Partager via

Tutoriel : Comment créer un espace de travail sécurisé avec un réseau virtuel géré

Dans cet article, vous allez apprendre à créer un espace de travail Azure Machine Learning sécurisé et à vous y connecter. Les étapes de cet article utilisent un réseau virtuel géré par Azure Machine Learning pour créer une limite de sécurité autour des ressources utilisées par Azure Machine Learning.

Dans ce tutoriel, vous accomplissez les tâches suivantes :

  • Créez un espace de travail Azure Machine Learning configuré pour utiliser un réseau virtuel managé.
  • Créer un cluster de calcul Azure Machine Learning Un cluster de calcul est utilisé pour former des modèles Machine Learning dans le cloud.

Une fois ce didacticiel terminé, vous disposez de l’architecture suivante :

  • Un espace de travail Azure Machine Learning qui utilise un point de terminaison privé pour communiquer à l’aide du réseau géré.
  • Un compte de stockage Azure qui utilise des points de terminaison privés pour permettre aux services de stockage tels que les objets blob et les fichiers de communiquer à l’aide du réseau géré.
  • Un registre de conteneurs Azure qui utilise un point de terminaison privé communique à l’aide du réseau géré.
  • Un coffre de clés Azure qui utilise un point de terminaison privé pour communiquer à l’aide du réseau géré.
  • Une instance de calcul Azure Machine Learning et un cluster de calcul sécurisés par le réseau géré.

Prérequis

Créer un serveur de rebond (machine virtuelle)

Il existe plusieurs façons de se connecter à l’espace de travail sécurisé. Dans ce tutoriel, une jump box est utilisée. Une jump box est une machine virtuelle dans un réseau virtuel Azure. Vous pouvez vous y connecter à l’aide de votre navigateur web et d’Azure Bastion.

Le tableau suivant répertorie plusieurs autres façons de se connecter à l’espace de travail sécurisé :

Méthode Descriptif
Passerelle VPN Azure Il connecte des réseaux locaux à un réseau virtuel Azure via une connexion privée. Un point de terminaison privé pour votre espace de travail est créé au sein de ce réseau virtuel. La connexion est établie via l’Internet public.
ExpressRoute Permet de connecter des réseaux locaux au cloud via une connexion privée. La connexion est établie à l’aide d’un fournisseur de connectivité.

Important

Lorsque vous utilisez une passerelle VPN ou ExpressRoute, vous devrez planifier le fonctionnement de la résolution de noms entre vos ressources locales et celles du cloud. Pour plus d’informations, consultez Utiliser un serveur DNS personnalisé.

Utilisez les étapes suivantes pour créer une machine virtuelle Azure à utiliser comme serveur de rebond. À partir du bureau de la machine virtuelle, vous pouvez ensuite utiliser le navigateur sur la machine virtuelle pour vous connecter aux ressources à l’intérieur du réseau virtuel géré, comme Azure Machine Learning Studio. Vous pouvez également installer des outils de développement sur la machine virtuelle.

Conseil

Les étapes suivantes créent une machine virtuelle d’entreprise Windows 11. Selon vos besoins, vous pouvez sélectionner une autre image de machine virtuelle. L’image d’entreprise Windows 11 (ou 10) est utile si vous devez joindre la machine virtuelle au domaine de votre organisation.

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez +Créer une ressource, puis entrez Machine Learning. Sélectionnez l’entrée Machine virtuelle, puis sélectionnez Créer.

  2. Dans l’onglet Bases, sélectionnez l’abonnement, le groupe de ressources et la région dans lesquels créer le service. Fournissez des valeurs pour les champs suivants :

    • Nom de la machine virtuelle : Nom unique pour la machine virtuelle.

    • Username : Le nom d'utilisateur que vous utilisez pour vous connecter à la machine virtuelle.

    • Mot de passe : Mot de passe pour le nom d’utilisateur.

    • Type de sécurité : Standard.

    • Image : Windows 11 Entreprise.

      Conseil

      Si Windows 11 Entreprise n’est pas dans la liste pour la sélection d’images, utilisez Afficher toutes les images_. Recherchez l’entrée Windows 11 sur Microsoft et utilisez la liste déroulante Sélectionner pour sélectionner l’image d’entreprise.

    Pour les autres champs, vous pouvez laisser les valeurs par défaut.

    Capture d’écran de la configuration de base de la machine virtuelle.

  3. Sélectionnez Mise en réseau. Vérifiez les informations réseau et assurez-vous qu’elles n’utilisent pas la plage d’adresses IP 172.17.0.0/16. Si c'est le cas, sélectionnez une plage différente telle que 172.16.0.0/16 ; la plage 172.17.0.0/16 peut provoquer des conflits avec Docker.

    Remarque

    La machine virtuelle Azure crée son propre réseau virtuel Azure pour l’isolation du réseau. Ce réseau est distinct du réseau virtuel géré utilisé par Azure Machine Learning.

    Capture d’écran de l’onglet réseau de la machine virtuelle.

  4. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

Activer Azure Bastion pour la machine virtuelle

Azure Bastion vous permet de vous connecter au bureau de la machine virtuelle via votre navigateur.

  1. Dans le portail Azure, sélectionnez la machine virtuelle que vous avez créée précédemment. Dans la section Connexion de la page, sélectionnez Bastion, puis Déployer Bastion.

    Capture d'écran de l'option de déploiement de Bastion.

  2. Une fois le service Bastion déployé, vous arrivez à une boîte de dialogue de connexion. Quittez cette boîte de dialogue pour le moment.

Créer un espace de travail

  1. Dans le portail Azure, sélectionnez le menu du portail dans le coin supérieur gauche. Dans le menu, sélectionnez + Créer une ressource, puis entrez Azure Machine Learning. Sélectionnez l’entrée Azure Machine Learning, puis sélectionnez Créer.

  2. Dans l’onglet Bases, sélectionnez l’abonnement, le groupe de ressources et la région dans lesquels créer le service. Saisissez un nom unique pour le nom de l’espace de travail. Laissez le reste des champs aux valeurs par défaut ; de nouvelles instances des services requis sont créées pour l'espace de travail.

    Capture d'écran du formulaire de création d'espace de travail.

  3. Sous l’onglet Mise en réseau, sélectionnez Privé avec Internet Sortant.

    Capture d’écran de l’onglet réseau de l’espace de travail avec Internet sortant sélectionné.

  4. Dans l’onglet Réseau, dans la section Accès entrant à l’espace de travail, sélectionnez + Ajouter.

    Capture d'écran montrant le bouton Ajouter pour l'accès entrant.

  5. À partir du formulaire Créer un point de terminaison privé, saisissez une valeur unique dans le champ Nom. Sélectionnez le réseau virtuel créé précédemment avec la machine virtuelle et sélectionnez le sous-réseau par défaut. Laissez le reste des champs aux valeurs par défaut. Sélectionnez OK pour enregistrer le point de terminaison.

    Capture d’écran du formulaire de création d’un point de terminaison privé.

  6. Sélectionnez Revoir + créer. Vérifiez que les informations sont correctes, puis sélectionnez Créer.

  7. Une fois l’espace de travail créé, sélectionnez Accéder à la ressource.

Se connecter au bureau de la machine virtuelle

  1. À partir du portail Azure, sélectionnez la machine virtuelle que vous avez créée précédemment.

  2. Dans la section Connecter, sélectionnez Bastion. Saisissez le nom d’utilisateur et le mot de passe que vous avez configurés pour la machine virtuelle, puis sélectionnez Connecter.

    Capture d'écran du formulaire de connexion Bastion.

Se connecter au studio

À ce stade, l’espace de travail est créé, mais pas le réseau virtuel managé. Le réseau virtuel managé est configuré lorsque vous créez l’espace de travail. Pour créer le réseau virtuel managé, créez une ressource de calcul ou provisionnez manuellement le réseau.

Utilisez les étapes suivantes pour créer une instance de calcul.

  1. Depuis le bureau de la machine virtuelle, utilisez le navigateur pour ouvrir le studio Azure Machine Learning et sélectionnez l’espace de travail que vous avez créé précédemment.

  2. Depuis le studio, sélectionnez Calculer, Instances de calcul, puis + Nouveau.

    Capture d'écran de la nouvelle option de calcul en studio.

  3. Dans la boîte de dialogue Configurer les paramètres requis, saisissez une valeur unique comme nom de calcul. Laissez le reste des sélections à la valeur par défaut.

  4. Sélectionnez Create (Créer). La création de l’instance de calcul prend quelques minutes. L'instance de calcul est créée au sein du réseau géré.

    Conseil

    La création de la première ressource de calcul peut prendre plusieurs minutes. Ce retard se produit parce que le réseau virtuel géré est également en cours de création. Le réseau virtuel géré n’est pas créé tant que la première ressource de calcul n’est pas créée. Les ressources de calcul gérées ultérieures seront créées beaucoup plus rapidement.

Activer l'accès du studio au stockage

Étant donné que le studio Azure Machine Learning s’exécute partiellement dans le navigateur Web sur le client, le client doit pouvoir accéder directement au compte de stockage par défaut de l’espace de travail pour effectuer des opérations de données. Pour activer l’accès direct, procédez comme suit :

  1. Depuis le Portail Microsoft Azure, sélectionnez la machine virtuelle Jump Box que vous avez créée précédemment. Dans la section Présentation, copiez l’adresse IP publique.

  2. Depuis le Portail Microsoft Azure, sélectionnez l’espace de travail que vous avez créé précédemment. Dans la section Présentation, sélectionnez le lien de l’entrée Stockage.

  3. À partir du compte de stockage, sélectionnez Mise en réseau et ajoutez l’adresse IP publique du Jump Box à la section Pare-feu.

    Conseil

    Dans un scénario où vous utilisez une passerelle VPN ou ExpressRoute au lieu d’une jump box, vous pouvez ajouter un point de terminaison privé ou un point de terminaison de service pour le compte de stockage au réseau virtuel Azure. L’utilisation d’un point de terminaison privé ou d’un point de terminaison de service permettrait à plusieurs clients se connectant via le réseau virtuel Azure d’effectuer avec succès des opérations de stockage via Studio.

    À ce stade, vous pouvez utiliser le studio pour travailler de manière interactive avec des blocs-notes sur l’instance de calcul et exécuter des tâches de formation. Pour un tutoriel, consultez Tutoriel : Développement de modèles.

Arrêter l’instance de calcul

Pendant son exécution (démarrage), l'instance de calcul continue de facturer votre abonnement. Pour éviter des frais excessifs, arrêtez-le lorsque vous ne l'utilisez pas.

Depuis Studio, sélectionnez Calculer, Instances de calcul, puis sélectionnez l’instance de calcul. Enfin, sélectionnez Arrêter en haut de la page.

Capture d'écran du bouton d'arrêt de l'instance de calcul

Nettoyer les ressources

Si vous prévoyez de continuer à utiliser l’espace de travail sécurisé et les autres ressources, passez cette section.

Pour supprimer toutes les ressources créées dans ce tutoriel, procédez comme suit :

  1. Dans le portail Azure, sélectionnez Groupes de ressources.

  2. Dans la liste, sélectionnez le groupe de ressources que vous avez créé dans ce tutoriel.

  3. Sélectionnez Supprimer le groupe de ressources.

    Capture d'écran du bouton Supprimer le groupe de ressources

  4. Entrez le nom du groupe de ressources, puis sélectionnez Supprimer.

Étapes suivantes

Maintenant que vous disposez d’un espace de travail sécurisé et que vous pouvez accéder à Studio, découvrez comment déployer un modèle sur un point de terminaison en ligne avec isolation réseau.

Pour plus d’informations sur le réseau virtuel géré, consultez Sécuriser votre espace de travail avec un réseau virtuel géré.

  • Last updated on