Az Azure Machine Learning stúdió használata Azure-beli virtuális hálózaton

Ebből a cikkből megtudhatja, hogyan használhatja a Azure Machine Learning stúdió virtuális hálózaton. A stúdió olyan funkciókat tartalmaz, mint az AutoML, a tervező és az adatcímkézés.

A studio egyes funkciói alapértelmezés szerint le vannak tiltva egy virtuális hálózaton. A funkciók újbóli engedélyezéséhez engedélyeznie kell a felügyelt identitást a stúdióban használni kívánt tárfiókokhoz.

A virtuális hálózatokban alapértelmezés szerint a következő műveletek vannak letiltva:

  • Adatok előnézete a studióban.
  • Adatok megjelenítése a tervezőben.
  • Modell üzembe helyezése a tervezőben.
  • AutoML-kísérlet elküldése.
  • Kezdjen el egy címkézési projektet.

A studio a következő adattártípusokból származó adatok beolvasását támogatja egy virtuális hálózatban:

  • Azure Storage-fiók (blobfájl&)
  • 1. generációs Azure Data Lake Storage
  • 2. generációs Azure Data Lake Storage
  • Azure SQL Database

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Hozzáférés biztosítása a stúdiónak a virtuális hálózaton belül tárolt adatokhoz.
  • A stúdiót egy virtuális hálózaton belüli erőforrásból érheti el.
  • Ismerje meg, hogyan befolyásolja a stúdió a tárolóbiztonságot.

Tipp

Ez a cikk egy Azure Machine Learning munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat további cikkeit:

A biztonságos munkaterületek létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy Oktatóanyag: Biztonságos munkaterület létrehozása sablon használatával.

Előfeltételek

Korlátozások

Azure Storage-tárfiók neve

  • Ha a tárfiók a virtuális hálózaton található, további érvényesítési követelmények vonatkoznak a studio használata esetén:

    • Ha a tárfiók szolgáltatásvégpontot használ, a munkaterület privát végpontjának és a tárolási szolgáltatásvégpontnak a virtuális hálózat ugyanazon alhálózatán kell lennie.
    • Ha a tárfiók privát végpontot használ, a munkaterület privát végpontjának és a tároló privát végpontjának ugyanabban a virtuális hálózatban kell lennie. Ebben az esetben ezek különböző alhálózatokon lehetnek.

Tervezői mintafolyamat

Van egy ismert probléma, amely miatt a felhasználó nem tud mintafolyamatot futtatni a Tervező kezdőlapján. Ez a mintafolyamatban használt mintaadatkészlet az Azure Global adatkészlet, és nem képes kielégíteni az összes virtuális hálózati környezetet.

A probléma megoldásához használhat egy nyilvános munkaterületet a mintafolyamat futtatásához, hogy megismerje a tervező használatát, majd cserélje le a mintaadatkészletet a saját adatkészletére a virtuális hálózaton belüli munkaterületen.

Adattár: Azure Storage-fiók

Az alábbi lépésekkel engedélyezheti az Azure Blob- és File Storage-ban tárolt adatokhoz való hozzáférést:

Tipp

Az első lépés nem szükséges a munkaterület alapértelmezett tárfiókja esetében. Minden egyéb lépés szükséges a virtuális hálózat mögötti és a munkaterület által használt bármely tárfiókhoz, beleértve az alapértelmezett tárfiókot is.

  1. Ha a tárfiók a munkaterület alapértelmezett tárolója, hagyja ki ezt a lépést. Ha nem ez az alapértelmezett beállítás, adja meg a munkaterület felügyelt identitásának a "Storage Blob-adatolvasó" szerepkört az Azure Storage-fiókhoz, hogy adatokat tudjon olvasni a Blob Storage-ból.

    További információt a Blob-adatolvasó beépített szerepkörében talál.

  2. A munkaterület felügyelt identitásának "Olvasó" szerepkört adjon a privát tárolóvégpontokhoz. Ha a tárolási szolgáltatás privát végpontot használ, adjon hozzáférést a munkaterület felügyelt identitásának olvasójának a privát végponthoz. A munkaterület felügyelt identitása Azure AD ugyanazzal a névvel rendelkezik, mint a Azure Machine Learning munkaterület.

    Tipp

    A tárfiók több privát végpontot is tartalmazhat. Egy tárfiók például külön privát végpontot tartalmazhat a blobokhoz, fájlokhoz és elosztott fájlrendszerekhez (Azure Data Lake Storage Gen2). Adja hozzá a felügyelt identitást az összes végponthoz.

    További információt az Olvasó beépített szerepkörében talál.

  3. Felügyelt identitás hitelesítésének engedélyezése az alapértelmezett tárfiókokhoz. Minden Azure Machine Learning munkaterület két alapértelmezett tárfiókkal, egy alapértelmezett Blob Storage-fiókkal és egy alapértelmezett fájltároló-fiókkal rendelkezik, amelyek a munkaterület létrehozásakor vannak meghatározva. Új alapértelmezett értékeket az Adattár kezelése lapon is beállíthat.

    Screenshot showing where default datastores can be found

    Az alábbi táblázat ismerteti, hogy miért használ felügyelt identitáshitelesítést a munkaterület alapértelmezett tárfiókjához.

    Tárfiók Jegyzetek
    Munkaterület alapértelmezett blobtárolója A modelleszközöket a tervezőtől tárolja. Engedélyezze a felügyelt identitás hitelesítését ezen a tárfiókon a modellek tervezőben való üzembe helyezéséhez. Ha a felügyelt identitás hitelesítése le van tiltva, a rendszer a felhasználó identitását használja a blobban tárolt adatok eléréséhez.

    A tervezőfolyamatok akkor jeleníthetők meg és futtathatók, ha nem alapértelmezett adattárat használnak, amely a felügyelt identitás használatára van konfigurálva. Ha azonban úgy próbál üzembe helyezni egy betanított modellt, hogy a felügyelt identitás nincs engedélyezve az alapértelmezett adattárban, az üzembe helyezés a többi használatban lévő adattártól függetlenül sikertelen lesz.
    Munkaterület alapértelmezett fájltárolója AutoML-kísérlet eszközeit tárolja. AutoML-kísérletek elküldéséhez engedélyezze a felügyelt identitás hitelesítését ezen a tárfiókon.
  4. Konfigurálja az adattárakat a felügyelt identitáshitelesítés használatára. Miután hozzáadott egy Azure-tárfiókot a virtuális hálózathoz egy szolgáltatásvégponttal vagy privát végponttal, konfigurálnia kell az adattárat a felügyelt identitáshitelesítés használatára. Ezzel lehetővé teszi, hogy a stúdió hozzáférjen a tárfiókban lévő adatokhoz.

    Azure Machine Learning adattárak használatával csatlakozik a tárfiókokhoz. Új adattár létrehozásakor az alábbi lépésekkel konfigurálhatja az adattárat a felügyelt identitás hitelesítésének használatára:

    1. A studióban válassza az Adattárak lehetőséget.

    2. Meglévő adattár frissítéséhez jelölje ki az adattárat, és válassza a Hitelesítő adatok frissítése lehetőséget.

      Új adattár létrehozásához válassza az + Új adattár lehetőséget.

    3. Az adattár beállításaiban válassza az Igen lehetőséget a munkaterület felügyelt identitásának használata az adatelőnézethez és a profilkészítéshez Azure Machine Learning stúdió.

      Screenshot showing how to enable managed workspace identity

    4. Az Azure Storage-fiókhálózati beállításaiban adja hozzá a Microsoft.MachineLearningService/workspaces erőforrástípust, és állítsa be a példány nevét a munkaterületre.

    Ezekkel a lépésekkel olvasóként adhatja hozzá a munkaterület felügyelt identitását az új tárolószolgáltatáshoz az Azure RBAC használatával. Az olvasói hozzáféréssel a munkaterület megtekintheti az erőforrást, de nem végezhet módosításokat.

Adattár: 1. generációs Azure Data Lake Storage

Ha Azure Data Lake Storage Gen1-et adattárként használja, csak POSIX stílusú hozzáférés-vezérlési listákat használhat. A munkaterület felügyelt identitáshoz való hozzáférését ugyanúgy hozzárendelheti az erőforrásokhoz, mint bármely más rendszerbiztonsági tag. További információ: Hozzáférés-vezérlés az Azure Data Lake Storage Gen1-ben.

Adattár: Azure Data Lake Storage Gen2

A Azure Data Lake Storage Gen2 adattárként való használatakor azure RBAC- és POSIX-stílusú hozzáférés-vezérlési listákkal (ACL-ekkel) szabályozhatja a virtuális hálózaton belüli adathozzáférést.

Az Azure RBAC használatához kövesse a jelen cikk Datastore: Azure Storage Account szakaszának lépéseit. Data Lake Storage Gen2 az Azure Storage alapul, így ugyanezek a lépések érvényesek az Azure RBAC használatakor is.

Az ACL-ek használatához a munkaterület felügyelt identitása ugyanúgy hozzárendelhető hozzáféréshez, mint bármely más rendszerbiztonsági tag. További információt a fájlok és könyvtárak hozzáférés-vezérlési listáiban talál.

Adattár: Azure SQL Database

A felügyelt identitással rendelkező Azure SQL Database tárolt adatok eléréséhez létre kell hoznia egy SQL tartalmazott felhasználót, amely leképezi a felügyelt identitást. További információ a felhasználók külső szolgáltatóból történő létrehozásáról: Tartalmazott felhasználók létrehozása Azure AD identitásokhoz rendelve.

Miután létrehozott egy SQL tartalmazott felhasználót, adjon hozzá engedélyeket a GRANT T-SQL paranccsal.

Köztes összetevő kimenete

A Azure Machine Learning tervező köztes összetevő kimenetének használatakor megadhatja a tervező bármely összetevőjének kimeneti helyét. Ezzel a beállítással biztonsági, naplózási vagy naplózási célokra külön helyen tárolhatja a köztes adathalmazokat. A kimenet megadásához kövesse az alábbi lépéseket:

  1. Válassza ki azt az összetevőt, amelynek a kimenetét meg szeretné adni.
  2. A jobb oldalon megjelenő összetevő-beállítások panelen válassza a Kimeneti beállítások lehetőséget.
  3. Adja meg az egyes összetevők kimenetéhez használni kívánt adattárat.

Győződjön meg arról, hogy rendelkezik hozzáféréssel a virtuális hálózat köztes tárfiókjához. Ellenkező esetben a folyamat sikertelen lesz.

A kimeneti adatok megjelenítéséhez engedélyezze a felügyelt identitás hitelesítését a köztes tárfiókokhoz.

Hozzáférés a studióhoz a virtuális hálózaton belüli erőforrásból

Ha egy virtuális hálózaton belüli erőforrásból (például egy számítási példányból vagy virtuális gépből) éri el a studiót, engedélyeznie kell a virtuális hálózatról a stúdióba irányuló kimenő forgalmat.

Ha például hálózati biztonsági csoportokat (NSG-t) használ a kimenő forgalom korlátozására, adjon hozzá egy szabályt az AzureFrontDoor.Frontendszolgáltatáscímke-célhelyéhez.

Tűzfalbeállítások

Egyes tárolási szolgáltatások, például az Azure Storage-fiók, rendelkeznek olyan tűzfalbeállításokkal, amelyek az adott szolgáltatáspéldány nyilvános végpontjára vonatkoznak. Ez a beállítás általában lehetővé teszi, hogy bizonyos IP-címekről engedélyezze vagy tiltsa le a hozzáférést a nyilvános internetről. Ez Azure Machine Learning stúdió használata esetén nem támogatott. A Azure Machine Learning SDK vagy a parancssori felület használata esetén támogatott.

Tipp

Azure Machine Learning stúdió a Azure Firewall szolgáltatás használata esetén támogatott. További információ: A munkaterület használata tűzfal mögött.

Következő lépések

Ez a cikk egy Azure Machine Learning munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat további cikkeit: