استخدام استوديو Azure التعلم الآلي في شبكة Azure الظاهرية

  • مقالة
  • قراءة خلال 6 دقائق

في هذه المقالة، ستتعرف على كيفية استخدام استوديو Azure التعلم الآلي في شبكة ظاهرية. يتضمن الاستوديو ميزات مثل AutoML والمصمم ووضع العلامات على البيانات.

يتم تعطيل بعض ميزات الاستوديو افتراضيا في شبكة افتراضية. لإعادة تمكين هذه الميزات، يجب تمكين الهوية المدارة لحسابات التخزين التي تنوي استخدامها في الاستوديو.

يتم تعطيل العمليات التالية افتراضيا في شبكة ظاهرية:

  • معاينة البيانات في الاستوديو.
  • تصور البيانات في المصمم.
  • نشر نموذج في المصمم.
  • إرسال تجربة AutoML.
  • بدء مشروع وضع العلامات.

يدعم الاستوديو قراءة البيانات من أنواع مخزن البيانات التالية في شبكة ظاهرية:

  • حساب تخزين Azure (ملف blob & )
  • Azure Data Lake Storage Gen1
  • Azure Data Lake Storage Gen2
  • قاعدة بيانات Azure SQL

ستتعلم في هذا المقال طريقة إجراء ما يلي:

  • امنح الاستوديو حق الوصول إلى البيانات المخزنة داخل شبكة افتراضية.
  • الوصول إلى الاستوديو من مورد داخل شبكة افتراضية.
  • فهم كيفية تأثير الاستوديو على أمان التخزين.

تلميح

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:

للحصول على برنامج تعليمي حول إنشاء مساحة عمل آمنة، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة أو البرنامج التعليمي: إنشاء مساحة عمل آمنة باستخدام قالب.

المتطلبات الأساسية

التقييدات

Azure Storage Account

  • عندما يكون حساب التخزين في VNet، هناك متطلبات تحقق إضافية عند استخدام الاستوديو:

    • إذا كان حساب التخزين يستخدم نقطة نهاية خدمة، فيجب أن تكون نقطة نهاية مساحة العمل الخاصة ونقطة نهاية خدمة التخزين في نفس الشبكة الفرعية ل VNet.
    • إذا كان حساب التخزين يستخدم نقطة نهاية خاصة، فيجب أن تكون نقطة النهاية الخاصة بمساحة العمل ونقطة النهاية الخاصة بالتخزين في نفس VNet. في هذه الحالة ، يمكن أن تكون في شبكات فرعية مختلفة.

خط أنابيب عينة المصمم

هناك مشكلة معروفة حيث يتعذر على المستخدم تشغيل نموذج خط أنابيب في الصفحة الرئيسية ل Designer. هذه هي مجموعة البيانات النموذجية المستخدمة في خط أنابيب العينة هي مجموعة بيانات Azure Global ، ولا يمكنها تلبية كافة بيئة الشبكة الظاهرية.

لحل هذه المشكلة، يمكنك استخدام مساحة عمل عامة لتشغيل نموذج خط أنابيب للتعرف على كيفية استخدام المصمم ثم استبدال مجموعة البيانات النموذجية بمجموعة البيانات الخاصة بك في مساحة العمل داخل الشبكة الظاهرية.

Datastore: Azure Storage Account

اتبع الخطوات التالية لتمكين الوصول إلى البيانات المخزنة في Azure Blob وتخزين الملفات:

تلميح

الخطوة الأولى غير مطلوبة لحساب التخزين الافتراضي لمساحة العمل. جميع الخطوات الأخرى مطلوبة لأي حساب تخزين خلف VNet وتستخدمه مساحة العمل، بما في ذلك حساب التخزين الافتراضي.

  1. إذا كان حساب التخزين هو التخزين الافتراضي لمساحة العمل، فتخطى هذه الخطوة. إذا لم يكن هذا هو الإعداد الافتراضي، فامنح الهوية المدارة لمساحة العمل دور "قارئ بيانات نقطة التخزين" لحساب تخزين Azure حتى يتمكن من قراءة البيانات من وحدة تخزين blob.

    لمزيد من المعلومات، راجع الدور المضمن في Blob Data Reader .

  2. امنح الهوية المدارة لمساحة العمل دور "القارئ" لتخزين نقاط النهاية الخاصة. إذا كانت خدمة التخزين تستخدم نقطة نهاية خاصة، فامنح قارئ الهوية المدارة لمساحة العمل حق الوصول إلى نقطة النهاية الخاصة. تحمل الهوية المدارة لمساحة العمل في Azure AD نفس اسم مساحة عمل Azure التعلم الآلي.

    تلميح

    قد يحتوي حساب التخزين الخاص بك على نقاط نهاية خاصة متعددة. على سبيل المثال، قد يحتوي حساب تخزين واحد على نقطة نهاية خاصة منفصلة للنقطة والملف وdfs (Azure Data Lake Storage Gen2). أضف الهوية المدارة إلى كل نقاط النهاية هذه.

    لمزيد من المعلومات، راجع دور القارئ المضمن .

  3. تمكين مصادقة الهوية المدارة لحسابات التخزين الافتراضية. تحتوي كل مساحة عمل التعلم الآلي Azure على حسابي تخزين افتراضيين، وحساب تخزين نقطة افتراضي وحساب مخزن ملفات افتراضي، يتم تعريفهما عند إنشاء مساحة العمل الخاصة بك. يمكنك أيضا تعيين إعدادات افتراضية جديدة في صفحة إدارة Datastore .

    Screenshot showing where default datastores can be found

    يصف الجدول التالي سبب استخدام مصادقة الهوية المدارة لحسابات التخزين الافتراضية لمساحة العمل.

    حساب التخزين ملاحظات
    مساحة العمل الافتراضية لتخزين النقطاء يخزن أصول النموذج من المصمم. تمكين مصادقة الهوية المدارة على حساب التخزين هذا لنشر النماذج في المصمم. إذا تم تعطيل مصادقة الهوية المدارة، استخدام هوية المستخدم للوصول إلى البيانات المخزنة في النقطة.

    يمكنك تصور خط أنابيب مصمم وتشغيله إذا كان يستخدم مخزن بيانات غير افتراضي تم تكوينه لاستخدام الهوية المدارة. ومع ذلك، إذا حاولت نشر نموذج مدرب دون تمكين الهوية المدارة على مخزن البيانات الافتراضي، سيفشل النشر بغض النظر عن أي مخازن بيانات أخرى قيد الاستخدام.
    مخزن الملفات الافتراضي لمساحة العمل يخزن أصول تجربة AutoML. قم بتمكين مصادقة الهوية المدارة على حساب التخزين هذا لإرسال تجارب AutoML.

  4. تكوين مخازن البيانات لاستخدام مصادقة الهوية المدارة. بعد إضافة حساب تخزين Azure إلى شبكتك الظاهرية باستخدام نقطة نهاية خدمة أو نقطة نهاية خاصة، يجب تكوين مخزن البيانات لاستخدام مصادقة الهوية المدارة . يتيح القيام بذلك للاستوديو الوصول إلى البيانات الموجودة في حساب التخزين الخاص بك.

    يستخدم Azure التعلم الآلي مخازن البيانات للاتصال بحسابات التخزين. عند إنشاء مخزن بيانات جديد، اتبع الخطوات التالية لتكوين مخزن بيانات لاستخدام مصادقة الهوية المدارة:

    1. في الاستوديو، حدد Datastores.

    2. لتحديث مخزن بيانات موجود، حدد مخزن البيانات وحدد تحديث بيانات الاعتماد.

      لإنشاء مخزن بيانات جديد، حدد + مخزن بيانات جديد.

    3. في إعدادات مخزن البيانات، حدد نعملاستخدام الهوية المدارة لمساحة العمل لمعاينة البيانات والتنميط في استوديو Azure التعلم الآلي.

      Screenshot showing how to enable managed workspace identity

    4. في إعدادات الشبكةلحساب تخزين Azure، أضف نوع مورد Microsoft.MachineLearningService/workspaces، وقم بتعيين اسم المثيل إلى مساحة العمل.

    تضيف هذه الخطوات الهوية المدارة لمساحة العمل كقارئ إلى خدمة التخزين الجديدة باستخدام Azure RBAC. يسمح وصول القارئ لمساحة العمل بعرض المورد، ولكن ليس إجراء تغييرات.

مخزن البيانات: Azure Data Lake Storage Gen1

عند استخدام Azure Data Lake Storage Gen1 كمخزن بيانات، يمكنك فقط استخدام قوائم التحكم في الوصول على غرار POSIX. يمكنك تعيين وصول الهوية المدار لمساحة العمل إلى الموارد تماما مثل أي مبدأ أمان آخر. لمزيد من المعلومات، راجع التحكم في الوصول في Azure Data Lake Storage Gen1.

مخزن البيانات: Azure Data Lake Storage Gen2

عند استخدام Azure Data Lake Storage Gen2 كمخزن بيانات، يمكنك استخدام كل من قوائم التحكم في الوصول (ACLs) على غرار Azure RBAC وPOSIX للتحكم في الوصول إلى البيانات داخل شبكة ظاهرية.

لاستخدام Azure RBAC، اتبع الخطوات الموجودة في قسم Datastore: Azure Storage Account من هذه المقالة. يعتمد Data Lake Storage Gen2 على Azure Storage، لذلك تنطبق نفس الخطوات عند استخدام Azure RBAC.

لاستخدام قوائم التحكم في الوصول، يمكن تعيين الوصول للهوية المدارة لمساحة العمل تماما مثل أي مبدأ أمان آخر. لمزيد من المعلومات، راجع قوائم التحكم في الوصول على الملفات والدلائل.

Datastore: Azure SQL Database

للوصول إلى البيانات المخزنة في قاعدة بيانات Azure SQL ذات هوية مدارة، يجب عليك إنشاء مستخدم مضمن SQL يقوم بالتعيين إلى الهوية المدارة. لمزيد من المعلومات حول إنشاء مستخدم من موفر خارجي، راجع إنشاء مستخدمين محجوزين تم تعيينهم إلى هويات Azure AD.

بعد إنشاء مستخدم مضمن SQL، امنح الأذونات له باستخدام الأمر GRANT T-SQL.

إخراج المكونات الوسيطة

عند استخدام إخراج المكون الوسيط Azure التعلم الآلي المصمم، يمكنك تحديد موقع الإخراج لأي مكون في المصمم. استخدم هذا الخيار لتخزين مجموعات البيانات الوسيطة في موقع منفصل لأغراض الأمان أو التسجيل أو التدقيق. لتحديد الإخراج، اتبع الخطوات التالية:

  1. حدد المكون الذي تريد تحديد مخرجاته.
  2. في جزء إعدادات المكونات الذي يظهر على اليسار، حدد إعدادات الإخراج.
  3. حدد مخزن البيانات الذي تريد استخدامه لكل إخراج مكون.

تأكد من أن لديك حق الوصول إلى حسابات التخزين الوسيطة في شبكتك الظاهرية. خلاف ذلك ، سوف يفشل خط الأنابيب.

تمكين مصادقة الهوية المدارة لحسابات التخزين الوسيطة لتصور بيانات الإخراج.

الوصول إلى الاستوديو من مورد داخل VNet

إذا كنت تقوم بالوصول إلى الاستوديو من مورد داخل شبكة ظاهرية (على سبيل المثال، مثيل حوسبة أو جهاز ظاهري)، فيجب السماح بحركة المرور الصادرة من الشبكة الظاهرية إلى الاستوديو.

على سبيل المثال، إذا كنت تستخدم مجموعات أمان الشبكة (NSG) لتقييد حركة المرور الصادرة، فأضف قاعدة إلى وجهة علامة خدمة ل AzureFrontDoor.Frontend.

إعدادات جدار الحماية

تحتوي بعض خدمات التخزين، مثل حساب تخزين Azure، على إعدادات جدار حماية تنطبق على نقطة النهاية العامة لمثيل الخدمة المحدد هذا. عادة ما يسمح لك هذا الإعداد بالسماح / عدم السماح بالوصول من عناوين IP محددة من الإنترنت العام. هذا غير مدعوم عند استخدام Azure التعلم الآلي studio. وهو مدعوم عند استخدام Azure التعلم الآلي SDK أو CLI.

تلميح

يتم دعم استوديو Azure التعلم الآلي عند استخدام خدمة جدار حماية Azure. لمزيد من المعلومات، راجع استخدام مساحة العمل خلف جدار حماية.

الخطوات التالية

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة: