Korzystanie z programu Azure Machine Learning Studio w sieci wirtualnej platformy AzureUse Azure Machine Learning studio in an Azure virtual network

W tym artykule dowiesz się, jak używać programu Azure Machine Learning Studio w sieci wirtualnej.In this article, you learn how to use Azure Machine Learning studio in a virtual network. Program Studio zawiera funkcje, takie jak AutoML, Projektant i etykiety danych.The studio includes features like AutoML, the designer, and data labeling. Aby można było korzystać z tych funkcji w sieci wirtualnej, należy wykonać kroki opisane w tym artykule.In order to use those features in a virtual network, you must follow the steps in this article.

W tym artykule omówiono sposób wykonywania następujących zadań:In this article, you learn how to:

  • Przyznaj programowi Studio dostęp do danych przechowywanych w sieci wirtualnej.Give the studio access to data stored inside of a virtual network.
  • Uzyskaj dostęp do programu Studio z zasobu w sieci wirtualnej.Access the studio from a resource inside of a virtual network.
  • Dowiedz się, w jaki sposób Studio ma wpływ na zabezpieczenia magazynu.Understand how the studio impacts storage security.

Ten artykuł jest częścią piątą serii składającej się z pięciu części, która przeprowadzi Cię przez proces zabezpieczania przepływów pracy Azure Machine Learning.This article is part five of a five-part series that walks you through securing an Azure Machine Learning workflow. Zdecydowanie zalecamy zapoznanie się z poprzednimi częściami w celu skonfigurowania środowiska sieci wirtualnej.We highly recommend that you read through the previous parts to set up a virtual network environment.

Zapoznaj się z innymi artykułami w tej serii:See the other articles in this series:

1. Sieć wirtualna — Omówienie > 2. Zabezpiecz obszar roboczy > 3. Zabezpiecz środowisko szkoleniowe > 4. Zabezpiecz środowisko inferencing > 5. Włącz funkcje programu Studio1. VNet overview > 2. Secure the workspace > 3. Secure the training environment > 4. Secure the inferencing environment > 5. Enable studio functionality

Ważne

Jeśli obszar roboczy znajduje się w chmurze suwerennej, takiej jak Azure Government lub Azure Chiny 21Vianet, zintegrowane notesy nie obsługują używania magazynu znajdującego się w sieci wirtualnej.If your workspace is in a sovereign cloud, such as Azure Government or Azure China 21Vianet, integrated notebooks do not support using storage that is in a virtual network. Zamiast tego można użyć notesów Jupyter z wystąpienia obliczeniowego.Instead, you can use Jupyter Notebooks from a compute instance. Aby uzyskać więcej informacji, zobacz sekcję dostęp do danych w notesie wystąpienia obliczeniowego .For more information, see the Access data in a Compute Instance notebook section.

Wymagania wstępnePrerequisites

Konfigurowanie dostępu do danych w programie StudioConfigure data access in the studio

Niektóre funkcje programu Studio są domyślnie wyłączone w sieci wirtualnej.Some of the studio's features are disabled by default in a virtual network. Aby ponownie włączyć te funkcje, należy włączyć zarządzaną tożsamość dla kont magazynu, które mają być używane w programie Studio.To re-enable these features, you must enable managed identity for storage accounts you intend to use in the studio.

Następujące operacje są domyślnie wyłączone w sieci wirtualnej:The following operations are disabled by default in a virtual network:

Program Virtual Machines obsługuje odczytywanie danych z następujących typów magazynów w sieci wirtualnej:The studio supports reading data from the following datastore types in a virtual network:

  • Obiekt bob AzureAzure Blob
  • Usługa Azure Data Lake Storage 1. generacjiAzure Data Lake Storage Gen1
  • Usługa Azure Data Lake Storage 2. generacjiAzure Data Lake Storage Gen2
  • Azure SQL DatabaseAzure SQL Database

Konfigurowanie magazynów danych do korzystania z tożsamości zarządzanej przez obszar roboczyConfigure datastores to use workspace-managed identity

Po dodaniu konta usługi Azure Storage do sieci wirtualnej przy użyciu punktu końcowego usługi lub prywatnego punktu końcowegonależy skonfigurować magazyn danych do korzystania z uwierzytelniania tożsamości zarządzanej .After you add an Azure storage account to your virtual network with a either a service endpoint or private endpoint, you must configure your datastore to use managed identity authentication. Dzięki temu program Studio umożliwia dostęp do danych na koncie magazynu.Doing so lets the studio access data in your storage account.

Azure Machine Learning używa magazynów danych do łączenia się z kontami magazynu.Azure Machine Learning uses datastores to connect to storage accounts. Wykonaj następujące kroki, aby skonfigurować magazyn danych do korzystania z tożsamości zarządzanej:Use the following steps to configure a datastore to use managed identity:

  1. W programie Studio wybierz pozycję magazyny danych.In the studio, select Datastores.

  2. Aby zaktualizować istniejący magazyn danych, wybierz magazyn danych i wybierz pozycję Aktualizuj poświadczenia.To update an existing datastore, select the datastore and select Update credentials.

    Aby utworzyć nowy magazyn danych, wybierz pozycję + nowy magazyn danych.To create a new datastore, select + New datastore.

  3. W obszarze Ustawienia magazynu danych wybierz pozycję tak dla opcji Użyj tożsamości zarządzanej obszaru roboczego, aby uzyskać podgląd i profilowanie danych w programie Azure Machine Learning Studio.In the datastore settings, select Yes for Use workspace managed identity for data preview and profiling in Azure Machine Learning studio.

    Zrzut ekranu przedstawiający sposób włączania tożsamości zarządzanego obszaru roboczego

Te kroki umożliwiają dodanie tożsamości zarządzanej przez obszar roboczy jako czytnika do usługi magazynu przy użyciu funkcji RBAC platformy Azure.These steps add the workspace-managed identity as a Reader to the storage service using Azure RBAC. Dostęp do czytnika pozwala obszarowi roboczemu pobrać ustawienia zapory, aby upewnić się, że dane nie opuszczają sieci wirtualnej.Reader access lets the workspace retrieve firewall settings to ensure that data doesn't leave the virtual network. Wprowadzenie zmian może potrwać do 10 minut.Changes may take up to 10 minutes to take effect.

Włącz uwierzytelnianie tożsamości zarządzanej dla domyślnych kont magazynuEnable managed identity authentication for default storage accounts

Każdy obszar roboczy Azure Machine Learning ma dwa domyślne konta magazynu, domyślne konto magazynu obiektów blob i domyślne konto magazynu plików, które są definiowane podczas tworzenia obszaru roboczego.Each Azure Machine Learning workspace has two default storage accounts, a default blob storage account and a default file store account, which are defined when you create your workspace. Nowe ustawienia domyślne można również ustawić na stronie zarządzania magazynem danych.You can also set new defaults in the Datastore management page.

Zrzut ekranu pokazujący, gdzie można znaleźć domyślne magazyny danych

W poniższej tabeli opisano, dlaczego należy włączyć uwierzytelnianie tożsamości zarządzanej dla domyślnych kont magazynu obszaru roboczego.The following table describes why you must enable managed identity authentication for your workspace default storage accounts.

Konto magazynuStorage account UwagiNotes
Domyślny magazyn obiektów BLOB obszaru roboczegoWorkspace default blob storage Przechowuje zasoby modelu z projektanta.Stores model assets from the designer. Aby wdrażać modele w projektancie, należy włączyć uwierzytelnianie tożsamości zarządzane na tym koncie magazynu.You must enable managed identity authentication on this storage account to deploy models in the designer.

Możesz wizualizować i uruchamiać potok projektanta, jeśli używa on innego niż domyślny magazyn danych, który został skonfigurowany do korzystania z tożsamości zarządzanej.You can visualize and run a designer pipeline if it uses a non-default datastore that has been configured to use managed identity. Jeśli jednak spróbujesz wdrożyć model szkolony bez włączonej tożsamości zarządzanej w domyślnym magazynie danych, wdrożenie zakończy się niepowodzeniem niezależnie od innych magazynów danych w użyciu.However, if you try to deploy a trained model without managed identity enabled on the default datastore, deployment will fail regardless of any other datastores in use.
Domyślny magazyn plików obszaru roboczegoWorkspace default file store Przechowuje zasoby eksperymentu AutoML.Stores AutoML experiment assets. Musisz włączyć uwierzytelnianie tożsamości zarządzanej na tym koncie magazynu, aby przesłać eksperymenty AutoML.You must enable managed identity authentication on this storage account to submit AutoML experiments.

