Tutorial: Creación de un área de trabajo segura con una instancia de Azure Virtual Network

En este artículo, aprenderá a crear y un área de trabajo de Azure Machine Learning segura y a conectarse a ella. En los pasos de este artículo se usa una instancia de Azure Virtual Network para crear un límite de seguridad en torno a los recursos usados por Azure Machine Learning.

Importante

Utilice la red virtual administrada de Azure Machine Learning en lugar de la red virtual de Azure Virtual Network. Para obtener una versión de este tutorial que usa una red virtual administrada, consulte Tutorial: Creación de un área de trabajo segura con una red virtual administrada.

En este tutorial, realizará las siguientes tareas:

  • Cree una instancia de Azure Virtual Network (VNet) para proteger las comunicaciones entre los servicios de la red virtual.
  • Cree una cuenta de Azure Storage (blob y archivo) detrás de la red virtual. Use este servicio como almacenamiento predeterminado para el área de trabajo.
  • Crear una instancia de Azure Key Vault detrás de la red virtual. Use este servicio para almacenar secretos usados por el área de trabajo, como la información de seguridad necesaria para acceder a la cuenta de almacenamiento.
  • Crear una instancia de Azure Container Registry (ACR). Use este servicio como repositorio para imágenes de Docker. Las imágenes de Docker proporcionan los entornos de proceso necesarios al entrenar un modelo de Machine Learning o implementar un modelo entrenado como punto de conexión.
  • Crear un área de trabajo de Azure Machine Learning.
  • Crear un jumpbox. Un jumpbox es una máquina virtual de Azure que está detrás de la red virtual. Dado que la red virtual restringe el acceso desde la red pública de Internet, use el jump box como una manera de conectarse a los recursos detrás de la red virtual.
  • Configurar Azure Machine Learning Studio para que funcione detrás de una Red Virtual. Studio proporciona una interfaz web para Azure Machine Learning.
  • Cree un clúster de computación de Azure Machine Learning. Use un clúster de proceso al entrenar modelos de aprendizaje automático en la nube. En configuraciones en las que Azure Container Registry está detrás de la red virtual, también compila imágenes de Docker.
  • Conectarse al jumpbox y usar Estudio de Azure Machine Learning.

Sugerencia

Para obtener una plantilla que muestre cómo crear un área de trabajo segura, consulte Plantilla de Bicep o Plantilla de Terraform.

Después de completar este tutorial, tiene la siguiente arquitectura:

  • Una red virtual de Azure, que contiene tres subredes:
    • Entrenamiento: contiene el área de trabajo de Azure Machine Learning, los servicios de dependencia y los recursos usados para entrenar modelos.
    • Puntuación: Para los pasos de este tutorial, no se usa. Sin embargo, si sigue usando este área de trabajo para otros tutoriales, use esta subred al implementar modelos en puntos de conexión.
    • AzureBastionSubnet: la usa el servicio Azure Bastion para conectar clientes de forma segura a Azure Virtual Machines.
  • Un área de trabajo de Azure Machine Learning que usa un punto de conexión privado para comunicarse mediante la red virtual.
  • Una cuenta de Azure Storage que usa puntos de conexión privados para permitir que los servicios de almacenamiento como blob y archivo se comuniquen mediante la red virtual.
  • Una instancia de Azure Container Registry que usa un punto de conexión privado para comunicarse mediante la red virtual.
  • Azure Bastion, que le permite comunicarse de forma segura a través del explorador con la máquina virtual de jumpbox dentro de la red virtual.
  • Una máquina virtual de Azure a la que puede conectarse de forma remota y acceder a los recursos protegidos dentro de la red virtual.
  • Una instancia de proceso y clúster de proceso de Azure Machine Learning.

Sugerencia

El servicio Azure Batch que se muestra en el diagrama es un servicio back-end que requieren los clústeres de proceso y las instancias de proceso.

Diagrama de la arquitectura final creada a través de este tutorial.

Requisitos previos

  • Familiaridad con redes virtuales de Azure y redes IP. Si no está familiarizado, pruebe el módulo Aspectos básicos de la red del equipo .
  • Aunque en la mayoría de los pasos de este artículo se usan Azure Portal o Estudio de Azure Machine Learning, en algunos se utiliza la extensión CLI de Azure para Machine Learning v2.

Creación de una red virtual

Para crear una red virtual, siga estos pasos:

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En dicho menú, seleccione + Crear un recurso y escriba Virtual Network en el cuadro de búsqueda. Seleccione la entrada Virtual Network y, después, seleccione Crear.

    Recorte de pantalla del formulario de búsqueda de recursos con Red virtual seleccionada.

    Captura de pantalla del formulario de creación de red virtual.

  2. En la sección Datos básicos, seleccione la suscripción de Azure que se usará para este recurso y, después, seleccione o cree un grupo de recursos. En Detalles de instancia, escriba un nombre descriptivo para la red virtual y seleccione la región en la que desea crearla.

    Captura de pantalla del formulario de configuración de red virtual.

  3. Seleccione Seguridad. Seleccione habilitar Azure Bastion. Azure Bastion proporciona una manera segura de acceder al jump box de la máquina virtual que crearás dentro de la red virtual en un paso siguiente. Use los valores siguientes para los campos restantes:

    • Nombre del bastión: un nombre único para esta instancia de Bastion
    • Dirección IP pública: cree una dirección IP pública.

    Deje los demás campos con los valores predeterminados.

    Captura de pantalla de la configuración de Bastion.

  4. Seleccione Direcciones IP. La configuración predeterminada debe ser similar a la de la siguiente imagen:

    Captura de pantalla del formulario de dirección IP predeterminada.

    Siga estos pasos para configurar tanto la dirección IP como una subred para los recursos de entrenamiento y puntuación:

    Sugerencia

    Aunque puede usar una sola subred para todos los recursos de Azure Machine Learning, los pasos de este artículo muestran cómo crear dos subredes para separar los recursos de entrenamiento y puntuación.

    El área de trabajo y otros servicios de dependencia van a la subred de entrenamiento. Los recursos de otras subredes todavía los pueden usar, como la subred de puntuación.

    1. Fíjese en el valor predeterminado de Espacio de direcciones IPv4. En la captura de pantalla, el valor es 172.16.0.0/16. El valor puede ser diferente para usted. Aunque puede usar otro valor, el resto de los pasos de este tutorial se basan en el valor 172.16.0.0/16.

      Advertencia

      No use el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este intervalo es el intervalo de subred predeterminado que usa la red del puente de Docker y genera errores si lo usa para la red virtual. Otros intervalos también pueden entrar en conflicto en función de lo que quiera conectarse a la red virtual. Por ejemplo, si planea conectar la red local a la red virtual y la red local también usa el intervalo 172.16.0.0/16. En última instancia, debe planear la infraestructura de red.

    2. Seleccione la subred Predeterminada y, a continuación, seleccione el icono de edición.

      Recorte de pantalla de la selección del icono de edición de la subred predeterminada.

    3. Cambie el Nombre de la subred a Entrenamiento. Deje los demás valores en la configuración predeterminada y, a continuación, seleccione Guardar para guardar los cambios.

    4. Para crear una subred para los recursos de proceso que se usan para puntuar los modelos, seleccione + Agregar subred y establezca el nombre y el intervalo de direcciones:

      • Nombre de subred: Puntuación
      • Dirección inicial: 172.16.2.0
      • Tamaño de la subred: /24 (256 direcciones)

      Captura de pantalla de la subred Scoring.

    5. Seleccione Agregar para agregar la subred.

  5. Seleccione Revisar + crear.

    Captura de pantalla del botón Revisar y crear.

  6. Compruebe que la información es correcta y seleccione Crear.

    Captura de pantalla de la página de revisión y creación de la red virtual.

Crear una cuenta de almacenamiento

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Storage account. Seleccione la entrada Storage account y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Escriba un valor único en Nombre de la cuenta de almacenamiento y en Redundancia, seleccione Almacenamiento con redundancia local (LRS) .

    Captura de pantalla de la configuración básica de la cuenta de almacenamiento.

  3. En la pestaña Redes, seleccione Deshabilitar acceso público y, a continuación, seleccione + Agregar punto de conexión privado.

    Captura de pantalla del formulario para agregar la red privada de blobs.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: blob.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: privatelink.blob.core.windows.net.

    Seleccione Agregar para crear el punto de conexión privado.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Una vez creada la cuenta de almacenamiento, seleccione Ir al recurso:

    Captura de pantalla del botón Ir al nuevo recurso de almacenamiento.

  7. En el panel de navegación izquierdo, seleccione Redes. Seleccione la pestaña Conexiones de punto de conexión privada y, a continuación, seleccione + Punto de conexión privado:

    Nota

    Aunque ha creado un punto de conexión privado para Blob Storage en los pasos anteriores, también debe crear uno para File Storage.

    Captura de pantalla del formulario de conexión en red de la cuenta de almacenamiento.

  8. En el formulario Crear un punto de conexión privado , use la misma suscripción, grupo de recursos y Región que usó para los recursos anteriores. Escriba un valor único en el campo Nombre.

    Captura de pantalla del formulario básico al agregar el punto de conexión privado del archivo.

  9. Seleccione Siguiente: Recurso y, después, establezca Subrecurso de destino en archivo.

    Recorte de pantalla del formulario de recursos al seleccionar un subrecurso del “archivo”.

  10. Seleccione Siguiente: Virtual Network y, a continuación, use los siguientes valores:

    • Red virtual: la red virtual que ha creado antes.
    • Subred: Entrenamiento.

    Captura de pantalla del formulario de configuración al agregar el punto de conexión privado del archivo.

  11. Continúe con las pestañas que seleccionan los valores predeterminados hasta que llegue a Revisar y crear. Compruebe que la información es correcta y seleccione Crear.

Sugerencia

Si tiene previsto usar un punto de conexión por lotes o una canalización de Azure Machine Learning que use parallelRunStep, también debe configurar puntos de conexión privados que tengan como destino los subrecursos de cola y tabla. ParallelRunStep usa internamente cola y tabla para la programación y distribución de tareas.

Creación de un almacén de claves

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Key Vault. Seleccione la entrada Key Vault y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Escriba un valor único en Nombre de Key Vault. Deje los demás campos con los valores predeterminados.

    Captura de pantalla del formulario básico al crear un nuevo almacén de claves.

  3. En la pestaña Redes, anule la selección de Habilitar acceso público y, a continuación, seleccione + Agregar punto de conexión privado.

    Captura de pantalla del formulario de conexión en red al agregar un punto de conexión privado al almacén de claves.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: Almacén.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Habilitar la integración de DNS privado: Sí
    • Zona DNS privada: seleccione el grupo de recursos que contiene la red virtual y el almacén de claves.

    Seleccione Agregar para crear el punto de conexión privado.

    Captura de pantalla del formulario de configuración del punto de conexión privado del almacén de claves.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Cuando se cree el almacén de claves, seleccione Ir al recurso.

  7. En el panel de navegación izquierdo, seleccione Redes. En la pestaña Firewalls y redes virtuales , active la casilla Permitir que los servicios de Microsoft de confianza omitan este firewall y seleccione Aplicar.

Creación de un registro de contenedor

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Container Registry. Seleccione a entrada Container Registry y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la ubicación que usó anteriormente para la red virtual. Escriba un valor único en Nombre de registro y en SKU seleccione Prémium.

    Captura de pantalla del formulario básico al crear un registro de contenedor.

  3. En la pestaña Redes, seleccione Punto de conexión privado y, después, seleccione + Agregar.

    Captura de pantalla del formulario de conexión en red al agregar un punto de conexión privado del registro de contenedor.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: registro.
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Grupo de recursos: seleccione el grupo de recursos que contiene la red virtual y el registro de contenedor.

    Seleccione Agregar para crear el punto de conexión privado.

    Captura de pantalla del formulario de configuración para el punto de conexión privado del registro de contenedor.

  5. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  6. Una vez creado el registro de contenedor, seleccione Ir al recurso.

    Captura de pantalla del botón Ir al recurso.

  7. En la izquierda de la página, seleccione Claves de acceso y, después, habilite Usuario administrador. Necesita esta configuración al usar Azure Container Registry dentro de una red virtual con Azure Machine Learning.

    Captura de pantalla del formulario de claves de acceso del Registro de contenedor, con la opción de usuario administrador habilitada.

Crear un área de trabajo

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Machine Learning. Seleccione la entrada Machine Learning y, después, seleccione Crear.

    Captura de pantalla de la página de creación de Azure Machine Learning.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Use los siguientes valores en los demás campos:

    • Nombre: nombre único para el área de trabajo.
    • Cuenta de almacenamiento: seleccione la cuenta de almacenamiento que creó anteriormente.
    • Almacén de claves: seleccione el almacén de claves que creó anteriormente.
    • Application Insights: use el valor predeterminado.
    • Registro de contenedor: use el registro de contenedor que creó anteriormente.

    Captura de pantalla del formulario de configuración básica del área de trabajo.

  3. En la pestaña Redes, seleccione Privado con Salida a Internet. En la sección Acceso de entrada del área de trabajo, seleccione + Agregar.

  4. En el formulario Crear punto de conexión privado, use los siguientes valores:

    • Suscripción: la misma suscripción de Azure que contiene los recursos anteriores.
    • Grupo de recursos: el mismo grupo de recursos de Azure que contiene los recursos anteriores.
    • Ubicación: la misma región de Azure que contiene los recursos anteriores.
    • Nombre: un nombre único para este punto de conexión privado.
    • Subrecurso de destino: amlworkspace
    • Red virtual: la red virtual que creó anteriormente.
    • Subred: Entrenamiento (172.16.0.0/24)
    • Integración de DNS privado: sí
    • Zona DNS privada: deje las dos zonas DNS privadas con los valores predeterminados de privatelink.api.azureml.ms y privatelink.notebooks.azure.net.

    Seleccione Aceptar para crear el punto de conexión privado.

    Captura de pantalla del formulario de configuración de la red privada del área de trabajo.

  5. En la pestaña Redes, en la sección Acceso de salida del área de trabajo, seleccione Usar mi propia red virtual.

  6. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

  7. Cuando se cree el área de trabajo, seleccione Ir al recurso.

  8. En la sección Configuración de la izquierda, seleccione Redes, Conexiones de punto de conexión privado y, después, seleccione el vínculo de la columna Punto de conexión privado:

    Captura de pantalla de las conexiones de punto final privados del espacio de trabajo.

  9. Una vez que aparezca la información del punto de conexión privado, seleccione Configuración de DNS en la izquierda de la página. Guarde la dirección IP y la información del nombre de dominio completo (FQDN) en esta página.

    Captura de pantalla de las entradas IP y FQDN del área de trabajo.

Importante

Todavía hay que realizar algunos pasos en la configuración para poder usar completamente el área de trabajo. Sin embargo, estos pasos requieren que se conecte al área de trabajo.

Habilitación de Studio

Azure Machine Learning Studio es una aplicación basada en web que se usa para administrar el área de trabajo. Sin embargo, necesita una configuración adicional para poder usarla con recursos protegidos dentro de una red virtual. Para habilitar Estudio, siga estos pasos:

  1. Cuando use una cuenta de almacenamiento de Azure que tenga un punto de conexión privado, agregue la entidad de servicio del área de trabajo como lector de los puntos de conexión privados de almacenamiento. En Azure Portal, seleccione una cuenta de almacenamiento y, después, seleccione Redes. Luego, seleccione Conexiones de punto de conexión privado.

    Captura de pantalla de las conexiones del punto de conexión privado del almacenamiento.

  2. En cada uno de los puntos de conexión privados de la lista, siga estos pasos:

    1. Seleccione el vínculo de la columna Punto de conexión privado.

      Recorte de pantalla de los vínculos de punto de conexión en la columna punto de conexión privado.

    2. Seleccione Control de acceso (IAM) en el lado izquierdo.

    3. Seleccione + Agregar y, después, agregar asignación de roles (versión preliminar).

      Página de Control de Acceso (IAM) con el menú Agregar Asignación de Roles abierto.

    4. En la pestaña Rol, seleccione el rol Lector.

      Agregar página de asignación de roles con la pestaña de Rol seleccionada.

    5. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio en el área Asignar acceso a y, después, seleccione + Seleccionar miembros. En el cuadro de diálogo Seleccionar miembros, escriba el nombre como área de trabajo de Azure Machine Learning. Seleccione la entidad de servicio para el área de trabajo y, después, use el botón Seleccionar.

    6. En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.

Protección de Azure Monitor y Application Insights

Nota

Para más información sobre cómo proteger Azure Monitor y Application Insights, consulte los siguientes artículos:

  1. En Azure Portal, seleccione Inicio y busque Vínculo privado. Seleccione el resultado Ámbito de Azure Monitor Private Link y después seleccione Crear.

  2. En la pestaña Aspectos básicos, seleccione los mismos valores de Suscripción, Grupo de recursos y Región del grupo de recursos que los del área de trabajo de Azure Machine Learning. Escriba un nombre para la instancia y, después, seleccione Revisar y crear. Para crear la instancia, seleccione Crear.

  3. Después de crear la instancia de ámbito de Private Link de Azure Monitor, seleccione la instancia en Azure Portal. En la sección Configurar, seleccione Recursos de Azure Monitor y después seleccione + Agregar.

    Captura de pantalla del botón Agregar.

  4. En Seleccionar un ámbito, use los filtros para seleccionar la instancia de Application Insights para el área de trabajo de Azure Machine Learning. Seleccione Aplicar para agregar la instancia.

  5. En la sección Configuración, seleccione Conexiones de punto de conexión privado y después + Punto de conexión privado.

    Captura de pantalla del botón Agregar punto de conexión privado.

  6. Seleccione los mismos valores de Suscripción, Grupo de recursos y Región que contiene la red virtual. Seleccione Siguiente: Resource (Siguiente: Recurso).

    Captura de pantalla de los aspectos básicos del punto de conexión privado de Azure Monitor.

  7. Seleccione Microsoft.insights/privateLinkScopes como Tipo de recurso. Seleccione el ámbito de Private Link que creó anteriormente como Recurso. Seleccione azuremonitor en Subrecurso de destino. Seleccione Siguiente: Red virtual para continuar.

    Captura de pantalla de los recursos de punto de conexión privado de Azure Monitor.

  8. Seleccione la Red virtual que ha creado antes y la subred Entrenamiento. Seleccione Siguiente hasta que llegue a Revisar y crear. Seleccione Crear para crear el punto de conexión privado.

    Captura de pantalla de la red del punto de conexión privado de Azure Monitor.

  9. Después de crear el punto de conexión privado, vuelva al recurso Ámbito de Enlace Privado de Azure Monitor en el portal. En la sección Configurar, seleccione Modos de acceso. Seleccione Solo privado para modo de acceso de ingesta y Modo de acceso de consulta y, a continuación, seleccione Guardar.

    Recorte de pantalla de los modos de acceso de ámbito de vínculo privado.

Conexión a un área de trabajo

Puede conectarse al área de trabajo protegida de varias maneras. En los pasos de este artículo se usa un jumpbox, que es una máquina virtual de la red virtual. Puede conectarse a él mediante el explorador web y Azure Bastion. En la tabla siguiente se enumeran otras formas de conectarse al área de trabajo segura:

Método Descripción
Azure VPN Gateway Conecta redes locales a la red virtual a través de una conexión privada. La conexión se realiza a través de la red pública de Internet.
ExpressRoute Conecta redes locales a la nube a través de una conexión privada. La conexión se realiza mediante un proveedor de conectividad.

Importante

Al usar una puerta de enlace de VPN o ExpressRoute, debe planear cómo funciona la resolución de nombres entre los recursos locales y los de la red virtual. Para obtener más información, vea Creación de un servidor DNS personalizado.

Creación de un jumpbox (máquina virtual)

Siga estos pasos para crear una instancia de Azure Virtual Machine para usarla como jumpbox. Mediante Azure Bastion, puede conectarse al escritorio de máquina virtual a través del explorador. Desde el escritorio de máquina virtual, puede usar el explorador de la máquina virtual para conectarse a recursos dentro de la red virtual, como Azure Machine Learning Studio. También puede instalar herramientas de desarrollo en la máquina virtual.

Sugerencia

En los pasos siguientes se crea una máquina virtual Windows 11 Enterprise. En función de los requisitos, es posible que quiera seleccionar una imagen de VM diferente. La imagen de Windows 11 (o 10) Enterprise es útil si necesita unir la máquina virtual al dominio de la organización.

  1. En Azure Portal, seleccione el menú del portal de la parte superior izquierda. En el menú, seleccione +Crear un recurso y, después, escriba Máquina virtual. Seleccione la entrada Máquina virtual y, después, seleccione Crear.

  2. En la pestaña Datos básicos, seleccione la suscripción, el grupo de recursos y la región que usó anteriormente para la red virtual. Proporcione valores para los campos siguientes:

    • Nombre de máquina virtual: un nombre exclusivo para la máquina virtual.

    • Nombre de usuario: el nombre de usuario que usa para iniciar sesión en la máquina virtual.

    • Contraseña: contraseña del nombre de usuario.

    • Tipo de seguridad: Estándar.

    • Imagen: Windows 11 Enterprise.

      Sugerencia

      Si Windows 11 Enterprise no está en la lista de selección de imágenes, use Ver todas las imágenes. Busque la entrada Windows 11 de Microsoft y use la lista desplegable Seleccionar para seleccionar la imagen empresarial.

    Puede dejar los restantes campos con los valores predeterminados.

    Captura de pantalla de la configuración básica de la máquina virtual.

  3. Seleccione Redes y, después, seleccione la red virtual que creó anteriormente. Use la siguiente información para establecer los restantes campos:

    • Seleccione la subred Entrenamiento.
    • En IP pública, seleccione Ninguna.
    • Deje los demás campos con los valores predeterminados.

    Captura de pantalla de la configuración de red de la máquina virtual.

  4. Seleccione Revisar + crear. Compruebe que la información es correcta y seleccione Crear.

Conexión al jumpbox

  1. Una vez creada la máquina virtual, seleccione Ir al recurso.

  2. En la parte superior de la página, seleccione Conectar y, después, Conectar a través de Bastion.

    Sugerencia

    Azure Bastion usa el puerto 443 para la comunicación entrante. Si tiene un firewall que restringe el tráfico saliente, asegúrese de que permite el tráfico en el puerto 443 al servicio Azure Bastion. Para más información, consulte Trabajar con grupos de seguridad de red y Azure Bastion.

    Captura de pantalla de la lista de conexiones, con el Bastion seleccionado.

  3. Escriba la información de autenticación de la máquina virtual. Se establece una conexión en el explorador.

Creación de un clúster e instancia de proceso

Una instancia de proceso proporciona un cuaderno de Jupyter Notebook en un recurso de proceso compartido asociado a un área de trabajo.

  1. Desde una conexión de Azure Bastion al jumpbox, abra el explorador Microsoft Edge en el escritorio remoto.

  2. En la sesión del explorador remoto, vaya a https://ml.azure.com. Cuando se le solicite, autentíquese mediante su cuenta de Microsoft Entra.

  3. En la pantalla Bienvenido a Studio, seleccione el área de trabajo de Machine Learning que creó anteriormente y, a continuación, seleccione Introducción.

    Sugerencia

    Si la cuenta de Microsoft Entra tiene acceso a varias suscripciones o directorios, use la lista desplegable Directorio y suscripción para seleccionar la que contiene el área de trabajo.

    Captura de pantalla del formulario de selección del área de trabajo de Machine Learning.

  4. En Studio, seleccione Cálculo, Clústeres de cálculo y, a continuación, + Nuevo.

    Captura de pantalla de la página de clústeres de proceso, con el botón nuevo seleccionado.

  5. En el cuadro de diálogo Máquina virtual, seleccione Siguiente para aceptar la configuración predeterminada de la máquina virtual.

    Captura de pantalla de la configuración de máquina virtual del clúster de proceso.

  6. En el cuadro de diálogo Configurar opciones, escriba cpu-cluster como nombre de proceso. Establezca la subred Training en y, a continuación, seleccione Crear para crear el clúster.

    Sugerencia

    Los clústeres de proceso escalan dinámicamente los nodos del clúster según sea necesario. Deje el número mínimo de nodos en 0 para reducir los costos cuando el clúster no está en uso.

    Captura de pantalla del formulario para configurar opciones.

  7. En Estudio, seleccione Compute, Instancia de Compute y, después, + Nuevo.

    Captura de pantalla de la página

  8. En Configuración requerida, escriba un nombre de equipo único y seleccione Siguiente.

    Captura de pantalla de la configuración de máquina virtual de la instancia de proceso.

  9. Continúe seleccionando Siguiente hasta que llegue al cuadro de diálogo Seguridad, seleccione la Red virtual y establezca el Subred en Entrenamiento. Seleccione Revisar y crear y, luego, Crear.

    Captura de pantalla de la configuración avanzada.

Sugerencia

Al crear un clúster de proceso o una instancia de proceso, Azure Machine Learning agrega dinámicamente un grupo de seguridad de red. Este NSG contiene las siguientes reglas, que son específicas para el clúster de computación y la instancia de computación:

  • Permitir el tráfico TCP entrante en los puertos 29876-29877 desde la etiqueta de servicio BatchNodeManagement.
  • Permitir el tráfico TCP entrante en el puerto 44224 desde la etiqueta de servicio AzureMachineLearning.

En la captura de pantalla siguiente se muestra un ejemplo de estas reglas:

Captura de pantalla de NSG

Para obtener más información sobre cómo crear un clúster de proceso y una instancia de proceso, incluido cómo hacerlo con Python y la CLI, consulte los artículos siguientes:

Configuración de compilaciones de imágenes

SE APLICA A:Extensión de ML de la CLI de Azure v2 (actual)

Cuando Azure Container Registry está detrás de la red virtual, Azure Machine Learning no puede usarla para compilar directamente imágenes de Docker (que se usan para el entrenamiento y la implementación). En su lugar, configure el área de trabajo para usar el clúster de proceso que creó anteriormente. Siga estos pasos para crear un clúster de proceso y configurar el área de trabajo para usarla para compilar imágenes:

  1. Vaya a https://shell.azure.com/ para abrir Azure Cloud Shell.

  2. En Cloud Shell, use el siguiente comando para instalar la CLI 2.0 para Azure Machine Learning:

    az extension add -n ml

  3. Actualice el área de trabajo para usar el clúster de proceso para compilar imágenes de Docker. Reemplaza docs-ml-rg por tu grupo de recursos. Reemplace docs-ml-ws por el área de trabajo. Reemplace cpu-cluster por el nombre del clúster de proceso:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Nota

    Puede usar el mismo clúster de proceso para entrenar modelos y compilar imágenes de Docker para el área de trabajo.

Uso del área de trabajo

Importante

Los pasos de este artículo colocan Azure Container Registry detrás de la red virtual. En esta configuración, no se puede implementar un modelo en Azure Container Instances dentro de la red virtual. No use Azure Container Instances con Azure Machine Learning en una red virtual. Para obtener más información, vea Protección del entorno de inferencia (SDK/CLI v1).

Como alternativa a Azure Container Instances, pruebe los puntos de conexión en línea administrados de Azure Machine Learning. Para más información, consulte Habilitación del aislamiento de red para puntos de conexión en línea administrados.

En este momento, puede usar Estudio para trabajar interactivamente con cuadernos en la instancia de proceso y ejecutar trabajos de entrenamiento en el clúster de proceso. Para ver un tutorial sobre el uso de la instancia de proceso y el clúster de proceso, consulte Tutorial: Azure Machine Learning en un día.

Detención de una instancia de proceso y un jumpbox

Advertencia

Mientras estén en ejecución (se hayan iniciado), la instancia de proceso y jumpbox seguirán cobrando su suscripción. Para evitar el exceso de costos, deténgalos cuando no estén en uso.

El clúster de proceso se escala dinámicamente entre el número de nodos mínimo y máximo establecido al crearlo. Si acepta los valores predeterminados, el mínimo es 0, lo que desactiva eficazmente el clúster cuando no está en uso.

Detener la instancia de cómputo

En Estudio, seleccione Compute, Clústeres de proceso y, después, seleccione la instancia de proceso. Por último, seleccione Detener en la parte superior de la página.

Captura de pantalla del botón Detener de la instancia de cómputo.

Detener el jump box

Después de crear el jump box, seleccione la máquina virtual en Azure Portal y, a continuación, use el botón Detener . Cuando esté listo para usarla de nuevo, pulse el botón Iniciar para iniciarla.

Recorte de pantalla del botón detener de la máquina virtual jump box.

También puede configurar el jumpbox para que se apague automáticamente en un momento concreto. Para ello, seleccioneApagado automático, Habilitar, establezca una hora y seleccione Guardar.

Captura de pantalla de la opción de apagado automático.

Limpieza de recursos

Si tiene previsto seguir usando el área de trabajo protegida y otros recursos, omita esta sección.

Para eliminar todos los recursos creados en este artículo, siga estos pasos:

  1. En el portal de Azure, seleccione Grupos de recursos a la izquierda del todo.

  2. En la lista, seleccione el grupo de recursos que ha creado en este tutorial.

  3. Seleccione Eliminar grupo de recursos.

    Captura de pantalla del vínculo Eliminar grupo de recursos.

  4. Escriba el nombre del grupo de recursos y seleccione Eliminar.

Pasos siguientes

Después de configurar un área de trabajo segura y acceder a Studio, aprenda a implementar un modelo en un punto de conexión en línea con aislamiento de red.

Después de configurar un área de trabajo segura, aprenda a implementar un modelo.

  • Last updated on