Använda Azure Machine Learning Studio i ett virtuellt Azure-nätverk

I den här artikeln får du lära dig hur du använder Azure Machine Learning studio i ett virtuellt nätverk. Studio innehåller funktioner som AutoML, designern och dataetiketter.

Vissa av studiofunktionerna är inaktiverade som standard i ett virtuellt nätverk. Om du vill återaktivera dessa funktioner måste du aktivera hanterad identitet för lagringskonton som du tänker använda i Studio.

Följande åtgärder är inaktiverade som standard i ett virtuellt nätverk:

  • Förhandsgranska data i studio.
  • Visualisera data i designern.
  • Distribuera en modell i designern.
  • Skicka ett AutoML-experiment.
  • Starta ett etiketteringsprojekt.

Studio stöder läsning av data från följande datalagertyper i ett virtuellt nätverk:

  • Azure Storage -konto (&-fil)
  • Azure Data Lake Storage Gen1
  • Azure Data Lake Storage Gen2
  • Azure SQL Database

I den här artikeln kan du se hur du:

  • Ge studioåtkomst till data som lagras i ett virtuellt nätverk.
  • Få åtkomst till studio från en resurs i ett virtuellt nätverk.
  • Förstå hur studio påverkar lagringssäkerheten.

Tips

Den här artikeln ingår i en serie om att skydda ett Azure Machine Learning arbetsflöde. Se de andra artiklarna i den här serien:

Förutsättningar

Begränsningar

Azure Storage-konto

  • När lagringskontot finns i det virtuella nätverket finns det extra verifieringskrav när du använder Studio:

    • Om lagringskontot använder en tjänstslutpunkt måste arbetsytans privata slutpunkt och lagringstjänstslutpunkt finnas i samma undernät i det virtuella nätverket.
    • Om lagringskontot använder en privat slutpunkt måste arbetsytans privata slutpunkt och lagringstjänstslutpunkt finnas i samma virtuella nätverk. I det här fallet kan de finnas i olika undernät.

Designerexempelpipeline

Det finns ett känt problem där användaren inte kan köra exempelpipelinen på designerns startsida. Det här är exempeldatauppsättningen som används i exempelpipelinen är En global Azure-datauppsättning och den kan inte uppfylla alla virtuella nätverksmiljöer.

För att lösa det här problemet kan du använda en offentlig arbetsyta för att köra en exempelpipeline för att lära dig hur du använder designern och sedan ersätta exempeldatauppsättningen med din egen datauppsättning på arbetsytan i det virtuella nätverket.

Datalager: Azure Storage konto

Använd följande steg för att ge åtkomst till data som lagras i Azure Blob och File Storage:

Tips

Det första steget krävs inte för arbetsytans standardlagringskonto. Alla andra steg krävs för alla lagringskonto bakom det virtuella nätverket och används av arbetsytan, inklusive standardlagringskontot.

  1. Om lagringskontot är standardlagring för din arbetsyta hoppar du över det här steget. Om det inte är standard beviljar du arbetsytans hanterade identitet rollen "Storage Blob Data Reader" för Azure Storage-kontot så att det kan läsa data från Blob Storage.

    Mer information finns i den inbyggda rollen Blob Data Reader.

  2. Ge arbetsytans hanterade identitet rollen Läsare för privata slutpunkter för lagring. Om lagringstjänsten använder en privat slutpunkt beviljar du arbetsytans hanterade identitet Läsaråtkomst till den privata slutpunkten. Arbetsytans hanterade identitet i Azure AD har samma namn som din Azure Machine Learning arbetsyta.

    Tips

    Ditt lagringskonto kan ha flera privata slutpunkter. Ett lagringskonto kan till exempel ha en separat privat slutpunkt för blob, fil och dfs (Azure Data Lake Storage Gen2). Lägg till den hanterade identiteten till alla dessa slutpunkter.

    Mer information finns i den inbyggda rollen Läsare.

  3. Aktivera autentisering med hanterad identitet för standardlagringskonton. Varje Azure Machine Learning har två standardlagringskonton, ett bloblagringskonto av standardtyp och ett standardkonto för fillagring, som definieras när du skapar arbetsytan. Du kan också ange nya standardvärden på sidan Datalagerhantering.

    Skärmbild som visar var standarddatalager finns

    I följande tabell beskrivs varför autentisering med hanterad identitet används för arbetsytans standardlagringskonton.

    Lagringskonto Kommentarer
    Standardbloblagring för arbetsytan Lagrar modelltillgångar från designern. Aktivera autentisering med hanterad identitet på det här lagringskontot för att distribuera modeller i designern.

    Du kan visualisera och köra en designerpipeline om den använder ett datalager som inte är standard och som har konfigurerats för att använda hanterad identitet. Men om du försöker distribuera en tränad modell utan att ha aktiverat hanterad identitet i standarddatalagringen misslyckas distributionen oavsett andra datalager som används.
    Standardfilarkiv för arbetsyta Lagrar AutoML-experimenttillgångar. Aktivera autentisering med hanterad identitet på det här lagringskontot för att skicka AutoML-experiment.
  4. Konfigurera datalager för att använda autentisering med hanterad identitet. När du har lagt till ett Azure Storage-konto i ditt virtuella nätverk med antingen en tjänstslutpunkt eller privat slutpunkt måstedu konfigurera ditt datalager att använda autentisering med hanterad identitet. På så sätt kan studio komma åt data i ditt lagringskonto.

    Azure Machine Learning använder datalager för att ansluta till lagringskonton. När du skapar ett nytt datalager använder du följande steg för att konfigurera ett datalager för att använda autentisering med hanterad identitet:

    1. I studio väljer du Datastores.

    2. Om du vill uppdatera ett befintligt datalager väljer du datalagringen och sedan Uppdatera autentiseringsuppgifter.

      Om du vill skapa ett nytt datalager väljer du + Nytt datalager.

    3. I inställningarna för datalager väljer du Ja för Använd hanterad identitet för arbetsyta för förhandsgranskning och profilering i Azure Machine Learning studio.

      Skärmbild som visar hur du aktiverar identitet för hanterad arbetsyta

    De här stegen lägger till arbetsytans hanterade identitet som läsare i den nya lagringstjänsten med Hjälp av Azure RBAC. Med läsåtkomst kan arbetsytan visa resursen, men inte göra ändringar.

Datalager: Azure Data Lake Storage Gen1

När du använder Azure Data Lake Storage Gen1 som datalager kan du bara använda åtkomstkontrolllistor i POSIX-format. Du kan tilldela arbetsytans hanterade identitet åtkomst till resurser precis som andra säkerhetsobjekt. Mer information finns i Åtkomstkontroll i Azure Data Lake Storage Gen1.

Datalager: Azure Data Lake Storage Gen2

När du använder Azure Data Lake Storage Gen2 som datalager kan du använda åtkomstkontrollistor i både Azure RBAC- och POSIX-format för att styra dataåtkomsten i ett virtuellt nätverk.

Om du vill använda Azure RBAC följer du stegen i avsnittet Datalager: Azure Storage konto i den här artikeln. Data Lake Storage Gen2 baseras på Azure Storage, så samma steg gäller när du använder Azure RBAC.

Om du vill använda ACL:er kan arbetsytans hanterade identitet tilldelas åtkomst precis som andra säkerhetsobjekt. Mer information finns i Åtkomstkontrolllistor för filer och kataloger.

Datalager: Azure SQL Database

För att komma åt data som lagras Azure SQL Database en hanterad identitet måste du skapa en SQL innesluten användare som mappar till den hanterade identiteten. Mer information om hur du skapar en användare från en extern provider finns i Skapa inneslutna användare som är mappade till Azure AD-identiteter.

När du har skapat SQL en innesluten användare beviljar du behörigheter till den med hjälp av kommandot GRANT T-SQL.

Mellanliggande komponentutdata

När du använder Azure Machine Learning designerns mellanliggande komponentutdata kan du ange utdataplatsen för alla komponenter i designern. Använd det här för att lagra mellanliggande datamängder på separata platser för säkerhet, loggning eller granskning. Använd följande steg för att ange utdata:

  1. Välj den komponent vars utdata du vill ange.
  2. I fönstret komponentinställningar som visas till höger väljer du Utdatainställningar.
  3. Ange det datalager som du vill använda för varje komponentutdata.

Kontrollera att du har åtkomst till mellanliggande lagringskonton i ditt virtuella nätverk. Annars misslyckas pipelinen.

Aktivera autentisering med hanterad identitet för mellanliggande lagringskonton för att visualisera utdata.

Få åtkomst till studio från en resurs i det virtuella nätverket

Om du använder studio från en resurs i ett virtuellt nätverk (till exempel en beräkningsinstans eller virtuell dator) måste du tillåta utgående trafik från det virtuella nätverket till studio.

Om du till exempel använder nätverkssäkerhetsgrupper (NSG) för att begränsa utgående trafik lägger du till en regel i ett tjänsttaggmål för AzureFrontDoor.Frontend.

Brandväggsinställningar

Vissa lagringstjänster, till exempel Azure Storage konto, har brandväggsinställningar som gäller för den offentliga slutpunkten för den specifika tjänstinstansen. Med den här inställningen kan du vanligtvis tillåta/inte tillåta åtkomst från specifika IP-adresser från det offentliga Internet. Detta stöds inte när du använder Azure Machine Learning Studio. Det stöds när du använder Azure Machine Learning SDK eller CLI.

Tips

Azure Machine Learning Studio stöds när du använder Azure Firewall tjänsten. Mer information finns i Använda din arbetsyta bakom en brandvägg.

Nästa steg

Den här artikeln ingår i en serie om att skydda ett Azure Machine Learning arbetsflöde. Se de andra artiklarna i den här serien: