Tutorial: Como criar um espaço de trabalho seguro com uma Rede Virtual Azure

Neste artigo, aprenda a criar e a conectar-se a um espaço de trabalho seguro do Azure Machine Learning. Os passos neste artigo usam uma Rede Virtual Azure para criar um limite de segurança em torno dos recursos utilizados pelo Azure Machine Learning.

Importante

Utilize a rede virtual gerida Azure Machine Learning em vez de uma Rede Virtual do Azure. Para uma versão deste tutorial que utiliza uma rede virtual gerida, veja Tutorial: Criar um espaço de trabalho seguro com uma rede virtual gerida.

Neste tutorial, irá realizar as seguintes tarefas:

  • Crie uma Rede Virtual Azure (VNet) para proteger as comunicações entre serviços na rede virtual.
  • Crie uma Conta de Armazenamento do Azure (armazenamento de blob e arquivo) por trás da VNet. Use este serviço como armazenamento padrão para o espaço de trabalho.
  • Crie um Cofre de Chaves Azure por trás da VNet. Use este serviço para armazenar segredos usados pelo espaço de trabalho, como a informação de segurança necessária para aceder à conta de armazenamento.
  • Crie um Registro de Contêineres do Azure (ACR). Use este serviço como repositório para imagens Docker. As imagens Docker fornecem os ambientes de computação necessários ao treinar um modelo de aprendizagem automática ou ao implementar um modelo treinado como endpoint.
  • Crie um espaço de trabalho do Azure Machine Learning.
  • Crie uma caixa de salto. Uma caixa de salto é uma Máquina Virtual do Azure que está por trás da VNet. Como o VNet restringe o acesso a partir da internet pública, use a jump box como forma de se ligar aos recursos atrás do VNet.
  • Configure o Azure Machine Learning Studio para funcionar por trás de uma VNet. O estúdio disponibiliza uma interface web para Azure Machine Learning.
  • Crie um cluster de computação do Azure Machine Learning. Utilize um cluster de computação ao treinar modelos de aprendizagem automática na cloud. Em configurações onde o Azure Container Registry está atrás do VNet, também constrói imagens Docker.
  • Ligue-se à jump box e utilize o estúdio Azure Machine Learning.

Sugestão

Para um modelo que demonstre como criar um espaço de trabalho seguro, veja modelo Bicep ou modelo Terraform.

Depois de completar este tutorial, obtém a seguinte arquitetura:

  • Uma Rede Virtual Azure, que contém três sub-redes:
    • Formação: Contém o espaço de trabalho do Azure Machine Learning, serviços dependentes e recursos usados para formar modelos.
    • Pontuação: Para os passos neste tutorial, não é utilizada. No entanto, se continuares a usar este espaço de trabalho para outros tutoriais, usa esta sub-rede ao implantar modelos nos endpoints.
    • AzureBastionSubnet: Utilizado pelo serviço Azure Bastion para conectar com segurança os clientes às Máquinas Virtuais do Azure.
  • Um espaço de trabalho Azure Machine Learning que utiliza um endpoint privado para comunicar através da rede virtual.
  • Uma conta de armazenamento do Azure que utiliza endpoints privados para permitir que serviços de armazenamento como blob e ficheiro comuniquem dentro da rede virtual.
  • Um Azure Container Registry que utiliza um endpoint privado para comunicar através da rede virtual.
  • Azure Bastion, onde usas o navegador para comunicar de forma segura com a máquina virtual jump box dentro da rede virtual.
  • Uma Máquina Virtual Azure à qual pode conectar-se remotamente e aceder a recursos protegidos dentro da rede virtual.
  • Uma instância de computação e um cluster de computação do Azure Machine Learning.

Sugestão

O Azure Batch Service listado no diagrama é um serviço de back-end necessário para os clusters de computação e as instâncias de computação.

Diagrama da arquitetura final criada através deste tutorial.

Pré-requisitos

  • Familiaridade com Redes Virtuais do Azure e redes IP. Se não conheces, experimenta o módulo Fundamentos de redes de computadores .
  • Embora a maioria dos passos neste artigo utilize o portal do Azure ou o estúdio do Azure Machine Learning, alguns passos usam a extensão CLI do Azure para Machine Learning v2.

Criar uma rede virtual

Para criar uma rede virtual, siga os seguintes passos:

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, insira Rede Virtual no campo de pesquisa. Selecione a entrada Rede Virtual e, em seguida, selecione Criar.

    Captura de ecrã do formulário de pesquisa de recursos com a rede virtual selecionada.

    Captura de ecrã do formulário de criação de rede virtual.

  2. Na aba Basics, selecione a subscrição Azure a utilizar para este recurso e, em seguida, selecione ou crie um novo grupo de recursos. Em Detalhes da Instância, insira um nome amigável para a sua rede virtual e selecione a região em que deseja criá-la.

    Captura de ecrã do formulário de configuração básica da rede virtual.

  3. Selecione Segurança. Selecione para Ativar Azure Bastion. Azure Bastion fornece uma maneira segura de aceder à caixa de salto de VM que criar dentro da rede virtual numa etapa posterior. Utilize os seguintes valores para os campos restantes:

    • Nome do Bastião: Um nome único para esta instância do Bastião
    • Endereço IP público: crie um novo endereço IP público.

    Deixe os outros campos nos valores predefinidos.

    Captura de ecrã da configuração do Bastion.

  4. Selecione IP Addresses. As configurações padrão devem ser semelhantes à imagem seguinte:

    Captura de ecrã do formulário padrão de endereço IP.

    Utilize os seguintes passos para configurar o endereço IP e configurar uma sub-rede para recursos de treino e avaliação.

    Sugestão

    Embora possa usar uma única sub-rede para todos os recursos de Azure Machine Learning, os passos deste artigo mostram como criar duas sub-redes para separar os recursos de treino e pontuação.

    O espaço de trabalho e outros serviços de dependências são colocados na sub-rede de treino. Eles ainda podem ser usados por recursos em outras sub-redes, como a sub-rede de pontuação.

    1. Observe o valor do espaço de endereçamento IPv4 padrão. Na captura de ecrã, o valor é 172.16.0.0/16. O valor pode ser diferente para si. Embora você possa usar um valor diferente, o restante das etapas neste tutorial são baseadas no valor 172.16.0.0/16.

      Advertência

      Não uses o intervalo de endereços IP 172.17.0.0/16 para a tua rede virtual. Este intervalo é o intervalo padrão de sub-redes usado pela rede Docker bridge, e resulta em erros se o usar para a sua rede virtual. Outros intervalos também podem entrar em conflito, dependendo do que você deseja conectar à rede virtual. Por exemplo, se planeia ligar a sua rede local à rede virtual, e a sua rede local também utiliza o intervalo 172.16.0.0/16. Em última análise, precisa de planear a sua infraestrutura de rede.

    2. Selecione a sub-rede Padrão e, em seguida, selecione o ícone de edição.

      Captura de ecrã ao selecionar o ícone de edição da sub-rede predefinida.

    3. Altere a sub-rede Nome para Treinamento. Deixa os outros valores nas definições predefinidas e depois seleciona Guardar para guardar as alterações.

    4. Para criar uma sub-rede para recursos de computação usados para pontuar seus modelos, selecione + Adicionar sub-rede e defina o nome e o intervalo de endereços:

      • Subnet name: Pontuação
      • Endereço inicial: 172.16.2.0
      • Tamanho da sub-rede: /24 (256 endereços)

      Captura de ecrã da sub-rede de pontuação.

    5. Selecione Adicionar para adicionar a sub-rede.

  5. Selecione Verificar + criar.

    Captura de ecrã do botão rever + criar.

  6. Verifique se a informação está correta e, em seguida, selecione Create.

    Captura de ecrã da página de revisão e criação da rede virtual.

Criar uma conta de armazenamento

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Conta de armazenamento. Selecione a entrada Storage Account e, em seguida, selecione Create.

  2. Na guia Noções básicas , selecione a assinatura, o grupo de recursos e a região que você usou anteriormente para a rede virtual. Insira um nome de conta de armazenamento exclusivo e defina Redundância para armazenamento com redundância local (LRS).

    Captura de tela da configuração básica da conta de armazenamento.

  3. Na aba Networking, selecione Disable public access e depois selecione + Add private endpoint.

    Captura de ecrã do formulário para adicionar a rede privada blob.

  4. No formulário Criar ponto final privado, utilize os seguintes valores:

    • Subscrição: A mesma subscrição da Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: Um nome exclusivo para este ponto de extremidade privado.
    • Sub-recurso de destino: blob
    • Rede virtual: A rede virtual que criou anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Integração DNS privada: Sim
    • Zona DNS Privada: privatelink.blob.core.windows.net

    Selecione Adicionar para criar o ponto de extremidade privado.

  5. Selecione Verificar + criar. Verifique se a informação está correta e, em seguida, selecione Create.

  6. Depois de criada a conta de armazenamento, selecione Ir para o recurso:

    Captura de ecrã do botão para ir para o novo recurso de armazenamento.

  7. Na navegação à esquerda, selecione Rede. Selecione o separador ligações de endpoints privados e depois selecione Adicionar endpoint privado:

    Nota

    Embora tenha criado um ponto final privado para armazenamento de blobs nos passos anteriores, também deve criar um para armazenamento de ficheiros.

    Captura de ecrã do formulário de rede da conta de armazenamento.

  8. No formulário Criar um endpoint privado, use a mesma Subscrição, Grupo de Recursos e Região que utilizou para recursos anteriores. Insira um Nome exclusivo.

    Captura de ecrã do formulário básico ao adicionar o ponto final privado do ficheiro.

  9. Selecione Seguinte: Recurso e depois defina Sub-recurso alvo para ficheiro.

    Captura de ecrã do formulário do recurso ao selecionar um sub-recurso do 'ficheiro'.

  10. Selecione Próximo : Rede Virtual, e, em seguida, utilize os seguintes valores:

    • Rede virtual: A rede que criou anteriormente
    • Sub-rede: Formação

    Captura de ecrã do formulário de configuração ao adicionar o ponto final privado do ficheiro.

  11. Continue através dos separadores, selecionando predefinições até chegar a Revise + Criar. Verifique se a informação está correta e, em seguida, selecione Create.

Sugestão

Se planeia usar um endpoint de lotes ou um pipeline do Azure Machine Learning que utiliza um ParallelRunStep, também precisa de configurar endpoints privados que visem subrecursos de fila e de tabela. ParallelRunStep Internamente, utiliza a fila e a tabela para agendamento e despacho de tarefas.

Criar um cofre de chaves

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e depois insira Key Vault. Selecione a entrada de Key Vault e, em seguida, selecione Criar.

  2. Na guia Noções básicas , selecione a assinatura, o grupo de recursos e a região que você usou anteriormente para a rede virtual. Introduza um nome de Cofre de Chaves único. Deixe os outros campos com o valor padrão.

    Captura de tela do formulário básico ao criar um novo cofre de chaves.

  3. Na guia Rede , desmarque Habilitar acesso público e selecione + criar um ponto de extremidade privado.

    Captura de ecrã do formulário de rede ao adicionar um ponto final privado para o cofre de chaves.

  4. No formulário Criar ponto final privado, utilize os seguintes valores:

    • Subscrição: A mesma subscrição da Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: Um nome exclusivo para este ponto de extremidade privado.
    • Subrecurso de destino: Vault
    • Rede virtual: A rede virtual que criou anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Ativar a integração de DNS Privado: Sim
    • DNS Privado Zone: Selecione o grupo de recursos que contém a rede virtual e o cofre de chaves.

    Selecione Adicionar para criar o ponto de extremidade privado.

    Captura de ecrã do formulário de configuração do ponto final privado do cofre de chaves.

  5. Selecione Verificar + criar. Verifique se a informação está correta e, em seguida, selecione Create.

  6. Quando o cofre de chaves for criado, selecione Ir para o recurso.

  7. Na navegação à esquerda, selecione Rede. No separador Firewalls e redes virtuais , selecione a caixa de seleção para Permitir que serviços confiáveis da Microsoft contornem este firewall e selecione Aplicar.

Criar um registro de contentores

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e depois insira Registo de Contêineres. Selecione a entrada Container Registry, e em seguida, selecione Criar.

  2. A partir do separador Fundamentos, selecione a subscrição, o grupo de recursos e a localização que utilizou anteriormente para a rede virtual. Introduza um Nome de Registo único e defina o SKU como Premium.

    Captura de ecrã do formulário básico ao criar um registo de contentores.

  3. No separador Rede, selecione Ponto final privado e, em seguida, selecione + Adicionar.

    Captura de ecrã do formulário de rede ao adicionar um endpoint privado do registo de contentores.

  4. No formulário Criar ponto final privado, utilize os seguintes valores:

    • Subscrição: A mesma subscrição da Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: Um nome exclusivo para este ponto de extremidade privado.
    • Sub-recurso de destino: registo
    • Rede virtual: A rede virtual que criou anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Integração DNS privada: Sim
    • Grupo de recursos: Selecionar o grupo de recursos que contém a rede virtual e o registo de contentores.

    Selecione Adicionar para criar o ponto de extremidade privado.

    Captura de ecrã do formulário de configuração do ponto final privado do registo de contentores.

  5. Selecione Verificar + criar. Verifique se a informação está correta e, em seguida, selecione Create.

  6. Após o registo do contentor ser criado, selecione Ir para o recurso.

    Captura de ecrã do botão de ir ao recurso.

  7. Do lado esquerdo da página, selecione Chaves de acesso e, em seguida, ative Usuário administrador. Precisa desta configuração quando usa o Azure Container Registry dentro de uma rede virtual com Azure Machine Learning.

    Captura de ecrã do formulário de chaves de acesso ao registo de contentores, com a opção de utilizador administrador ativada.

Criar um espaço de trabalho

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Create a resource e depois insira Machine Learning. Selecione a entrada Machine Learning e, em seguida, selecione Create.

    Captura de ecrã da página de criação do Azure Machine Learning.

  2. A partir do separador Introdução, selecione a subscrição, grupo de recursos e Região que utilizou anteriormente para a rede virtual. Utilize os seguintes valores para os outros campos:

    • Nome: Um nome único para o seu espaço de trabalho.
    • Conta de armazenamento: Selecione a conta de armazenamento que criou anteriormente.
    • Cofre de chaves: Selecione o cofre de chaves que criou anteriormente.
    • Informações sobre o aplicativo: use o valor padrão.
    • Registro de contêiner: use o registro de contêiner criado anteriormente.

    Captura de tela do formulário de configuração básica do espaço de trabalho.

  3. No separador Rede, selecione Privado com saída para a Internet. Na secção Acesso de entrada ao Workspace, selecione + Adicionar.

  4. No formulário Criar ponto final privado, utilize os seguintes valores:

    • Subscrição: A mesma subscrição da Azure que contém os recursos anteriores.
    • Grupo de recursos: O mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: Um nome exclusivo para este ponto de extremidade privado.
    • Sub-recurso de destino: amlworkspace
    • Rede virtual: A rede virtual que criou anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Integração DNS privada: Sim
    • Zona DNS privada: deixe as duas zonas DNS privadas com os valores padrão de privatelink.api.azureml.ms e privatelink.notebooks.azure.net.

    Selecione OK para criar o ponto de extremidade privado.

    Captura de ecrã do formulário de configuração da rede privada do espaço de trabalho.

  5. Na guia Rede , na seção Acesso de saída do espaço de trabalho , selecione Usar minha própria rede virtual.

  6. Selecione Verificar + criar. Verifique se a informação está correta e, em seguida, selecione Create.

  7. Após a criação do espaço de trabalho, selecione Ir para o recurso.

  8. Na secção Definições à esquerda, selecione Rede, Ligações de ponto final privado e, em seguida, selecione o link na coluna Ponto final privado:

    Captura de ecrã das conexões de endpoint privado para o espaço de trabalho.

  9. Assim que a informação do ponto final privado aparecer, selecione Configuração de DNS à esquerda da página. Guarde o endereço IP e as informações do nome de domínio totalmente qualificado (FQDN) nesta página.

    captura de ecrã das entradas de IP e FQDN para o espaço de trabalho.

Importante

Ainda há algumas etapas de configuração necessárias antes de poderes utilizar plenamente o espaço de trabalho. No entanto, estes passos exigem que se ligue ao espaço de trabalho.

Ativar estúdio

O Azure Machine Learning Studio é uma aplicação web que utiliza para gerir o seu espaço de trabalho. No entanto, precisa de alguma configuração extra antes de o poder usar com recursos protegidos dentro de uma rede virtual. Utilize os seguintes passos para ativar o estúdio:

  1. Quando usar uma Conta de Armazenamento Azure que tenha um ponto final privado, adicionar o principal de serviço do espaço de trabalho como Leitor para os pontos finais privados de armazenamento. No portal do Azure, selecione a sua conta de armazenamento e, em seguida, selecione Networking. De seguida, selecione Private endpoint connections.

    Captura de ecrã das ligações de pontos finais privados de armazenamento.

  2. Para cada ponto final privado listado, siga os seguintes passos:

    1. Selecione o link na coluna Private endpoint.

      Captura de ecrã dos links do ponto final na coluna do ponto final privado.

    2. Selecione Controlo de Acesso (IAM) no lado esquerdo.

    3. Selecione + Adicionar e depois selecione Adicionar atribuição de função (Pré-visualização).

      Página de controle de acesso (IAM) com o menu Adicionar atribuição de função aberto.

    4. Na guia Função, selecione a função Leitor.

      Adicionar a página de atribuição de função com a aba Função selecionada.

    5. No separador Membros , selecione Utilizador, grupo ou entidade de serviço na área Atribuir acesso a e, em seguida, selecione + Selecionar membros. Na caixa de diálogo Selecionar membros , insira o nome como seu espaço de trabalho do Azure Machine Learning. Selecione o principal de serviço para o espaço de trabalho e use o botão Selecionar.

    6. Na guia Revisão + atribuir, selecione Revisão + atribuir para atribuir a função.

Proteja o Azure Monitor e o Application Insights

Nota

Para mais informações sobre como obter Azure Monitor e Application Insights, consulte os seguintes artigos:

  1. No portal do Azure, selecione Página Inicial e procure Link privado. Selecione o resultado do Escopo de Link Privado do Azure Monitor e selecione Criar.

  2. A partir do separador Basics, selecione a mesma Subscription, Resource Group, e Resource group region do seu espaço de trabalho Azure Machine Learning. Insira um Nome para a instância e selecione Revisar + Criar. Para criar a instância, selecione Criar.

  3. Depois de criar a instância Azure Monitor Private Link Scope, selecione a instância no portal Azure. Na seção Configurar, selecione Recursos do Azure Monitor e depois selecione + Adicionar.

    Captura de ecrã do botão de adição.

  4. Em Selecione um escopo, use os filtros para selecionar a instância do Application Insights para seu espaço de trabalho do Azure Machine Learning. Selecione Aplicar para adicionar a instância.

  5. Na secção Configurar, selecione Conexões de Ponto de Extremidade Privado e, em seguida, selecione + Ponto de Extremidade Privado.

    Captura de ecrã do botão adicionar ponto final privado.

  6. Selecione a mesma Subscrição, Grupo de Recursos e Região que contém a sua rede virtual. Selecione Seguinte: Recurso.

    Captura de ecrã das noções básicas do ponto final privado do Azure Monitor.

  7. Selecione Microsoft.insights/privateLinkScopes como o Tipo de Recurso. Selecionar o 'Private Link Scope' que criou anteriormente como o Recurso. Selecione azuremonitor como Sub-recurso alvo. Selecione Próximo: Rede Virtual para continuar.

    Captura de ecrã dos recursos de ponto final privado do Azure Monitor.

  8. Selecione a Rede Virtual que criou anteriormente e a subnet Training. Selecione Avançar até chegar a Revisão + Criar. Selecione Criar para criar o ponto final privado.

    Captura de ecrã da rede de ponto final privado do Azure Monitor.

  9. Depois de criar o endpoint privado, volte ao recurso Azure Monitor Private Link Scope no portal. A partir da secção Configurar, selecione Modos de acesso. Selecione Privado apenas para modo de acesso por ingestão e modo de acesso por consulta, e depois selecione Guardar.

    Captura de ecrã dos modos de acesso ao âmbito de ligação privada.

Conectar ao espaço de trabalho

Pode ligar-se ao espaço de trabalho seguro de várias formas. Os passos neste artigo utilizam um jump box, que é uma máquina virtual na rede virtual. Podes ligar-te a ele usando o teu navegador web e o Azure Bastion. A tabela a seguir lista várias outras formas de ligação ao espaço de trabalho seguro.

Método Descrição
Gateway de VPN do Azure Conecta redes locais à rede virtual através de uma ligação privada. A ligação é feita através da internet pública.
ExpressRoute Conecta redes no local à nuvem através de uma ligação privada. A ligação é feita através de um fornecedor de conectividade.

Importante

Quando usa um gateway VPN ou ExpressRoute, precisa de planear como funciona a resolução de nomes entre os seus recursos locais e os da rede virtual. Para mais informações, consulte Utilizar um servidor DNS personalizado.

Criar uma jump box (VM)

Use as etapas a seguir para criar uma Máquina Virtual do Azure para usar como uma caixa de salto. Ao usar o Azure Bastion, pode ligar-se ao ambiente de trabalho da VM através do seu navegador. A partir do ambiente de trabalho da VM, pode usar o navegador na VM para se ligar a recursos dentro da rede virtual, como o Azure Machine Learning Studio. Ou pode instalar ferramentas de desenvolvimento na máquina virtual.

Sugestão

Os passos seguintes criam uma VM Enterprise com Windows 11. Dependendo dos seus requisitos, pode querer seleccionar uma imagem de VM diferente. A imagem Enterprise do Windows 11 (ou 10) é útil se precisar de ligar a VM ao domínio da sua organização.

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e depois insira Máquina Virtual. Selecione a entrada Máquina Virtual e, em seguida, selecione Criar.

  2. A partir do separador Introdução, selecione a subscrição, grupo de recursos e Região que utilizou anteriormente para a rede virtual. Forneça valores para os seguintes campos.

    • Nome da máquina virtual: Um nome único para a VM.

    • Nome de utilizador: O nome de utilizador que utiliza para iniciar sessão na VM.

    • Palavra-passe: A palavra-passe para o nome de utilizador.

    • Tipo de segurança: Padrão.

    • Imagem: Windows 11 Enterprise.

      Sugestão

      Se o Windows 11 Enterprise não estiver na lista para seleção de imagens, use Ver todas as imagens. Encontre a entrada do Windows 11 da Microsoft e use o menu suspenso Selecionar para escolher a imagem corporativa.

    Você pode deixar os outros campos nos valores padrão.

    Captura de ecrã da configuração básica da máquina virtual.

  3. Selecione Rede e, em seguida, selecione a Rede virtual que criou anteriormente. Utilize a seguinte informação para definir os campos restantes:

    • Selecione a sub-rede Training.
    • Defina o IP público como Nenhum.
    • Deixe os outros campos com o valor padrão.

    Captura de ecrã da configuração de rede da máquina virtual.

  4. Selecione Verificar + criar. Verifique se a informação está correta e, em seguida, selecione Create.

Conecte-se à caixa de salto

  1. Depois de a máquina virtual ser criada, selecione Ir para o recurso.

  2. A partir do topo da página, selecione Connect e depois Connect via Bastion.

    Sugestão

    O Azure Bastion utiliza a porta 443 para comunicação de entrada. Se tiver um firewall que restrinja o tráfego de saída, certifique-se de que permite o tráfego na porta 443 para o serviço Azure Bastion. Para obter mais informações, consulte Trabalhando com NSGs e Azure Bastion.

    Captura de ecrã da lista de conexões, com Bastion selecionado.

  3. Introduza a sua informação de autenticação para a máquina virtual. Estabelece-se uma ligação no seu navegador.

Crie um cluster de computação e uma instância

Uma instância de computação oferece uma experiência de Jupyter Notebook num recurso de computação partilhado ligado ao seu espaço de trabalho.

  1. A partir de uma conexão Azure Bastion para a jump box, abra o navegador Microsoft Edge no ambiente de trabalho remoto.

  2. Na sessão de navegador remoto, vá para https://ml.azure.com. Quando solicitado, autentique usando a sua conta Microsoft Entra.

  3. A partir do ecrã Saudações ao estúdio!, selecione o espaço de trabalho de Machine Learning que criou anteriormente e, em seguida, selecione Iniciar.

    Sugestão

    Se a sua conta Microsoft Entra tiver acesso a várias subscrições ou diretórios, use o menu suspenso Diretório e Subscrição para selecionar aquele que contém o espaço de trabalho.

    Captura de ecrã do formulário de seleção do espaço de trabalho de Machine Learning.

  4. A partir do studio, selecione Computação, Clusters de Computação e depois + Novo.

    Captura de ecrã da página dos clusters de computação, com o novo botão selecionado.

  5. No diálogo Máquina Virtual, selecione Seguinte para aceitar a configuração padrão da máquina virtual.

    Captura de ecrã da configuração da máquina virtual do cluster de computação.

  6. No diálogo Configurar Definições, introduza cpu-cluster como nome Compute. Defina a Sub-rede para Training e depois selecione Criar para criar o cluster.

    Sugestão

    Clusters de computação escalam os nós no cluster dinamicamente conforme necessário. Deixe o número mínimo de nós em 0 para reduzir custos quando o cluster não estiver em uso.

    Captura de ecrã do formulário de configuração das definições.

  7. A partir do estúdio, selecione Compute, Compute instance e depois + Novo.

    Captura de ecrã da página das instâncias de computação, com o novo botão selecionado.

  8. A partir das Configurações obrigatórias, insira um Nome do Computador exclusivo e selecione Seguinte.

    Captura de ecrã da configuração de máquina virtual de instância de computação.

  9. Continue a selecionar Seguinte até chegar à caixa de diálogo Segurança, selecione a Rede virtual e defina a Sub-rede para Training. Selecione Review + Create e depois selecione Create.

    Captura de ecrã das definições avançadas.

Sugestão

Quando cria um cluster de computação ou uma instância de computação, o Azure Machine Learning adiciona dinamicamente um Grupo de Segurança de Rede (NSG). Este NSG contém as seguintes regras, específicas para clusters de computação e instâncias de computação:

  • Permitir tráfego TCP de entrada nas portas 29876-29877 da tag de serviço BatchNodeManagement.
  • Permitir tráfego TCP de entrada na porta 44224 da etiqueta de serviço AzureMachineLearning.

A imagem abaixo mostra um exemplo destas regras:

Captura de ecrã de NSG

Para mais informações sobre como criar um cluster de computação e uma instância de computação, incluindo como o fazer com Python e a CLI, consulte os seguintes artigos:

Configurar builds de imagem

APLICA-SE A:CLI do Azure ml extension v2 (current)

Quando o Azure Container Registry está por trás da rede virtual, o Azure Machine Learning não consegue usá-lo para construir diretamente imagens Docker (utilizadas para treinamento e implantação). Em vez disso, configure o espaço de trabalho para usar o cluster de computação que criou anteriormente. Utilize os seguintes passos para criar um cluster de computação e configurar o espaço de trabalho para utilizá-lo na construção de imagens.

  1. Vá para https://shell.azure.com/ para abrir o Azure Cloud Shell.

  2. Na Cloud Shell, utilize o seguinte comando para instalar o CLI 2.0 para o Azure Machine Learning.

    az extension add -n ml

  3. Atualize o espaço de trabalho para usar o cluster de computação para construir imagens Docker. Substitua docs-ml-rg pelo seu grupo de recursos. Substitua docs-ml-ws pelo seu espaço de trabalho. Substitua cpu-cluster pelo nome do cluster de computação:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Nota

    Pode usar o mesmo cluster de computação para treinar modelos e construir imagens Docker para o espaço de trabalho.

Use o espaço de trabalho

Importante

Os passos deste artigo colocam o Azure Container Registry atrás da rede virtual. Nesta configuração, não pode implementar um modelo para as Azure Container Instances dentro da rede virtual. Não use Azure Container Instances com Azure Machine Learning numa rede virtual. Para mais informações, consulte Secure the inference environment (SDK/CLI v1).

Como alternativa às Instâncias de Contentores do Azure, experimente os endpoints online geridos do Azure Machine Learning. Para mais informações, consulte Enable network isolation for managed online endpoints.

Neste ponto, pode usar o estúdio para trabalhar interativamente com notebooks na instância de computação e executar tarefas de treino no cluster de computação. Para um tutorial sobre como usar a instância de computação e o cluster de computação, consulte Tutorial: Azure Machine Learning em um dia.

Pare a instância de computação e a caixa de salto

Advertência

Enquanto está a correr (iniciado), a instância de computação e a jump box continuam a cobrar a tua subscrição. Para evitar custos excessivos, pare-os quando não estiverem a ser usados.

O cluster de cálculo escala dinamicamente entre o número mínimo e o máximo de nós definido quando o crias. Se aceitares os predefinidos, o mínimo é 0, o que desliga efetivamente o cluster quando não está a ser usado.

Parar a instância de computação

No estúdio, selecione Computação, Clusters de Computação e, em seguida, selecione a instância de computação. Por fim, selecione Parar na parte superior da página.

Captura de ecrã do botão de parar para a instância de computação.

Pare a caixa de salto

Depois de criares a jump box, seleciona a máquina virtual no portal Azure e depois usa o botão Stop . Quando estiver pronto para usá-lo novamente, use o botão Iniciar para iniciá-lo.

Captura de ecrã do botão de parar para a máquina virtual de jump box.

Também pode configurar a jump box para desligar automaticamente a uma hora específica. Para fazer isso, selecione Desligamento Automático, Ativar, defina um horário e depois selecione Guardar.

Captura de ecrã da opção de auto-desligamento.

Limpar recursos

Se planeia continuar a usar o espaço de trabalho seguro e outros recursos, evite esta secção.

Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:

  1. No portal do Azure, selecione Grupos de recursos no extremo esquerdo.

  2. Na lista, selecione o grupo de recursos que criou neste tutorial.

  3. Selecione Eliminar grupo de recursos.

    Captura de tela do link para eliminar o grupo de recursos.

  4. Introduza o nome do grupo de recursos e depois selecione Eliminar.

Próximos passos

Depois de configurar um espaço de trabalho seguro e estúdio de acesso, aprenda a implementar um modelo num endpoint online com isolamento de rede.

Depois de configurares um espaço de trabalho seguro, aprende a implementar um modelo.

  • Last updated on