教程:如何使用托管虚拟网络创建安全工作区

  • 项目

本文介绍如何创建并连接到安全的 Azure 机器学习工作区。 本文中的步骤使用 Azure 机器学习托管虚拟网络围绕 Azure 机器学习使用的资源创建安全边界。

在本教程中,你将完成以下任务:

  • 创建配置为使用托管虚拟网络的 Azure 机器学习工作区。
  • 创建 Azure 机器学习计算群集。 在云中训练机器学习模型时会用到计算群集。

完成本教程后,你将拥有以下体系结构:

  • 使用专用终结点的 Azure 机器学习工作区,用于使用托管网络进行通信。
  • 借助使用专用终结点的 Azure 存储帐户,可以让存储服务(如 Blob 和文件)使用托管网络进行通信。
  • 使用专用终结点的 Azure 容器注册表通过托管网络进行通信。
  • 使用专用终结点的 Azure Key Vault 通过托管网络进行通信。
  • 受托管网络保护的 Azure 机器学习计算实例和计算群集。

先决条件

  • Azure 订阅。 如果没有 Azure 订阅,可在开始前创建一个试用帐户。 试用 Azure 机器学习

创建跳转盒 (VM)

可以通过多种方式连接到安全的工作区。 本教程中将会用到跳转盒。 跳转盒是 Azure 虚拟网络中的虚拟机。 可以使用 Web 浏览器和 Azure Bastion 连接到它。

下表列出了可以连接到安全工作区的其他几种方法:

方法 说明
Azure VPN 网关 通过专用连接将本地网络连接到 Azure 虚拟网络。 工作区的专用终结点将在该虚拟网络中创建。 通过公共 Internet 建立连接。
ExpressRoute 通过专用连接将本地网络连接到云。 使用连接提供程序建立连接。

重要

使用“VPN 网关”或“ExpressRoute”时,需要规划名称解析在本地资源与云端资源之间的工作方式。 有关详细信息,请参阅使用自定义 DNS 服务器

使用以下步骤创建 Azure 虚拟机以用作跳转盒。 然后,可以从 VM 桌面使用 VM 上的浏览器连接到托管虚拟网络内的资源,例如 Azure 机器学习工作室。 或者,可以在 VM 上安装开发工具。

提示

以下步骤将创建 Windows 11 企业版 VM。 根据要求,可能需要选择不同的 VM 映像。 如果需要将 VM 加入组织的域,Windows 11(或 10)企业版映像非常有用。

  1. Azure 门户中,选择左上角的门户菜单。 从菜单中选择“+ 创建资源”,然后输入“虚拟机”。 选择“虚拟机”条目,然后选择“创建”。

  2. 从“基本信息”选项卡中,选择要在其中创建服务的订阅资源组区域。 提供以下字段的值:

    • 虚拟机名称:VM 的唯一名称。

    • 用户名:将用于登录 VM 的用户名。

    • 密码:用户名的密码。

    • 安全类型:标准。

    • 映像:Windows 11 企业版。

      提示

      如果 Windows 11 企业版不在映像选择列表中,请使用“查看所有映像”_。 找到 Microsoft 的“Windows 11”条目,然后使用“选择”下拉菜单选择企业版映像。

    可将其他字段保留为默认值。

    Screenshot of the virtual machine basics configuration.

  3. 选择“网络”。 查看网络信息,确保它未使用 172.17.0.0/16 IP 地址范围。 如果使用了,请选择其他范围,例如 172.16.0.0/16;172.17.0.0/16 范围可能会导致与 Docker 冲突。

    注意

    Azure 虚拟机将创建自己的 Azure 虚拟网络以实现网络隔离。 此网络独立于 Azure 机器学习使用的托管虚拟网络。

    Screenshot of the networking tab for the virtual machine.

  4. 选择“查看 + 创建”。 确认信息无误,然后选择“创建”。

为 VM 启用 Azure Bastion

使用 Azure Bastion,可通过浏览器连接到 VM 桌面。

  1. 在 Azure 门户中,选择之前创建的 VM。 在页面的“操作”部分中,选择“Bastion”,然后选择“部署 Bastion”。

    Screenshot of the deploy Bastion option.

  2. 部署 Bastion 服务后,会看到一个连接页面。 暂时保留此对话框中的内容。

创建工作区

  1. Azure 门户中,选择左上角的门户菜单。 从菜单中,选择“+ 创建资源”,然后输入“Azure 机器学习”。 选择“Azure 机器学习”条目,然后选择“创建”。

  2. 从“基本信息”选项卡中,选择要在其中创建服务的订阅资源组区域。 对于“工作区名称”,请输入唯一名称。 让其余字段保留默认值;将为工作区创建所需服务的新实例。

    Screenshot of the workspace creation form.

  3. 在“网络”选项卡中,选择“Internet 出站专用”。

    Screenshot of the workspace network tab with internet outbound selected.

  4. 在“网络”选项卡的“工作区入站访问”部分中,选择“+ 添加”。

    Screenshot showing the add button for inbound access.

  5. 在“创建专用终结点”窗体的“名称”字段中输入唯一值。 选择之前使用 VM 创建的虚拟网络,并选择默认子网。 将其余字段保留为默认值。 选择“确定”,以保存此终结点。

    Screenshot of the create private endpoint form.

  6. 选择“查看 + 创建”。 确认信息无误,然后选择“创建”。

  7. 创建工作区后,选择“转到资源”。

连接到 VM 桌面

  1. Azure 门户中,选择之前创建的 VM。

  2. 在“连接”部分中,选择“Bastion”。 输入为 VM 配置的用户名和密码,然后选择“连接”。

    Screenshot of the Bastion connect form.

连接到机器学习工作室

此时,已创建工作区,但尚未创建托管虚拟网络。 托管虚拟网络是在创建工作区时配置的,但不会在创建第一个计算资源或手动预配之前完成创建。

请遵循以下步骤来创建计算实例。

  1. 在 VM 桌面上,使用浏览器打开 Azure 机器学习工作室并选择之前创建的工作区。

  2. 在工作室中,依次选择“计算”、“计算实例”和“+ 新建”。

    Screenshot of the new compute option in studio.

  3. 在“配置所需设置”对话框中,为“计算名称”输入唯一值。 让其余选择保留默认值。

  4. 选择创建。 创建计算实例需要几分钟时间。 计算实例是在托管网络中创建的。

    提示

    创建第一个计算资源可能需要几分钟时间。 导致此延迟的原因是托管虚拟网络也在创建中。 在创建第一个计算资源之前,不会创建托管虚拟网络。 后续托管计算资源的创建速度要快得多。

允许工作室访问存储

由于 Azure 机器学习工作室部分运行在客户端的 Web 浏览器中,因此客户端需要能够直接访问工作区的默认存储帐户来执行数据操作。 若要启用该功能,请使用以下步骤:

  1. Azure 门户中,选择之前创建的跳转盒 VM。 从“概述”部分复制“公共 IP 地址”。

  2. Azure 门户中,选择之前创建的工作区。 从“概述”部分选择“存储”条目的链接。

  3. 从存储帐户中选择“网络”,然后将跳转盒的公共 IP 地址添加到“防火墙”部分。

    提示

    在使用 VPN 网关或 ExpressRoute 而不是跳转盒的情况下,可以将存储帐户的专用终结点或服务终结点添加到 Azure 虚拟网络。 使用专用终结点或服务终结点,通过 Azure 虚拟网络连接的多个客户端就可以通过工作室成功执行存储操作。

此时,可以使用该工作室以交互方式在计算实例上使用笔记本,并运行训练作业。 有关使用计算实例和计算群集的教程,请参阅教程:一天玩转 Azure 机器学习

停止计算实例

当它运行(启动)时,计算实例会继续向你的订阅收费。 为了避免额外成本,请在未使用时停止运行。

在工作室中,选择“计算”、“计算实例”,然后选择计算实例。 最后,从页面顶部选择“停止”。

Screenshot of stop button for compute instance

清理资源

如果打算继续使用安全的工作区和其他资源,请跳过本部分。

若要删除本教程中创建的所有资源,请执行以下步骤:

  1. Azure 门户中,选择“资源组”。

  2. 从列表中选择你在本教程中创建的资源组。

  3. 选择“删除资源组”

    Screenshot of delete resource group button

  4. 输入资源组名称,然后选择“删除”。

后续步骤

现已创建安全的工作区并可访问工作室,接下来了解如何将模型部署到具有网络隔离的联机终结点

有关托管虚拟网络的详细信息,请参阅使用托管虚拟网络保护工作区