Deploy a model to a Azure Kubernetes Service cluster

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تعرف على كيفية استخدام Azure التعلم الآلي لنشر نموذج كخدمة ويب على Azure Kubernetes Service (AKS). تعد Azure Kubernetes Service جيدة لعمليات نشر الإنتاج عالية النطاق. استخدم خدمة Azure Kubernetes إذا كنت بحاجة إلى واحد أو أكثر من الإمكانات التالية:

• وقت استجابة سريع
• القياس التلقائي للخدمة المنشورة
• تسجيل الدخول
• جمع البيانات النموذجية
• المصادقة
• إنهاء TLS
• خيارات تسريع الأجهزة مثل وحدة معالجة الرسومات وصفائف البوابات القابلة للبرمجة الميدانية (FPGA)

عند النشر إلى Azure Kubernetes Service، يمكنك النشر إلى مجموعة AKS متصلة بمساحة العمل الخاصة بك. للحصول على معلومات حول توصيل مجموعة AKS بمساحة العمل الخاصة بك، راجع إنشاء مجموعة خدمة Azure Kubernetes وإرفاقها.

هام

نوصي بتصحيح الأخطاء محليا قبل النشر إلى خدمة الويب. لمزيد من المعلومات، راجع تصحيح الأخطاء محليا

يمكنك أيضا الرجوع إلى Azure التعلم الآلي - النشر إلى دفتر الملاحظات المحلي

ملاحظة

توفر نقاط نهاية Azure التعلم الآلي (المعاينة) تجربة نشر محسنة وأبسط. تدعم نقاط النهاية سيناريوهات الاستدلال في الوقت الفعلي والدفعات. توفر نقاط النهاية واجهة موحدة لاستدعاء عمليات نشر النماذج وإدارتها عبر أنواع الحوسبة. راجع ما هي نقاط نهاية Azure التعلم الآلي (معاينة)؟.

المتطلبات الأساسية

• مساحة عمل Azure التعلم الآلي. لمزيد من المعلومات، راجع إنشاء مساحة عمل Azure التعلم الآلي.

• نموذج تعلم آلي مسجل في مساحة العمل الخاصة بك. إذا لم يكن لديك نموذج مسجل، فراجع كيفية نشر النماذج ومكانها.

• ملحق Azure CLI (v1) لخدمة التعلم الآلي أو Azure التعلم الآلي Python SDKأوملحق Azure التعلم الآلي Visual Studio Code.

• تفترض مقتطفات التعليمات البرمجية Python في هذه المقالة تعيين المتغيرات التالية:

  • ws - تعيين إلى مساحة العمل الخاصة بك.
  • model - تعيين إلى النموذج المسجل الخاص بك.
  • inference_config - تعيين إلى تكوين الاستدلال للنموذج.

  لمزيد من المعلومات حول إعداد هذه المتغيرات، راجع كيفية ومكان نشر النماذج.

• تفترض مقتطفات CLI في هذه المقالة أنك قمت بإنشاء inferenceconfig.json مستند. لمزيد من المعلومات حول إنشاء هذا المستند، راجع كيفية ومكان نشر النماذج.

• A Azure Kubernetes Service cluster connected to your workspace. لمزيد من المعلومات، راجع إنشاء مجموعة خدمة Azure Kubernetes وإرفاقها.

  • إذا كنت ترغب في نشر نماذج إلى عقد GPU أو عقد FPGA (أو أي SKU محدد) ، فيجب عليك إنشاء مجموعة باستخدام SKU المحدد. لا يوجد دعم لإنشاء تجمع عقدة ثانوية في مجموعة موجودة ونشر النماذج في تجمع العقدة الثانوية.

فهم عمليات النشر

تستخدم كلمة "نشر" في كل من Kubernetes و Azure التعلم الآلي. "النشر" له معان مختلفة في هذين السياقين. في Kubernetes ، A Deployment هو كيان ملموس ، محدد بملف YAML تصريحي. لدى Kubernetes دورة حياة محددة وعلاقات ملموسة مع كيانات Kubernetes Deployment الأخرى مثل Pods و ReplicaSets. يمكنك التعرف على Kubernetes من المستندات ومقاطع الفيديو في ما هو Kubernetes؟.

في Azure التعلم الآلي، يتم استخدام "النشر" بالمعنى الأعم لتوفير موارد المشروع وتنظيفها. الخطوات التي يعتبرها Azure التعلم الآلي جزءا من النشر هي:

1. ضغط الملفات في مجلد المشروع الخاص بك ، وتجاهل تلك المحددة في .amlignore أو .gitignore
2. توسيع نطاق مجموعة الحوسبة الخاصة بك (المتعلقة ب Kubernetes)
3. إنشاء ملف dockerfile أو تنزيله إلى عقدة الحوسبة (يتعلق ب Kubernetes)
   1. يقوم النظام بحساب تجزئة من:
      • الصورة الأساسية
      • خطوات عامل الرصيف المخصص (راجع نشر نموذج باستخدام صورة أساسية مخصصة ل Docker)
      • تعريف conda YAML (راجع إنشاء & بيئات برامج الاستخدام في Azure التعلم الآلي)
   2. يستخدم النظام هذا التجزئة كمفتاح في البحث عن مساحة العمل Azure Container Registry (ACR)
   3. إذا لم يتم العثور عليه ، فإنه يبحث عن تطابق في ACR العالمي
   4. إذا لم يتم العثور عليه ، يقوم النظام بإنشاء صورة جديدة (والتي سيتم تخزينها مؤقتا ودفعها إلى مساحة العمل ACR)
4. تنزيل ملف المشروع المضغوط إلى وحدة تخزين مؤقتة على عقدة الحوسبة
5. فك ضغط ملف المشروع
6. تنفيذ عقدة الحوسبة python <entry script> <arguments>
7. حفظ السجلات وملفات النماذج والملفات الأخرى المكتوبة إلى ./outputs حساب التخزين المقترن بمساحة العمل
8. تقليل الحوسبة، بما في ذلك إزالة التخزين المؤقت (يتعلق ب Kubernetes)

Azure ML router

يتم تلقائيا قياس مكون الواجهة الأمامية (azureml-fe) الذي يوجه طلبات الاستدلال الواردة إلى الخدمات المنشورة حسب الحاجة. يعتمد تحجيم azureml-fe على غرض مجموعة AKS وحجمها (عدد العقد). يتم تكوين غرض الكتلة والعقد عند إنشاء مجموعة AKS أو إرفاقها. هناك خدمة azureml-fe واحدة لكل مجموعة ، والتي قد تعمل على قرون متعددة.

هام

عند استخدام مجموعة تم تكوينها كاختبار dev، يتم تعطيل مقياس الأداء الذاتي. حتى بالنسبة لمجموعات FastProd/DenseProd، لا يتم تمكين Self-Scaler إلا عندما يظهر القياس عن بعد الحاجة إليها.

يقوم Azureml-fe بتوسيع نطاقه (رأسيا) لاستخدام المزيد من النوى ، والخروج (أفقيا) لاستخدام المزيد من القرون. عند اتخاذ قرار التوسع، يتم استخدام الوقت الذي يستغرقه توجيه طلبات الاستدلال الواردة. إذا تجاوزت هذه المرة الحد الأدنى ، يحدث توسيع نطاق. إذا استمر وقت توجيه الطلبات الواردة في تجاوز الحد الأدنى ، فسيحدث توسعة.

عند تقليل الحجم وإدخاله ، يتم استخدام استخدام وحدة المعالجة المركزية. إذا تم استيفاء عتبة استخدام وحدة المعالجة المركزية، أولا تقليل الحد من الواجهة الأمامية. إذا انخفض استخدام وحدة المعالجة المركزية إلى عتبة القياس، تحدث عملية تغيير الحجم. لن يحدث التوسع والخروج إلا إذا كان هناك ما يكفي من موارد المجموعة المتاحة.

عند التوسع أو التكبير، ستتم إعادة تشغيل pods azureml-fe لتطبيق تغييرات وحدة المعالجة المركزية/الذاكرة. لا تتأثر طلبات الاستدلال بإعادة التشغيل.

فهم متطلبات الاتصال لمجموعة الاستدلال AKS

عندما يقوم Azure التعلم الآلي بإنشاء مجموعة AKS أو إرفاقها، يتم نشر مجموعة AKS باستخدام أحد طرازي الشبكة التاليين:

• شبكة Kubenet - عادة ما يتم إنشاء موارد الشبكة وتكوينها أثناء نشر مجموعة AKS.
• شبكات واجهة شبكة حاويات Azure (CNI) - يتم توصيل مجموعة AKS بمورد وتكوينات شبكة ظاهرية موجودة.

بالنسبة لشبكات Kubenet، يتم إنشاء الشبكة وتكوينها بشكل صحيح لخدمة Azure التعلم الآلي. بالنسبة لشبكات CNI ، تحتاج إلى فهم متطلبات الاتصال وضمان دقة DNS والاتصال الصادر لاستنتاج AKS. على سبيل المثال، قد تستخدم جدار حماية لحظر حركة مرور الشبكة.

يوضح الرسم البياني التالي متطلبات الاتصال لاستنتاج AKS. تمثل الأسهم السوداء الاتصال الفعلي، وتمثل الأسهم الزرقاء أسماء النطاقات. قد تحتاج إلى إضافة إدخالات لهؤلاء المضيفين إلى جدار الحماية الخاص بك أو إلى خادم DNS المخصص.

للحصول على متطلبات اتصال AKS العامة، راجع التحكم في حركة مرور الخروج لعقد الكتلة في Azure Kubernetes Service.

للوصول إلى خدمات Azure ML خلف جدار حماية، راجع كيفية الوصول إلى azureml خلف جدار الحماية.

المتطلبات العامة لدقة DNS

دقة DNS داخل VNet موجود تحت سيطرتك. على سبيل المثال، جدار حماية أو خادم DNS مخصص. يجب أن يكون الوصول إلى المضيفين التاليين قابلين للوصول:

اسم المضيف	يستخدم من قبل
<cluster>.hcp.<region>.azmk8s.io	خادم AKS API
mcr.microsoft.com	تسجيل حاويات مايكروسوفت (MCR)
<ACR name>.azurecr.io	سجل حاويات Azure (ACR)
<account>.table.core.windows.net	Azure Storage Account (تخزين الجداول)
<account>.blob.core.windows.net	Azure Storage Account (blob storage)
api.azureml.ms	مصادقة خدمة Azure Active Directory (Azure AD)
ingest-vienna<region>.kusto.windows.net	نقطة نهاية Kusto لتحميل القياس عن بعد
<leaf-domain-label + auto-generated suffix>.<region>.cloudapp.azure.com	اسم مجال نقطة النهاية، إذا قمت بالإنشاء التلقائي بواسطة Azure التعلم الآلي. إذا استخدمت اسم مجال مخصص، فلن تحتاج إلى هذا الإدخال.

متطلبات الاتصال بترتيب زمني: من إنشاء المجموعة إلى نشر النموذج

في عملية إنشاء AKS أو إرفاقها ، يتم نشر جهاز توجيه Azure ML (azureml-fe) في مجموعة AKS. لنشر جهاز توجيه Azure ML، يجب أن تكون عقدة AKS قادرة على:

• حل DNS لخادم AKS API
• حل DNS ل MCR من أجل تنزيل صور عامل الرصيف لجهاز توجيه Azure ML
• تنزيل الصور من MCR، حيث يلزم الاتصال بالبريد الصادر

مباشرة بعد نشر azureml-fe ، سيحاول البدء وهذا يتطلب ما يلي:

• حل DNS لخادم AKS API
• استعلام خادم AKS API لاكتشاف مثيلات أخرى لنفسه (إنها خدمة متعددة الجراب)
• الاتصال إلى حالات أخرى من نفسها

بمجرد بدء تشغيل azureml-fe ، فإنه يتطلب الاتصال التالي ليعمل بشكل صحيح:

• الاتصال إلى Azure Storage لتنزيل التكوين الديناميكي
• حل DNS لخادم مصادقة Azure AD api.azureml.ms والتواصل معه عندما تستخدم الخدمة المنشورة مصادقة Azure AD.
• الاستعلام عن خادم AKS API لاكتشاف النماذج المنشورة
• التواصل مع أصحاب الهمم النموذجيين المنشورين

في وقت نشر النموذج، لنشر نموذج ناجح يجب أن تكون عقدة AKS قادرة على:

• حل DNS ل ACR الخاص بالعميل
• تنزيل الصور من ACR الخاص بالعميل
• حل DNS ل Azure BLOBs حيث يتم تخزين النموذج
• تنزيل النماذج من Azure BLOBs

بعد نشر النموذج وبدء الخدمة، سيكتشفه azureml-fe تلقائيا باستخدام واجهة برمجة تطبيقات AKS وسيكون جاهزا لتوجيه الطلب إليه. يجب أن تكون قادرة على التواصل مع نموذج PODs.

ملاحظة

إذا كان النموذج المنشور يتطلب أي اتصال (على سبيل المثال الاستعلام عن قاعدة بيانات خارجية أو خدمة REST أخرى ، وتنزيل BLOB وما إلى ذلك) ، فيجب تمكين كل من دقة DNS والاتصالات الصادرة لهذه الخدمات.

النشر في AKS

لنشر نموذج إلى Azure Kubernetes Service، قم بإنشاء تكوين نشر يصف موارد الحوسبة المطلوبة. على سبيل المثال ، عدد النوى والذاكرة. تحتاج أيضا إلى تكوين الاستدلال ، والذي يصف البيئة اللازمة لاستضافة النموذج وخدمة الويب. لمزيد من المعلومات حول إنشاء تكوين الاستدلال، راجع كيفية ومكان نشر النماذج.

ملاحظة

يقتصر عدد النماذج التي سيتم نشرها على 1000 نموذج لكل عملية نشر (لكل حاوية).

Python

from azureml.core.webservice import AksWebservice, Webservice
from azureml.core.model import Model
from azureml.core.compute import AksCompute

aks_target = AksCompute(ws,"myaks")
# If deploying to a cluster configured for dev/test, ensure that it was created with enough
# cores and memory to handle this deployment configuration. Note that memory is also used by
# things such as dependencies and AML components.
deployment_config = AksWebservice.deploy_configuration(cpu_cores = 1, memory_gb = 1)
service = Model.deploy(ws, "myservice", [model], inference_config, deployment_config, aks_target)
service.wait_for_deployment(show_output = True)
print(service.state)
print(service.get_logs())

لمزيد من المعلومات حول الفئات والأساليب والمعلمات المستخدمة في هذا المثال، راجع المستندات المرجعية التالية:

• أكسكومبوت
• AksWebservice.deploy_configuration
• Model.deploy
• Webservice.wait_for_deployment

Azure CLI

APPLY TO: Azure CLI ml extensionع1 v2 (معاينة)

للنشر باستخدام CLI، استخدم الأمر التالي. استبدل myaks باسم هدف حساب AKS. استبدل mymodel:1 باسم وإصدار النموذج المسجل. استبدل myservice بالاسم لتقديم هذه الخدمة:

az ml model deploy --ct myaks -m mymodel:1 -n myservice --ic inferenceconfig.json --dc deploymentconfig.json

يتم تعيين الإدخالات deploymentconfig.json في المستند إلى معلمات AksWebservice.deploy_configuration. يصف الجدول التالي التعيين بين الكيانات في مستند JSON ومعلمات الطريقة:

كيان JSON	معلمة الطريقة	الوصف
computeType	‏‏غير متوفر	هدف الحساب. بالنسبة ل AKS ، يجب أن تكون aksالقيمة .
autoScaler	‏‏غير متوفر	يحتوي على عناصر تكوين للقياس التلقائي. راجع جدول المقياس التلقائي.
autoscaleEnabled	autoscale_enabled	ما إذا كان يجب تمكين التحجيم التلقائي لخدمة ويب. إذا numReplicas = 0، ؛ خلاف ذلك ، TrueFalse.
minReplicas	autoscale_min_replicas	الحد الأدنى لعدد الحاويات التي يجب استخدامها عند القياس التلقائي لخدمة الويب هذه. افتراضي، 1.
maxReplicas	autoscale_max_replicas	الحد الأقصى لعدد الحاويات التي يجب استخدامها عند القياس التلقائي لخدمة الويب هذه. افتراضي، 10.
refreshPeriodInSeconds	autoscale_refresh_seconds	كم مرة يحاول autoscaler توسيع نطاق خدمة الويب هذه. افتراضي، 1.
targetUtilization	autoscale_target_utilization	الاستخدام المستهدف (بالنسبة المئوية من 100) الذي يجب أن يحاول جهاز القياس التلقائي صيانته لخدمة الويب هذه. افتراضي، 70.
dataCollection	‏‏غير متوفر	يحتوي على عناصر تكوين لجمع البيانات.
storageEnabled	collect_model_data	ما إذا كنت تريد تمكين جمع بيانات النموذج لخدمة الويب. افتراضي، False.
authEnabled	auth_enabled	سواء تم تمكين المصادقة الرئيسية لخدمة الويب أم لا. authEnabled على حد سواء tokenAuthEnabled ولا يمكن أن يكون True. افتراضي، True.
tokenAuthEnabled	token_auth_enabled	سواء تم تمكين مصادقة الرمز المميز لخدمة الويب أم لا. authEnabled على حد سواء tokenAuthEnabled ولا يمكن أن يكون True. افتراضي، False.
containerResourceRequirements	‏‏غير متوفر	حاوية لوحدة المعالجة المركزية وكيانات الذاكرة.
cpu	cpu_cores	عدد نوى وحدة المعالجة المركزية المطلوب تخصيصها لخدمة الويب هذه. افتراضيات 0.1
memoryInGB	memory_gb	مقدار الذاكرة (بالجيجابايت) المراد تخصيصها لخدمة الويب هذه. افتراضي 0.5
appInsightsEnabled	enable_app_insights	ما إذا كنت تريد تمكين التطبيق Insights تسجيل الدخول لخدمة الويب. افتراضي، False.
scoringTimeoutMs	scoring_timeout_ms	مهلة لفرض تسجيل المكالمات إلى خدمة الويب. افتراضي، 60000.
maxConcurrentRequestsPerContainer	replica_max_concurrent_requests	الحد الأقصى للطلبات المتزامنة لكل عقدة لخدمة الويب هذه. افتراضي، 1.
maxQueueWaitMs	max_request_wait_time	سيبقى الحد الأقصى للوقت الذي سيبقى فيه الطلب في قائمة الانتظار (بالمللي ثانية) قبل إرجاع خطأ 503. افتراضي، 500.
numReplicas	num_replicas	عدد الحاويات التي سيتم تخصيصها لخدمة الويب هذه. لا يحتوي على قيمة افتراضية. إذا لم يتم تعيين هذه المعلمة، تمكين المقياس التلقائي بشكل افتراضي.
keys	‏‏غير متوفر	يحتوي على عناصر تكوين للمفاتيح.
primaryKey	primary_key	مفتاح مصادقة أساسي لاستخدامه لخدمة الويب هذه
secondaryKey	secondary_key	مفتاح مصادقة ثانوي لاستخدامه لخدمة الويب هذه
gpuCores	gpu_cores	عدد نوى وحدة معالجة الرسومات (نسخة متماثلة لكل حاوية) لتخصيصها لخدمة الويب هذه. الافتراضي هو 1. يدعم قيم الأعداد الصحيحة فقط.
livenessProbeRequirements	‏‏غير متوفر	يحتوي على عناصر تكوين لمتطلبات مسبار الحياة.
periodSeconds	period_seconds	كم مرة (في ثوان) لإجراء مسبار الحياة. افتراضي إلى 10 ثوان. الحد الأدنى للقيمة هو 1.
initialDelaySeconds	initial_delay_seconds	عدد الثواني بعد بدء تشغيل الحاوية قبل بدء تحقيقات الحياة. الإعدادات الافتراضية إلى 310
timeoutSeconds	timeout_seconds	عدد الثواني التي تنتهي بعدها مهلة مسبار الحياة. افتراضيا إلى 2 ثانية. الحد الأدنى للقيمة هو 1
successThreshold	success_threshold	الحد الأدنى من النجاحات المتتالية لمسبار الحياة ليتم اعتباره ناجحا بعد فشله. تعود الإعدادات الافتراضية على 1. الحد الأدنى للقيمة هو 1.
failureThreshold	failure_threshold	عندما يبدأ Pod ويفشل مسبار الحياة ، سيحاول Kubernetes الفشل مرات العتبة قبل الاستسلام. الإعدادات الافتراضية إلى 3. الحد الأدنى للقيمة هو 1.
namespace	namespace	مساحة اسم Kubernetes التي يتم نشر خدمة الويب فيها. ما يصل إلى 63 حرفا أبجديا رقميا صغيرا ('a'-'z' و'0'-'9') وواصلة ('-'). لا يمكن أن يكون الحرفان الأول والأخير واصلات.

JSON التالي هو مثال على تكوين النشر للاستخدام مع CLI:

{
    "computeType": "aks",
    "autoScaler":
    {
        "autoscaleEnabled": true,
        "minReplicas": 1,
        "maxReplicas": 3,
        "refreshPeriodInSeconds": 1,
        "targetUtilization": 70
    },
    "dataCollection":
    {
        "storageEnabled": true
    },
    "authEnabled": true,
    "containerResourceRequirements":
    {
        "cpu": 0.5,
        "memoryInGB": 1.0
    }
}

لمزيد من المعلومات، راجع مرجع نشر نموذج az ml .

تعليمة Visual Studio برمجية

للحصول على معلومات حول استخدام VS Code، راجع النشر إلى AKS عبر ملحق VS Code.

هام

يتطلب النشر من خلال VS Code إنشاء مجموعة AKS أو إرفاقها بمساحة العمل الخاصة بك مسبقا.

التكلس التلقائي

المكون الذي يتعامل مع القياس التلقائي لعمليات نشر طراز Azure ML هو azureml-fe، وهو جهاز توجيه طلب ذكي. نظرا لأن جميع طلبات الاستدلال تمر عبرها ، فإنها تحتوي على البيانات اللازمة لتوسيع نطاق النموذج (النماذج) المنشورة تلقائيا.

هام

• لا تقم بتمكين Kubernetes Horizontal Pod Autoscaler (HPA) لعمليات نشر الطراز. القيام بذلك من شأنه أن يتسبب في تنافس مكونين القياس التلقائي مع بعضهما البعض. تم تصميم Azureml-fe للقياس التلقائي للنماذج التي تم نشرها بواسطة Azure ML ، حيث سيتعين على HPA تخمين أو تقريب استخدام النموذج من مقياس عام مثل استخدام وحدة المعالجة المركزية أو تكوين مقياس مخصص.

• لا يقوم Azureml-fe بقياس عدد العقد في مجموعة AKS، لأن هذا قد يؤدي إلى زيادات غير متوقعة في التكلفة. بدلا من ذلك ، فإنه يقيس عدد النسخ المتماثلة للنموذج داخل حدود الكتلة المادية . إذا كنت بحاجة إلى قياس عدد العقد داخل المجموعة، فيمكنك قياس الكتلة يدويا أو تكوين مقياس الكتلة التلقائي لنظام AKS.

يمكن التحكم في القياس التلقائي عن طريق الإعداد autoscale_target_utilization، autoscale_min_replicasولخدمة autoscale_max_replicas الويب AKS. يوضح المثال التالي كيفية تمكين القياس التلقائي:

aks_config = AksWebservice.deploy_configuration(autoscale_enabled=True, 
                                                autoscale_target_utilization=30,
                                                autoscale_min_replicas=1,
                                                autoscale_max_replicas=4)

وتستند قرارات الرفع والهبوط إلى استخدام النسخ المتماثلة الحالية للحاويات. عدد النسخ المتماثلة المشغولة (معالجة طلب) مقسوما على إجمالي عدد النسخ المتماثلة الحالية هو الاستخدام الحالي. إذا تجاوز هذا الرقم ، إنشاء المزيد من النسخ المتماثلة autoscale_target_utilization. إذا كان أقل ، تقليل النسخ المتماثلة. بشكل افتراضي ، يكون الاستخدام المستهدف هو 70٪.

قرارات إضافة النسخ المتماثلة حريصة وسريعة (حوالي 1 ثانية). قرارات إزالة النسخ المتماثلة متحفظة (حوالي 1 دقيقة).

يمكنك حساب النسخ المتماثلة المطلوبة باستخدام التعليمة البرمجية التالية:

from math import ceil
# target requests per second
targetRps = 20
# time to process the request (in seconds)
reqTime = 10
# Maximum requests per container
maxReqPerContainer = 1
# target_utilization. 70% in this example
targetUtilization = .7

concurrentRequests = targetRps * reqTime / targetUtilization

# Number of container replicas
replicas = ceil(concurrentRequests / maxReqPerContainer)

لمزيد من المعلومات حول الإعداد autoscale_target_utilization، و ، autoscale_max_replicasراجع autoscale_min_replicasمرجع الوحدة النمطية AksWebservice .

مصادقة خدمة الويب

عند النشر إلى Azure Kubernetes Service، يتم تمكين المصادقة المستندة إلى المفتاح بشكل افتراضي. يمكنك أيضا تمكين المصادقة المستندة إلى الرمز المميز . تتطلب المصادقة المستندة إلى الرمز المميز من العملاء استخدام حساب Azure Active Directory لطلب رمز مميز للمصادقة، والذي يستخدم لتقديم طلبات إلى الخدمة المنشورة.

لتعطيل المصادقة، قم بتعيين المعلمة auth_enabled=False عند إنشاء تكوين النشر. يقوم المثال التالي بتعطيل المصادقة باستخدام SDK:

deployment_config = AksWebservice.deploy_configuration(cpu_cores=1, memory_gb=1, auth_enabled=False)

للحصول على معلومات حول المصادقة من تطبيق عميل، راجع نموذج استهلاك Azure التعلم الآلي الذي تم نشره كخدمة ويب.

المصادقة باستخدام المفاتيح

إذا تم تمكين مصادقة المفتاح، يمكنك استخدام الطريقة get_keys لاسترداد مفتاح مصادقة أساسي وثانوي:

primary, secondary = service.get_keys()
print(primary)

هام

إذا كنت بحاجة إلى إعادة إنشاء مفتاح، فاستخدم service.regen_key

المصادقة باستخدام الرموز المميزة

لتمكين مصادقة الرمز المميز، قم بتعيين المعلمة token_auth_enabled=True عند إنشاء عملية نشر أو تحديثها. يتيح المثال التالي مصادقة الرمز المميز باستخدام SDK:

deployment_config = AksWebservice.deploy_configuration(cpu_cores=1, memory_gb=1, token_auth_enabled=True)

إذا تم تمكين مصادقة الرمز المميز، يمكنك استخدام get_token الطريقة لاسترداد رمز JWT المميز ووقت انتهاء صلاحية هذا الرمز المميز:

token, refresh_by = service.get_token()
print(token)

هام

ستحتاج إلى طلب رمز مميز جديد بعد وقت الرمز المميز refresh_by .

توصي Microsoft بشدة بإنشاء مساحة عمل Azure التعلم الآلي في نفس المنطقة مثل مجموعة خدمات Azure Kubernetes. للمصادقة باستخدام رمز مميز، ستقوم خدمة الويب بإجراء مكالمة إلى المنطقة التي يتم فيها إنشاء مساحة عمل Azure التعلم الآلي. إذا كانت منطقة مساحة العمل الخاصة بك غير متوفرة، فلن تتمكن من جلب رمز مميز لخدمة الويب الخاصة بك حتى، إذا كانت مجموعتك في منطقة مختلفة عن مساحة العمل الخاصة بك. يؤدي هذا بشكل فعال إلى عدم توفر المصادقة المستندة إلى الرمز المميز حتى تتوفر منطقة مساحة العمل الخاصة بك مرة أخرى. بالإضافة إلى ذلك، كلما زادت المسافة بين منطقة مجموعتك ومنطقة مساحة العمل الخاصة بك، كلما استغرق الأمر وقتا أطول لجلب رمز مميز.

لاسترداد رمز مميز، يجب عليك استخدام Azure التعلم الآلي SDK أو الأمر az ml service get-access-token.

المسح الضوئي للثغرات الأمنية

يوفر Microsoft Defender في السحابة إدارة أمان موحدة وحماية متقدمة من التهديدات عبر أحمال العمل السحابية المختلطة. يجب أن تسمح ل Microsoft Defender for Cloud بفحص مواردك واتباع توصياتها. لمزيد من المعلومات، راجع تكامل خدمات Azure Kubernetes مع Defender for Cloud.

الخطوات التالية

• Use Azure RBAC for Kubernetes authorization
• بيئة استدلال آمنة باستخدام شبكة Azure الظاهرية
• كيفية نشر نموذج باستخدام صورة Docker مخصصة
• استكشاف أخطاء التوزيع وإصلاحها
• تحديث خدمة الويب
• استخدم طبقة النقل الآمنة لتأمين خدمة ويب من خلال Azure التعلم الآلي
• استهلاك نموذج ML تم نشره كخدمة ويب
• راقب طرازات Azure التعلم الآلي باستخدام Insights التطبيقات
• جمع البيانات للنماذج في الإنتاج