本文介绍如何创建并连接到安全的Azure Machine Learning工作区。 本文中的步骤使用 Azure Machine Learning 托管的虚拟网络来为 Azure Machine Learning 所使用的资源创建一个安全边界。
在本教程中,你将完成以下任务:
- 创建一个配置为使用托管虚拟网络的 Azure 机器学习工作区。
- 创建Azure Machine Learning计算群集。 在云中训练machine learning模型时使用计算群集。
完成本教程后,你具有以下体系结构:
- 使用专用终结点通过托管网络进行通信的Azure Machine Learning工作区。
- 一个使用专用终结点的 Azure 存储帐户,允许存储服务(如 Blob 和文件)通过托管网络进行通信。
- 使用专用终结点通过托管网络进行通信的 Azure 容器注册表。
- 使用专用终结点通过托管网络进行通信的Azure Key Vault。
- Azure Machine Learning受托管网络保护的计算实例和计算群集。
先决条件
- Azure订阅。 如果没有Azure订阅,请在开始前创建试用版。 请尝试 Azure Machine Learning。
- Python 3.10 或更高版本。
创建跳转盒 (VM)
可以通过多种方式连接到受保护的工作区。 在本教程中,使用 跳转框。 跳转盒是Azure Virtual Network中的虚拟机。 可以使用 Web 浏览器和Azure Bastion连接到它。
下表列出了可以连接到安全工作区的其他几种方法:
| 方法 | 说明 |
|---|---|
| Azure VPN 网关 | 通过专用连接将本地网络连接到Azure Virtual Network。 工作区的专用终结点在该虚拟网络中创建。 通过公共 Internet 建立连接。 |
| ExpressRoute | 通过专用连接将本地网络连接到云。 连接是通过连接提供程序建立的。 |
重要
使用 VPN gateway 或 ExpressRoute时,请规划本地资源与云中资源之间的名称解析工作原理。 有关详细信息,请参阅使用自定义 DNS 服务器。
使用以下步骤创建Azure虚拟机以用作跳转框。 在 VM 桌面上,可以使用 VM 中的浏览器连接到托管虚拟网络中的资源,例如 “Azure 机器学习工作室”。 或者,可以在 VM 上安装开发工具。
提示
以下步骤创建Windows 11企业 VM。 根据你的要求,你可能需要选择不同的 VM 映像。 如果您需要将 VM 加入到您的组织域中,Windows 11(或 10)企业镜像将非常有用。
在 Azure portal 中,选择左上角的门户菜单。 从菜单中选择“+ 创建资源”,然后输入“虚拟机”。 选择“虚拟机”条目,然后选择“创建”。
从“基本信息”选项卡中,选择要在其中创建服务的订阅、资源组和区域。 提供以下字段的值:
虚拟机名称:VM 的唯一名称。
用户名:将用于登录 VM 的用户名。
密码:用户名的密码。
安全类型:标准。
Image:Windows 11 Enterprise。
提示
如果Windows 11 Enterprise 不在图像选择列表中,请使用 查看所有映像_。 从 Microsoft 找到 Windows 11 条目,并使用 Select 下拉列表选择企业映像。
可将其他字段保留为默认值。
选择“网络”。 查看网络信息,确保它未使用 172.17.0.0/16 IP 地址范围。 如果是,请选择其他范围,例如 172.16.0.0/16。 172.17.0.0/16 范围可能会导致与 Docker 冲突。
注意事项
Azure虚拟机为网络隔离创建自己的Azure虚拟网络。 此网络独立于 Azure Machine Learning 使用的托管虚拟网络。
选择“查看 + 创建”。 确认信息无误,然后选择“创建”。
为 VM 启用Azure Bastion
通过使用 Azure Bastion,可以通过浏览器连接到 VM 桌面。
在Azure portal中,选择之前创建的 VM。 在页面的“连接”部分中,选择“Bastion”,接着选择“部署 Bastion”。
在门户部署 Bastion 服务后,它将您返回到连接对话框。 暂时不要使用此对话框。
创建工作区
在 Azure portal 中,选择左上角的门户菜单。 从菜单中选择“+ 创建资源,然后输入 Azure Machine Learning。 选择 Azure Machine Learning 条目,然后选择 Create。
从“基本信息”选项卡中,选择要在其中创建服务的订阅、资源组和区域。 对于“工作区名称”,请输入唯一名称。 将其余字段保留为默认值。 门户为工作区创建所需服务的新实例。
在“网络”选项卡中,选择“Internet 出站专用”。
注意事项
本教程使用 Internet 外部访问来保持设置简单。 如果组织需要更严格的出口控制,请使用仅允许批准的出站流量的托管虚拟网络配置。
在Networking 选项卡中的Workspace 入站访问部分中,选择+ 添加。
截图显示用于入站访问的添加按钮。 在“创建专用终结点”窗体的“名称”字段中输入唯一值。 选择之前使用 VM 创建的 Virtual network,然后选择默认的 Subnet。 将其余字段保留为默认值。 选择“确定”,以保存此终结点。
选择“查看 + 创建”。 确认信息无误,然后选择“创建”。
门户创建工作区后,选择“ 转到资源”。
连接到 VM 桌面
从 Azure portal 中选择之前创建的 VM。
在“连接”部分中,选择“Bastion”。 输入为 VM 配置的用户名和密码,然后选择“连接”。
连接到工作室
此时,工作区已创建,但托管虚拟网络尚未创建。 在创建工作区时配置托管虚拟网络。 要创建托管虚拟网络,可以创建计算资源或手动创建网络。
重要
如果计划运行无服务器 Spark 作业,请在提交 Spark 作业之前手动启动托管虚拟网络预配。
请遵循以下步骤来创建计算实例。
在 VM 桌面中,使用浏览器打开 Azure Machine Learning studio并选择之前创建的工作区。
在工作台中,依次选择“计算”、“计算实例”和“+ 新建”。
在“配置所需设置”对话框中,为“计算名称”输入唯一值。 让其余选择保留默认值。
选择创建。 创建计算实例需要几分钟时间。 计算实例是在托管网络中创建的。
提示
创建第一个计算资源可能需要几分钟时间。 之所以发生此延迟,是因为托管虚拟网络也正在创建中。 在创建第一个计算资源之前,不会创建托管虚拟网络。 后续托管计算资源创建的速度更快。
启用工作室对存储的访问权限
由于 Azure Machine Learning studio 部分在客户端的 Web 浏览器中运行,因此客户端需要直接访问工作区的默认存储帐户以执行数据操作。 若要启用直接访问,请使用以下步骤:
从 Azure portal 中,选择前面创建的跳转框 VM。 从“概述”部分复制“公共 IP 地址”。
从 Azure portal 中选择之前创建的工作区。 在 Overview 部分中,选择 Storage 条目的链接。
从 storage 帐户中,选择 Networking,并将跳转框的 public IP 地址添加到 Firewall 节。
提示
在使用 VPN 网关或 ExpressRoute 而不是跳板机的情况下,可以为存储帐户将专用终结点或服务终结点添加到 Azure 虚拟网络。 通过使用专用终结点或服务终结点,多个通过Azure虚拟网络连接的客户端可以通过工作室成功执行存储操作。
此时,您可以使用该开发环境在计算实例上与笔记本进行交互操作,并执行训练作业。
停止计算实例
当其运行(启动)时,计算实例会继续对订阅计费。 若要避免超额成本,当不使用时 停止使用。
在工作室中,选择“计算”、“计算实例”,然后选择计算实例。 最后,从页面顶部选择“停止”。
清理资源
如果打算继续使用安全的工作区和其他资源,请跳过本部分。
若要删除在本教程中创建的所有资源,请使用以下步骤:
在Azure portal中,选择资源组。
从列表中选择你在本教程中创建的资源组。
选择“删除资源组”。
输入资源组名称,然后选择“ 删除”。
后续步骤
在拥有安全工作区并能够访问工作室后,请考虑以下资源: