通过

教程:如何使用托管虚拟网络创建安全工作区

本文介绍如何创建并连接到安全的 Azure 机器学习工作区。 本文中的步骤使用 Azure 机器学习托管虚拟网络围绕 Azure 机器学习使用的资源创建安全边界。

在本教程中,你将完成以下任务:

  • 创建配置为使用托管虚拟网络的 Azure 机器学习工作区。
  • 创建 Azure 机器学习计算群集。 在 云中训练机器学习模型时,可以使用计算群集。

完成本教程后,你具有以下体系结构:

  • 使用专用终结点通过托管网络进行通信的 Azure 机器学习工作区。
  • 一个使用专用终结点以允许存储服务(如 Blob 和文件)通过托管网络进行通信的 Azure 存储帐户。
  • 使用专用终结点通过托管网络进行通信的 Azure 容器注册表。
  • 使用专用终结点通过托管网络进行通信的 Azure Key Vault。
  • 受托管网络保护的 Azure 机器学习计算实例和计算群集。

先决条件

  • Azure 订阅。 如果没有 Azure 订阅,可在开始前创建一个试用帐户。 试用 Azure 机器学习
  • Python 3.10 或更高版本。

创建跳转盒 (VM)

可以通过多种方式连接到受保护的工作区。 在本教程中,使用 跳转框。 跳转盒是 Azure 虚拟网络中的虚拟机。 可以使用 Web 浏览器和 Azure Bastion 连接到它。

下表列出了可以连接到安全工作区的其他几种方法:

方法 说明
Azure VPN 网关 通过专用连接将本地网络连接到 Azure 虚拟网络。 您的工作区的专用终结点将在该虚拟网络中被创建。 通过公共 Internet 建立连接。
ExpressRoute 通过专用连接将本地网络连接到云。 连接是通过连接提供程序建立的。

重要

使用 VPN 网关ExpressRoute 时,规划本地资源与云中资源之间如何进行名称解析。 有关详细信息,请参阅使用自定义 DNS 服务器

使用以下步骤创建 Azure 虚拟机以用作跳转盒。 在 VM 桌面上,可以使用 VM 上的浏览器连接到托管虚拟网络中的资源,例如 Azure 机器学习工作室。 或者,可以在 VM 上安装开发工具。

提示

以下步骤将创建 Windows 11 企业版 VM。 根据你的要求,你可能需要选择不同的 VM 映像。 如果您需要将虚拟机(VM)加入组织的域,Windows 11(或 10)企业版映像会非常有用。

  1. Azure 门户中,选择左上角的门户菜单。 从菜单中选择“+ 创建资源”,然后输入“虚拟机”。 选择“虚拟机”条目,然后选择“创建”。

  2. 从“基本信息”选项卡中,选择要在其中创建服务的订阅资源组区域。 提供以下字段的值:

    • 虚拟机名称:VM 的唯一名称。

    • 用户名:将用于登录 VM 的用户名。

    • 密码:用户名的密码。

    • 安全类型:标准。

    • 映像:Windows 11 企业版。

      提示

      如果“Windows 11 企业版”不在映像选择列表中,请使用“查看所有映像”。 找到 Microsoft 的“Windows 11”条目,然后使用“选择”下拉菜单选择企业版映像。

    可将其他字段保留为默认值。

    虚拟机基本配置的屏幕截图。

  3. 选择“网络”。 查看网络信息,确保它未使用 172.17.0.0/16 IP 地址范围。 如果是,请选择其他范围,例如 172.16.0.0/16。 172.17.0.0/16 范围可能会导致与 Docker 冲突。

    注意事项

    Azure 虚拟机将创建自己的 Azure 虚拟网络以实现网络隔离。 此网络独立于 Azure 机器学习使用的托管虚拟网络。

    虚拟机的“网络”选项卡的屏幕截图。

  4. 选择“查看 + 创建”。 确认信息无误,然后选择“创建”。

为 VM 启用 Azure Bastion

通过使用 Azure Bastion,可以通过浏览器连接到 VM 桌面。

  1. 在 Azure 门户中,选择之前创建的 VM。 在页面的“连接”部分中,选择“Bastion”,接着选择“部署 Bastion”。

    “部署 Bastion”选项的屏幕截图。

  2. 在门户部署 Bastion 服务后,它将您返回到连接对话框。 暂时不要使用此对话框。

创建工作区

  1. Azure 门户中,选择左上角的门户菜单。 从菜单中,选择“+ 创建资源”,然后输入“Azure 机器学习”。 选择“Azure 机器学习”条目,然后选择“创建”。

  2. 从“基本信息”选项卡中,选择要在其中创建服务的订阅资源组区域。 对于“工作区名称”,请输入唯一名称。 将其余字段保留为默认值。 门户为工作区创建所需服务的新实例。

    工作区创建窗体的屏幕截图。

  3. 在“网络”选项卡中,选择“Internet 出站专用”。

    已选择互联网出口的“工作区网络”选项卡的屏幕截图。

  4. 在“网络”选项卡的“工作区入站访问”部分中,选择“+ 添加”。

    显示入站访问的添加按钮的屏幕截图。

  5. 在“创建专用终结点”窗体的“名称”字段中输入唯一值。 选择之前使用 VM 创建的 虚拟网络 ,然后选择默认 子网。 将其余字段保留为默认值。 选择“确定”,以保存此终结点。

    用于创建专用终结点的窗体的屏幕截图。

  6. 选择“查看 + 创建”。 确认信息无误,然后选择“创建”。

  7. 门户创建工作区后,选择“ 转到资源”。

连接到 VM 桌面

  1. Azure 门户中,选择之前创建的 VM。

  2. 在“连接”部分中,选择“Bastion”。 输入为 VM 配置的用户名和密码,然后选择“连接”。

    Bastion 连接表单的屏幕截图。

连接到工作室

此时,工作区已创建,但托管虚拟网络尚未创建。 创建工作区时配置托管虚拟网络。 若要创建托管虚拟网络,请创建计算资源或手动预配网络。

请遵循以下步骤来创建计算实例。

  1. 在 VM 桌面上,使用浏览器打开 Azure 机器学习工作室并选择之前创建的工作区。

  2. 在工作台中,依次选择“计算”、“计算实例”和“+ 新建”。

    工作室中新计算选项的屏幕截图。

  3. 在“配置所需设置”对话框中,为“计算名称”输入唯一值。 让其余选择保留默认值。

  4. 选择创建。 创建计算实例需要几分钟时间。 计算实例是在托管网络中创建的。

    提示

    创建第一个计算资源可能需要几分钟时间。 导致此延迟的原因是托管虚拟网络也在创建中。 在创建第一个计算资源之前,不会创建托管虚拟网络。 后续托管计算资源创建的速度更快。

允许工作室访问存储

由于 Azure 机器学习工作室部分在客户端上的 Web 浏览器中运行,因此客户端需要直接访问工作区的默认存储帐户来执行数据作。 若要启用随机存取,请使用以下步骤:

  1. Azure 门户中,选择之前创建的跳转盒 VM。 从“概述”部分复制“公共 IP 地址”。

  2. Azure 门户中,选择之前创建的工作区。 从“概述”部分选择“存储”条目的链接。

  3. 从存储帐户中选择“网络”,然后将跳转盒的公共 IP 地址添加到“防火墙”部分。

    提示

    在使用 VPN 网关或 ExpressRoute 而不是跳转框的情况下,可以将存储帐户的专用终结点或服务终结点添加到 Azure 虚拟网络。 通过使用专用终结点或服务终结点,通过 Azure 虚拟网络连接的多个客户端可以通过工作室成功执行存储作。

    此时,您可以使用该开发环境在计算实例上与笔记本进行交互操作,并执行训练作业。

停止计算实例

当其运行(启动)时,计算实例会继续对订阅计费。 若要避免超额成本,当不使用时 停止使用

在工作室中,选择“计算”、“计算实例”,然后选择计算实例。 最后,从页面顶部选择“停止”。

计算实例的“停止”按钮的屏幕截图

清理资源

如果打算继续使用安全的工作区和其他资源,请跳过本部分。

若要删除在本教程中创建的所有资源,请使用以下步骤:

  1. Azure 门户中,选择“资源组”。

  2. 从列表中选择你在本教程中创建的资源组。

  3. 选择“删除资源组”。

    “删除资源组”按钮的屏幕截图

  4. 输入资源组名称,然后选择“ 删除”。

后续步骤

拥有安全工作区并可以访问工作室后,请考虑以下资源:

  • Last updated on