Partilhar via

Tutorial: Como criar um espaço de trabalho seguro com uma Rede Virtual do Azure

  • Artigo

Neste artigo, saiba como criar e conectar-se a um espaço de trabalho seguro do Azure Machine Learning. As etapas neste artigo usam uma Rede Virtual do Azure para criar um limite de segurança em torno dos recursos usados pelo Aprendizado de Máquina do Azure.

Importante

Recomendamos usar a rede virtual gerenciada do Azure Machine Learning em vez de uma Rede Virtual do Azure. Para obter uma versão deste tutorial que usa uma rede virtual gerenciada, consulte Tutorial: Criar um espaço de trabalho seguro com uma rede virtual gerenciada.

Neste tutorial, você realiza as seguintes tarefas:

  • Crie uma Rede Virtual do Azure (VNet) para proteger as comunicações entre serviços na rede virtual.
  • Crie uma Conta de Armazenamento do Azure (blob e arquivo) por trás da VNet. Este serviço é usado como armazenamento padrão para o espaço de trabalho.
  • Crie um Cofre da Chave do Azure atrás da rede virtual. Este serviço é usado para armazenar segredos usados pelo espaço de trabalho. Por exemplo, as informações de segurança necessárias para acessar a conta de armazenamento.
  • criar um registo de contentor do Azure Container Registry (ACR). Este serviço é usado como um repositório para imagens do Docker. As imagens do Docker fornecem os ambientes de computação necessários ao treinar um modelo de aprendizado de máquina ou implantar um modelo treinado como ponto de extremidade.
  • Crie um espaço de trabalho do Azure Machine Learning.
  • Crie uma caixa de salto. Uma caixa de salto é uma Máquina Virtual do Azure que está por trás da VNet. Como a VNet restringe o acesso da Internet pública, a caixa de salto é usada como uma maneira de se conectar aos recursos por trás da VNet.
  • Configure o estúdio do Azure Machine Learning para trabalhar atrás de uma rede virtual. O estúdio fornece uma interface Web para o Azure Machine Learning.
  • Crie um cluster de computação do Azure Machine Learning. Um cluster de computação é usado ao treinar modelos de aprendizado de máquina na nuvem. Em configurações em que o Registro de Contêiner do Azure está por trás da rede virtual, ele também é usado para criar imagens do Docker.
  • Conecte-se à caixa de salto e use o estúdio do Azure Machine Learning.

Gorjeta

Se você estiver procurando por um modelo que demonstre como criar um espaço de trabalho seguro, consulte Modelo Bicep ou Modelo Terraform.

Depois de concluir este tutorial, você terá a seguinte arquitetura:

  • Uma Rede Virtual do Azure, que contém três sub-redes:
    • Treinamento: contém o espaço de trabalho do Azure Machine Learning, serviços de dependência e recursos usados para modelos de treinamento.
    • Pontuação: para as etapas neste tutorial, ele não é usado. No entanto, se você continuar usando esse espaço de trabalho para outros tutoriais, recomendamos usar essa sub-rede ao implantar modelos em pontos de extremidade.
    • AzureBastionSubnet: Usado pelo serviço Azure Bastion para conectar clientes com segurança às Máquinas Virtuais do Azure.
  • Um espaço de trabalho do Azure Machine Learning que usa um ponto de extremidade privado para se comunicar usando a rede virtual.
  • Uma Conta de Armazenamento do Azure que usa pontos de extremidade privados para permitir que serviços de armazenamento, como blob e arquivo, se comuniquem usando a rede virtual.
  • Um Registro de Contêiner do Azure que usa um ponto de extremidade privado se comunica usando a rede virtual.
  • Azure Bastion, que permite que você use seu navegador para se comunicar com segurança com a VM da caixa de salto dentro da rede virtual.
  • Uma Máquina Virtual do Azure à qual você pode se conectar remotamente e acessar recursos protegidos dentro da rede virtual.
  • Uma instância de computação do Azure Machine Learning e um cluster de computação.

Gorjeta

O Serviço de Lote do Azure listado no diagrama é um serviço back-end exigido pelos clusters de computação e instâncias de computação.

Diagrama da arquitetura final criada através deste tutorial.

Pré-requisitos

  • Familiaridade com Redes Virtuais do Azure e redes IP. Se você não estiver familiarizado, tente o módulo Fundamentos da rede de computadores .
  • Embora a maioria das etapas neste artigo use o portal do Azure ou o estúdio do Azure Machine Learning, algumas etapas usam a extensão da CLI do Azure para Machine Learning v2.

Criar uma rede virtual

Para criar uma rede virtual, use as seguintes etapas:

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, digite Rede Virtual no campo de pesquisa. Selecione a entrada Rede Virtual e, em seguida, selecione Criar.

    Captura de ecrã do formulário de pesquisa de recursos com a rede virtual selecionada.

    Captura de tela do formulário de criação de rede virtual.

  2. Na guia Noções básicas, selecione a assinatura do Azure a ser usada para esse recurso e selecione ou crie um novo grupo de recursos. Em Detalhes da instância, insira um nome amigável para sua rede virtual e selecione a região na qual criá-la.

    Captura de tela do formulário básico de configuração de rede virtual.

  3. Selecione Segurança. Selecione para habilitar o Azure Bastion. O Azure Bastion fornece uma maneira segura de acessar a caixa de salto de VM que você cria dentro da rede virtual em uma etapa posterior. Use os seguintes valores para os campos restantes:

    • Nome do bastião: um nome exclusivo para esta instância do bastião
    • Endereço IP público: crie um novo endereço IP público.

    Deixe os outros campos nos valores padrão.

    Screenshot da configuração Bastion.

  4. Selecione Endereços IP. As configurações padrão devem ser semelhantes à seguinte imagem:

    Captura de ecrã do formulário Endereço IP predefinido.

    Use as seguintes etapas para configurar o endereço IP e configurar uma sub-rede para recursos de treinamento e pontuação:

    Gorjeta

    Embora você possa usar uma única sub-rede para todos os recursos do Azure Machine Learning, as etapas neste artigo mostram como criar duas sub-redes para separar os recursos de treinamento e pontuação.

    O espaço de trabalho e outros serviços de dependência irão para a sub-rede de treinamento. Eles ainda podem ser usados por recursos em outras sub-redes, como a sub-rede de pontuação.

    1. Observe o valor do espaço de endereçamento IPv4 padrão. Na captura de tela, o valor é 172.16.0.0/16. O valor pode ser diferente para si. Embora você possa usar um valor diferente, o restante das etapas neste tutorial são baseadas no valor 172.16.0.0/16.

      Aviso

      Não use o intervalo de endereços IP 172.17.0.0/16 para sua rede virtual. Este é o intervalo de sub-rede padrão usado pela rede de ponte do Docker e resultará em erros se usado para sua rede virtual. Outros intervalos também podem entrar em conflito consoante o que pretende ligar à rede virtual. Por exemplo, se planear ligar a sua rede no ambiente no local à VNet e essa rede também utilizar o intervalo 172.16.0.0/16. Em última análise, cabe a você planejar sua infraestrutura de rede.

    2. Selecione a sub-rede padrão e, em seguida, selecione o ícone de edição.

      Captura de tela da seleção do ícone de edição da sub-rede padrão.

    3. Altere o nome da sub-rede para Treinamento. Deixe os outros valores nas configurações padrão e selecione Salvar para salvar as alterações.

    4. Para criar uma sub-rede para recursos de computação usados para pontuar seus modelos, selecione + Adicionar sub-rede e defina o nome e o intervalo de endereços:

      • Nome da sub-rede: Pontuação
      • Endereço inicial: 172.16.2.0
      • Tamanho da sub-rede: /24 (256 endereços)

      Captura de ecrã da sub-rede Pontuação.

    5. Selecione Adicionar para adicionar a sub-rede.

  5. Selecione Rever + criar.

    Captura de ecrã do botão rever + criar.

  6. Verifique se as informações estão corretas e selecione Criar.

    Captura de ecrã da página de revisão + criação da rede virtual.

Criar uma conta de armazenamento

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e insira Conta de armazenamento. Selecione a entrada Conta de Armazenamento e, em seguida, selecione Criar.

  2. Na guia Noções básicas, selecione a assinatura, o grupo de recursos e a região que você usou anteriormente para a rede virtual. Insira um nome de conta de armazenamento exclusivo e defina Redundância como LRS (armazenamento com redundância local).

    Captura de tela da configuração básica da conta de armazenamento.

  3. Na guia Rede, selecione Desabilitar acesso público e, em seguida, selecione + Adicionar ponto de extremidade privado.

    Captura de tela do formulário para adicionar a rede privada de blob.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: a mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: o mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para este ponto de extremidade privado.
    • Sub-recurso de destino: blob
    • Rede virtual: a rede virtual criada anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Integração DNS privada: Sim
    • Zona DNS Privada: privatelink.blob.core.windows.net

    Selecione Adicionar para criar o ponto de extremidade privado.

  5. Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.

  6. Depois que a Conta de Armazenamento for criada, selecione Ir para o recurso:

    Captura de ecrã do botão Ir para o novo recurso de armazenamento.

  7. Na navegação à esquerda, selecione Rede na guia Conexões de ponto de extremidade privado e, em seguida, selecione + Ponto de extremidade privado:

    Nota

    Embora tenha criado um ponto de extremidade privado para armazenamento de Blob nas etapas anteriores, você também deve criar um para armazenamento de arquivos.

    Captura de tela do formulário de rede da conta de armazenamento.

  8. No formulário Criar um ponto de extremidade privado, use a mesma assinatura, grupo de recursos e região que você usou para recursos anteriores. Insira um Nome exclusivo.

    Captura de tela do formulário básico ao adicionar o ponto de extremidade privado do arquivo.

  9. Selecione Avançar : Recurso e defina Subrecurso de destino como arquivo.

    Captura de tela do formulário de recurso ao selecionar um subrecurso de 'arquivo'.

  10. Selecione Avançar : Rede Virtual e use os seguintes valores:

    • Rede virtual: a rede que você criou anteriormente
    • Sub-rede: Formação

    Captura de tela do formulário de configuração ao adicionar o ponto de extremidade privado do arquivo.

  11. Continue pelas guias que selecionam os padrões até chegar a Revisar + Criar. Verifique se as informações estão corretas e selecione Criar.

Gorjeta

Se você planeja usar um ponto de extremidade em lote ou um pipeline do Azure Machine Learning que usa um ParallelRunStep, também é necessário configurar a fila de destino de pontos de extremidade privados e os subrecursos da tabela. O ParallelRunStep usa internamente fila e tabela para agendamento e envio de tarefas.

Criar um cofre de chaves

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, digite Cofre da chave. Selecione a entrada Cofre da Chave e, em seguida, selecione Criar.

  2. Na guia Noções básicas, selecione a assinatura, o grupo de recursos e a região que você usou anteriormente para a rede virtual. Insira um nome exclusivo do cofre de chaves. Deixe os outros campos no valor padrão.

    Captura de tela do formulário básico ao criar um novo cofre de chaves.

  3. Na guia Rede, desmarque Habilitar acesso público e selecione + criar um ponto de extremidade privado.

    Captura de tela do formulário de rede ao adicionar um ponto de extremidade privado para o cofre de chaves.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: a mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: o mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para este ponto de extremidade privado.
    • Subrecurso de destino: Vault
    • Rede virtual: a rede virtual criada anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Ativar integração de DNS privado: Sim
    • Zona DNS Privada: Selecione o grupo de recursos que contém a rede virtual e o cofre de chaves.

    Selecione Adicionar para criar o ponto de extremidade privado.

    Captura de tela do formulário de configuração de ponto final privado do cofre de chaves.

  5. Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.

Criar um registo de contentores

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, digite Registro de contêiner. Selecione a entrada Registro de contêiner e, em seguida, selecione Criar.

  2. Na guia Noções básicas, selecione a assinatura, o grupo de recursos e o local que você usou anteriormente para a rede virtual. Insira um nome de Registro exclusivo e defina a SKU como Premium.

    Captura de tela do formulário básico ao criar um registro de contêiner.

  3. Na guia Rede, selecione Ponto de extremidade privado e, em seguida, selecione + Adicionar.

    Captura de tela do formulário de rede ao adicionar um ponto de extremidade privado do registro de contêiner.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: a mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: o mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para este ponto de extremidade privado.
    • Sub-recurso de destino: registo
    • Rede virtual: a rede virtual criada anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Integração DNS privada: Sim
    • Grupo de recursos: selecione o grupo de recursos que contém a rede virtual e o registro de contêiner.

    Selecione Adicionar para criar o ponto de extremidade privado.

    Captura de tela do formulário de configuração para o ponto de extremidade privado do registro de contêiner.

  5. Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.

  6. Depois que o registro de contêiner for criado, selecione Ir para recurso.

    Captura de ecrã do botão 'ir para o recurso'.

  7. À esquerda da página, selecione Teclas de acesso e habilite Usuário administrador. Essa configuração é necessária ao usar o Registro de Contêiner do Azure dentro de uma rede virtual com o Azure Machine Learning.

    Captura de ecrã do formulário de chaves de acesso ao registo do contentor, com a opção 'admin user' ativada.

Criar uma área de trabalho

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, insira Machine Learning. Selecione a entrada Aprendizado de Máquina e, em seguida, selecione Criar.

    Captura de ecrã da página de criação do Azure Machine Learning.

  2. Na guia Noções básicas, selecione a assinatura, o grupo de recursos e a região que você usou anteriormente para a rede virtual. Use os seguintes valores para os outros campos:

    • Nome: um nome exclusivo para seu espaço de trabalho.
    • Conta de armazenamento: selecione a conta de armazenamento criada anteriormente.
    • Cofre de chaves: selecione o cofre de chaves que você criou anteriormente.
    • Informações sobre o aplicativo: use o valor padrão.
    • Registro de contêiner: use o registro de contêiner criado anteriormente.

    Captura de tela do formulário de configuração básica do espaço de trabalho.

  3. Na guia Rede, selecione Privado com saída da Internet. Na seção Acesso de entrada ao espaço de trabalho, selecione + Adicionar.

  4. No formulário Criar ponto de extremidade privado, use os seguintes valores:

    • Assinatura: a mesma assinatura do Azure que contém os recursos anteriores.
    • Grupo de recursos: o mesmo grupo de recursos do Azure que contém os recursos anteriores.
    • Local: a mesma região do Azure que contém os recursos anteriores.
    • Nome: um nome exclusivo para este ponto de extremidade privado.
    • Sub-recurso de destino: amlworkspace
    • Rede virtual: a rede virtual criada anteriormente.
    • Sub-rede: Formação (172.16.0.0/24)
    • Integração DNS privada: Sim
    • Zona DNS privada: deixe as duas zonas DNS privadas com os valores padrão de privatelink.api.azureml.ms e privatelink.notebooks.azure.net.

    Selecione OK para criar o ponto de extremidade privado.

    Captura de tela do formulário de configuração de rede privada do espaço de trabalho.

  5. Na guia Rede, na seção Acesso de saída do espaço de trabalho, selecione Usar minha própria rede virtual.

  6. Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.

  7. Depois que o espaço de trabalho for criado, selecione Ir para recurso.

  8. Na seção Configurações à esquerda, selecione Rede, Conexões de ponto de extremidade privado e, em seguida, selecione o link na coluna Ponto de extremidade privado:

    Captura de tela das conexões de ponto de extremidade privado para o espaço de trabalho.

  9. Quando as informações do ponto de extremidade privado aparecerem, selecione Configuração de DNS à esquerda da página. Salve o endereço IP e as informações de nome de domínio totalmente qualificado (FQDN) nesta página.

    captura de ecrã das entradas IP e FQDN da área de trabalho.

Importante

Ainda há algumas etapas de configuração necessárias para que você possa usar totalmente o espaço de trabalho. No entanto, eles exigem que você se conecte ao espaço de trabalho.

Ativar estúdio

O estúdio do Azure Machine Learning é uma aplicação baseada na Web que lhe permite gerir facilmente a sua área de trabalho. No entanto, ele precisa de alguma configuração extra antes de poder ser usado com recursos protegidos dentro de uma rede virtual. Use as seguintes etapas para habilitar o studio:

  1. Ao usar uma Conta de Armazenamento do Azure que tenha um ponto de extremidade privado, adicione a entidade de serviço para o espaço de trabalho como um Leitor para os pontos de extremidade privados de armazenamento. No portal do Azure, selecione sua conta de armazenamento e, em seguida, selecione Rede. Em seguida, selecione Conexões de ponto de extremidade privadas.

    Captura de ecrã de ligações de terminais privados de armazenamento.

  2. Para cada ponto de extremidade privado listado, use as seguintes etapas:

    1. Selecione o link na coluna Ponto de extremidade privado.

      Captura de tela dos links de ponto de extremidade na coluna de ponto de extremidade privado.

    2. Selecione Controlo de acesso (IAM) no lado esquerdo.

    3. Selecione + Adicionar e, em seguida, Adicionar atribuição de função (Pré-visualização).

      Página de controle de acesso (IAM) com o menu Adicionar atribuição de função aberto.

    4. Na guia Função, selecione o Leitor.

      Adicionar página de atribuição de função com a guia Função selecionada.

    5. No separador Membros, selecione Utilizador, grupo ou entidade de serviço na área Atribuir acesso a e, em seguida, selecione + Selecionar membros. Na caixa de diálogo Selecionar membros, insira o nome como seu espaço de trabalho do Azure Machine Learning. Selecione a entidade de serviço para o espaço de trabalho e use o botão Selecionar .

    6. No separador Rever + atribuir, selecione Rever + atribuir para atribuir a função.

Proteja o Azure Monitor e o Application Insights

Nota

Para obter mais informações sobre como proteger o Azure Monitor e o Application Insights, consulte os seguintes links:

  1. No portal do Azure, selecione Página Inicial e procure Link privado. Selecione o resultado do Escopo de Link Privado do Azure Monitor e selecione Criar.

  2. Na guia Noções básicas, selecione a mesma região Assinatura, Grupo de Recursos e Grupo de recursos que seu espaço de trabalho do Azure Machine Learning. Insira um Nome para a instância e selecione Revisar + Criar. Para criar a instância, selecione Criar.

  3. Depois que a instância do Escopo de Link Privado do Azure Monitor for criada, selecione a instância no portal do Azure. Na seção Configurar, selecione Recursos do Azure Monitor e selecione + Adicionar.

    Captura de ecrã do botão adicionar.

  4. Em Selecione um escopo, use os filtros para selecionar a instância do Application Insights para seu espaço de trabalho do Azure Machine Learning. Selecione Aplicar para adicionar a instância.

  5. Na seção Configurar, selecione Conexões de ponto de extremidade privado e, em seguida, selecione + Ponto de extremidade privado.

    Captura de ecrã do botão adicionar ponto final privado.

  6. Selecione a mesma Assinatura, Grupo de Recursos e Região que contém sua rede virtual. Selecione Next: Resource.

    Captura de ecrã das noções básicas do ponto de extremidade privado do Azure Monitor.

  7. Selecione Microsoft.insights/privateLinkScopes como o tipo de recurso. Selecione o Escopo do Link Privado criado anteriormente como o Recurso. Selecione azuremonitor como o subrecurso de destino. Por fim, selecione Next: Virtual Network para continuar.

    Captura de ecrã dos recursos de ponto de extremidade privados do Azure Monitor.

  8. Selecione a rede virtual criada anteriormente e a sub-rede Treinamento . Selecione Avançar até chegar a Revisão + Criar. Selecione Criar para criar o ponto de extremidade privado.

    Captura de ecrã da rede de pontos finais privados do Azure Monitor.

  9. Depois que o ponto de extremidade privado for criado, retorne ao recurso Escopo de Link Privado do Azure Monitor no portal. Na seção Configurar, selecione Modos de acesso. Selecione Somente privado para Modo de acesso de ingestão e Modo de acesso de consulta e, em seguida, selecione Salvar.

    Captura de ecrã dos modos de acesso ao âmbito do link privado.

Conectar-se ao espaço de trabalho

Há várias maneiras de se conectar ao espaço de trabalho seguro. As etapas neste artigo usam uma caixa de salto, que é uma máquina virtual na rede virtual. Você pode se conectar a ele usando seu navegador da Web e o Azure Bastion. A tabela a seguir lista várias outras maneiras de se conectar ao espaço de trabalho seguro:

Método Description
Gateway de VPN do Azure Conecta redes locais à rede virtual por meio de uma conexão privada. A conexão é feita através da internet pública.
ExpressRoute Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.

Importante

Ao usar um gateway VPN ou Rota Expressa, você precisará planejar como funciona a resolução de nomes entre seus recursos locais e aqueles na VNet. Para obter mais informações, consulte Usar um servidor DNS personalizado.

Criar uma caixa de salto (VM)

Use as etapas a seguir para criar uma Máquina Virtual do Azure para usar como uma caixa de salto. O Azure Bastion permite que você se conecte à área de trabalho da VM por meio do navegador. Na área de trabalho da VM, você pode usar o navegador na VM para se conectar a recursos dentro da rede virtual, como o estúdio do Azure Machine Learning. Ou você pode instalar ferramentas de desenvolvimento na VM.

Gorjeta

As etapas a seguir criam uma VM corporativa do Windows 11. Dependendo dos seus requisitos, talvez você queira selecionar uma imagem de VM diferente. A imagem corporativa do Windows 11 (ou 10) é útil se você precisar associar a VM ao domínio da sua organização.

  1. No portal do Azure, selecione o menu do portal no canto superior esquerdo. No menu, selecione + Criar um recurso e, em seguida, digite Máquina Virtual. Selecione a entrada Máquina Virtual e, em seguida, selecione Criar.

  2. Na guia Noções básicas, selecione a assinatura, o grupo de recursos e a região que você usou anteriormente para a rede virtual. Forneça valores para os seguintes campos:

    • Nome da máquina virtual: um nome exclusivo para a VM.

    • Nome de usuário: o nome de usuário que você usa para entrar na VM.

    • Senha: A senha para o nome de usuário.

    • Tipo de segurança: Padrão.

    • Imagem: Windows 11 Enterprise.

      Gorjeta

      Se o Windows 11 Enterprise não estiver na lista para seleção de imagens, use Ver todas as imagens_. Encontre a entrada do Windows 11 da Microsoft e use a lista suspensa Selecionar para selecionar a imagem da empresa.

    Você pode deixar outros campos nos valores padrão.

    Captura de tela da configuração básica da máquina virtual.

  3. Selecione Rede e, em seguida, selecione a Rede virtual criada anteriormente. Use as seguintes informações para definir os campos restantes:

    • Selecione a sub-rede Treinamento .
    • Defina o IP público como Nenhum.
    • Deixe os outros campos no valor padrão.

    Captura de tela da configuração de rede da máquina virtual.

  4. Selecione Rever + criar. Verifique se as informações estão corretas e selecione Criar.

Conecte-se à caixa de salto

  1. Depois que a máquina virtual for criada, selecione Ir para recurso.

  2. Na parte superior da página, selecione Conectar e, em seguida, Conectar via Bastion.

    Gorjeta

    O Azure Bastion usa a porta 443 para comunicação de entrada. Se você tiver um firewall que restrinja o tráfego de saída, verifique se ele permite o tráfego na porta 443 para o serviço Azure Bastion. Para obter mais informações, consulte Wroking with NSGs and Azure Bastion.

    Captura de ecrã da lista 'ligar', com 'Bastion' selecionado.

  3. Forneça suas informações de autenticação para a máquina virtual e uma conexão será estabelecida em seu navegador.

Criar um cluster de computação e uma instância

Uma instância de computação fornece uma experiência do Jupyter Notebook em um recurso de computação compartilhado anexado ao seu espaço de trabalho.

  1. De uma conexão do Azure Bastion para a caixa de salto, abra o navegador Microsoft Edge na área de trabalho remota.

  2. Na sessão remota do navegador, vá para https://ml.azure.com. Quando solicitado, autentique-se usando sua conta do Microsoft Entra.

  3. Na tela Bem-vindo ao estúdio!, selecione o espaço de trabalho Aprendizado de Máquina criado anteriormente e, em seguida, selecione Introdução.

    Gorjeta

    Se sua conta do Microsoft Entra tiver acesso a várias assinaturas ou diretórios, use a lista suspensa Diretório e Assinatura para selecionar a que contém o espaço de trabalho.

    Captura de tela do formulário de espaço de trabalho selecionado do Aprendizado de Máquina.

  4. No estúdio, selecione Computação, Agrupamentos de computação e, em seguida, + Novo.

    Captura de ecrã da página de clusters de computação, com o botão 'novo' selecionado.

  5. Na caixa de diálogo Máquina Virtual, selecione Avançar para aceitar a configuração padrão da máquina virtual.

    Captura de tela da configuração da máquina virtual do cluster de computação.

  6. Na caixa de diálogo Configurar configurações, digite cpu-cluster como o nome da computação. Defina a Sub-rede como Treinamento e selecione Criar para criar o cluster.

    Gorjeta

    Os clusters de computação dimensionam dinamicamente os nós no cluster conforme necessário. Recomendamos deixar o número mínimo de nós em 0 para reduzir custos quando o cluster não estiver em uso.

    Captura de ecrã do formulário de definições de configuração.

  7. No estúdio, selecione Computação, Instância de computação e, em seguida , + Novo.

    Captura de ecrã da página de instâncias de computação, com o botão 'novo' selecionado.

  8. Em Configurações necessárias, insira um nome exclusivo do computador e selecione Avançar.

    Captura de tela da configuração da máquina virtual da instância de computação.

  9. Continue selecionando Avançar até chegar à caixa de diálogo Segurança , selecione a Rede virtual e defina a Sub-rede como Treinamento. Selecione Rever + Criar e, em seguida, selecione Criar.

    Captura de ecrã das definições avançadas.

Gorjeta

Quando você cria um cluster de computação ou uma instância de computação, o Aprendizado de Máquina do Azure adiciona dinamicamente um NSG (Grupo de Segurança de Rede). Este NSG contém as seguintes regras, que são específicas para cluster de computação e instância de computação:

  • Permitir tráfego TCP de entrada nas portas 29876-29877 a BatchNodeManagement partir da etiqueta de serviço.
  • Permitir tráfego TCP de entrada na porta 44224 a AzureMachineLearning partir da etiqueta de serviço.

A captura de tela a seguir mostra um exemplo dessas regras:

Screenshot de NSG

Para obter mais informações sobre como criar um cluster de computação e um cluster de computação, incluindo como fazer isso com Python e a CLI, consulte os seguintes artigos:

Configurar compilações de imagem

APLICA-SE A: Azure CLI ml extension v2 (atual)

Quando o Registro de Contêiner do Azure está por trás da rede virtual, o Aprendizado de Máquina do Azure não pode usá-lo para criar diretamente imagens do Docker (usadas para treinamento e implantação). Em vez disso, configure o espaço de trabalho para usar o cluster de computação criado anteriormente. Use as seguintes etapas para criar um cluster de computação e configurar o espaço de trabalho para usá-lo para criar imagens:

  1. Navegue até https://shell.azure.com/ para abrir o Azure Cloud Shell.

  2. No Cloud Shell, use o seguinte comando para instalar a CLI 2.0 para Azure Machine Learning:

    az extension add -n ml

  3. Para atualizar o espaço de trabalho para usar o cluster de computação para criar imagens do Docker. Substitua docs-ml-rg pelo seu grupo de recursos. Substitua docs-ml-ws pelo seu espaço de trabalho. Substitua cpu-cluster pelo nome do cluster de computação:

    az ml workspace update \
  -n docs-ml-ws \
  -g docs-ml-rg \
  -i cpu-cluster

    Nota

    Você pode usar o mesmo cluster de computação para treinar modelos e criar imagens do Docker para o espaço de trabalho.

Utilizar a área de trabalho

Importante

As etapas neste artigo colocam o Registro de Contêiner do Azure atrás da rede virtual. Nessa configuração, você não pode implantar um modelo em Instâncias de Contêiner do Azure dentro da VNet. Não recomendamos o uso de Instâncias de Contêiner do Azure com o Azure Machine Learning em uma rede virtual. Para obter mais informações, consulte Proteger o ambiente de inferência (SDK/CLI v1).

Como alternativa às Instâncias de Contêiner do Azure, experimente os pontos de extremidade online gerenciados do Azure Machine Learning. Para obter mais informações, consulte Habilitar isolamento de rede para pontos de extremidade online gerenciados.

Neste ponto, você pode usar o estúdio para trabalhar interativamente com blocos de anotações na instância de computação e executar trabalhos de treinamento no cluster de computação. Para obter um tutorial sobre como usar a instância de computação e o cluster de computação, consulte Tutorial: Aprendizado de Máquina do Azure em um dia.

Parar instância de computação e caixa de salto

Aviso

Enquanto estiver em execução (iniciado), a instância de computação e a caixa de salto continuarão cobrando sua assinatura. Para evitar custos excessivos, interrompa-os quando não estiverem em uso.

O cluster de computação é dimensionado dinamicamente entre a contagem de nós mínima e máxima definida quando você o criou. Se você aceitou os padrões, o mínimo é 0, o que efetivamente desativa o cluster quando não está em uso.

Pare a instância de computação

No estúdio, selecione Computação, Clusters de computação e, em seguida, selecione a instância de computação. Por fim, selecione Parar na parte superior da página.

Captura de tela do botão de parada para a instância de computação.

Pare a caixa de salto

Depois de criada, selecione a máquina virtual no portal do Azure e use o botão Parar . Quando estiver pronto para usá-lo novamente, use o botão Iniciar para iniciá-lo.

Captura de tela do botão de parada para a máquina virtual da caixa de salto.

Você também pode configurar a caixa de salto para desligar automaticamente em um momento específico. Para fazer isso, selecione Desligamento automático, Ativar, defina uma hora e, em seguida, selecione Salvar.

Captura de tela da opção de desligamento automático.

Clean up resources (Limpar recursos)

Se você planeja continuar usando o espaço de trabalho seguro e outros recursos, ignore esta seção.

Para excluir todos os recursos criados neste tutorial, use as seguintes etapas:

  1. No portal do Azure, selecione Grupos de recursos na extremidade esquerda.

  2. Na lista, selecione o grupo de recursos que você criou neste tutorial.

  3. Selecione Eliminar grupo de recursos.

    Captura de tela do link excluir grupo de recursos.

  4. Introduza o nome do grupo de recursos e, em seguida, selecione Eliminar.

Próximos passos

Agora que você tem um espaço de trabalho seguro e pode acessar o estúdio, saiba como implantar um modelo em um ponto de extremidade online com isolamento de rede.

Agora que você tem um espaço de trabalho seguro, saiba como implantar um modelo.