Управление реестрами Машинное обучение Azure

Машинное обучение Azure сущности можно сгруппировать в две широкие категории:

• Такие ресурсы, как модели, среды, компоненты и наборы данных, являются устойчивыми сущностями, не зависящими от рабочей области. Например, модель можно зарегистрировать в любой рабочей области и развернуть в любой конечной точке.
• Такие ресурсы, как вычисления, задания и конечные точки, являются временными сущностями, которые являются конкретными рабочими областями. Например, у сетевой конечной точки есть универсальный код ресурса (URI) оценки, уникальный для конкретного экземпляра в определенной рабочей области. Аналогичным образом задание выполняется в течение известной длительности и создает журналы и метрики при каждом запуске.

Ресурсы позволяют храниться в центральном репозитории и использоваться в разных рабочих областях, возможно, в разных регионах. Ресурсы относятся к рабочей области.

Машинное обучение Azure реестры позволяют создавать и использовать эти ресурсы в разных рабочих областях. Реестры поддерживают многорегионную реплика для низкой задержки доступа к ресурсам, поэтому вы можете использовать ресурсы в рабочих областях, расположенных в разных регионах Azure. Создание реестра подготавливает ресурсы Azure, необходимые для упрощения реплика. Во-первых, учетные записи хранения BLOB-объектов Azure в каждом поддерживаемом регионе. Во-вторых, одна Реестр контейнеров Azure с поддержкой реплика tion для каждого поддерживаемого региона.

Необходимые компоненты

Перед выполнением действий, описанных в этой статье, убедитесь, что выполнены следующие необходимые условия:

• Azure CLI и расширение ml для Azure CLI. Дополнительные сведения см. в разделе Установка, настройка и использование CLI (версия 2).

  Важно!

  В примерах CLI в этой статье предполагается, что вы используете оболочку Bash (или совместимый вариант). Например, из системы Linux или подсистемы Windows для Linux.

• Рабочая область Машинного обучения Azure. Если у вас ее нет, выполните действия, описанные в разделе Установка, настройка и использование CLI (версия 2), чтобы создать ее.

Совет

Если вы используете более раннюю версию расширения для ИНТЕРФЕЙСА командной строки, может потребоваться обновить его до последней ml версии, прежде чем работать с этой функцией. Чтобы обновить последнюю версию, используйте следующую команду:

az extension update -n ml

Дополнительные сведения см. в разделе Установка, настройка и использование CLI (версия 2).

Подготовка к созданию реестра

Перед созданием реестра необходимо тщательно решить следующие сведения:

Выбор имени

Перед выбором имени рассмотрите следующие факторы.

• Реестры предназначены для упрощения совместного использования ресурсов машинного обучения между группами в организации во всех рабочих областях. Выберите имя, которое отражает область общего доступа. Имя должно помочь определить группу, подразделение или организацию.
• Имя реестра уникально для вашей организации (клиент Microsoft Entra). Рекомендуется префиксировать имя команды или организации и избегать универсальных имен.
• Имена реестров нельзя изменить после создания, так как они используются в идентификаторах моделей, сред и компонентов, на которые ссылается код.
  • Длина может составлять 2–32 символа.
  • Разрешены буквенно-цифровые символы, подчеркивание, дефис. Никаких других специальных символов. Имена реестра не являются частью идентификаторов моделей, среды и компонентов, на которые можно ссылаться в коде.
  • Имя может содержать символ подчеркивания или дефиса, но не может начинаться с символа подчеркивания или дефиса. Необходимо начать с буквенно-цифрового.

Выбор регионов Azure

Реестры позволяют совместно использовать ресурсы в рабочих областях. Для этого содержимое реестра реплика tes в нескольких регионах Azure. Необходимо определить список регионов, поддерживаемых реестром при создании реестра. Создайте список всех регионов, в которых есть рабочие области сегодня и планируете добавить в ближайшее время. Этот список является хорошим набором регионов для начала. При создании реестра определяется основной регион и набор дополнительных регионов. Основной регион нельзя изменить после создания реестра, но дополнительные регионы можно обновить позже.

Проверка разрешений

Убедитесь, что вы являетесь владельцем или участником подписки или группы ресурсов, в которой планируется создать реестр. Если у вас нет одной из этих встроенных ролей, ознакомьтесь с разделом о разрешениях в конце этой статьи.

Создание реестра

Azure CLI

Создайте определение YAML и назовите его registry.yml.

Примечание.

Основное расположение отображается дважды в файле YAML. В следующем примере eastus сначала отображается в качестве основного расположения (location элемента), а также в списке replication_locations .

name: DemoRegistry1
tags:
  description: Basic registry with one primary region and to additional regions
  foo: bar
location: eastus
replication_locations:
  - location: eastus
  - location: eastus2
  - location: westus

Дополнительные сведения о структуре YAML-файла см. в справочной статье реестра YAML.

Совет

Обычно отображаются имена регионов Azure, таких как "Восточная часть США" на портале Azure, но создание реестра YAML требует имен регионов без пробелов и строчных букв. Используется az account list-locations -o table для поиска сопоставления отображаемых имен регионов с именем региона, который можно указать в YAML.

Выполните команду создания реестра.

az ml registry create --file registry.yml

Студия машинного обучения Azure

Вы можете создать реестры в Студия машинного обучения Azure, выполнив следующие действия.

1. В Студия машинного обучения Azure выберите реестры и управляйте реестрами. Выберите + Создать реестр.

   Совет

   Если вы находитесь в рабочей области, перейдите к глобальному пользовательскому интерфейсу, щелкнув имя организации или клиента в области навигации, чтобы найти запись реестра. Вы также можете перейти непосредственно туда, перейдя к https://ml.azure.com/registries.

   

2. Введите имя реестра, выберите подписку и группу ресурсов, а затем нажмите кнопку "Далее".

   

3. Выберите основной регион и дополнительный регион, а затем нажмите кнопку "Далее".

   

4. Просмотрите предоставленные сведения и нажмите кнопку "Создать". Ход выполнения операции создания можно отслеживать в портал Azure. После успешного создания реестра его можно найти на вкладке "Управление реестрами ".

   

Портал Azure

1. В портал Azure перейдите в службу Машинное обучение Azure. Вы можете найти там Машинное обучение Azure в строке поиска в верхней части страницы или перейти ко всем службам, которые ищут Машинное обучение Azure в категории "ИИ + машинное обучение".

2. Нажмите кнопку "Создать", а затем выберите Машинное обучение Azure реестре. Введите имя реестра, выберите подписку, группу ресурсов и основной регион, а затем нажмите кнопку "Далее".

3. Выберите дополнительные регионы, которые должен поддерживать реестр, а затем нажмите кнопку "Далее ", пока не появится вкладка "Просмотр и создание ".

   

4. Просмотрите сведения и щелкните Создать.

REST API

Совет

Для выполнения этого шага вам потребуется служебная программа curl . Программа curl доступна в подсистеме Windows для Linux или любого дистрибутива UNIX. В PowerShell curl является псевдонимом команды Invoke-WebRequest, и curl -d "key=val" -X POST uri становится Invoke-WebRequest -Body "key=val" -Method POST -Uri uri.

Для проверки подлинности вызовов REST API требуется маркер проверки подлинности для учетной записи пользователя Azure. Для получения маркера можно использовать следующую команду:

az account get-access-token 

Ответ должен предоставить маркер доступа в течение одного часа. Запишите маркер, так как вы используете его для проверки подлинности всех административных запросов. Следующий код JSON представляет собой пример ответа:

Совет

Значение access_token поля — это токен.

{
    "access_token": "YOUR-ACCESS-TOKEN",
    "expiresOn": "<expiration-time>",
    "subscription": "<subscription-id>",
    "tenant": "your-tenant-id",
    "tokenType": "Bearer"
}

Чтобы создать реестр, используйте следующую команду. Вы можете изменить JSON, чтобы изменить входные данные по мере необходимости. Замените <YOUR-ACCESS-TOKEN> значение маркером доступа, полученный ранее:

Совет

Рекомендуется использовать последнюю версию API при работе с REST API. Список текущих версий REST API для Машинное обучение Azure см. в Машинное обучение справочнике по REST API. Текущие версии API перечислены в оглавлении в левой части страницы.

curl -X PUT https://management.azure.com/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>/providers/Microsoft.MachineLearningServices/registries/reg-from-rest?api-version=2023-04-01 -H "Authorization:Bearer <YOUR-ACCESS-TOKEN>" -H 'Content-Type: application/json' -d ' 
{
    "properties":
    {
        "regionDetails": 
        [
            {
                "location": "eastus",
                "storageAccountDetails":
                [
                    {
                        "systemCreatedStorageAccount": 
                        {
                            "storageAccountType": "Standard_LRS"
                        }
                    }
                ],
                "acrDetails": 
                [
                    {
                        "systemCreatedAcrAccount":
                        {
                            "acrAccountSku": "Premium"
                        }
                    }
                ]
            }
        ]
    },
    "identity": {
        "type": "SystemAssigned"
        },
    "location": "eastus"
}
'

Вы должны получить ответ 202 Accepted.

