Использование Студии машинного обучения Azure в виртуальной сети Azure

  • Статья

Совет

Корпорация Майкрософт рекомендует использовать Машинное обучение Azure управляемых виртуальных сетей вместо действий, описанных в этой статье. С помощью управляемой виртуальной сети Машинное обучение Azure обрабатывает задание сетевой изоляции для рабочей области и управляемых вычислений. Вы также можете добавить частные конечные точки для ресурсов, необходимых рабочей области, например служба хранилища Azure account. Дополнительные сведения см. в изоляция управляемой сети рабочей области.

В этой статье объясняется, как использовать Студия машинного обучения Azure в виртуальной сети. Студия включает такие возможности, как AutoML, конструктор и маркировку данных.

Некоторые из функций студии в виртуальной сети по умолчанию отключаются. Чтобы повторно включить эти функции, необходимо включить управляемое удостоверение для учетных записей хранения, которые вы планируете использовать в студии.

По умолчанию в виртуальной сети отключены следующие операции:

  • Предварительный просмотр данных в студии.
  • Визуализация данных в конструкторе.
  • Развертывание модели в конструкторе.
  • Отправка эксперимента автоматизированного машинного обучения (AutoML).
  • Запуск проекта маркировки.

Студия поддерживает считывание данных из хранилищ данных следующих типов в виртуальной сети:

  • Учетная запись хранения Azure (большие двоичные объекты и файлы)
  • Хранилище Azure Data Lake Storage 1-го поколения
  • Azure Data Lake Storage 2-го поколения
  • База данных SQL Azure

Вы узнаете, как выполнять следующие задачи:

  • Предоставление Студии доступа к данным, которые хранятся в виртуальной сети.
  • Получение к Студии доступа из ресурса, который расположен в виртуальной сети.
  • Узнайте, как Студия влияет на безопасность хранилища.

Необходимые компоненты

  • Прочтите Обзор сетевой безопасности, чтобы ознакомиться с распространенными сценариями применения виртуальных сетей и их архитектурой.

  • У вас должна быть уже существующая виртуальная сеть и подсеть, которые будут использоваться.

Ограничения

Учетная запись хранения Azure

  • Если учетная запись хранения находится в виртуальной сети, существуют дополнительные требования к проверке для использования студии:

    • Если учетная запись хранения использует конечную точку службы, частная конечная точка рабочей области и конечная точка службы хранилища должны находиться в той же подсети виртуальной сети.
    • Если учетная запись хранения использует частную конечную точку, частная рабочая область и частная конечная точка хранилища должны находиться в одной виртуальной сети. При этом они могут находиться в разных подсетях.

Примеры конвейеров из конструктора

Существует известная проблема, из-за которой пользователи не могут запустить пример конвейера на домашней странице конструктора. Эта проблема возникает, так как пример набора данных, используемого в примере конвейера, является глобальным набором данных Azure. Доступ к нему невозможно получить из среды виртуальной сети.

Чтобы устранить эту проблему, используйте общедоступную рабочую область для запуска примера конвейера. Или замените образец набора данных собственным набором данных в рабочей области в виртуальной сети.

Хранилище данных: учетная запись хранения Azure

Выполните следующие действия, чтобы включить доступ к данным, хранящимся в хранилище файлов и BLOB-объектов Azure:

Совет

Первый шаг не требуется для учетной записи хранения по умолчанию для рабочей области. Все остальные действия необходимы для любой учетной записи хранения, которая находится за виртуальной сетью и используется рабочей областью, включая учетную запись хранения по умолчанию.

  1. Если учетная запись хранения является хранилищем по умолчанию для рабочей области, пропустите этот шаг. Если это не по умолчанию, предоставьте управляемому удостоверению рабочей области роль чтения данных blob-объектов служба хранилища для учетной записи хранения Azure, чтобы она смогла считывать данные из хранилища BLOB-объектов.

    Дополнительные сведения см. в разделе Средство чтения данных больших двоичных объектов.

  2. Предоставьте удостоверению пользователя Azure роль чтения данных BLOB-объектов служба хранилища для учетной записи хранения Azure. Студия использует удостоверение для доступа к данным в хранилище BLOB-объектов, даже если у управляемого удостоверения рабочей области есть роль читателя.

    Дополнительные сведения см. в разделе Средство чтения данных больших двоичных объектов.

  3. Предоставьте управляемому удостоверению рабочей области роль читателя для частных конечных точек хранилища. Если служба хранилища использует частную конечную точку, предоставьте управляемому читателю удостоверений рабочей области доступ к частной конечной точке. Управляемое удостоверение рабочей области в идентификаторе Microsoft Entra имеет то же имя, что и ваша рабочая область Машинное обучение Azure. Частная конечная точка необходима как для типов BLOB-объектов, так и для файлов.

    Совет

    У вашей учетной записи хранения может быть несколько частных конечных точек. Например, одна учетная запись хранения может иметь отдельную частную конечную точку для BLOB-объектов, файлов и dfs (Azure Data Lake Storage 2-го поколения). Добавьте управляемое удостоверение во все конечные точки.

    Дополнительные сведения см. в разделе Встроенная роль "Читатель".

  4. Включение проверки подлинности по управляемому удостоверению для учетных записей хранения по умолчанию. Каждая рабочая область Машинное обучение Azure имеет две учетные записи хранения по умолчанию, учетную запись хранения BLOB-объектов по умолчанию и учетную запись хранения файлов по умолчанию. Оба определяются при создании рабочей области. На странице управления Хранилища данных также можно выбрать другие значения по умолчанию.

    Снимок экрана: расположение хранилищ данных по умолчанию.

    В следующей таблице описана причина использования проверки подлинности по управляемым удостоверениям для учетных записей хранения по умолчанию вашей рабочей области.

    Storage account Примечания.
    Хранилище больших двоичных объектов рабочей области по умолчанию Содержит активы моделей из конструктора. Чтобы развертывать модели в конструкторе, включите проверку подлинности по управляемым удостоверениям для этой учетной записи хранения. Если проверка подлинности управляемого удостоверения отключена, для доступа к данным, хранящимся в большом двоичном объекте, используется удостоверение пользователя.

    Визуализировать и выполнять конвейер конструктора можно и при использовании хранилища данных не по умолчанию, которое настроено на использование управляемых удостоверений. Однако при попытке развернуть обученную модель без управляемого удостоверения в хранилище данных по умолчанию развертывание завершается ошибкой независимо от других используемых хранилищ данных.
    Хранилище файлов рабочей области по умолчанию Содержит ресурсы экспериментов AutoML. Чтобы отправлять эксперименты AutoML, включите проверку подлинности по управляемым удостоверениям для этой учетной записи хранения.

  5. Настройка хранилищ данных для использования проверки подлинности по управляемым удостоверениям. После добавления учетной записи хранения Azure в виртуальную сеть с применением либо конечной точки службы, либо частной конечной точки необходимо настроить хранилище данных на использование проверки подлинности с помощью управляемых удостоверений. Это позволит студии получить доступ к данным в вашей учетной записи хранения.

    В Машинном обучении Azure для подключения к учетным записям хранения применяется хранилище данных. При создании нового хранилища данных выполните следующие действия, чтобы настроить его для проверки подлинности по управляемым удостоверениям:

    1. В Студии выберите Хранилища данных.

    2. Чтобы создать новое хранилище данных, нажмите кнопку +Создать.

    3. В параметрах хранилища данных включите переключатель для использования управляемого удостоверения рабочей области для предварительного просмотра и профилирования данных в Студия машинного обучения Azure.

      Снимок экрана: включение удостоверения управляемой рабочей области.

    4. В параметрах сети для учетной записи служба хранилища Azure добавьте Microsoft.MachineLearningService/workspacesтип ресурса и задайте имя экземпляра рабочей области.

    Эти действия добавляют управляемое удостоверение рабочей области в качестве читателя в новую службу хранилища с помощью управления доступом на основе ролей Azure (RBAC). Доступ для чтения позволяет рабочей области просматривать ресурс, но не вносить в него изменения.

Хранилище данных: Azure Data Lake Storage 1-го поколения

При использовании Azure Data Lake Storage 1-го поколения в качестве хранилища данных можно использовать только списки управления доступом в стиле POSIX. Удостоверению, управляемому рабочей областью, можно назначать доступ к ресурсам, как и любому другому субъекту безопасности. Дополнительные сведения см. в статье Контроль доступа в Azure Data Lake Storage 1-го поколения.

Хранилище данных: Azure Data Lake Storage 2-го поколения

При использовании Azure Data Lake Storage 2-го поколения в качестве хранилища данных можно использовать как Azure RBAC, так и списки управления доступом (ACL) в стиле POSIX для управления доступом к данным в виртуальной сети.

Чтобы использовать Azure RBAC, выполните действия, описанные в разделе "Хранилище данных: учетная запись хранения Azure" этой статьи. Data Lake Storage 2-го поколения основан на службе хранилища Azure, поэтому при использовании Azure RBAC необходимо выполнить аналогичные действия.

Для использования списков управления доступом можно назначить удостоверению, управляемому рабочей областью, доступ, как и любому другому субъекту безопасности. Дополнительные сведения см. в разделе Списки управления доступом для файлов и каталогов.

Хранилище данных: База данных Azure SQL

Для доступа с помощью управляемого удостоверения к данным, хранящимся в Базе данных Azure SQL, необходимо создать автономного пользователя SQL, который будет сопоставлен с этим управляемым удостоверением. Дополнительные сведения о создании пользователя из внешнего поставщика см. в статье "Создание содержащихся пользователей, сопоставленных с удостоверениями Microsoft Entra".

После создания автономного пользователя SQL предоставьте ему разрешения с помощью команды T-SQL GRANT.

Выходные данные промежуточного компонента

При использовании выходных данных промежуточного компонента конструктора Машинного обучения Azure можно указать расположение выходных данных для любого компонента в конструкторе. Используйте эти выходные данные для хранения промежуточных наборов данных в отдельном расположении для целей безопасности, ведения журнала или аудита. Чтобы указать выходные данные, выполните следующие действия:

  1. Выберите компонент, для которого необходимо задать расположение выходных данных.
  2. В области параметров компонента выберите параметры вывода.
  3. Укажите хранилище данных, которое должно использоваться для выходных данных конкретного компонента.

Убедитесь, что у вас есть доступ к учетным записям промежуточных хранилищ в виртуальной сети. В противном случае конвейер завершается ошибкой.

Включите проверку подлинности по управляемым удостоверениям для учетных записей промежуточных хранилищ, чтобы можно было визуализировать выходные данные.

Получение доступа к студии из ресурса внутри виртуальной сети

Если вы обращаетесь к студии из ресурса внутри виртуальной сети (например, вычислительный экземпляр или виртуальная машина), необходимо разрешить исходящий трафик из виртуальной сети в студию.

Например, если вы используете группы безопасности сети (NSG) для ограничения исходящего трафика, добавьте правило в назначение тегаAzureFrontDoor.Frontendслужбы.

Параметры брандмауэра

Некоторые службы хранилища, такие как учетная запись хранения Azure, используют параметры брандмауэра, применяемые к общедоступной конечной точке для данного экземпляра службы. Обычно эти параметры позволяют разрешить или запретить доступ с конкретных IP-адресов общедоступного Интернета. Это не поддерживается при использовании Студии машинного обучения Azure. Она поддерживается при использовании пакета SDK Машинное обучение Azure или CLI.

Совет

Студия машинного обучения Azure поддерживается при использовании службы "Брандмауэр Azure". Дополнительную информацию см. в статье Настройка входящего и исходящего сетевого трафика.

Связанный контент

Эта статья входит в цикл статей, посвященных вопросам защиты рабочего процесса Машинного обучения Azure. Другие статьи этой серии: