rete virtuale.

Creare un account di archiviazione

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Account di archiviazione. Selezionare la voce Account di archiviazione e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'area precedentemente utilizzati per la rete virtuale. Inserire un nome univoco per l'account di archiviazione e impostare la Ridondanza su archiviazione con ridondanza locale (LRS).

    Screenshot della configurazione di base dell'account di archiviazione.

  3. Nella scheda Rete selezionare Disabilita l'accesso pubblico e quindi selezionare + Aggiungi endpoint privato.

    Screenshot del modulo per aggiungere la rete privata BLOB.

  4. Nel modulo Crea endpoint privato, inserisci i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endpoint privato.
    • Risorsa secondaria di destinazione: BLOB
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Formazione (172.16.0.0/24)
    • Integrazione DNS privato: Sì
    • Zona DNS privato: privatelink.blob.core.windows.net

    Selezionare Aggiungi per creare l'endpoint privato.

  5. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  6. Dopo aver creato l'account di archiviazione, selezionare Vai alla risorsa:

    Screenshot del pulsante Vai alla nuova risorsa di archiviazione.

  7. Nel riquadro di spostamento a sinistra selezionare Rete. Selezionare la scheda Connessioni a endpoint privato, quindi selezionare Endpoint privato:

    Nota

    Sebbene sia stato creato un endpoint privato per l'archiviazione BLOB nei passaggi precedenti, è necessario crearne uno anche per l'archiviazione file.

    Schermata del modulo di rete dell'account di archiviazione.

  8. Nel modulo Crea un endpoint privato usare la stessa sottoscrizione, gruppo di risorse e area usata per le risorse precedenti. Immettere un nome univoco.

    Screenshot del modulo di base quando si aggiunge l'endpoint privato del file.

  9. Selezionare Avanti: Risorsa, e quindi impostare Risorsa secondaria di destinazione su file.

    Screenshot del modulo della risorsa quando si seleziona una subrisorsa di tipo

  10. Selezionare Avanti : Rete virtuale e quindi usare i valori seguenti:

    • Rete virtuale: La rete creata in precedenza
    • Subnet: formazione

    Screenshot del modulo di configurazione quando si aggiunge l'endpoint privato del file.

  11. Continuare a completare le schede selezionando le impostazioni predefinite fino a raggiungere Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

Suggerimento

Se si prevede di usare un endpoint batch o una pipeline di Azure Machine Learning che usa un oggetto ParallelRunStep, è anche necessario configurare endpoint privati che usano le sottorisorse coda e tabella di destinazione. ParallelRunStep usa internamente la coda e la tabella per la pianificazione e l'invio delle attività.

Creare una cassaforte delle chiavi

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Key Vault. Selezionare la voce Key Vault e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'area precedentemente utilizzati per la rete virtuale. Immettere un nome univoco per il Key vault. Mantenere i valori predefiniti per gli altri campi.

    Screenshot del modulo principale durante la creazione di un nuovo insieme di credenziali delle chiavi.

  3. Nella scheda Rete deselezionare Abilita l'accesso pubblico e quindi selezionare + Crea un endpoint privato.

    Screenshot del modulo di rete quando si aggiunge un endpoint privato per l'insieme di credenziali delle chiavi.

  4. Nel modulo Crea endpoint privato, inserisci i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endpoint privato.
    • Risorsa secondaria di destinazione: Vault
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Formazione (172.16.0.0/24)
    • Abilitare l'integrazione DNS privato: sì
    • Zona DNS privata: Selezionare il gruppo di risorse che contiene la rete virtuale e il Key Vault.

    Selezionare Aggiungi per creare l'endpoint privato.

    Screenshot del modulo di configurazione per l'endpoint privato dell'insieme di credenziali delle chiavi.

  5. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  6. Quando viene creato il Key Vault, selezionare Vai alla risorsa.

  7. Nel riquadro di spostamento a sinistra selezionare Rete. Nella scheda Firewall e reti virtuali selezionare la casella di controllo Consenti ai servizi Microsoft attendibili di ignorare il firewall e selezionare Applica.

Creare un registro dei container

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Registro contenitori. Selezionare la voce Registro contenitori e quindi selezionareCrea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e lalocalità precedentemente utilizzati per la rete virtuale. Immettere un nome univoco per il Registro e impostare lo SKU su Premium.

    Screenshot del modulo di base durante la creazione di un registro di container.

  3. Dalla scheda Rete, selezionare Endpoint privato e quindi selezionare + Aggiungi.

    Screenshot del modulo di rete quando si aggiunge un endpoint privato del registro contenitori.

  4. Nel modulo Crea endpoint privato, inserisci i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endpoint privato.
    • Risorsa secondaria di destinazione: registro
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Formazione (172.16.0.0/24)
    • Integrazione DNS privato: Sì
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale e il registro contenitori.

    Selezionare Aggiungi per creare l'endpoint privato.

    Screenshot del modulo di configurazione per l'endpoint privato del registro dei contenitori.

  5. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  6. Dopo la creazione del registro contenitori, selezionare Vai alla risorsa.

    Screenshot del pulsante Vai alla risorsa.

  7. Dalla parte sinistra della pagina, selezionare Chiavi di accesso e quindi abilitare Utente amministratore. Questa impostazione è necessaria quando si usa Registro Azure Container all'interno di una rete virtuale con Azure Machine Learning.

    Screenshot del modulo delle chiavi di accesso del registro contenitori con l'opzione dell'utente amministratore abilitata.

Creare un'area di lavoro

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Dal menu, selezionare + Crea una risorsa e poi inserire Machine Learning. Selezionare la voce Machine Learning e quindi selezionare Crea.

    Screenshot della pagina di creazione per Azure Machine Learning.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'Area precedentemente utilizzati per la rete virtuale. Utilizzare i seguenti valori per gli altri campi:

    • Nome: un nome univoco per l'area di lavoro.
    • Account di archiviazione: selezionare l'account di archiviazione creato in precedenza.
    • Key Vault: selezionare il Key Vault creato in precedenza.
    • Application insights: usare il valore predefinito.
    • Registro contenitori: usare il registro contenitori creato in precedenza.

    Screenshot del modulo di configurazione dell'area di lavoro di base.

  3. Dalla scheda Rete, selezionare Privato con accesso in uscita a Internet. Nella sezione Accesso in ingresso all'area di lavoro, selezionare + Aggiungi.

  4. Nel modulo Crea endpoint privato, inserisci i seguenti valori:

    • Sottoscrizione: la stessa sottoscrizione di Azure che contiene le risorse precedenti.
    • Gruppo di risorse: lo stesso gruppo di risorse di Azure che contiene le risorse precedenti.
    • Località: la stessa area di Azure che contiene le risorse precedenti.
    • Nome: Un nome univoco per l'endpoint privato.
    • Risorsa secondaria di destinazione: amlworkspace
    • Rete virtuale: La rete virtuale creata in precedenza.
    • Subnet: Formazione (172.16.0.0/24)
    • Integrazione DNS privato: Sì
    • Zona DNS privato: Lasciare le due zone DNS private ai valori predefiniti di privatelink.api.azureml.ms e privatelink.notebooks.azure.net.

    Selezionare OK per creare l'endpoint privato.

    Screenshot del modulo di configurazione della rete privata dell'area di lavoro.

  5. Dalla scheda rete, nella sezioneAccesso in uscita dall'area di lavoro, selezionare Usa la mia rete virtuale.

  6. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

  7. Dopo aver creato l'area di lavoro, selezionare Vai alla risorsa.

  8. Dalla sezione Impostazioni a sinistra selezionare Rete, Connessioni endpoint privato e quindi selezionare il collegamento nella colonna Endpoint privato:

    Screenshot delle connessioni degli endpoint privati per l'area di lavoro.

  9. Una volta che appaiono le informazioni sull'endpoint privato, selezionare Configurazione DNS sulla sinistra della pagina. Salvare l'indirizzo IP e le informazioni sul nome di dominio completo (FQDN) presenti nella pagina.

    Screenshot delle voci IP e di nome di dominio completo per l'area di lavoro.

Importante

Ci sono ancora alcuni passaggi di configurazione necessari prima di poter utilizzare pienamente l'area di lavoro. Tuttavia, questi passaggi richiedono la connessione all'area di lavoro.

Abilitare la funzione studio

Azure Machine Learning Studio è un'applicazione basata sul Web usata per gestire l'area di lavoro. Tuttavia, è necessaria una configurazione aggiuntiva prima di poterla usare con risorse protette all'interno di una rete virtuale. Per abilitare Studio, seguire questa procedura:

  1. Quando si usa un account di archiviazione di Azure con un endpoint privato, aggiungere l'entità servizio per l'area di lavoro come Lettore per gli endpoint privati di archiviazione. Dal portale di Azure, selezionare il proprio account di archiviazione e quindi selezionare Rete. Successivamente, selezionare connessioni di endpoint privati.

    Schermata delle connessioni all'endpoint privato di archiviazione.

  2. Per ciascun endpoint privato elencato, usare i seguenti passaggi:

    1. Seleziona il link nella colonna Endpoint privato.

      Screenshot dei collegamenti all'endpoint nella colonna di endpoint privato.

    2. Selezionare Controllo di accesso (IAM) sul lato sinistro.

    3. Selezionare + Aggiungi e quindi Aggiungi assegnazione di ruolo (anteprima).

      Pagina di controllo degli accessi (IAM) con il menu Aggiungi assegnazione ruolo aperto.

    4. Nella scheda Ruolo, selezionare il ruolo Lettore.

      Pagina Aggiungi assegnazione di ruolo con la scheda Ruolo selezionata.

    5. Nella scheda Membri selezionare Utente, gruppo o entità servizio nell'area Assegna accesso a e quindi selezionare + Seleziona membri. Nella finestra di dialogo Seleziona membri, inserire il nome come area di lavoro di Azure Machine Learning. Selezionare l'entità servizio per l'area di lavoro, quindi utilizzare il pulsante Seleziona.

    6. Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.

Proteggere Monitoraggio di Azure e Application Insights

Nota

Per altre informazioni sulla protezione di Monitoraggio di Azure e Application Insights, vedere gli articoli seguenti:

  1. Nel portale di Azure selezionare Home e quindi cercare Collegamento privato. Selezionare il risultato Ambito di collegamento privato di Azure Monitor e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare lo stesso Abbonamento, Gruppo di risorse e Area del gruppo di risorse come la propria area di lavoro di Azure Machine Learning. Inserire un Nome per l'istanza, poi selezionare Rivedi + Crea. Per creare l'istanza, selezionare Crea.

  3. Dopo aver creato l'istanza di ambito di collegamento privato per Azure Monitor, selezionare l'istanza nel portale di Azure. Dalla sezione Configura, selezionare Risorse di Monitoraggio di Azure e quindi selezionare + Aggiungi.

    Screenshot del pulsante Aggiungi.

  4. Da Seleziona un ambito, utilizzare i filtri per selezionare l'istanza di Application Insights per la propria area di lavoro di Azure Machine Learning. Selezionare Applica per aggiungere l'istanza.

  5. Dalla sezione Configura, selezionare Connessioni endpoint privati e quindi selezionare + Endpoint privato.

    Screenshot del pulsante Aggiungi Endpoint Privato.

  6. Selezionare la stessa Sottoscrizione, lo stesso Gruppo di risorse e la stessa Area che contiene la rete virtuale. Selezionare Avanti: Risorsa.

    Screenshot delle informazioni di base sull'endpoint privato di Monitoraggio di Azure.

  7. Selezionare Microsoft.insights/privateLinkScopes come Tipo di risorsa. Selezionare come Risorsa l'ambito di collegamento privato creato in precedenza. Selezionare azuremonitor come Risorsa secondaria di destinazione. Selezionare Avanti: Rete virtuale per continuare.

    Screenshot delle risorse dell'endpoint privato di Azure Monitor.

  8. Selezionare la Rete virtuale creata in precedenza e la subnet Training. Selezionare Avanti fino ad arrivare a Rivedi + Crea. Infine, selezionare Crea per creare l'endpoint privato.

    Screenshot della rete di endpoint privati di Monitoraggio di Azure.

  9. Una volta che hai creato l'endpoint privato, ritorna alla risorsa Azure Monitor Private Link Scope nel portale. Dalla sezione Configura, selezionare Modalità di accesso. Selezionare Solo privato per modalità di accesso all'inserimento e Modalità di accesso alle query e quindi selezionare Salva.

    Screenshot delle modalità di accesso all'ambito collegamento privato.

Connettersi all'area di lavoro

È possibile connettersi all'area di lavoro protetta in diversi modi. I passaggi descritti in questo articolo usano una jump box, ossia una macchina virtuale nella rete virtuale. È possibile connettersi a esso usando il Web browser e Azure Bastion. La tabella seguente elenca diversi altri modi in cui è possibile connettersi all'area di lavoro sicura:

metodo Descrizione
Gateway VPN di Azure Connette le reti locali alla rete virtuale di Azure tramite una connessione privata. La connessione viene stabilita nella rete Internet pubblica.
ExpressRoute Connette le reti locali nel cloud tramite una connessione privata. La connessione viene stabilita usando un provider di connettività.

Importante

Quando si usa un gateway VPN o ExpressRoute, è necessario pianificare il funzionamento della risoluzione dei nomi tra le risorse locali e quelle nella rete virtuale. Per altre informazioni, vedere Usare un server DNS personalizzato.

Creare una jump box (macchina virtuale)

Usare la procedura seguente per creare una macchina virtuale di Azure da usare come jump box. Usando Azure Bastion, è possibile connettersi al desktop della macchina virtuale tramite il browser. Dal desktop della macchina virtuale è possibile usare il browser nella macchina virtuale per connettersi alle risorse all'interno della rete virtuale, ad esempio Azure Machine Learning Studio. In alternativa, è possibile installare strumenti di sviluppo nella macchina virtuale.

Suggerimento

La procedura seguente consente di creare una macchina virtuale Windows 11 Enterprise. A seconda dei requisiti, potrebbe essere necessario selezionare un'immagine di macchina virtuale diversa. L'immagine di Windows 11 (o 10) Enterprise è utile se è necessario aggiungere la macchina virtuale al dominio dell'organizzazione.

  1. Nel portale Azure, selezionare il menu del portale in alto a sinistra. Nel menu selezionare + Crea una risorsa e poi inserire Macchina virtuale. Selezionare la voce Macchina virtuale, e quindi selezionare Crea.

  2. Dalla scheda Informazioni di base, selezionare l'abbonamento, il gruppo di risorse e l'Area precedentemente utilizzati per la rete virtuale. Fornire i valori per i campi seguenti:

    • Nome macchina virtuale: un nome univoco per la macchina virtuale.

    • Nome utente: il nome utente usato per accedere alla macchina virtuale.

    • Password: la password del nome utente.

    • Tipo di sicurezza: Standard.

    • Immagine: Windows 11 Enterprise.

      Suggerimento

      Se Windows 11 Enterprise non è presente nell'elenco per la selezione di immagini, usa Visualizza tutte le immagini. Trovare la voce Windows 11 di Microsoft e usare il menu a discesa "Seleziona" per scegliere l'immagine azienda.

    È possibile mantenere i valori predefiniti per gli altri campi.

    Screenshot della configurazione di base della macchina virtuale.

  3. Selezionare Rete e quindi selezionare la scheda Rete virtuale creata in precedenza. Usare le seguenti informazioni per impostare i campi rimanenti:

    • Selezionare la subnet Training.
    • Impostare l'IP pubblico su Nessuno.
    • Mantenere i valori predefiniti per gli altri campi.

    Screenshot della configurazione di rete della macchina virtuale.

  4. Selezionare Rivedi e crea. Verificare che le informazioni siano corrette e quindi selezionare Crea.

Connettersi alla jump box

  1. Dopo aver creato la macchina virtuale, selezionare Vai alla risorsa.

  2. Dalla parte superiore della pagina selezionare Connetti e quindi Connetti tramite Bastion.

    Suggerimento

    Azure Bastion usa la porta 443 per la comunicazione in ingresso. Se si dispone di un firewall che limita il traffico in uscita, assicurarsi che consenta il traffico sulla porta 443 al servizio Azure Bastion. Per ulteriori informazioni, vedere Lavorare con i gruppi di sicurezza di rete e Azure Bastion.

    Screenshot dell'elenco delle connessioni con Bastion selezionato.

  3. Immettere le informazioni di autenticazione per la macchina virtuale. Una connessione viene stabilita nel browser.

Creare un cluster e un'istanza di elaborazione

Un'istanza di ambiente di calcolo fornisce un'esperienza Jupyter Notebook su una risorsa di calcolo condivisa collegata all'area di lavoro.

  1. Da una connessione Azure Bastion alla jump box, aprire il browser Microsoft Edge sul desktop remoto.

  2. Nella sessione del browser remoto, andare su https://ml.azure.com. Quando richiesto, eseguire l'autenticazione usando l'account Microsoft Entra.

  3. Dalla schermata di Benvenuto in studio!, selezionare l'area di lavoro di Machine Learning creata in precedenza e quindi selezionare Inizia.

    Suggerimento

    Se il proprio account Microsoft Entra ha accesso a più abbonamenti o directory, utilizzare il menu a tendina per Directory e Abbonamenti al fine di selezionare quella che contiene l'area di lavoro.

    Screenshot del formulario di selezione dell'area di lavoro Machine Learning.

  4. Da Studio selezionare Calcolo, Cluster di calcolo e quindi + Nuovo.

    Screenshot della pagina dei cluster di calcolo, con il nuovo pulsante selezionato.

  5. Nella finestra di dialogo Macchina virtuale selezionare Avanti per accettare la configurazione predefinita della macchina virtuale.

    Screenshot della configurazione della macchina virtuale del cluster di elaborazione.

  6. Nella finestra di dialogo Configura impostazioni immettere cpu-cluster come nome di calcolo. Impostare Subnet su Training e quindi selezionare Crea per creare il cluster.

    Suggerimento

    I cluster di calcolo scalano dinamicamente i nodi nel cluster a seconda delle necessità. Lasciare il numero minimo di nodi a 0 per ridurre i costi quando il cluster non è in uso.

    Screenshot del modulo di configurazione delle impostazioni.

  7. Da Studio, selezionare Calcolo, Istanza di calcolo e successivamente + Nuovo.

    Screenshot della pagina delle istanze di calcolo con il nuovo pulsante selezionato.

  8. In Impostazioni necessarie immettere un Nome computer univoco e selezionare Avanti.

    Screenshot della configurazione della macchina virtuale come istanza di ambiente di calcolo.

  9. Continuare a selezionare Avanti fino a visualizzare la finestra di dialogo Sicurezza, selezionare Rete virtuale e impostare Subnet su Training. Selezionare Rivedi e crea e quindi Crea.

    Screenshot delle impostazioni avanzate.

Suggerimento

Quando si crea un cluster di elaborazione o un'istanza di calcolo, Azure Machine Learning aggiunge dinamicamente un Gruppo di Sicurezza di Rete (NSG). Questo NSG contiene le seguenti regole, specifiche per il cluster di elaborazione e l'istanza di calcolo:

  • Consentire il traffico TCP in entrata sulle porte 29876-29877 dal tag del servizio BatchNodeManagement.
  • Consentire il traffico TCP in entrata sulla porta 44224 dal tag del servizio AzureMachineLearning.

Lo screenshot seguente mostra un esempio di queste regole:

Schermata del gruppo di sicurezza di rete

Per altre informazioni sulla creazione di un cluster di calcolo e un'istanza di calcolo, tra cui come eseguire questa operazione con Python e l'interfaccia della riga di comando, vedere gli articoli seguenti:

Configurare la creazione di immagini

SI APPLICA A:Estensione ML dell'interfaccia della riga di comando di Azure v2 (corrente)

Quando Registro Azure Container è protetto dalla rete virtuale, Azure Machine Learning non può utilizzarlo direttamente per compilare immagini Docker (utilizzate per il training e la distribuzione). Invece, configurare l'area di lavoro per utilizzare il cluster di elaborazione creato in precedenza. Utilizzare i seguenti passaggi per creare un cluster di elaborazione e configurare l'area di lavoro per usarlo per compilare immagini:

  1. Passare a https://shell.azure.com/ per aprire Azure Cloud Shell.

  2. Dalla Cloud Shell, utilizzare il seguente comando per installare la CLI 2.0 per Azure Machine Learning:

    az extension add -n ml

  3. Aggiornare l'area di lavoro per usare il cluster di calcolo per creare le immagini Docker. Sostituisci docs-ml-rg con il tuo gruppo di risorse. Sostituire docs-ml-ws con la tua area di lavoro. Sostituire cpu-cluster con il nome del cluster di elaborazione:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Nota

    È possibile utilizzare lo stesso cluster di elaborazione per eseguire il training di modelli e compilare immagini Docker per l'area di lavoro.

Usare l'area di lavoro

Importante

La procedura descritta in questo articolo mette il registro Azure Container dietro alla rete virtuale. In questa configurazione non è possibile distribuire un modello in Istanze di Azure Container all'interno della rete virtuale. Non usare Istanze di Azure Container con Azure Machine Learning in una rete virtuale. Per maggiori informazioni, vedere Sicurezza dell'ambiente di inferenza (SDK/CLI v1).

Come alternativa a Istanze di Azure Container, provare gli endpoint online gestiti di Azure Machine Learning. Per altre informazioni, vedere Abilitare l'isolamento rete per gli endpoint online gestiti.

A questo punto, è possibile utilizzare lo studio per lavorare interattivamente con i notebook sull'istanza di calcolo e eseguire lavori di training sul cluster di elaborazione. Per un'esercitazione sull'uso dell'istanza di calcolo e del cluster di elaborazione, vedere Esercitazione: Azure Machine Learning in un giorno.

Arrestare l'istanza dell'ambiente di calcolo e la jump box

Avviso

Quando è in esecuzione (avviata), l'istanza dell'ambiente di calcolo e la jump box continuano a generare addebiti sulla sottoscrizione. Per evitare costi in eccesso, arrestarli quando non sono in uso.

Il cluster di calcolo viene ridimensionato in modo dinamico tra il numero minimo e il numero massimo di nodi impostati durante la creazione. Se si accettano le impostazioni predefinite, il valore minimo è 0, che disattiva effettivamente il cluster quando non è in uso.

Ferma l'istanza di calcolo

Da Studio, selezionare Calcolo, Cluster di calcolo e quindi selezionare l'istanza di calcolo. Infine, selezionare Arresta nella parte superiore della pagina.

Screenshot del pulsante di arresto dell'istanza di calcolo.

Arrestare la jump box

Dopo aver creato la jump box, selezionare la macchina virtuale nel portale di Azure e quindi usare il pulsante Arresta . Quando si è pronti ad utilizzarla di nuovo, utilizzare il pulsante Avvia per avviarla.

Screenshot del pulsante di arresto per la macchina virtuale jump box.

È possibile anche configurare la jump box in modo che si arresti automaticamente in un orario specifico. Per fare ciò, selezionare Arresto automatico, Abilita, impostare un orario e quindi selezionare Salva.

Screenshot dell'opzione di spegnimento automatico.

Pulire le risorse

Se si prevede di continuare a usare l'area di lavoro protetta e altre risorse, ignorare questa sezione.

Per eliminare tutte le risorse create in questa esercitazione, seguire i seguenti passaggi:

  1. Nel portale di Azure fare clic su Gruppi di risorse all'estrema sinistra.

  2. Dall'elenco, selezionare il gruppo di risorse creato in questa esercitazione.

  3. Selezionare Elimina gruppo di risorse.

    Screenshot del link per eliminare il gruppo di risorse.

  4. Immettere il nome del gruppo di risorse e quindi selezionare Elimina.

Passaggi successivi

Dopo aver configurato un'area di lavoro sicura e uno studio di accesso, scopri come distribuire un modello in un endpoint online con isolamento di rete.

Dopo aver configurato un'area di lavoro sicura, imparare come distribuire un modello.

  • Last updated on