Azure Machine Learning-studio gebruiken in een virtueel Azure-netwerk

In dit artikel leert u hoe u Azure Machine Learning studio in een virtueel netwerk gebruikt. De studio bevat functies zoals AutoML, de ontwerpfunctie en gegevenslabels.

Sommige functies van de studio zijn standaard uitgeschakeld in een virtueel netwerk. Als u deze functies opnieuw wilt inschakelen, moet u beheerde identiteit inschakelen voor opslagaccounts die u in de studio wilt gebruiken.

De volgende bewerkingen zijn standaard uitgeschakeld in een virtueel netwerk:

  • Bekijk een voorbeeld van gegevens in de studio.
  • Gegevens visualiseren in de ontwerpfunctie.
  • Implementeer een model in de ontwerpfunctie.
  • Een AutoML-experiment verzenden.
  • Start een labelproject.

De studio ondersteunt het lezen van gegevens uit de volgende gegevensstoretypen in een virtueel netwerk:

  • Azure Storage account (blobbestand &)
  • Azure Data Lake Storage Gen1
  • Azure Data Lake Storage Gen2
  • Azure SQL Database

In dit artikel leert u het volgende:

  • Geef de studio toegang tot gegevens die zijn opgeslagen in een virtueel netwerk.
  • Toegang tot de studio vanuit een resource in een virtueel netwerk.
  • Begrijpen hoe de studio van invloed is op opslagbeveiliging.

Tip

Dit artikel maakt deel uit van een reeks over het beveiligen van Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks:

Vereisten

Beperkingen

Azure Storage-account

  • Wanneer het opslagaccount zich in het VNet, zijn er extra validatievereisten bij het gebruik van Studio:

    • Als het opslagaccount gebruikmaakt van een service-eindpunt, moeten het privé-eindpunt en het opslagservice-eindpunt van de werkruimte zich in hetzelfde subnet van het VNet hebben.
    • Als het opslagaccount gebruikmaakt van een privé-eindpunt, moeten het privé-eindpunt en het opslagservice-eindpunt van de werkruimte zich in hetzelfde VNet hebben. In dit geval kunnen ze zich in verschillende subnetten.

Designer-voorbeeldpijplijn

Er is een bekend probleem waarbij de gebruiker geen voorbeeldpijplijn kan uitvoeren op de startpagina van designer. Dit is de voorbeeldgegevensset die in de voorbeeldpijplijn wordt gebruikt, is een Globale Azure-gegevensset en kan niet voldoen aan alle omgevingen van het virtuele netwerk.

U kunt dit probleem oplossen door een openbare werkruimte te gebruiken om een voorbeeldpijplijn uit te voeren om te leren hoe u de ontwerpfunctie gebruikt en vervolgens de voorbeeldgegevensset te vervangen door uw eigen gegevensset in de werkruimte in het virtuele netwerk.

Gegevensstore: Azure Storage account

Gebruik de volgende stappen om toegang in te stellen tot gegevens die zijn opgeslagen in Azure Blob- en File Storage:

Tip

De eerste stap is niet vereist voor het standaardopslagaccount voor de werkruimte. Alle andere stappen zijn vereist voor elk opslagaccount achter het VNet en worden gebruikt door de werkruimte, met inbegrip van het standaardopslagaccount.

  1. Als het opslagaccount de standaardopslag voor uw werkruimte is, slaat u deze stap over. Als dit niet de standaardinstelling is, verleent u de beheerde identiteit van de werkruimte de rol 'Storage Blob Data Reader' voor het Azure-opslagaccount, zodat deze gegevens uit blobopslag kan lezen.

    Zie de ingebouwde rol blobgegevenslezer voor meer informatie.

  2. Verleen de beheerde identiteit van de werkruimte de rol 'Lezer' voor privé-eindpunten voor opslag. Als uw opslagservice gebruikmaakt van een privé-eindpunt, verleent u de beheerde identiteit van de werkruimte Lezer toegang tot het privé-eindpunt. De beheerde identiteit van de werkruimte in Azure AD heeft dezelfde naam als uw Azure Machine Learning werkruimte.

    Tip

    Uw opslagaccount kan meerdere privé-eindpunten hebben. Eén opslagaccount kan bijvoorbeeld een afzonderlijk privé-eindpunt hebben voor blob, file en dfs (Azure Data Lake Storage Gen2). Voeg de beheerde identiteit toe aan al deze eindpunten.

    Zie de ingebouwde rol Lezer voor meer informatie.

  3. Schakel verificatie van beheerde identiteit in voor standaardopslagaccounts. Elke Azure Machine Learning heeft twee standaardopslagaccounts: een standaard-blobopslagaccount en een standaardbestandsopslagaccount, die worden gedefinieerd wanneer u uw werkruimte maakt. U kunt ook nieuwe standaardwaarden instellen op de pagina Gegevensbeheer.

    Schermopname die laat zien waar standaardgegevensstores kunnen worden gevonden

    In de volgende tabel wordt beschreven waarom verificatie van beheerde identiteiten wordt gebruikt voor de standaardopslagaccounts van uw werkruimte.

    Storage-account Notities
    Standaardblobopslag voor werkruimte Slaat modelactiva op van de ontwerpfunctie. Schakel verificatie van beheerde identiteiten in voor dit opslagaccount om modellen te implementeren in de ontwerpfunctie.

    U kunt een designer-pijplijn visualiseren en uitvoeren als deze gebruikmaakt van een niet-standaard gegevensstore die is geconfigureerd voor het gebruik van beheerde identiteit. Als u echter probeert een getraind model te implementeren zonder beheerde identiteit ingeschakeld in het standaardgegevensstore, mislukt de implementatie, ongeacht andere gegevensstores die in gebruik zijn.
    Standaardbestandsopslag van werkruimte Slaat AutoML-experimentactiva op. Schakel verificatie van beheerde identiteiten in voor dit opslagaccount om AutoML-experimenten te verzenden.
  4. Configureer gegevensstores voor het gebruik van verificatie van beheerde identiteiten. Nadat u een Azure-opslagaccount aan uw virtuele netwerk hebt toevoegen met een service-eindpunt of een privé-eindpunt, moet u uw gegevensopslag configureren voor het gebruik van verificatie van beheerde identiteiten. Hierdoor heeft de studio toegang tot gegevens in uw opslagaccount.

    Azure Machine Learning maakt gebruik van gegevensopslag om verbinding te maken met opslagaccounts. Wanneer u een nieuwe gegevensstore maakt, gebruikt u de volgende stappen om een gegevensstore te configureren voor het gebruik van verificatie van beheerde identiteiten:

    1. Selecteer gegevensstores in de studio.

    2. Als u een bestaand gegevensstore wilt bijwerken, selecteert u het gegevensstore en selecteert u Referenties bijwerken.

      Als u een nieuw gegevensstore wilt maken, selecteert u + Nieuwe gegevensstore.

    3. Selecteer in de gegevensstore-instellingen Ja bij Beheerde identiteit voor werkruimte gebruiken voor voorbeeld van gegevens en profilering in Azure Machine Learning studio.

      Schermopname die laat zien hoe u de identiteit van een beheerde werkruimte in kuntschakelen

    Met deze stappen voegt u de beheerde identiteit van de werkruimte als lezer toe aan de nieuwe opslagservice met behulp van Azure RBAC. Met lezertoegang kan de werkruimte de resource bekijken, maar geen wijzigingen aanbrengen.

Gegevensstore: Azure Data Lake Storage Gen1

Wanneer u Azure Data Lake Storage Gen1 als een gegevensstore gebruikt, kunt u alleen toegangsbeheerlijsten in POSIX-stijl gebruiken. U kunt de beheerde identiteit van de werkruimte net als elke andere beveiligingsprincipaal toegang geven tot resources. Zie Toegangsbeheer in Azure Data Lake Storage Gen1 voor meer informatie.

Gegevensstore: Azure Data Lake Storage Gen2

Wanneer u Azure Data Lake Storage Gen2 als gegevensstore gebruikt, kunt u toegangsbeheerlijsten (ACL's) in Azure RBAC- en POSIX-stijl gebruiken om de toegang tot gegevens in een virtueel netwerk te bepalen.

Als u Azure RBAC wilt gebruiken, volgt u de stappen in de sectie Gegevens opslaan: Azure Storage account van dit artikel. Data Lake Storage Gen2 is gebaseerd op Azure Storage, dus dezelfde stappen zijn van toepassing wanneer u Azure RBAC gebruikt.

Als u ACL's wilt gebruiken, kan aan de beheerde identiteit van de werkruimte net als elke andere beveiligingsprincipaal toegang worden toegewezen. Zie Access control lists on files and directories (Toegangsbeheerlijsten voor bestanden en mappen) voor meer informatie.

Gegevensstore: Azure SQL Database

Voor toegang tot gegevens die zijn opgeslagen in een Azure SQL Database met een beheerde identiteit, moet u een ingesloten SQL maken die is toe te staan aan de beheerde identiteit. Zie Ingesloten gebruikers maken die zijn toegesneden op Azure AD-identiteitenvoor meer informatie over het maken van een gebruiker van een externe provider.

Nadat u een ingesloten SQL hebt gemaakt, verleent u er machtigingen aan met behulp van de opdracht T-SQL verlenen.

Uitvoer van tussenliggende onderdelen

Wanneer u de uitvoer van Azure Machine Learning designer gebruikt, kunt u de uitvoerlocatie voor elk onderdeel in de ontwerpfunctie opgeven. Gebruik dit om tussenliggende gegevenssets op te slaan op een afzonderlijke locatie voor beveiligings-, logboek- of controledoeleinden. Gebruik de volgende stappen om uitvoer op te geven:

  1. Selecteer het onderdeel waarvan u de uitvoer wilt opgeven.
  2. Selecteer uitvoerinstellingen in het deelvenster met onderdeelinstellingen dat aan de rechterkant wordt weergegeven.
  3. Geef het gegevensstore op dat u wilt gebruiken voor de uitvoer van elk onderdeel.

Zorg ervoor dat u toegang hebt tot de tussenliggende opslagaccounts in uw virtuele netwerk. Anders mislukt de pijplijn.

Verificatie van beheerde identiteiten inschakelen voor tussenliggende opslagaccounts om uitvoergegevens te visualiseren.

Toegang tot de studio vanuit een resource in het VNet

Als u toegang hebt tot de studio vanuit een resource in een virtueel netwerk (bijvoorbeeld een rekenin exemplaar of virtuele machine), moet u uitgaand verkeer van het virtuele netwerk naar de studio toestaan.

Als u bijvoorbeeld netwerkbeveiligingsgroepen (NSG) gebruikt om uitgaand verkeer te beperken, voegt u een regel toe aan een servicetagbestemming van AzureFrontDoor.Frontend.

Firewallinstellingen

Sommige opslagservices, zoals een Azure Storage account, hebben firewallinstellingen die van toepassing zijn op het openbare eindpunt voor dat specifieke service-exemplaar. Meestal kunt u met deze instelling toegang vanaf specifieke IP-adressen vanaf het openbare internet toestaan of niet toestaan. Dit wordt niet ondersteund bij het gebruik Azure Machine Learning Studio. Dit wordt ondersteund bij het gebruik van Azure Machine Learning SDK of CLI.

Tip

Azure Machine Learning studio wordt ondersteund bij het gebruik van Azure Firewall service. Zie Uw werkruimte achter een firewall gebruiken voor meer informatie.

Volgende stappen

Dit artikel maakt deel uit van een reeks over het beveiligen van Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks: