Zelfstudie: Een beveiligde werkruimte maken met een virtueel Azure-netwerk

In dit artikel leert u hoe u een beveiligde Azure Machine Learning-werkruimte maakt en er verbinding mee maakt. In de stappen in dit artikel wordt een virtueel Azure-netwerk gebruikt om een beveiligingsgrens te maken rond resources die door Azure Machine Learning worden gebruikt.

Belangrijk

Gebruik het beheerde virtuele netwerk van Azure Machine Learning in plaats van een virtueel Azure-netwerk. Zie Zelfstudie: Een beveiligde werkruimte maken met een beheerd virtueel netwerk voor een versie van deze zelfstudie die gebruikmaakt van een beheerd virtueel netwerk.

In deze zelfstudie voert u de volgende taken uit:

  • Maak een Virtueel Azure-netwerk (VNet) om de communicatie tussen services in het virtuele netwerk te beveiligen.
  • Maak een Azure Storage-account (blob en bestand) achter het VNet. Gebruik deze service als de standaardopslag voor de werkruimte.
  • Maak een Azure Key Vault achter het VNet. Gebruik deze service om geheimen op te slaan die door de werkruimte worden gebruikt, zoals de beveiligingsgegevens die nodig zijn voor toegang tot het opslagaccount.
  • Een ACR (Azure Container Registry) maken. Gebruik deze service als opslagplaats voor Docker-images. Docker-installatiekopieën bieden de rekenomgevingen die nodig zijn bij het trainen van een machine learning-model of het implementeren van een getraind model als eindpunt.
  • Een Azure Machine Learning-werkruimte maken
  • Maak een jumpbox. Een jumpbox is een virtuele Azure-machine die zich achter het VNet bevindt. Omdat het VNet de toegang vanaf het openbare internet beperkt, gebruikt u de jumpbox als een manier om verbinding te maken met resources achter het VNet.
  • Configureer Azure Machine Learning-studio om achter een VNet te werken. De studio biedt een webinterface voor Azure Machine Learning.
  • Maak een Azure Machine Learning-rekencluster. Gebruik een rekencluster bij het trainen van machine learning-modellen in de cloud. In configuraties waar Azure Container Registry zich achter het VNet bevindt, worden ook Docker-installatiekopieën gebouwd.
  • Maak verbinding met de jumpbox en gebruik de Azure Machine Learning-studio.

Aanbeveling

Zie Bicep-sjabloon of Terraform-sjabloon voor een sjabloon die laat zien hoe u een beveiligde werkruimte maakt.

Nadat u deze zelfstudie hebt voltooid, hebt u de volgende architectuur:

  • Een virtueel Azure-netwerk met drie subnetten:
    • Training: Bevat de Azure Machine Learning-werkruimte, afhankelijkheidsservices en resources die worden gebruikt voor trainingsmodellen.
    • Scoren: Voor de stappen in deze handleiding wordt het niet gebruikt. Als u deze werkruimte echter blijft gebruiken voor andere zelfstudies, gebruikt u dit subnet bij het implementeren van modellen op eindpunten.
    • AzureBastionSubnet: wordt gebruikt door de Azure Bastion-service om clients veilig te verbinden met Azure Virtuele Machines.
  • Een Azure Machine Learning-werkruimte die gebruikmaakt van een privé-eindpunt om te communiceren met behulp van het virtuele netwerk.
  • Een Azure Storage-account dat gebruikmaakt van privé-eindpunten om opslagservices zoals blob en bestand te laten communiceren met behulp van het virtuele netwerk.
  • Een Azure Container Registry dat gebruikmaakt van een privé-eindpunt om te communiceren met behulp van het virtuele netwerk.
  • Azure Bastion, waarmee u uw browser gebruikt om veilig te communiceren met de jumpbox-VM in het virtuele netwerk.
  • Een virtuele Azure-machine waarmee u op afstand verbinding kunt maken met en toegang kunt krijgen tot resources die zijn beveiligd in het virtuele netwerk.
  • Een Azure Machine Learning-rekenproces en een rekencluster.

Aanbeveling

De Azure Batch-service die in het diagram wordt vermeld, is een back-endservice die vereist is voor de rekenclusters en rekeninstanties.

Diagram van de uiteindelijke architectuur die in deze zelfstudie is gemaakt.

Vereisten

  • Bekendheid met virtuele Netwerken en IP-netwerken van Azure. Als u niet bekend bent met, probeer de Basisprincipes van computer-netwerken module.
  • Hoewel de meeste stappen in dit artikel azure portal of de Azure Machine Learning-studio gebruiken, gebruiken sommige stappen de Azure CLI-extensie voor Machine Learning v2.

Een virtueel netwerk maken

Gebruik de volgende stappen om een virtueel netwerk te maken:

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer + Een resource maken in het menu en voer vervolgens Virtual Network in het zoekveld in. Selecteer de virtuele netwerkvermelding en selecteer vervolgens Maken.

    Schermopname van het zoekformulier voor resources met virtueel netwerk geselecteerd.

    Schermopname van het formulier voor het maken van een virtueel netwerk.

  2. Selecteer op het tabblad Basis het Azure-abonnement dat u voor deze resource wilt gebruiken en selecteer of maak vervolgens een nieuwe resourcegroep. Voer onder Instantiedetails een beschrijvende naam in voor uw virtuele netwerk en selecteer de regio waarin u het wilt maken.

    Schermopname van het basisformulier voor de configuratie van een virtueel netwerk.

  3. Selecteer Beveiliging. Selecteer deze optie om Azure Bastion in te schakelen. Azure Bastion biedt in een latere stap een veilige manier om toegang te krijgen tot de VM-jumpbox die u in het virtuele netwerk maakt. Gebruik de volgende waarden voor de resterende velden:

    • Bastion-naam: een unieke naam voor dit Bastion-exemplaar
    • Openbaar IP-adres: maak een nieuw openbaar IP-adres.

    Laat de andere velden op de standaardwaarden staan.

    Schermopname van Bastion-configuratie.

  4. Selecteer IP-adressen. De standaardinstellingen moeten er ongeveer uitzien als in de volgende afbeelding:

    Schermopname van het standaard-IP-adresformulier.

    Gebruik de volgende stappen om het IP-adres te configureren en een subnet te configureren voor trainings- en scorebronnen:

    Aanbeveling

    Hoewel u één subnet voor alle Azure Machine Learning-resources kunt gebruiken, ziet u in de stappen in dit artikel hoe u twee subnetten maakt om de trainings- en scorebronnen te scheiden.

    De werkruimte en andere afhankelijkheidsservices gaan naar het trainingssubnet. Ze kunnen nog steeds worden gebruikt door resources in andere subnetten, zoals het scoresubnet.

    1. Bekijk de standaardwaarde voor de IPv4-adresruimte . In de schermopname is de waarde 172.16.0.0/16. De waarde kan voor u anders zijn. Hoewel u een andere waarde kunt gebruiken, zijn de rest van de stappen in deze zelfstudie gebaseerd op de waarde 172.16.0.0/16.

      Waarschuwing

      Gebruik niet het IP-adresbereik 172.17.0.0/16 voor uw virtuele netwerk. Dit bereik is het standaardsubnetbereik dat wordt gebruikt door het Docker Bridge-netwerk en resulteert in fouten als u dit voor uw virtuele netwerk gebruikt. Andere bereiken kunnen ook conflicteren, afhankelijk van wat u wilt verbinden met het virtuele netwerk. Als u bijvoorbeeld van plan bent om uw on-premises netwerk te verbinden met het virtuele netwerk en uw on-premises netwerk ook het bereik 172.16.0.0/16 gebruikt. Uiteindelijk moet u uw netwerkinfrastructuur plannen.

    2. Selecteer het standaardsubnet en selecteer vervolgens het bewerkingspictogram.

      Schermopname van het selecteren van het bewerkingspictogram van het standaardsubnet.

    3. Wijzig de naam van het subnet in Training. Laat de andere waarden op de standaardinstellingen staan en selecteer Opslaan om de wijzigingen op te slaan.

    4. Als u een subnet wilt maken voor rekenresources die worden gebruikt om uw modellen te scoren , selecteert u + Subnet toevoegen en stelt u de naam en het adresbereik in:

      • Subnetnaam: Scoren
      • Beginadres: 172.16.2.0
      • Subnetgrootte: /24 (256 adressen)

      Schermopname van het score-subnet.

    5. Selecteer Toevoegen om het subnet toe te voegen.

  5. Selecteer Beoordelen + maken.

    Schermopname van de knop Beoordelen en maken.

  6. Controleer of de informatie juist is en selecteer Maken.

    Schermopname van de pagina voor het controleren en maken van het virtuele netwerk.

Een opslagaccount maken

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer + Een resource maken in het menu en voer vervolgens opslagaccount in. Selecteer de opslagaccountoptie en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Voer een unieke opslagaccountnaam in en stel Redundantie in op Lokaal redundante opslag (LRS).

    Schermopname van de basisconfiguratie van het opslagaccount.

  3. Selecteer openbare toegang uitschakelen op het tabblad Netwerken en selecteer vervolgens + Privé-eindpunt toevoegen.

    Schermopname van het formulier om het privénetwerk van de blob toe te voegen.

  4. Vul op het formulier privé-eindpunt maken de volgende waarden in:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: blob
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Privé-DNS integratie: Ja
    • Privé-DNS zone: privatelink.blob.core.windows.net

    Selecteer Toevoegen om het privé-eindpunt te maken.

  5. Selecteer Beoordelen + maken. Controleer of de informatie juist is en selecteer Maken.

  6. Zodra het opslagaccount is gemaakt, selecteert u Ga naar de resource:

    Schermopname van de knop Naar nieuwe opslagresource gaan.

  7. Selecteer Netwerken in het linkernavigatievenster. Selecteer het tabblad Privé-eindpuntverbindingen en selecteer vervolgens + Privé-eindpunt:

    Notitie

    Terwijl u in de vorige stappen een privé-eindpunt voor Blob Storage hebt gemaakt, moet u er ook een maken voor File Storage.

    Schermopname van het netwerkformulier van het opslagaccount.

  8. Gebruik in het formulier Een privé-eindpunt maken hetzelfde abonnement, dezelfde resourcegroep en regio die u hebt gebruikt voor eerdere resources. Voer een unieke naam in.

    Schermopname van het basisformulier bij het toevoegen van het privé-eindpunt van het bestand.

  9. Selecteer Volgende: Resource en stel vervolgens doelsubresource in op bestand.

    Schermopname van het resourceformulier bij het selecteren van een subresource van 'bestand'.

  10. Selecteer Volgende: Virtual Network en gebruik vervolgens de volgende waarden:

    • Virtueel netwerk: het netwerk dat u eerder hebt gemaakt
    • Subnet: Opleiding

    Schermopname van het configuratieformulier bij het toevoegen van het privé-eindpunt van het bestand.

  11. Ga door de tabbladen met de standaardinstellingen totdat u Review + Create bereikt. Controleer of de informatie juist is en selecteer Maken.

Aanbeveling

Als u van plan bent een batch-eindpunt of een Azure Machine Learning-pijplijn te gebruiken die gebruikmaakt van een ParallelRunStep, moet u ook privé-eindpunten configureren die doelwachtrij en tabelsubresources zijn. ParallelRunStep maakt intern gebruik van wachtrij en tabel voor taakplanning en verzending.

Maak een Key Vault.

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Vanuit het menu, selecteer + Een resource maken en voer vervolgens Key Vault in. Selecteer de Key Vault en selecteer daarna Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Voer een unieke sleutelkluisnaam in. Laat de andere velden op de standaardwaarde staan.

    Schermopname van het basisformulier bij het maken van een nieuwe sleutelkluis.

  3. Schakel op het tabblad Netwerken de optie Openbare toegang inschakelen uit en selecteer vervolgens + maak een privé-eindpunt.

    Schermopname van het netwerkformulier bij het toevoegen van een privé-eindpunt voor de sleutelkluis.

  4. Vul op het formulier privé-eindpunt maken de volgende waarden in:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: Kluis
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Integratie van Privé-DNS inschakelen: Ja
    • Privé-DNS zone: selecteer de resourcegroep die het virtuele netwerk en de sleutelkluis bevat.

    Selecteer Toevoegen om het privé-eindpunt te maken.

    Schermopname van het configuratieformulier voor het privé-eindpunt van de sleutelkluis.

  5. Selecteer Beoordelen + maken. Controleer of de informatie juist is en selecteer Maken.

  6. Wanneer de sleutelkluis is gemaakt, selecteert u Ga naar de resource.

  7. Selecteer Netwerken in het linkernavigatievenster. Schakel op het tabblad Firewalls en virtuele netwerken het selectievakje in voor Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen en selecteer Toepassen.

Een containerregister maken

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. In het menu selecteer je + Een resource maken en voer vervolgens de Container Registry in. Selecteer de Container Registry entry en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de locatie die u eerder hebt gebruikt voor het virtuele netwerk. Voer een unieke registernaam in en stel de SKU in op Premium.

    Schermopname van het basisformulier bij het maken van een containerregister.

  3. Selecteer op het tabblad Netwerken het privé-eindpunt en selecteer vervolgens + Toevoegen.

    Schermopname van het netwerkformulier bij het toevoegen van een privé-eindpunt voor een containerregister.

  4. Vul op het formulier privé-eindpunt maken de volgende waarden in:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: registersysteem
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Privé-DNS integratie: Ja
    • Resourcegroep: Selecteer de resourcegroep die het virtuele netwerk en het containerregister bevat.

    Selecteer Toevoegen om het privé-eindpunt te maken.

    Schermopname van het configuratieformulier voor het privé-eindpunt van het containerregister.

  5. Selecteer Beoordelen + maken. Controleer of de informatie juist is en selecteer Maken.

  6. Nadat het containerregister is gemaakt, selecteert u Ga naar de resource.

    Schermopname van de knop Naar de resource gaan.

  7. Selecteer Toegangssleutels aan de linkerkant van de pagina en schakel vervolgens Beheerder in. U hebt deze instelling nodig wanneer u Azure Container Registry in een virtueel netwerk gebruikt met Azure Machine Learning.

    Schermopname van het formulier toegangssleutels voor het containerregister, waarbij de optie gebruiker met beheerdersrechten is ingeschakeld.

Een werkruimte maken

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer + Een resource maken in het menu en voer vervolgens Machine Learning in. Selecteer de Machine Learning-optie en klik vervolgens op Maken.

    Schermopname van de pagina maken voor Azure Machine Learning.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Gebruik de volgende waarden voor de andere velden:

    • Naam: Een unieke naam voor uw werkruimte.
    • Opslagaccount: selecteer het opslagaccount dat u eerder hebt gemaakt.
    • Sleutelkluis: selecteer de sleutelkluis die u eerder hebt gemaakt.
    • Application Insights: Gebruik de standaardwaarde.
    • Containerregister: gebruik het containerregister dat u eerder hebt gemaakt.

    Schermopname van het configuratieformulier voor de basiswerkruimte.

  3. Selecteer Privé met uitgaand internet op het tabblad Netwerken. Selecteer + Toevoegen in de sectie Binnenkomende toegang voor werkruimte.

  4. Vul op het formulier privé-eindpunt maken de volgende waarden in:

    • Abonnement: hetzelfde Azure-abonnement dat de vorige resources bevat.
    • Resourcegroep: dezelfde Azure-resourcegroep die de vorige resources bevat.
    • Locatie: dezelfde Azure-regio die de vorige resources bevat.
    • Naam: Een unieke naam voor dit privé-eindpunt.
    • Doelsubresource: amlworkspace
    • Virtueel netwerk: het virtuele netwerk dat u eerder hebt gemaakt.
    • Subnet: Training (172.16.0.0/24)
    • Privé-DNS integratie: Ja
    • Privé-DNS zone: laat de twee privé-DNS-zones staan op de standaardwaarden van privatelink.api.azureml.ms en privatelink.notebooks.azure.net.

    Selecteer OK om het privé-eindpunt te maken.

    Schermopname van het configuratieformulier voor het privénetwerk van de werkruimte.

  5. Vanuit het tabblad Netwerken, in de sectie Uitgaande toegang voor werkruimte, selecteer Mijn eigen virtuele netwerk gebruiken.

  6. Selecteer Beoordelen + maken. Controleer of de informatie juist is en selecteer Maken.

  7. Zodra de werkruimte is gemaakt, selecteert u Ga naar de resource.

  8. Selecteer in de sectie Instellingen aan de linkerkant netwerken, privé-eindpuntverbindingen en selecteer vervolgens de koppeling in de kolom Privé-eindpunt :

    Schermopname van de privé-eindpuntverbindingen voor de werkruimte.

  9. Zodra de gegevens van het privé-eindpunt worden weergegeven, selecteert u de DNS-configuratie links van de pagina. Sla het IP-adres en de FQDN-gegevens (Fully Qualified Domain Name) op deze pagina op.

    schermopname van de IP- en FQDN-vermeldingen voor de werkruimte.

Belangrijk

Er zijn nog enkele configuratiestappen nodig voordat u de werkruimte volledig kunt gebruiken. Voor deze stappen moet u echter verbinding maken met de werkruimte.

Studio inschakelen

Azure Machine Learning Studio is een webtoepassing die u gebruikt om uw werkruimte te beheren. Er is echter een extra configuratie nodig voordat u deze kunt gebruiken met resources die zijn beveiligd in een virtueel netwerk. Gebruik de volgende stappen om studio in te schakelen:

  1. Wanneer u een Azure Storage-account met een privé-eindpunt gebruikt, voegt u de service principal voor de werkruimte toe als Reader voor de privé-eindpunten voor opslag. Selecteer uw opslagaccount in Azure Portal en selecteer Vervolgens Netwerken. Selecteer vervolgens Privé-eindpuntverbindingen.

    Schermopname van privé-eindpuntverbindingen voor opslag.

  2. Gebruik de volgende stappen voor elk privé-eindpunt dat wordt vermeld:

    1. Selecteer de koppeling in de Privé-eindpuntkolom.

      Schermopname van de eindpuntkoppelingen in de kolom met privé-eindpunten.

    2. Selecteer Toegangsbeheer (IAM) aan de linkerzijde.

    3. Selecteer + Toevoegen en selecteer vervolgens Roltoewijzing toevoegen (preview).

      De pagina Toegangsbeheer (IAM) met het menu Roltoewijzing toevoegen geopend.

    4. Selecteer op het tabblad Rol de rol Lezer .

      Pagina Roltoewijzing toevoegen met het tabblad Rol geselecteerd.

    5. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal in het gebied Toegang toewijzen en selecteer vervolgens + Leden selecteren. Voer in het dialoogvenster leden selecteren de naam van uw Azure Machine Learning-werkruimte in. selecteer de service-principal voor de werkruimte en klik op de knop Selecteren.

    6. Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.

Azure Monitor en Application Insights beveiligen

Notitie

Zie de volgende artikelen voor meer informatie over het beveiligen van Azure Monitor en Application Insights:

  1. Selecteer In Azure Portal de optie Start en zoek vervolgens naar Private Link. Selecteer het resultaat van het Azure Monitor Private Link-gebied en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis hetzelfde abonnement, dezelfde resourcegroep en dezelfde resourcegroepregio als uw Azure Machine Learning-werkruimte. Voer een naam in voor het exemplaar en selecteer Vervolgens Beoordelen en maken. Selecteer Maken om de instantie te maken.

  3. Nadat u het Azure Monitor Private Link Scope-exemplaar hebt gemaakt, selecteert u het exemplaar in Azure Portal. Selecteer Azure Monitor-resources in de sectie Configureren en selecteer vervolgens + Toevoegen.

    Schermopname van de knop Toevoegen.

  4. Gebruik de filters in Select a scope om het Application Insights-exemplaar voor uw Azure Machine Learning-werkruimte te selecteren. Klik op Toepassen om de instantie toe te voegen.

  5. Selecteer in de sectie Configureren verbindingen met privé-eindpunten en selecteer vervolgens + Privé-eindpunt.

    Schermopname van de knop Privé-eindpunt toevoegen.

  6. Selecteer hetzelfde abonnement, dezelfde resourcegroep en dezelfde regio die uw virtuele netwerk bevat. Kies Volgende: Bron.

    Schermopname van de basisbeginselen van privé-eindpunten in Azure Monitor.

  7. Selecteer Microsoft.insights/privateLinkScopes als het resourcetype. Selecteer de Private Link Scope die u eerder hebt gemaakt als de resource. Selecteer azuremonitor als de doelsubresource. Selecteer Volgende: Virtueel netwerk om door te gaan.

    Schermopname van de privé-eindpuntbronnen van Azure Monitor.

  8. Selecteer het virtuele netwerk dat u eerder hebt gemaakt en het subnet Training . Selecteer Volgende totdat u bij Beoordelen + Maken aankomt. Selecteer Maken om het privé-eindpunt te maken.

    Schermopname van het privé-eindpuntnetwerk van Azure Monitor.

  9. Nadat u het privé-eindpunt hebt gemaakt, gaat u terug naar de Azure Monitor Private Link Scope-resource in de portal. Selecteer Access-modi in de sectie Configureren. Selecteer alleen Privé voor opnametoegangsmodus en querytoegangsmodus en selecteer vervolgens Opslaan.

    Schermopname van de toegangsmodi binnen de scope van een privékoppeling.

Verbinding maken met de werkruimte

U kunt op verschillende manieren verbinding maken met de beveiligde werkruimte. In de stappen in dit artikel wordt een jumpbox gebruikt. Dit is een virtuele machine in het virtuele netwerk. U kunt er verbinding mee maken met behulp van uw webbrowser en Azure Bastion. De volgende tabel bevat verschillende andere manieren waarop u verbinding kunt maken met de beveiligde werkruimte:

Wijze Beschrijving
Azure VPN-gateway On-premises netwerken verbinden met het virtuele netwerk via een privéverbinding. Er wordt verbinding gemaakt via het openbare internet.
ExpressRoute On-premises netwerken verbinden met de cloud via een privéverbinding. Verbinding wordt gemaakt met behulp van een connectiviteitsprovider.

Belangrijk

Wanneer u een VPN-gateway of ExpressRoute gebruikt, moet u plannen hoe naamomzetting werkt tussen uw on-premises resources en die in het virtuele netwerk. Zie Een aangepaste DNS-server gebruiken voor meer informatie.

Een jumpbox maken (VM)

Gebruik de volgende stappen om een virtuele Azure-machine te maken die u als jumpbox wilt gebruiken. Met behulp van Azure Bastion kunt u verbinding maken met het vm-bureaublad via uw browser. Vanuit het VM-bureaublad kunt u de browser op de VIRTUELE machine gebruiken om verbinding te maken met resources in het virtuele netwerk, zoals Azure Machine Learning Studio. U kunt ook ontwikkelhulpprogramma's installeren op de VIRTUELE machine.

Aanbeveling

Met de volgende stappen maakt u een Virtuele Windows 11 Enterprise-machine. Afhankelijk van uw vereisten wilt u mogelijk een andere VM-installatiekopieën selecteren. De installatiekopieën van Windows 11 (of 10) Enterprise zijn handig als u de VIRTUELE machine wilt toevoegen aan het domein van uw organisatie.

  1. Selecteer in Azure Portal het portalmenu in de linkerbovenhoek. Selecteer in het menu + Een resource maken en voer vervolgens Virtuele machine in. Selecteer de vermelding virtuele machine en selecteer vervolgens Maken.

  2. Selecteer op het tabblad Basis het abonnement, de resourcegroep en de regio die u eerder hebt gebruikt voor het virtuele netwerk. Geef waarden op voor de volgende velden:

    • Naam van virtuele machine: een unieke naam voor de virtuele machine.

    • Gebruikersnaam: de gebruikersnaam die u gebruikt om u aan te melden bij de virtuele machine.

    • Wachtwoord: het wachtwoord voor de gebruikersnaam.

    • Beveiligingstype: Standaard.

    • Afbeelding: Windows 11 Enterprise.

      Aanbeveling

      Als Windows 11 Enterprise niet in de lijst staat voor de selectie van afbeeldingen, gebruik Alle afbeeldingen weergeven. Zoek het Windows 11-item van Microsoft en gebruik het uitklapmenu Select om de enterprise-image te selecteren.

    U kunt andere velden op de standaardwaarden laten staan.

    Schermopname van de basisconfiguratie van de virtuele machine.

  3. Selecteer Netwerken en selecteer vervolgens het virtuele netwerk dat u eerder hebt gemaakt. Gebruik de volgende informatie om de resterende velden in te stellen:

    • Selecteer het Trainingssubnet.
    • Stel het openbare IP-adres in op Geen.
    • Laat de andere velden op de standaardwaarde staan.

    Schermopname van de netwerkconfiguratie van de virtuele machine.

  4. Selecteer Beoordelen + maken. Controleer of de informatie juist is en selecteer Maken.

Verbinding maken met de jumpbox

  1. Nadat de virtuele machine is gemaakt, selecteert u Ga naar de resource.

  2. Selecteer bovenaan de pagina Verbinding maken en vervolgens verbinding maken via Bastion.

    Aanbeveling

    Azure Bastion maakt gebruik van poort 443 voor binnenkomende communicatie. Als u een firewall hebt die uitgaand verkeer beperkt, moet u ervoor zorgen dat verkeer op poort 443 naar de Azure Bastion-service wordt toegestaan. Zie Werken met NSG's en Azure Bastion voor meer informatie.

    Schermopname van de verbindlijst, waarbij Bastion is geselecteerd.

  3. Voer uw verificatiegegevens in voor de virtuele machine. Er wordt een verbinding tot stand gebracht in uw browser.

Een rekencluster en -exemplaar maken

Een compute-instance biedt een Jupyter Notebook-ervaring op een gedeelde rekenresource die is gekoppeld aan uw werkruimte.

  1. Open vanuit een Azure Bastion-verbinding met de jumpbox de Microsoft Edge-browser op het externe bureaublad.

  2. Ga in de externe browsersessie naar https://ml.azure.com. Wanneer u hierom wordt gevraagd, moet u zich verifiëren met uw Microsoft Entra-account.

  3. Selecteer op het scherm Welkom bij Studio! de Machine Learning-werkruimte die u eerder hebt gemaakt en selecteer vervolgens Aan de slag.

    Aanbeveling

    Als uw Microsoft Entra-account toegang heeft tot meerdere abonnementen of mappen, gebruikt u de vervolgkeuzelijst Directory en Abonnement om de map en het abonnement te selecteren die de werkruimte bevat.

    Schermopname van het formulier 'Selecteer Machine Learning-werkruimte'.

  4. Vanuit Studio, selecteer Compute, Compute-clusters en daarna + Nieuw.

    Schermopname van de pagina Rekenclusters, met de nieuwe knop geselecteerd.

  5. Selecteer in het dialoogvenster Virtuele machine de optie Volgende om de standaardconfiguratie van de virtuele machine te accepteren.

    Schermopname van de configuratie van de virtuele machine van het rekencluster.

  6. Voer in het dialoogvenster Instellingen configureren cpu-cluster in als computenaam. Stel het subnet in op Training en selecteer vervolgens Maken om het cluster aan te maken.

    Aanbeveling

    Rekenclusters schalen de knooppunten in het cluster dynamisch naar behoefte. Laat het minimale aantal knooppunten op 0 staan om de kosten te verlagen wanneer het cluster niet in gebruik is.

    Schermopname van het formulier Instellingen configureren.

  7. Selecteer in Studio Compute, Compute-instantie en vervolgens + Nieuw.

    Schermopname van de pagina Rekeninstanties, met de knop Nieuw geselecteerd.

  8. Voer in De vereiste instellingen een unieke computernaam in en selecteer Volgende.

    Schermopname van de configuratie van de virtuele machine van het rekenexemplaar.

  9. Ga door met het selecteren van Volgende totdat u bij het dialoogvenster Beveiliging aankomt, selecteer het virtuele netwerk en stel het subnet in op Training. Selecteer Controleren en maken en klik vervolgens op Maken.

    Schermopname van de geavanceerde instellingen.

Aanbeveling

Wanneer u een rekencluster of rekenproces maakt, voegt Azure Machine Learning dynamisch een netwerkbeveiligingsgroep (NSG) toe. Deze NSG bevat de volgende regels, die specifiek zijn voor het rekencluster en rekenproces:

  • Binnenkomend TCP-verkeer toestaan op poorten 29876-29877 vanaf de BatchNodeManagement servicetag.
  • Binnenkomend TCP-verkeer toestaan op poort 44224 vanuit de AzureMachineLearning servicetag.

In de volgende schermopname ziet u een voorbeeld van deze regels:

Schermopname van NSG

Zie de volgende artikelen voor meer informatie over het maken van een rekencluster en rekenproces, waaronder hoe u dit doet met Python en de CLI:

Afbeelding builds configureren

VAN TOEPASSING OP: Azure CLI ml-extensie v2 (huidige)

Wanneer Azure Container Registry zich achter het virtuele netwerk bevindt, kan Azure Machine Learning het niet gebruiken om rechtstreeks Docker-installatiekopieën te bouwen (gebruikt voor training en implementatie). Configureer in plaats daarvan de werkruimte voor het gebruik van het rekencluster dat u eerder hebt gemaakt. Gebruik de volgende stappen om een rekencluster te maken en de werkruimte zo te configureren dat deze gebruikt wordt om images te bouwen.

  1. Ga naar https://shell.azure.com/ de Azure Cloud Shell te openen.

  2. Gebruik vanuit Cloud Shell de volgende opdracht om de 2.0 CLI voor Azure Machine Learning te installeren:

    az extension add -n ml

  3. ** Werk de werkruimte bij om het computecluster te gebruiken voor het bouwen van Docker-images. Vervang docs-ml-rg door uw resourcegroep. Vervang docs-ml-ws door uw werkruimte. Vervang door cpu-cluster de naam van het rekencluster:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Notitie

    U kunt hetzelfde rekencluster gebruiken om modellen te trainen en Docker-installatiekopieën voor de werkruimte te bouwen.

De werkruimte gebruiken

Belangrijk

In de stappen in dit artikel wordt Azure Container Registry achter het virtuele netwerk geplaatst. In deze configuratie kunt u geen model implementeren in Azure Container Instances in het virtuele netwerk. Gebruik geen Azure Container Instances met Azure Machine Learning in een virtueel netwerk. Zie De deductieomgeving (SDK/CLI v1) beveiligen voor meer informatie.

Als alternatief voor Azure Container Instances kunt u azure Machine Learning beheerde online-eindpunten proberen. Zie Netwerkisolatie inschakelen voor beheerde online-eindpunten voor meer informatie.

Op dit moment kunt u de studio gebruiken om interactief te werken met notebooks in het rekenproces en trainingstaken uit te voeren op het rekencluster. Zie Zelfstudie: Azure Machine Learning in een dag voor een zelfstudie over het gebruik van het rekenproces en het rekencluster.

Rekenproces stoppen en jumpbox

Waarschuwing

Terwijl het wordt uitgevoerd (gestart), blijven het rekenproces en de jumpbox uw abonnement opladen. Als u overtollige kosten wilt voorkomen, moet u ze stoppen wanneer ze niet in gebruik zijn.

Het rekencluster wordt dynamisch geschaald tussen het minimum- en maximumaantal knooppunten dat is ingesteld wanneer u het maakt. Als u de standaardwaarden accepteert, is het minimum 0, waardoor het cluster effectief wordt uitgeschakeld wanneer het niet wordt gebruikt.

Het rekenproces stoppen

Selecteer vanuit studio Compute, Compute clusters, en selecteer vervolgens de rekeninstantie. Ten slotte selecteer Stop bovenaan de pagina.

Schermopname van de stopknop voor het rekenproces.

Stop de springkast

Nadat u de jumpbox hebt gemaakt, selecteert u de virtuele machine in Azure Portal en gebruikt u vervolgens de knop Stoppen . Wanneer u klaar bent om het opnieuw te gebruiken, gebruikt u de knop Start om deze te starten.

Schermopname van de stopknop voor de jump box virtual machine.

U kunt de jumpbox ook zo configureren dat deze op een bepaald moment automatisch wordt afgesloten. Hiervoor selecteert u Automatisch afsluiten, Inschakelen, een tijd instellen en vervolgens Opslaan selecteren.

Schermopname van de optie autoshutdown.

Middelen opschonen

Als u van plan bent om de beveiligde werkruimte en andere resources te blijven gebruiken, slaat u deze sectie over.

Als u alle resources wilt verwijderen die in deze zelfstudie zijn gemaakt, gebruikt u de volgende stappen:

  1. Selecteer Resourcegroepen helemaal links in de Azure Portal.

  2. Selecteer in de lijst de resourcegroep die u in deze handleiding hebt gemaakt.

  3. Selecteer Resourcegroep verwijderen.

    Schermopname van de koppeling om de resourcegroep te verwijderen.

  4. Voer de naam van de resourcegroep in en selecteer Vervolgens Verwijderen.

Volgende stappen

Nadat u een beveiligde werkruimte en toegang tot Studio hebt ingesteld, leert u hoe u een model implementeert op een online-eindpunt met netwerkisolatie.

Nadat u een beveiligde werkruimte hebt ingesteld, leert u hoe u een model implementeert.

  • Last updated on