Укажите тип учетной записи хранения и номер SKU (необязательно)

Совет

Указание типа учетной записи служба хранилища Azure и номера SKU доступно только в Azure CLI.

Служба хранилища Azure предлагает несколько типов учетных записей хранения с различными функциями и ценами. Дополнительные сведения см. в статье "Типы учетных записей хранения". Определив оптимальный номер SKU учетной записи хранения, который лучше всего подходит для ваших потребностей, найдите значение соответствующего типа SKU. В файле YAML используйте выбранный тип SKU в качестве значения storage_account_type поля. Это поле находится под каждым location в списке replication_locations .

Затем выберите, следует ли использовать учетную запись хранения BLOB-объектов Azure или Azure Data Lake Storage 2-го поколения. Чтобы создать Azure Data Lake Storage 2-го поколения, задайте значение storage_account_hnstrue. Чтобы создать Хранилище BLOB-объектов Azure, задайте значение storage_account_hnsfalse. Поле storage_account_hns находится под каждым location в списке replication_locations .

Примечание.

storage_account_hns Часть hns относится к возможности иерархического пространства имен учетных записей Azure Data Lake Storage 2-го поколения.

В следующем примере YAML-файл демонстрирует эту расширенную конфигурацию хранилища:

name: DemoRegistry2
tags:
  description: Registry with additional configuration for storage accounts
  foo: bar
location: eastus
replication_locations:
  - location: eastus
    storage_config:
      storage_account_hns: False
      storage_account_type: Standard_LRS
  - location: eastus2
    storage_config:
      storage_account_hns: False
      storage_account_type: Standard_LRS
  - location: westus
    storage_config:
      storage_account_hns: False
      storage_account_type: Standard_LRS

Добавление пользователей в реестр

Решите, следует ли разрешить пользователям использовать только ресурсы (модели, среды и компоненты) из реестра или как использовать, так и создавать ресурсы в реестре. Ознакомьтесь с инструкциями по назначению роли, если вы не знаете, как управлять разрешениями с помощью управления доступом на основе ролей Azure.

Разрешить пользователям использовать ресурсы из реестра

Чтобы разрешить пользователю читать только ресурсы, можно предоставить пользователю встроенную роль чтения . Если вы не хотите использовать встроенную роль, создайте пользовательскую роль со следующими разрешениями.

Разрешение	Description
Microsoft.Machine Обучение Services/registries/read	Позволяет пользователю перечислять реестры и получать метаданные реестра
Microsoft.Machine Обучение Services/registries/assets/read	Позволяет пользователю просматривать ресурсы и использовать ресурсы в рабочей области

Разрешить пользователям создавать и использовать ресурсы из реестра

Чтобы разрешить пользователю читать и создавать или удалять ресурсы, предоставьте следующее разрешение на запись в дополнение к приведенным выше разрешениям на чтение.

Разрешение	Description
Microsoft.Machine Обучение Services/registries/assets/write	Создание ресурсов в реестрах
Microsoft.Machine Обучение Services/registries/assets/delete	Удаление ресурсов в реестрах

Предупреждение

Встроенные роли участника и владельца позволяют пользователям создавать, обновлять и удалять реестры. Необходимо создать пользовательскую роль, если вы хотите, чтобы пользователь создавал и использовал ресурсы из реестра, но не создавал или обновлял реестры. Просмотрите настраиваемые роли, чтобы узнать, как создавать пользовательские роли из разрешений.

Разрешить пользователям создавать реестры и управлять ими

Чтобы разрешить пользователям создавать, обновлять и удалять реестры, предоставьте им встроенную роль участника или владельца . Если вы не хотите использовать встроенные роли, создайте пользовательскую роль со следующими разрешениями, а также все указанные выше разрешения для чтения, создания и удаления ресурсов в реестре.

Разрешение	Description
Microsoft.Machine Обучение Services/registries/write	Позволяет пользователю создавать или обновлять реестры
Microsoft.Machine Обучение Services/registries/delete	Позволяет пользователю удалять реестры

Следующие шаги

• Узнайте, как совместно использовать модели, компоненты и среды в рабочих областях с реестрами
• Сетевая изоляция с помощью реестров