Tutorial: Como criar um espaço de trabalho seguro com uma Rede Virtual do Azure

Neste artigo, aprenda a criar e conectar-se a um workspace seguro do Azure Machine Learning. As etapas neste artigo usam uma Rede Virtual do Azure para criar um limite de segurança em torno dos recursos usados pelo Azure Machine Learning.

Importante

Use a rede virtual gerenciada do Azure Machine Learning em vez de uma Rede Virtual do Azure. Para obter uma versão deste tutorial que usa uma rede virtual gerenciada, consulte Tutorial: Criar um espaço de trabalho seguro com uma rede virtual gerenciada.

Neste tutorial, você realizará as seguintes tarefas:

  • Crie uma VNet (Rede Virtual) do Azure para proteger as comunicações entre os serviços na rede virtual.
  • Criar uma Conta de Armazenamento do Microsoft Azure (blob e arquivo) por trás da VNet. Use esse serviço como o armazenamento padrão para o workspace.
  • Criar um Azure Key Vault por trás da VNet. Use esse serviço para armazenar segredos usados pelo workspace, como as informações de segurança necessárias para acessar a conta de armazenamento.
  • Criar um ACR (Registro de Contêiner do Azure). Use esse serviço como um repositório para imagens do Docker. As imagens do Docker fornecem os ambientes de computação necessários ao treinar um modelo de machine learning ou implantar um modelo treinado como ponto de extremidade.
  • Criar um workspace do Azure Machine Learning.
  • Criar uma jump box. Uma jump box é uma Máquina Virtual do Azure que fica por trás da VNet. Como a VNet restringe o acesso da Internet pública, use o jump box como uma forma de se conectar aos recursos por trás da VNet.
  • Configurar o Azure Machine Learning Studio para operar por trás de uma VNet. O estúdio fornece uma interface da Web para o Azure Machine Learning.
  • Criar um cluster de cálculo do Azure Machine Learning. Use um cluster de computação ao treinar modelos de machine learning na nuvem. Nas configurações em que o Registro de Contêiner do Azure está por trás da VNet, ele também cria imagens do Docker.
  • Conecte-se à jump box e use o Azure Machine Learning Studio.

Dica

Para obter um modelo que demonstra como criar um workspace seguro, consulte o modelo Bicep ou o modelo terraform.

Depois de concluir este tutorial, você tem a seguinte arquitetura:

  • Uma Rede Virtual do Azure, que contém três sub-redes:
    • Treinamento: contém o workspace do Azure Machine Learning, os serviços de dependência e os recursos usados para modelos de treinamento.
    • Pontuação: Para os passos deste tutorial, não é necessário usar esse recurso. No entanto, se você continuar usando esse workspace para outros tutoriais, use essa sub-rede para implantar modelos em endpoints.
    • AzureBastionSubnet: usado pelo serviço do Azure Bastion para conectar clientes com segurança em Máquinas Virtuais do Microsoft Azure.
  • Um espaço de trabalho do Azure Machine Learning que usa um ponto de extremidade privado para se comunicar através da rede virtual.
  • Uma conta de armazenamento do Azure que usa pontos de extremidade privados para permitir que serviços de armazenamento, como blobs e arquivos, se comuniquem usando a rede virtual.
  • Um Registro de Contêiner do Azure que usa um ponto de extremidade privado para se comunicar através da rede virtual.
  • O Azure Bastion permite que você se comunique de forma segura com a máquina virtual de acesso remoto (jump box) dentro da rede virtual usando seu navegador.
  • Uma Máquina Virtual do Azure à qual você pode conectar-se remotamente e acessar recursos protegidos dentro da rede virtual.
  • Uma instância de computação do Azure Machine Learning e um cluster de cálculo.

Dica

O Serviço de Lote do Azure listado no diagrama é um serviço back-end exigido por clusters de cálculo e instâncias de computação.

Diagrama da arquitetura final criada por meio deste tutorial.

Pré-requisitos

  • Familiaridade com as Redes Virtuais do Azure e a rede IP. Se você não estiver familiarizado, experimente os conceitos básicos do módulo de rede do computador .
  • Embora a maioria das etapas deste artigo use o portal do Azure ou o Estúdio do Azure Machine Learning, algumas etapas usam a extensão da CLI do Azure para Machine Learning v2.

Criar uma rede virtual

Para criar uma rede virtual, use as seguintes etapas:

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Rede Virtual no campo de pesquisa. Selecione a entrada Rede Virtual e selecione Criar.

    Captura de tela do formulário de pesquisa de recursos com a rede virtual selecionada.

    Captura de tela do formulário de criação de rede virtual.

  2. Na guia Básico, selecione a assinatura do Azure a ser usada nesse recurso e selecione ou crie um grupo de recursos. Em Detalhes de instância, insira um nome amigável para sua rede virtual e selecione a região em que ela será criada.

    Captura de tela do formulário de configuração básica da rede virtual.

  3. Selecione Segurança. Selecione Habilitar Azure Bastion. O Azure Bastion fornece uma maneira segura de acessar a VM jump box que você criou dentro da rede virtual em uma etapa posterior. Use os seguintes valores nos campos restantes:

    • Nome do Bastion: um nome único para esta instância do Bastion
    • Endereço IP público: crie um endereço IP público.

    Mantenha os valores padrão nos outros campos.

    Captura de tela da configuração do Bastion.

  4. Selecione Endereços IP. As configurações padrão devem ser semelhantes às da imagem a seguir:

    Captura de tela do formulário de endereço de IP padrão.

    Use as seguintes etapas para configurar o endereço IP e configurar uma sub-rede para treinar e pontuar recursos:

    Dica

    Embora você possa usar uma única sub-rede para todos os recursos do Azure Machine Learning, as etapas neste artigo mostram como criar duas sub-redes para separar os recursos de treinamento e pontuação.

    O espaço de trabalho e outros serviços dependentes entram na sub-rede de treinamento. Eles ainda podem ser usados pelos recursos em outras sub-redes, como a sub-rede de pontuação.

    1. Veja o valor padrão de espaço de endereços IPv4. Na captura de tela, o valor é 172.16.0.0/16. O valor pode ser diferente para você. Embora você possa usar um valor diferente, o restante das etapas deste tutorial se baseiam no valor 172.16.0.0/16.

      Aviso

      Não use o intervalo de endereços IP 172.17.0.0/16 para sua rede virtual. Esse intervalo é o intervalo de sub-rede padrão usado pela rede de ponte do Docker e resulta em erros se você usá-lo para sua rede virtual. Outros intervalos também podem entrar em conflito, dependendo do que você deseja conectar à rede virtual. Por exemplo, se você planeja conectar sua rede local à rede virtual e sua rede local também usa o intervalo 172.16.0.0/16. Em última análise, você precisa planejar sua infraestrutura de rede.

    2. Selecione a sub-rede Padrão e, em seguida, selecione o ícone de edição.

      Captura de tela da seleção do ícone de edição da sub-rede padrão.

    3. Alterar o nome da sub-rede Nome para Treinamento. Deixe os outros valores nas configurações padrão e selecione Salvar para salvar as alterações.

    4. Para criar uma sub-rede para recursos de computação usados para a pontuação de seus modelos, selecione + Adicionar sub-rede e defina o nome e o intervalo de endereços:

      • Nome da sub-rede: Pontuação
      • Endereço inicial: 172.16.2.0
      • Tamanho da sub-rede: /24 (256 endereços)

      Captura de tela da Scoring subnet.

    5. Selecione Adicionar para adicionar a sub-rede.

  5. Selecione Examinar + criar.

    Captura de tela do botão revisar + criar.

  6. Verifique se as informações estão corretas e selecione Criar.

    Captura de tela da página de criação e revisão de rede virtual.

Criar uma conta de armazenamento

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Conta de armazenamento. Selecione a entrada Conta de Armazenamento e selecione Criar.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a região usada previamente para a rede virtual. Insira um Nome de conta de armazenamento exclusivo e defina Redundância como LRS (armazenamento com redundância local) .

    Captura de tela da configuração básica da conta de armazenamento.

  3. Na guia Rede, selecione Desabilitar acesso público e, em seguida, selecione + Adicionar ponto de extremidade privado.

    Captura de tela do formulário para adicionar a rede privada de blobs.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Localização: A mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para esse ponto de extremidade privado.
    • Sub-recurso de destino: blob
    • Rede virtual: a rede virtual que você criou anteriormente.
    • Sub-rede: Treinamento (172.16.0.0/24)
    • Integração de DNS privado: sim
    • Zona DNS privada: privatelink.blob.core.windows.net

    Selecione Adicionar para criar o ponto de extremidade privado.

  5. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

  6. Depois que a conta de armazenamento for criada, selecione Ir para o recurso:

    Captura de tela do botão ir para o novo recurso de armazenamento.

  7. Na navegação à esquerda, selecione Rede. Selecione a guia Conexões de ponto de extremidade privado e, em seguida, selecione + Ponto de extremidade privado:

    Observação

    Embora você tenha criado um ponto de extremidade privado para o armazenamento de blob nas etapas anteriores, também precisa criar um para o armazenamento de arquivos.

    Captura de tela do formulário de configuração da rede da conta de armazenamento.

  8. No formulário Criar um ponto de extremidade privado, use a mesma assinatura, o mesmo grupo de recursos e a mesma Região que você usou nos recursos anteriores. Insira um Nome exclusivo.

    Captura de tela do formulário básico ao adicionar o ponto de extremidade privado do arquivo.

  9. Selecione Avançar: recurso e defina Sub-recurso de destino como arquivo.

    Captura de tela do formulário de recurso ao selecionar um sub-recurso de “arquivo”.

  10. Selecione Avançar : Rede Virtual e use os seguintes valores:

    • Rede virtual: a rede virtual criada anteriormente
    • Sub-rede: Treinamento

    Captura de tela do formulário de configuração ao adicionar o ponto de extremidade privado do arquivo.

  11. Continue pelas guias selecionando os padrões até chegar a Revisar + Criar. Verifique se as informações estão corretas e selecione Criar.

Dica

Se você planeja usar um ponto de extremidade em lote ou um pipeline do Azure Machine Learning que utiliza um ParallelRunStep, também será necessário configurar pontos de extremidade privados voltados para subrecursos de fila e tabela. ParallelRunStep usa internamente a fila e a tabela para agendamento e expedição de tarefas.

Criar um cofre de chaves

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Key Vault. Selecione a entrada Key Vault e selecione Criar.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a região usada previamente para a rede virtual. Insira um Nome de cofre de chaves exclusivo. Mantenha os outros campos com os valores padrão.

    Captura de tela do formulário básico ao criar um novo cofre de chaves.

  3. Na guia Rede, desmarque Ativar acesso público e selecione + Criar um ponto de extremidade privado.

    Captura de tela do formulário de configuração de rede ao adicionar um endpoint privado para o cofre de chaves.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Localização: A mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para esse ponto de extremidade privado.
    • Sub-recurso de destino: Vault
    • Rede virtual: a rede virtual que você criou anteriormente.
    • Sub-rede: Treinamento (172.16.0.0/24)
    • Habilitar a integração do DNS Privado: Sim
    • Zona DNS Privada: Selecione o grupo de recursos que contém a rede virtual e o cofre de chaves.

    Selecione Adicionar para criar o ponto de extremidade privado.

    Captura de tela do formulário de configuração do ponto de extremidade privado do cofre de chaves.

  5. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

  6. Quando o cofre de chaves for criado, selecione Ir para o recurso.

  7. Na navegação à esquerda, selecione Rede. Na guia Firewalls e redes virtuais , marque a caixa de seleção Permitir que serviços confiáveis da Microsoft ignorem esse firewall e selecione Aplicar.

Criar um registro de contêiner

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Registro de Contêiner. Selecione a entrada Registro de Contêiner e selecione Criar.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a localização usada previamente para a rede virtual. Insira um Nome de registro exclusivo e defina a SKU como Premium.

    Captura de tela do formulário básico ao criar um registro de contêiner.

  3. Na guia Rede, selecione Ponto de extremidade privado e selecione + Adicionar.

    Captura de tela do formulário de rede ao adicionar um ponto de extremidade privado de registro de contêiner.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Localização: A mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para esse ponto de extremidade privado.
    • Sub-recurso de destino: registro
    • Rede virtual: a rede virtual que você criou anteriormente.
    • Sub-rede: Treinamento (172.16.0.0/24)
    • Integração de DNS privado: sim
    • Grupo de recursos: Selecione o grupo de recursos que contém a rede virtual e o registro de contêineres.

    Selecione Adicionar para criar o ponto de extremidade privado.

    Captura de tela do formulário de configuração do ponto de extremidade privado do registro de contêineres.

  5. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

  6. Depois que o registro de contêineres for criado, selecione Ir para o recurso.

    Captura de tela do botão acessar o recurso.

  7. No lado esquerdo da página, selecione Chaves de acesso e habilite Usuário administrador. Você precisa dessa configuração ao usar o Registro de Contêiner do Azure dentro de uma rede virtual com o Azure Machine Learning.

    Captura de tela do formulário de chaves de acesso do registro de contêiner, com a opção de usuário administrador habilitada.

Criar um espaço de trabalho

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Machine Learning. Selecione a entrada Machine Learning e selecione Criar.

    Captura de tela da página criada do Azure Machine Learning.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a Região usada previamente para a rede virtual. Use os seguintes valores para os outros campos:

    • Name: Um nome exclusivo para seu espaço de trabalho.
    • Conta de armazenamento: selecione a conta de armazenamento que você criou anteriormente.
    • Cofre de chaves: selecione o cofre de chaves que você criou anteriormente.
    • Insights do aplicativo: use o valor padrão.
    • Registro de contêiner: use o registro de contêiner que você criou anteriormente.

    Captura de tela do formulário de configuração básica do espaço de trabalho.

  3. Na guia Rede , selecione Privado com Saída da Internet. Na seção Acesso de entrada ao espaço de trabalho, selecione + Adicionar.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: A mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Localização: A mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para esse ponto de extremidade privado.
    • Sub-recurso de destino: amlworkspace
    • Rede virtual: a rede virtual que você criou anteriormente.
    • Sub-rede: Treinamento (172.16.0.0/24)
    • Integração de DNS privado: sim
    • Zona DNS privada: deixe os valores padrão privatelink.api.azureml.ms e privatelink.notebooks.azure.net nas zonas DNS privadas.

    Selecione OK para criar o ponto de extremidade privado.

    Captura de tela do formulário de configuração da rede privada do espaço de trabalho.

  5. Na guia Rede, na seção Acesso de saída do espaço de trabalho, selecione Usar minha própria rede virtual.

  6. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

  7. Assim que o workspace for criado, escolha Ir para o recurso.

  8. Na seção Configurações à esquerda, selecione Conectividade de rede, Conexões de ponto de extremidade privado e, em seguida, selecione o link na coluna Ponto de extremidade privado:

    Captura de tela das conexões do endpoint privado do ambiente de trabalho.

  9. Quando as informações de ponto de extremidade privado aparecerem, selecione Configuração de DNS no lado esquerdo da página. Salve as informações de endereço IP e nome de domínio totalmente qualificado (FQDN) nesta página.

    captura de tela das entradas de IP e FQDN do espaço de trabalho.

Importante

Ainda faltam algumas etapas de configuração antes de você poder usar o workspace por completo. No entanto, essas etapas exigem que você se conecte ao workspace.

Habilitar o Estúdio

O Azure Machine Learning Studio é um aplicativo baseado na Web que você usa para gerenciar seu workspace. No entanto, ele precisa de alguma configuração extra para que você possa usá-la com recursos protegidos dentro de uma rede virtual. Use as seguintes etapas para habilitar o Estúdio:

  1. Ao usar uma conta de armazenamento do Azure que tenha um ponto de extremidade privado, adicione a entidade de serviço do espaço de trabalho como um Leitor para os pontos de extremidade privados do armazenamento. No portal do Azure, selecione a conta de armazenamento e selecione Rede. Em seguida, selecione Conexões de ponto de extremidade privado.

    Captura de tela das conexões do ponto de extremidade privado de armazenamento.

  2. Para cada ponto de extremidade privado listado, siga as seguintes etapas:

    1. Selecione o link na coluna Ponto de extremidade privado.

      Captura de tela dos links do ponto de extremidade na coluna do ponto de extremidade privado.

    2. Selecione Controle de acesso (IAM) no lado esquerdo.

    3. Selecione + Adicionar e, em seguida, selecione Adicionar atribuição de função (versão prévia).

      Página Controle de Acesso (IAM) com o menu Adicionar atribuição de função aberto.

    4. Na guia Função, selecione a função Leitor.

      Adicionar a página de atribuição de função com a aba Função selecionada.

    5. Na guia Membros, selecione Usuário, grupo ou entidade de serviço na área Atribuir acesso a e selecione + Selecionar membros. No diálogo Selecionar membros, insira o nome do seu workspace do Azure Machine Learning. Selecione a entidade de serviço para o workspace e use o botão Selecionar.

    6. Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.

Proteger o Azure Monitor e o Application Insights

Observação

Para obter mais informações sobre como proteger o Azure Monitor e o Application Insights, consulte os seguintes artigos:

  1. No portal do Microsoft Azure, selecione Página Inicial e pesquise Link privado. Selecione o resultado do Escopo de Link Privado do Azure Monitor e escolha Criar.

  2. Na guia Informações básicas, selecione a mesma Assinatura, Grupo de recursos e Região do grupo de recursos da área de trabalho do Azure Machine Learning. Insira um Nome para a instância e selecione Revisar + Criar. Para criar a instância, selecione Criar.

  3. Depois de criar a instância do Escopo de Link Privado do Azure Monitor, selecione a instância no portal do Azure. Na seção Configurar, selecione Recursos do Azure Monitor e selecione + Adicionar.

    Captura de tela do botão Adicionar.

  4. Em Selecionar um escopo, use os filtros para selecionar a instância do Application Insights para seu workspace do Azure Machine Learning. Escolha Aplicar para adicionar a instância.

  5. Na seção Configurar, selecione Conexões de ponto de extremidade privado e escolha + Ponto de Extremidade Privado.

    Captura de tela do botão Adicionar ponto de extremidade privado.

  6. Selecione a mesma Assinatura, Grupo de Recursos e Região que contém sua rede virtual. Selecione Avançar: Recurso.

    Captura de tela das informações básicas sobre o ponto de extremidade privado do Azure Monitor.

  7. Selecione Microsoft.insights/privateLinkScopes como o Tipo de recurso. Escolha o Escopo de Link Privado criado anteriormente como o Recurso. Selecione azuremonitor como o Sub-recurso de destino. Selecione Avançar: Rede Virtual para continuar.

    Captura de tela dos recursos de ponto de extremidade privado do Azure Monitor.

  8. Selecione a Rede virtual que você criou anteriormente e a sub-rede Treinamento. Escolha Avançar até chegar em Revisar + Criar. Selecione Criar para criar o ponto de extremidade privado.

    Captura de tela da rede de ponto de extremidade privado do Azure Monitor.

  9. Após criar o ponto de extremidade privado, retorne ao recurso Escopo de link privado do Azure Monitor no portal. Na seção Configurar, selecione Modos de acesso. Selecione Privado somente para modo de acesso de ingestão e modo de acesso de consulta e, em seguida, selecione Salvar.

    Captura de tela dos modos de acesso do escopo de link privado.

Conectar ao ambiente de trabalho

Você pode se conectar ao workspace protegido de várias maneiras. As etapas deste artigo usam um jump box, que é uma máquina virtual na rede virtual. Você pode se conectar a ele usando seu navegador da Web e o Azure Bastion. A tabela abaixo lista várias outras maneiras de se conectar ao workspace seguro:

Método Descrição
Gateway de VPN do Azure Conecta as redes locais à rede virtual por meio de uma conexão privada. A conexão é feita pela Internet pública.
ExpressRoute Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.

Importante

Ao usar um gateway de VPN ou ExpressRoute, você precisa planejar como a resolução de nomes funciona entre seus recursos locais e aqueles na rede virtual. Para obter mais informações, confira Usar um servidor DNS personalizado.

Criar uma jump box (VM)

Use as etapas abaixo para criar uma Máquina Virtual do Azure e usá-la como uma jump box. Usando o Azure Bastion, você pode se conectar à área de trabalho da VM por meio do navegador. Na área de trabalho da VM, você pode usar o navegador na VM para se conectar aos recursos dentro da rede virtual, como o Azure Machine Learning Studio. Ou você pode instalar ferramentas de desenvolvimento na VM.

Dica

As etapas a seguir criam uma VM do Windows 11 Enterprise. Dependendo dos seus requisitos, talvez você queira selecionar uma imagem de VM diferente. A imagem do Windows 11 (ou 10) Enterprise é útil se você precisar adicionar a VM ao domínio da sua organização.

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Máquina virtual. Selecione a entrada Máquina virtual e selecione Criar.

  2. Na guia Básico, selecione a assinatura, o grupo de recursos e a Região usada previamente para a rede virtual. Forneça valores para os seguintes campos:

    • Nome da máquina virtual: um nome exclusivo para a VM.

    • Nome de usuário: o nome de usuário que você deve usar para entrar na VM.

    • Senha: a senha para o nome de usuário.

    • Tipo de segurança: padrão.

    • Imagem: Windows 11 Enterprise.

      Dica

      Se o Windows 11 Enterprise não estiver na lista de seleção de imagens, use Ver todas as imagens. Localize a entrada Windows 11 da Microsoft e use a lista suspensa Selecionar para selecionar a imagem corporativa.

    Mantenha os valores padrão nos outros campos.

    Captura de tela da configuração básica da máquina virtual.

  3. Selecione Rede e selecione a Rede virtual que você criou anteriormente. Use as seguintes informações para definir os outros campos:

    • Selecione a sub-rede Treinamento.
    • Defina o IP público como Nenhum.
    • Mantenha os outros campos com os valores padrão.

    Captura de tela da configuração de rede da máquina virtual.

  4. Selecione Examinar + criar. Verifique se as informações estão corretas e selecione Criar.

Conectar-se à jump box

  1. Depois que a máquina virtual for criada, selecione Ir para o recurso.

  2. Na parte superior da página, selecione Conectar e, em seguida, Conectar-se pelo Bastion.

    Dica

    O Azure Bastion usa a porta 443 para comunicação de entrada. Se você tiver um firewall que restrinja o tráfego de saída, verifique se ele permite o tráfego na porta 443 para o serviço do Azure Bastion. Para obter mais informações, consulte Como trabalhar com NSGs e o Azure Bastion.

    Captura de tela da lista de conexão, com Bastion selecionado.

  3. Insira suas informações de autenticação para a máquina virtual. Uma conexão é estabelecida no navegador.

Criar um cluster de computação e uma instância

Uma instância de computação fornece uma experiência de Jupyter Notebook em um recurso de computação compartilhado anexado ao seu workspace.

  1. Em uma conexão do Azure Bastion à jump box, abra o navegador Microsoft Edge na área de trabalho remota.

  2. Na sessão remota do navegador, vá para https://ml.azure.com . Quando solicitado, autentique-se usando sua conta do Microsoft Entra.

  3. Na tela Bem-vindo ao estúdio!, selecione o workspace do Machine Learning criado anteriormente e escolha Introdução.

    Dica

    Se sua conta do Microsoft Entra tiver acesso a várias assinaturas ou diretórios, use a lista suspensa Diretório e Assinatura para selecionar aquela que contiver o espaço de trabalho.

    Captura de tela do formulário de seleção do espaço de trabalho do aprendizado de máquina.

  4. No Studio, selecione Computação, Clusters de Computação e, em seguida, + Novo.

    Captura de tela da página de clusters de computação, com o novo botão selecionado.

  5. Na caixa de diálogo Máquina Virtual, selecione Avançar para aceitar a configuração de máquina virtual padrão.

    Captura de tela da configuração da máquina virtual do cluster de computação.

  6. Na caixa de diálogo Configurar definições, insira cpu-cluster como o nome de Computação. Defina a Sub-rede para Training e depois selecione Criar para criar o cluster.

    Dica

    Os clusters de cálculo escalam dinamicamente os nós no cluster conforme a necessidade. Deixe o número mínimo de nós em 0 para reduzir os custos quando o cluster não estiver em uso.

    Captura de tela do formulário de configuração.

  7. No Estúdio, selecione Computação, Instância de computação e + Novo.

    Captura de tela da página de instâncias de computação, com o novo botão selecionado.

  8. Em Configurações necessárias, insira um Nome do computador exclusivo e selecione Avançar.

    Captura de tela da configuração da máquina virtual da instância de computação.

  9. Continue selecionando Avançar até chegar à caixa de diálogo Segurança, selecione Rede virtual e defina Sub-rede como Treinamento. Selecione Examinar + Criar e Criar.

    Captura de tela da configuração avançada.

Dica

Quando você cria um cluster de cálculo ou uma instância de computação, o Azure Machine Learning adiciona dinamicamente um NSG (Grupo de Segurança de Rede). Este NSG contém as seguintes regras, que são específicas para cluster de computação e instância de computação.

  • Permitir o tráfego TCP de entrada nas portas 29876-29877 a partir do tag de serviço BatchNodeManagement.
  • Permitir tráfego TCP de entrada pela porta 44224 a partir da marca de serviço AzureMachineLearning.

A captura de tela abaixo mostra um exemplo das regras:

Captura de tela do NSG

Para obter mais informações sobre como criar um cluster de computação e uma instância de computação, incluindo como fazer isso com o Python e a CLI, consulte os seguintes artigos:

Configurar builds de imagem

APLICA-SE A:Extensão de ML da CLI do Azurev2 (atual)

Quando o Registro de Contêiner do Azure está por trás da rede virtual, o Azure Machine Learning não pode usá-lo para criar imagens do Docker diretamente (usadas para treinamento e implantação). Configure, então, o workspace para usar o cluster de cálculo criado anteriormente. Use as seguintes etapas para criar um cluster de cálculo e configurar o workspace a fim de usá-lo para criar imagens:

  1. Vá para https://shell.azure.com/ para abrir o Azure Cloud Shell.

  2. No Cloud Shell, use o seguinte comando para instalar a CLI 2.0 do Azure Machine Learning:

    az extension add -n ml

  3. Atualize o workspace para usar o cluster de computação para criar imagens do Docker. Substitua docs-ml-rg pelo grupo de recursos. Substitua docs-ml-ws pelo workspace. Substitua cpu-cluster pelo nome do cluster de computação:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Observação

    Você pode usar o mesmo cluster de cálculo para treinar modelos e criar imagens do Docker para o workspace.

Utilizar o espaço de trabalho

Importante

As etapas neste artigo colocam o Registro de Contêiner do Azure atrás da rede virtual. Nessa configuração, você não pode implantar um modelo nas Instâncias de Contêiner do Azure dentro da rede virtual. Não use instâncias de contêiner do Azure com o Azure Machine Learning em uma rede virtual. Para obter mais informações, confira Proteger o ambiente de inferência (SDK/CLI v1).

Como alternativa às Instâncias de Contêiner do Azure, utilize os endpoints gerenciados online do Azure Machine Learning. Para obter mais informações, consulte Habilitar isolamento de rede para endpoints online gerenciados.

Aqui, você pode usar o estúdio para trabalhar interativamente com notebooks na instância de computação e executar trabalhos de treinamento no cluster de cálculo. Para obter um tutorial sobre como usar a instância de computação e o cluster de computação, consulte Tutorial: Azure Machine Learning em um dia.

Para a instância de computação e a jump box

Aviso

Enquanto estiver em execução (iniciado), a instância de computação e o servidor de acesso remoto continuarão a cobrar sua assinatura. Para evitar o excesso de custo, interrompa-os quando não estiverem em uso.

O cluster de computação dimensiona-se dinamicamente entre a contagem mínima e máxima de nós definida ao ser criado. Se você aceitar os padrões, o mínimo será 0, que efetivamente desativa o cluster quando não estiver em uso.

Parar a instância de computação

No Estúdio, selecione Computação, Clusters de cálculo e selecione a instância de computação. Por fim, selecione Parar no início da página.

Captura de tela do botão de parada da instância de computação.

Parar a jump box

Após criar o jump box, selecione a máquina virtual no portal do Azure e, em seguida, use o botão Parar. Quando estiver pronto para usá-la novamente, use o botão Iniciar para iniciá-la.

Captura de tela do botão de parada da máquina virtual jump box.

Você também pode configurar a jump box para desligar automaticamente em uma hora específica. Para isso, selecione Desligamento automático, Habilitar, defina uma hora e selecione Salvar.

Captura de tela da opção autoshutdown.

Limpar os recursos

Se você planeja continuar usando o workspace seguro e outros recursos, ignore esta seção.

Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:

  1. No portal do Azure, selecione Grupos de recursos no canto esquerdo.

  2. Selecione o grupo de recursos que você criou neste tutorial por meio da lista.

  3. Selecione Excluir grupo de recursos.

    Captura de tela do link para exclusão do grupo de recursos.

  4. Insira o nome do grupo de recursos e selecione Excluir.

Próximas etapas

Após configurar um espaço de trabalho seguro e acessar o estúdio, saiba como implantar um modelo em um ponto de extremidade online com isolamento de rede.

Depois de configurar um workspace seguro, saiba como implantar um modelo.

  • Last updated on