Ostrzeżenie

Istnieje znany problem polegający na tym, że domyślny magazyn plików nie tworzy azureml-filestore folderu, który jest wymagany do przesyłania eksperymentów AutoML.There's a known issue where the default file store does not automatically create the azureml-filestore folder, which is required to submit AutoML experiments. Dzieje się tak, gdy użytkownicy wprowadzą istniejące Filestore do ustawienia domyślnego Filestore podczas tworzenia obszaru roboczego.This occurs when users bring an existing filestore to set as the default filestore during workspace creation.

Aby uniknąć tego problemu, dostępne są dwie opcje: 1) Użyj domyślnej Filestore, która jest tworzona automatycznie podczas tworzenia obszaru roboczego.To avoid this issue, you have two options: 1) Use the default filestore which is automatically created for you doing workspace creation. 2) aby zapewnić własne Filestore, upewnij się, że Filestore jest poza siecią wirtualną podczas tworzenia obszaru roboczego.2) To bring your own filestore, make sure the filestore is outside of the VNet during workspace creation. Po utworzeniu obszaru roboczego Dodaj konto magazynu do sieci wirtualnej.After the workspace is created, add the storage account to the virtual network.

Aby rozwiązać ten problem, Usuń konto Filestore z sieci wirtualnej, a następnie dodaj je z powrotem do sieci wirtualnej.To resolve this issue, remove the filestore account from the virtual network then add it back to the virtual network.

Jeśli konto usługi Azure Storage korzysta z prywatnego punktu końcowego, należy przyznać zarządzanemu przez obszar roboczym dostęp do prywatnego linku.If your Azure storage account uses a private endpoint, you must grant the workspace-managed identity Reader access to the private link. Aby uzyskać więcej informacji, zobacz wbudowana rola czytnika .For more information, see the Reader built-in role.

Jeśli konto magazynu używa punktu końcowego usługi, możesz pominąć ten krok.If your storage account uses a service endpoint, you can skip this step.

Dostęp do programu Studio z zasobu w sieci wirtualnejAccess the studio from a resource inside the VNet

Jeśli uzyskujesz dostęp do programu Studio z zasobu w sieci wirtualnej (na przykład wystąpienie obliczeniowe lub maszyna wirtualna), musisz zezwolić na ruch wychodzący z sieci wirtualnej do programu Studio.If you are accessing the studio from a resource inside of a virtual network (for example, a compute instance or virtual machine), you must allow outbound traffic from the virtual network to the studio.

Na przykład, jeśli używasz sieciowych grup zabezpieczeń (sieciowej grupy zabezpieczeń) w celu ograniczenia ruchu wychodzącego, Dodaj regułę do miejsca docelowego tagu usługi AzureFrontDoor. frontonu.For example, if you are using network security groups (NSG) to restrict outbound traffic, add a rule to a service tag destination of AzureFrontDoor.Frontend.

Uwagi techniczne dotyczące tożsamości zarządzanejTechnical notes for managed identity

Korzystanie z tożsamości zarządzanej w celu uzyskania dostępu do usług magazynu wpływa na kwestie dotyczące zabezpieczeń.Using managed identity to access storage services impacts security considerations. W tej sekcji opisano zmiany dotyczące poszczególnych typów kont magazynu.This section describes the changes for each storage account type.

Te zagadnienia są unikatowe dla typu konta magazynu , do którego uzyskujesz dostęp.These considerations are unique to the type of storage account you are accessing.

Azure Blob StorageAzure Blob storage

W przypadku usługi Azure Blob Storage tożsamość zarządzana przez obszar roboczy jest również dodawana jako czytnik danych obiektów BLOB , dzięki czemu może odczytywać dane z magazynu obiektów BLOB.For Azure Blob storage, the workspace-managed identity is also added as a Blob Data Reader so that it can read data from blob storage.

Azure Data Lake Storage Gen2 kontroli dostępuAzure Data Lake Storage Gen2 access control

Aby kontrolować dostęp do danych wewnątrz sieci wirtualnej, można użyć list kontroli dostępu (ACL) na platformie Azure oraz do sterowania dostępem do nich.You can use both Azure RBAC and POSIX-style access control lists (ACLs) to control data access inside of a virtual network.

Aby użyć kontroli RBAC platformy Azure, Dodaj tożsamość zarządzaną przez obszar roboczy do roli czytnika danych obiektów BLOB .To use Azure RBAC, add the workspace-managed identity to the Blob Data Reader role. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach na platformie Azure.For more information, see Azure role-based access control.

Aby można było używać list kontroli dostępu, tożsamość zarządzana przez obszar roboczy może zostać przypisana podobnie jak jakakolwiek inna zasada zabezpieczeń.To use ACLs, the workspace-managed identity can be assigned access just like any other security principle. Aby uzyskać więcej informacji, zobacz listy kontroli dostępu do plików i katalogów.For more information, see Access control lists on files and directories.

Azure Data Lake Storage Gen1 kontroli dostępuAzure Data Lake Storage Gen1 access control

Azure Data Lake Storage Gen1 obsługuje tylko listy kontroli dostępu w stylu POSIX.Azure Data Lake Storage Gen1 only supports POSIX-style access control lists. Możesz przypisać dostęp do tożsamości zarządzanej przez obszar roboczy do zasobów tak samo jak w przypadku każdej innej zasady zabezpieczeń.You can assign the workspace-managed identity access to resources just like any other security principle. Aby uzyskać więcej informacji, zobacz Kontrola dostępu w Azure Data Lake Storage Gen1.For more information, see Access control in Azure Data Lake Storage Gen1.

Azure SQL Database zawarty użytkownikAzure SQL Database contained user

Aby uzyskać dostęp do danych przechowywanych w Azure SQL Database przy użyciu tożsamości zarządzanej, należy utworzyć użytkownika programu SQL Server, który jest mapowany na tożsamość zarządzaną.To access data stored in an Azure SQL Database using managed identity, you must create a SQL contained user that maps to the managed identity. Aby uzyskać więcej informacji na temat tworzenia użytkownika od dostawcy zewnętrznego, zobacz Tworzenie zawartych użytkowników mapowanych na tożsamości usługi Azure AD.For more information on creating a user from an external provider, see Create contained users mapped to Azure AD identities.

Po utworzeniu użytkownika zawartego w programie SQL Udziel uprawnień do niego przy użyciu polecenia Udziel T-SQL.After you create a SQL contained user, grant permissions to it by using the GRANT T-SQL command.

Dane wyjściowe modułu pośredniego projektanta Azure Machine LearningAzure Machine Learning designer intermediate module output

Możesz określić lokalizację wyjściową dla każdego modułu w projektancie.You can specify the output location for any module in the designer. Służy do przechowywania pośrednich zestawów danych w osobnej lokalizacji na potrzeby zabezpieczeń, rejestrowania lub inspekcji.Use this to store intermediate datasets in separate location for security, logging, or auditing purposes. Aby określić dane wyjściowe:To specify output:

  1. Wybierz moduł, którego dane wyjściowe chcesz określić.Select the module whose output you'd like to specify.
  2. W okienku ustawienia modułu, które pojawia się po prawej stronie, wybierz pozycję Ustawienia wyjściowe.In the module settings pane that appears to the right, select Output settings.
  3. Określ magazyn danych, który ma być używany dla każdego wychodzącego modułu.Specify the datastore you want to use for each module output.

Upewnij się, że masz dostęp do pośrednich kont magazynu w sieci wirtualnej.Make sure that you have access to the intermediate storage accounts in your virtual network. W przeciwnym razie potok zakończy się niepowodzeniem.Otherwise, the pipeline will fail.

Należy również włączyć uwierzytelnianie tożsamości zarządzanej dla kont magazynu pośredniego w celu wizualizowania danych wyjściowych.You should also enable managed identity authentication for intermediate storage accounts to visualize output data.

Następne krokiNext steps

Ten artykuł jest częścią piątą serii sieci wirtualnych z pięcioma częściami.This article is part five of a five-part virtual network series. Zapoznaj się z pozostałymi artykułami, aby dowiedzieć się, jak zabezpieczyć sieć wirtualną:See the rest of the articles to learn how to secure a virtual network:

Zobacz również artykuł dotyczący używania niestandardowego systemu DNS do rozpoznawania nazw.Also see the article on using custom DNS for name resolution.