この記事では、セキュリティで保護された Azure Machine Learning ワークスペースを作成して接続する方法について説明します。 この記事の手順では、Azure Machine Learning マネージド仮想ネットワークを使用して、Azure Machine Learning で使用されるリソースの周囲にセキュリティ境界を作成します。
このチュートリアルでは、以下のタスクを実行します。
- マネージド仮想ネットワークを使用するように構成された Azure Machine Learning ワークスペースを作成する。
- Azure Machine Learning コンピューティング クラスターを作成する。 コンピューティング クラスターは、 クラウドで機械学習モデルをトレーニングするときに使用します。
このチュートリアルを完了すると、次のアーキテクチャが作成されます。
- プライベート エンドポイントを使用してマネージド ネットワーク経由で通信する Azure Machine Learning ワークスペース。
- プライベート エンドポイントを使用して、BLOB やファイルなどのストレージ サービスがマネージド ネットワーク経由で通信できるようにする Azure ストレージ アカウント。
- プライベート エンドポイントを使用してマネージド ネットワーク経由で通信する Azure Container Registry。
- プライベート エンドポイントを使用してマネージド ネットワーク経由で通信する Azure Key Vault。
- マネージド ネットワークでセキュリティ保護された Azure Machine Learning コンピューティング インスタンスとコンピューティング クラスター。
前提条件
- Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。 無料版または有料版の Azure Machine Learning をお試しください。
- Python 3.10 以降。
ジャンプ ボックス (VM) を作成する
セキュリティで保護されたワークスペースには、いくつかの方法で接続できます。 このチュートリアルでは、 ジャンプ ボックスを使用します。 ジャンプ ボックスは、Azure Virtual Network の仮想マシンです。 Web ブラウザーと Azure Bastion を使用して接続できます。
次の表に、セキュリティで保護されたワークスペースに接続できるその他の方法をいくつか示します。
| Method | 説明 |
|---|---|
| Azure VPN Gateway | オンプレミスのネットワークをプライベート接続を介して Azure Virtual Network に接続します。 ワークスペースのプライベート エンドポイントは、その仮想ネットワーク内に作成されます。 接続は、パブリック インターネットを介して行われます。 |
| ExpressRoute | オンプレミスのネットワークをプライベート接続を介してクラウドに接続します。 接続は、接続プロバイダーを使用して行われます。 |
重要
VPN ゲートウェイまたは ExpressRoute を使用する場合は、オンプレミスのリソースとクラウド内のリソースの間での名前解決のしくみを計画します。 詳細については、カスタム DNS サーバーの使用に関する記事を参照してください。
次の手順を使用して、ジャンプ ボックスとして使用する Azure 仮想マシンを作成します。 VM デスクトップから、VM 上のブラウザーを使用して、Azure Machine Learning Studio などのマネージド仮想ネットワーク内のリソースに接続できます。 また、VM に開発ツールをインストールすることもできます。
ヒント
次の手順では、Windows 11 Enterprise VM を作成します。 要件に応じて、別の VM イメージを選択することをお勧めします。 Windows 11 (または 10) Enterprise イメージは、VM を組織のドメインに参加させる必要がある場合に便利です。
Azure portal で、左上隅にあるポータル メニューを選択します。 メニューで [+ リソースの作成] を選択し、「Virtual Machine」と入力します。 [Virtual Machine] エントリを選択し、[作成] を選択します。
[基本] タブで、サービスを作成する [サブスクリプション]、[リソース グループ]、[リージョン] を選びます。 次のフィールドの値を指定します。
仮想マシン名: VM の一意の名前。
ユーザー名: VM へサインインするのに使用するユーザー名。
パスワード: そのユーザー名のパスワード。
セキュリティの種類: 標準。
イメージ: Windows 11 Enterprise。
ヒント
Windows 11 Enterprise がイメージ選択の一覧にない場合は、[すべてのイメージを表示] を使用します。 [Microsoft] から [Windows 11] エントリを見つけ、[選択] ドロップダウンを使用して Enterprise イメージを選択します。
他のフィールドは既定値のままで構いません。
[ネットワーク] を選択します。 ネットワーク情報を確認し、172.17.0.0/16 IP アドレス範囲を使用していないことを確認します。 ある場合は、172.16.0.0/16 などの別の範囲を選択します。 172.17.0.0/16 の範囲では、Docker との競合が発生する可能性があります。
注
Azure 仮想マシンは、ネットワーク分離のために独自の Azure Virtual Network を作成します。 このネットワークは、Azure Machine Learning で使用されるマネージド仮想ネットワークから分離されます。
[確認と作成] を選択します。 情報が正しいことを確認し、 [作成] を選択します。
VM の Azure Bastion を有効にする
Azure Bastion を使用すると、ブラウザーを使用して VM デスクトップに接続できます。
Azure portal で、先ほど作成した VM を選択します。 ページの [接続] セクションで、[Bastion] を選択し、[Bastion のデプロイ] を選択します。
![[Bastion のデプロイ] オプションのスクリーンショット](media/tutorial-create-secure-workspace/virtual-machine-deploy-bastion.png?view=azureml-api-2)
ポータルが Bastion サービスをデプロイすると、接続ダイアログに戻ります。 このダイアログはまだ使用しないでください。
ワークスペースの作成
Azure portal で、左上隅にあるポータル メニューを選択します。 メニューで [+ リソースの作成] を選択し、「Azure Machine Learning」と入力します。 [Azure Machine Learning] エントリを選択し、[作成] を選択します。
[基本] タブで、サービスを作成する [サブスクリプション]、[リソース グループ]、[リージョン] を選びます。 [ワークスペース名] に一意の名前を入力します。 その他のフィールドはすべて既定値のままにします。 ポータルは、ワークスペースに必要なサービスの新しいインスタンスを作成します。
[ネットワーク] タブで、[インターネット送信で非公開] を選びます。
![インターネット送信が選択されたワークスペースの [ネットワーク] タブ。](media/tutorial-create-secure-workspace/private-internet-outbound.png?view=azureml-api-2)
[ネットワーク] タブの [ワークスペースの送信アクセス) セクションで、[+ 追加] を選択します。
[プライベート エンドポイントを作成する] フォームで、[名前] フィールドに一意の値を入力します。 VM で先ほど作成した 仮想ネットワーク を選択し、既定のサブネットを選択 します。 その他のフィールドはすべて既定値のままにします。 [OK] を選択して、エンドポイントを保存します。
[確認と作成] を選択します。 情報が正しいことを確認し、 [作成] を選択します。
ポータルでワークスペースが作成されたら、[ リソースに移動] を選択します。
VM デスクトップに接続する
Azure portal から、先ほど作成した VM を選択します。
[接続] セクションで、[Bastion] を選択します。 VM 用に構成したユーザー名とパスワードを入力し、[接続] を選択します。
![[Bastion 接続] フォームのスクリーンショット。](media/tutorial-create-secure-workspace/virtual-machine-bastion-connect.png?view=azureml-api-2)
Studio に接続する
この時点で、ワークスペースは作成 されますが、マネージド仮想ネットワークは作成されません。 ワークスペースを作成するときに、マネージド仮想ネットワークを構成します。 マネージド仮想ネットワークを作成するには、コンピューティング リソースを作成するか、ネットワークを手動でプロビジョニングします。
次の手順を使用して、コンピューティング インスタンスを作成します。
VM デスクトップから、ブラウザーを使用して Azure Machine Learning スタジオを開き、前に作成したワークスペースを選択します。
スタジオで、[コンピューティング]、[コンピューティング インスタンス]、[+ 新規] の順に選択します。
[必要な設定の構成] ダイアログで、[コンピューティング名] に一意の値を入力します。 その他の選択値は、デフォルトのままにしておきます。
[作成] を選択します コンピューティング インスタンスの作成には、数分かかります。 コンピューティング インスタンスは、マネージド ネットワーク内に作成されます。
ヒント
最初のコンピューティング リソースの作成には数分かかる場合があります。 この遅延が発生するのは、マネージド仮想ネットワークも作成されるためです。 マネージド仮想ネットワークは、最初のコンピューティング リソースが作成されるまで作成されません。 後続のマネージド コンピューティング リソースは、はるかに高速に作成されます。
ストレージへのスタジオ アクセスを有効にする
Azure Machine Learning Studio はクライアント上の Web ブラウザーで部分的に実行されるため、データ操作を実行するには、ワークスペースの既定のストレージ アカウントに直接アクセスする必要があります。 直接アクセスを有効にするには、次の手順のようにします:
Azure portal から、先ほど作成したジャンプ ボックス VM を選択します。 概要 セクションから、パブリック IP アドレス をコピーします。
Azure portal から、先ほど作成したワークスペースを選択します。 概要 セクションで、ストレージ エントリのリンクを選択します。
ストレージ アカウントから ネットワーク を選択し、ジャンプ ボックスの パブリック IP アドレスを ファイアウォール セクションに追加します。
ヒント
ジャンプ ボックスの代わりに VPN ゲートウェイまたは ExpressRoute を使用するシナリオでは、ストレージ アカウントのプライベート エンドポイントまたはサービス エンドポイントを Azure Virtual Network に追加できます。 プライベート エンドポイントまたはサービス エンドポイントを使用すると、Azure Virtual Network 経由で接続する複数のクライアントが Studio を介してストレージ操作を正常に実行できます。
この時点で、スタジオを使用して、ノートブックを対話的に操作し、コンピューティング クラスターでトレーニング ジョブを実行できます。 チュートリアルについては、「チュートリアル: モデル開発」を参照してください。
コンピューティング インスタンスを停止する
実行している間 (開始後)、コンピューティング インスタンスの料金がサブスクリプションに課金され続けます。 余分なコストを回避するには、使用しないときに 停止 します。
スタジオで、[コンピューティング]、[コンピューティング インスタンス] の順に選択し、コンピューティング インスタンスを選択します。 最後に、ページの上部で [停止] を選択します。
![コンピューティング インスタンスの [停止] ボタンのスクリーンショット](media/tutorial-create-secure-workspace/compute-instance-stop.png?view=azureml-api-2)
リソースをクリーンアップする
セキュリティで保護されたワークスペースおよびその他のリソースを引き続き使用する予定の場合は、このセクションをスキップしてください。
このチュートリアルで作成したすべてのリソースを削除するには、次の手順に従います。
Azure portal で、 [リソース グループ] を選択します。
一覧から、このチュートリアルで作成したリソース グループを選択します。
[リソース グループの削除] を選択します。
![[リソース グループ削除] ボタンのスクリーンショット](media/tutorial-create-secure-workspace/delete-resources.png?view=azureml-api-2)
リソース グループ名を入力し、[削除] を選択 します。
次のステップ
セキュリティで保護されたワークスペースが作成され、Studio にアクセスできるようになったので、次のリソースを検討してください。