Freigeben über

Tutorial: Erstellen eines sicheren Arbeitsbereichs mit einem verwalteten virtuellen Netzwerk

In diesem Artikel erfahren Sie, wie Sie einen sicheren Azure Machine Learning-Arbeitsbereich erstellen und eine Verbindung herstellen. In den Schritten in diesem Artikel wird ein verwaltetes virtuelles Netzwerk für Azure Machine Learning verwendet, um eine Sicherheitsgrenze um Ressourcen herum zu erstellen, die von Azure Machine Learning verwendet werden.

Sie führen in diesem Tutorial die folgenden Aufgaben durch:

  • Erstellen Sie einen Azure Machine Learning-Arbeitsbereich, der für die Verwendung eines verwalteten virtuellen Netzwerks konfiguriert ist.
  • Erstellen eines Computeclusters für Azure Machine Learning Sie verwenden einen Computecluster, wenn Sie Machine Learning-Modelle in der Cloud trainieren.

Nach Abschluss dieses Lernprogramms haben Sie die folgende Architektur:

  • Ein Azure Machine Learning-Arbeitsbereich, der einen privaten Endpunkt verwendet, um über das verwaltete Netzwerk zu kommunizieren.
  • Ein Azure Storage-Konto, das private Endpunkte verwendet, damit Speicherdienste wie Blob und Datei mit dem verwalteten Netzwerk kommunizieren können.
  • Eine Azure Container-Registrierung, die einen privaten Endpunkt verwendet, um über das verwaltete Netzwerk zu kommunizieren.
  • Ein Azure Key Vault, der einen privaten Endpunkt verwendet, um über das verwaltete Netzwerk zu kommunizieren.
  • Eine Azure Machine Learning-Compute-Instanz und ein Computecluster, die durch das verwaltete Netzwerk gesichert sind.

Voraussetzungen

Erstellen einer Jumpbox (VM)

Sie können auf verschiedene Arten eine Verbindung mit dem gesicherten Arbeitsbereich herstellen. Verwenden Sie in diesem Lernprogramm ein Sprungfeld. Eine Jumpbox ist ein virtueller Computer in einer Azure Virtual Network-Instanz. Sie können eine Verbindung mit diesem herstellen, indem Sie Ihren Webbrowser und Azure Bastion verwenden.

In der folgenden Tabelle sind mehrere andere Möglichkeiten aufgeführt, wie Sie eine Verbindung mit dem sicheren Arbeitsbereich herstellen können:

Methode BESCHREIBUNG
Azure VPN Gateway Stellt eine private Verbindung zwischen lokalen Netzwerken und einer Azure Virtual Network-Instanz her Innerhalb dieses virtuellen Netzwerks wird ein privater Endpunkt für Ihren Arbeitsbereich erstellt. Die Verbindung erfolgt über das öffentliche Internet.
ExpressRoute Stellt über eine private Verbindung eine Verbindung zwischen lokalen Netzwerken und der Cloud her. Die Verbindung erfolgt mithilfe eines Konnektivitätsanbieters.

Wichtig

Wenn Sie ein VPN-Gateway oder ExpressRoute verwenden, planen Sie, wie die Namensauflösung zwischen Ihren lokalen Ressourcen und denen in der Cloud funktioniert. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten DNS-Servers.

Verwenden Sie die folgenden Schritte, um eine Azure Virtual Machine für die Verwendung als Jumpbox zu erstellen. Über den VM-Desktop können Sie den Browser auf dem virtuellen Computer verwenden, um eine Verbindung mit Ressourcen innerhalb des verwalteten virtuellen Netzwerks herzustellen, z. B. Azure Machine Learning Studio. Sie können auch Entwicklungstools auf der VM installieren.

Tipp

Mit den folgenden Schritten erstellen Sie eine Windows 11 Enterprise-VM. Je nach Ihren Anforderungen sollten Sie unter Umständen ein anderes VM-Image auswählen. Das Windows 11- oder Windows 10-Enterprise-Bild ist nützlich, wenn Sie der Domäne Ihrer Organisation beitreten müssen.

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Virtual Machine ein. Suchen Sie nach dem Eintrag Virtual Machine, und wählen Sie dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und die Region aus, in welchen der Dienst erstellt werden soll. Stellen Sie Werte für die folgenden Felder bereit:

    • Name des virtuellen Computers: Ein eindeutiger Name für den virtuellen Computer.

    • Benutzername: Der Benutzername, den Sie für die Anmeldung beim virtuellen Computer verwenden.

    • Kennwort: Das Kennwort für den Benutzernamen.

    • Sicherheitstyp: Standard.

    • Bild: Windows 11 Enterprise

      Tipp

      Wenn Windows 11 Enterprise nicht in der Liste für die Bildauswahl enthalten ist, verwenden SieAlle Bilder anzeigen_. Suchen Sie den Windows 11-Eintrag von Microsoft und verwenden Sie die Dropdownliste Auswählen, um das Enterprise-Bild auszuwählen.

    Für die anderen Felder können Sie die Standardwerte belassen.

    Screenshot: Grundlegende Konfiguration einer VM

  3. Wählen Sie Netzwerk aus. Überprüfen Sie die Netzwerkinformationen, und stellen Sie sicher, dass der IP-Adressbereich 172.17.0.0/16 nicht verwendet wird. Wenn dem so ist, wählen Sie einen anderen Bereich wie 172.16.0.0/16 aus. Der Bereich 172.17.0.0/16 kann Konflikte mit Docker verursachen.

    Hinweis

    Der virtuelle Azure-Computer erstellt eine eigene Azure Virtual Network-Instanz für die Netzwerkisolation. Dieses Netzwerk ist vom verwalteten virtuellen Netzwerk getrennt, das von Azure Machine Learning verwendet wird.

    Screenshot: Registerkarte „Netzwerk“ für den virtuellen Computer

  4. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

Aktivieren von Azure Bastion für den virtuellen Computer

Mithilfe von Azure Bastion können Sie über Ihren Browser eine Verbindung mit dem VM-Desktop herstellen.

  1. Wählen Sie im Azure-Portal den zuvor erstellten virtuellen Computer aus. Wählen Sie im Abschnitt Verbinden der Seite Bastion und dann Bastion bereitstellen aus.

    Screenshot: Option „Bastion bereitstellen“

  2. Nachdem das Portal den Bastion-Dienst bereitgestellt hat, werden Sie zu einem Verbindungsdialog weitergeleitet. Verwenden Sie dieses Dialogfeld noch nicht.

Erstellen eines Arbeitsbereichs

  1. Wählen Sie im Azure-Portal oben links das Portalmenü aus. Wählen Sie im Menü die Option + Ressource erstellen aus, und geben Sie dann Azure Machine Learning ein. Wählen Sie den Eintrag Azure Machine Learning und dann Erstellen aus.

  2. Wählen Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und die Region aus, in welchen der Dienst erstellt werden soll. Geben Sie einen eindeutigen Namen für den Arbeitsbereichsnamen ein. Übernehmen Sie bei den verbleibenden Feldern die Standardwerte. Das Portal erstellt neue Instanzen der benötigten Dienste für den Arbeitsbereich.

    Screenshot des Formulars für die Arbeitsbereichserstellung.

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit ausgehendem Internetdatenverkehr aus.

    Screenshot der Registerkarte „Arbeitsbereichsnetzwerk“ mit „Internet ausgehend“ ausgewählt.

  4. Wählen Sie auf der Registerkarte Netzwerk im Abschnitt Eingehender Zugriff des Arbeitsbereichs die Option + Hinzufügen aus.

    Screenshot: Schaltfläche „Hinzufügen“ für eingehenden Zugriff

  5. Geben Sie im Formular Privaten Endpunkt erstellen im Feld Name einen eindeutigen Wert ein. Wählen Sie das virtuelle Netzwerk aus, das Sie zuvor mit dem virtuellen Computer erstellt haben, und wählen Sie das Standardsubnetz aus. Übernehmen Sie bei den verbleibenden Feldern die Standardwerte. Wählen Sie OK aus, um den Endpunkt zu speichern.

    Screenshot des Formulars zum Erstellen eines privaten Endpunkts

  6. Klicken Sie auf Überprüfen + erstellen. Vergewissern Sie sich, dass die Informationen richtig sind, und wählen Sie dann Erstellen aus.

  7. Nachdem das Portal den Arbeitsbereich erstellt hat, wählen Sie "Zur Ressource wechseln" aus.

Herstellen einer Verbindung mit dem VM-Desktop

  1. Wählen Sie im Azure-Portal den zuvor erstellten virtuellen Computer aus.

  2. Wählen Sie im Abschnitt Verbinden die Option Bastion aus. Geben Sie den Benutzernamen und das Kennwort ein, den bzw. das Sie für den virtuellen Computer konfiguriert haben, und wählen Sie dann Verbinden aus.

    Screenshot: Formular für Bastion-Verbindung

Herstellen der Verbindung mit Studio

An diesem Punkt wird der Arbeitsbereich erstellt, aber das verwaltete virtuelle Netzwerk ist noch nicht erstellt. Sie konfigurieren das verwaltete virtuelle Netzwerk, wenn Sie den Arbeitsbereich erstellen. Um das verwaltete virtuelle Netzwerk zu erstellen, erstellen Sie eine Computeressource oder stellen Sie das Netzwerk manuell bereit.

Führen Sie die folgenden Schritte aus, um eine Compute-Instanz zu erstellen.

  1. Verwenden Sie auf dem VM-Desktop den Browser, um Azure Machine Learning Studio zu öffnen und den zuvor erstellten Arbeitsbereich auszuwählen.

  2. Wählen Sie in Studio die Optionen Compute, Compute-Instanz und dann + Neu aus.

    Screenshot der Option „Neue Compute-Instanz“ im Studio.

  3. Geben Sie im Dialogfeld Erforderliche Einstellungen konfigurieren einen eindeutigen Wert als Compute-Namen ein. Belassen Sie die restlichen Auswahlen auf dem Standardwert.

  4. Klicken Sie auf Erstellen. Die Erstellung des Compute-Instanz dauert einige Minuten. Die Compute-Instanz wird innerhalb des verwalteten Netzwerks erstellt.

    Tipp

    Es kann mehrere Minuten dauern, bis die erste Computeressource erstellt wird. Diese Verzögerung tritt auf, weil das verwaltete virtuelle Netzwerk ebenfalls erstellt wird. Das verwaltete virtuelle Netzwerk wird erst erstellt, wenn die erste Computeressource erstellt wurde. Nachfolgende verwaltete Computeressourcen werden viel schneller erstellt.

Aktivieren des Studiozugriffs auf Speicher

Da Azure Machine Learning Studio teilweise im Webbrowser auf dem Client ausgeführt wird, benötigt der Client direkten Zugriff auf das Standardspeicherkonto für den Arbeitsbereich, um Datenvorgänge auszuführen. Um den direkten Zugriff zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Wählen Sie im Azure-Portal die zuvor erstellte Jumpbox-VM aus. Kopieren Sie im Abschnitt Übersicht die öffentliche IP-Adresse.

  2. Wählen Sie im Azure-Portal den zuvor erstellten Arbeitsbereich aus. Wählen Sie im Abschnitt Übersicht den Link für den Speichereintrag aus.

  3. Wählen Sie im Speicherkonto Netzwerk aus und fügen Sie die öffentlicheIP-Adresse der Jump-Box zum Abschnitt Firewall hinzu.

    Tipp

    In einem Szenario, in dem Sie ein VPN-Gateway oder ExpressRoute anstelle eines Sprungfelds verwenden, können Sie einen privaten Endpunkt oder Einen Dienstendpunkt für das Speicherkonto zum virtuellen Azure-Netzwerk hinzufügen. Mithilfe eines privaten Endpunkts oder Dienstendpunkts können mehrere Clients, die über das virtuelle Azure-Netzwerk verbunden sind, Speichervorgänge über Studio erfolgreich ausführen.

    An diesem Punkt können Sie das Studio verwenden, um interaktiv mit Notebooks in der Compute-Instanz zu arbeiten und Trainingsaufträge auszuführen. Ein Tutorial finden Sie unter Tutorial: Modellentwicklung.

Beenden der Compute-Instanz

Während der Ausführung (gestartet) wird die Compute-Instanz weiterhin Ihrem Abonnement belastet. Um übermäßige Kosten zu vermeiden, beenden Sie sie, wenn Sie sie nicht verwenden.

Wählen Sie in Studio die Optionen Compute, Compute-Instanzen und anschließend die Compute-Instanz aus. Wählen Sie abschließend oben auf der Seite die Option Beenden aus.

Screenshot: Schaltfläche „Beenden“ für die Compute-Instanz

Bereinigen von Ressourcen

Wenn Sie den geschützten Arbeitsbereich und andere Ressourcen weiterhin verwenden möchten, überspringen Sie diesen Abschnitt.

Führen Sie die folgenden Schritte aus, um alle Ressourcen zu löschen, die Sie in diesem Lernprogramm erstellt haben:

  1. Wählen Sie im Azure-Portal die Option „Ressourcengruppen“ aus.

  2. Wählen Sie in der Liste die Ressourcengruppe aus, die Sie in diesem Tutorial erstellt haben.

  3. Wählen Sie die Option Ressourcengruppe löschen.

    Screenshot: Schaltfläche „Ressourcengruppe löschen“

  4. Geben Sie den Ressourcengruppennamen ein, und wählen Sie dann "Löschen" aus.

Nächste Schritte

Nachdem Sie nun über einen sicheren Arbeitsbereich verfügen und auf Studio zugreifen können, berücksichtigen Sie die folgenden Ressourcen:

  • Last updated on