التخويل على نقاط النهاية الدفعية

تدعم نقاط النهاية الدفعية مصادقة Microsoft Entra أو aad_token. وهذا يعني أنه من أجل استدعاء نقطة نهاية دفعة، يجب على المستخدم تقديم رمز مصادقة Microsoft Entra صالح إلى URI لنقطة نهاية الدفعة. يتم فرض التخويل على مستوى نقطة النهاية. توضح المقالة التالية كيفية التفاعل بشكل صحيح مع نقاط النهاية الدفعية ومتطلبات الأمان الخاصة بها.

كيفية عمل التخويل

لاستدعاء نقطة نهاية دفعية، يجب على المستخدم تقديم رمز مميز صالح ل Microsoft Entra يمثل أساس أمان. يمكن أن يكون هذا الأساسي كيان مستخدم أو كيان خدمة. على أي حال، بمجرد استدعاء نقطة نهاية، يتم إنشاء مهمة نشر دفعة ضمن الهوية المقترنة بالرمز المميز. تحتاج الهوية إلى الأذونات التالية لإنشاء وظيفة بنجاح:

• قراءة نقاط النهاية/عمليات النشر الدفعية.
• إنشاء وظائف في نقاط نهاية الاستدلال الدفعي/النشر.
• إنشاء تجارب/عمليات تشغيل.
• القراءة والكتابة من/إلى مخازن البيانات.
• يسرد أسرار مخزن البيانات.

راجع تكوين RBAC لاستدعاء نقطة نهاية الدفعة للحصول على قائمة مفصلة بأذونات RBAC.

هام

قد لا يتم استخدام الهوية المستخدمة لاستدعاء نقطة نهاية دفعية لقراءة البيانات الأساسية اعتمادا على كيفية تكوين مخزن البيانات. يرجى مراجعة تكوين مجموعات الحوسبة للوصول إلى البيانات لمزيد من التفاصيل.

كيفية تشغيل المهام باستخدام أنواع مختلفة من بيانات الاعتماد

توضح الأمثلة التالية طرقا مختلفة لبدء مهام توزيع الدفعات باستخدام أنواع مختلفة من بيانات الاعتماد:

هام

عند العمل على مساحات عمل خاصة ممكنة للارتباط، لا يمكن استدعاء نقاط النهاية الدفعية من واجهة المستخدم في Azure التعلم الآلي studio. يرجى استخدام Azure التعلم الآلي CLI v2 بدلا من ذلك لإنشاء الوظيفة.

المتطلبات الأساسية

• يفترض هذا المثال أن لديك نموذجا تم نشره بشكل صحيح كنقطة نهاية دفعية. على وجه الخصوص، نحن نستخدم مصنف حالة القلب الذي تم إنشاؤه في البرنامج التعليمي باستخدام نماذج MLflow في عمليات توزيع الدفعات.

تشغيل المهام باستخدام بيانات اعتماد المستخدم

في هذه الحالة، نريد تنفيذ نقطة نهاية دفعية باستخدام هوية المستخدم الذي قام بتسجيل الدخول حاليا. اتبع الخطوات التالية:

Azure CLI

1. استخدم Azure CLI لتسجيل الدخول باستخدام مصادقة تفاعلية أو مصادقة رمز الجهاز:

   az login
   

2. بمجرد المصادقة، استخدم الأمر التالي لتشغيل مهمة نشر دفعة:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
   

Python

1. استخدم Azure التعلم الآلي SDK ل Python لتسجيل الدخول باستخدام مصادقة تفاعلية أو مصادقة الجهاز:

   from azure.ai.ml import MLClient
   from azure.identity import InteractiveAzureCredentials
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(InteractiveAzureCredentials(), subscription_id, resource_group, workspace)
   

2. بمجرد المصادقة، استخدم الأمر التالي لتشغيل مهمة نشر دفعة:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

بقيه

عند العمل مع REST، نوصي باستدعاء نقاط نهاية الدفعة باستخدام كيان الخدمة. ومع ذلك، إذا كنت ترغب في اختبار توزيع معين باستخدام REST مع بيانات الاعتماد الخاصة بك، يمكنك القيام بذلك عن طريق إنشاء رمز مميز من Microsoft Entra لحسابك. اتبع الخطوات التالية:

1. أبسط طريقة للحصول على رمز مميز صالح لحساب المستخدم الخاص بك هي استخدام Azure CLI. في وحدة التحكم، قم بتشغيل الأمر التالي:

   az account get-access-token --resource https://ml.azure.com \
                               --query "accessToken" \
                               --output tsv
   

2. لاحظ الإخراج الذي تم إنشاؤه.

3. بمجرد المصادقة، قم بإجراء طلب إلى استدعاء URI لاستبداله <TOKEN> بالطلب الذي حصلت عليه من قبل.

   طلب:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   النص:

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

تشغيل المهام باستخدام كيان الخدمة

في هذه الحالة، نريد تنفيذ نقطة نهاية دفعية باستخدام كيان خدمة تم إنشاؤه بالفعل في معرف Microsoft Entra. لإكمال المصادقة، سيتعين عليك إنشاء سر لتنفيذ المصادقة. اتبع الخطوات التالية:

Azure CLI

1. إنشاء سر لاستخدامه للمصادقة كما هو موضح في الخيار 3: إنشاء سر عميل جديد.

2. للمصادقة باستخدام كيان خدمة، استخدم الأمر التالي. لمزيد من التفاصيل، راجع تسجيل الدخول باستخدام Azure CLI.

   az login --service-principal \
            --tenant <tenant> \
            -u <app-id> \
            -p <password-or-cert> 
   

3. بمجرد المصادقة، استخدم الأمر التالي لتشغيل مهمة نشر دفعة:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
   

Python

1. إنشاء سر لاستخدامه للمصادقة كما هو موضح في الخيار 3: إنشاء سر عميل جديد.

2. للمصادقة باستخدام كيان الخدمة، قم بالإشارة إلى معرف المستأجر ومعرف العميل وسر العميل لمدير الخدمة باستخدام متغيرات البيئة كما هو موضح:

   from azure.ai.ml import MLClient
   from azure.identity import EnvironmentCredential
   
   os.environ["AZURE_TENANT_ID"] = "<TENANT_ID>"
   os.environ["AZURE_CLIENT_ID"] = "<CLIENT_ID>"
   os.environ["AZURE_CLIENT_SECRET"] = "<CLIENT_SECRET>"
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(EnvironmentCredential(), subscription_id, resource_group, workspace)
   

3. بمجرد المصادقة، استخدم الأمر التالي لتشغيل مهمة نشر دفعة:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

بقيه

1. إنشاء سر لاستخدامه للمصادقة كما هو موضح في الخيار 3: إنشاء سر عميل جديد.

2. استخدم خدمة تسجيل الدخول من Azure للحصول على رمز مميز للتخويل. يتم إصدار رموز التخويل المميزة لنطاق معين. نوع المورد ل Azure التعلم الآلي هو https://ml.azure.com. سيبدو الطلب كما يلي:

   طلب:

   POST /{TENANT_ID}/oauth2/token HTTP/1.1
   Host: login.microsoftonline.com
   

   النص:

   grant_type=client_credentials&client_id=<CLIENT_ID>&client_secret=<CLIENT_SECRET>&resource=https://ml.azure.com
   

   هام

   لاحظ أن نطاق المورد لاستدعاء نقاط نهاية دفعية (https://ml.azure.com) يختلف عن نطاق المورد المستخدم لإدارتها. تستخدم جميع واجهات برمجة التطبيقات للإدارة في Azure نطاق https://management.azure.comالمورد ، بما في ذلك Azure التعلم الآلي.

3. بمجرد المصادقة، استخدم الاستعلام لتشغيل مهمة نشر دفعة:

   طلب:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   النص:

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

تشغيل المهام باستخدام هوية مدارة

يمكنك استخدام الهويات المدارة لاستدعاء نقطة نهاية الدفعة والنشرات. لاحظ أن هوية الإدارة هذه لا تنتمي إلى نقطة نهاية الدفعة، ولكنها الهوية المستخدمة لتنفيذ نقطة النهاية ومن ثم إنشاء مهمة دفعية. يمكن استخدام كل من الهويات المعينة من قبل المستخدم والهويات المعينة من قبل النظام في هذا السيناريو.

Azure CLI

في الموارد التي تم تكوينها للهويات المدارة لموارد Azure، يمكنك تسجيل الدخول باستخدام الهوية المدارة. يتم تسجيل الدخول باستخدام هوية المورد من خلال العلامة --identity . لمزيد من التفاصيل، راجع تسجيل الدخول باستخدام Azure CLI.

az login --identity

بمجرد المصادقة، استخدم الأمر التالي لتشغيل مهمة نشر دفعة:

az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                            --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci

Python

في الموارد التي تم تكوينها للهويات المدارة لموارد Azure، يمكنك تسجيل الدخول باستخدام الهوية المدارة. استخدم معرف المورد مع ManagedIdentityCredential الكائن كما هو موضح في المثال التالي:

from azure.ai.ml import MLClient
from azure.identity import ManagedIdentityCredential

subscription_id = "<subscription>"
resource_group = "<resource-group>"
workspace = "<workspace>"
resource_id = "<resource-id>"

ml_client = MLClient(ManagedIdentityCredential(resource_id), subscription_id, resource_group, workspace)

بمجرد المصادقة، استخدم الأمر التالي لتشغيل مهمة نشر دفعة:

job = ml_client.batch_endpoints.invoke(
        endpoint_name,
        input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
    )

بقيه

يمكنك استخدام واجهة برمجة تطبيقات REST ل Azure التعلم الآلي لبدء مهمة نقاط نهاية دفعية باستخدام هوية مدارة. تختلف الخطوات وفقا للخدمة الأساسية المستخدمة. تتضمن بعض الأمثلة (على سبيل المثال لا الحصر):

• الهوية المدارة ل Azure Data Factory
• كيفية استخدام الهويات المدارة ل App Service وAzure Functions.
• كيفية استخدام الهويات المدارة لموارد Azure على جهاز Azure الظاهري للحصول على رمز مميز للوصول.

يمكنك أيضا استخدام Azure CLI للحصول على رمز مصادقة للهوية المدارة وتمريره إلى نقاط نهاية الدفعة URI.

تكوين RBAC لاستدعاء نقاط النهاية الدفعية

تعرض نقاط النهاية الدفعية مستهلكي واجهة برمجة تطبيقات دائمة يمكنهم استخدامها لإنشاء وظائف. يطلب المستدعي الإذن المناسب ليتمكن من إنشاء هذه الوظائف. يمكنك إما استخدام أحد أدوار الأمان المضمنة أو يمكنك إنشاء دور مخصص للأغراض.

لاستدعاء نقطة نهاية دفعية بنجاح، تحتاج إلى الإجراءات الصريحة التالية الممنوحة للهوية المستخدمة لاستدعاء نقاط النهاية. راجع خطوات تعيين دور Azure للحصول على إرشادات لتعيينها.

"actions": [
    "Microsoft.MachineLearningServices/workspaces/read",
    "Microsoft.MachineLearningServices/workspaces/data/versions/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/read",
    "Microsoft.MachineLearningServices/workspaces/datastores/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
    "Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/computes/read",
    "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
    "Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
    "Microsoft.MachineLearningServices/workspaces/experiments/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
    "Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
    "Microsoft.MachineLearningServices/workspaces/modules/read",
    "Microsoft.MachineLearningServices/workspaces/models/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
    "Microsoft.MachineLearningServices/workspaces/environments/read",
    "Microsoft.MachineLearningServices/workspaces/environments/write",
    "Microsoft.MachineLearningServices/workspaces/environments/build/action",
    "Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]

تكوين مجموعات الحوسبة للوصول إلى البيانات

تضمن نقاط النهاية الدفعية أن المستخدمين المعتمدين فقط هم القادرون على استدعاء عمليات نشر الدفعات وإنشاء وظائف. ومع ذلك، اعتمادا على كيفية تكوين بيانات الإدخال، يمكن استخدام بيانات اعتماد أخرى لقراءة البيانات الأساسية. استخدم الجدول التالي لفهم بيانات الاعتماد المستخدمة:

نوع إدخال البيانات	بيانات الاعتماد في المتجر	بيانات الاعتماد المستخدمة	الوصول الممنوح من قبل
مخزن البيانات	‏‏نعم‬	بيانات اعتماد مخزن البيانات في مساحة العمل	مفتاح الوصول أو SAS
أصل البيانات	‏‏نعم‬	بيانات اعتماد مخزن البيانات في مساحة العمل	مفتاح الوصول أو SAS
مخزن البيانات	لا	هوية الوظيفة + الهوية المدارة لمجموعة الحوسبة	RBAC
أصل البيانات	لا	هوية الوظيفة + الهوية المدارة لمجموعة الحوسبة	RBAC
Azure Blob Storage	غير مطبق	هوية الوظيفة + الهوية المدارة لمجموعة الحوسبة	RBAC
Azure Data Lake Storage الجيل الأول	غير مطبق	هوية الوظيفة + الهوية المدارة لمجموعة الحوسبة	POSIX
Azure Data Lake Storage Gen2	غير مطبق	هوية الوظيفة + الهوية المدارة لمجموعة الحوسبة	POSIX وRBAC

بالنسبة لتلك العناصر في الجدول حيث يتم عرض هوية الوظيفة + الهوية المدارة لمجموعة الحوسبة، يتم استخدام الهوية المدارة لمجموعة الحوسبة لتحميل حسابات التخزين وتكوينها. ومع ذلك، لا تزال هوية الوظيفة تستخدم لقراءة البيانات الأساسية مما يسمح لك بتحقيق التحكم في الوصول متعدد المستويات. وهذا يعني أنه لقراءة البيانات بنجاح من التخزين، يجب أن يكون للهوية المدارة لنظام مجموعة الحوسبة حيث يتم تشغيل النشر حق الوصول إلى Storage Blob Data Reader على الأقل إلى حساب التخزين.

لتكوين نظام مجموعة الحوسبة للوصول إلى البيانات، اتبع الخطوات التالية:

1. انتقل إلى Azure التعلم الآلي studio.

2. انتقل إلى Compute، ثم Compute clusters، وحدد مجموعة الحوسبة التي يستخدمها التوزيع الخاص بك.

3. تعيين هوية مدارة إلى نظام مجموعة الحوسبة:

   1. في قسم الهوية المدارة، تحقق مما إذا كان الحساب يحتوي على هوية مدارة معينة. إذا لم يكن الأمر كما هو، فحدد الخيار تحرير.

   2. حدد تعيين هوية مدارة وتكوينها حسب الحاجة. يمكنك استخدام هوية مدارة معينة من قبل النظام أو هوية مدارة معينة من قبل المستخدم. إذا كنت تستخدم هوية مدارة معينة من قبل النظام، يتم تسميتها باسم "[اسم مساحة العمل]/computes/[اسم مجموعة الحساب]".

   3. ا‏‏حفظ التغييرات.

   

4. انتقل إلى مدخل Microsoft Azure وانتقل إلى حساب التخزين المقترن حيث توجد البيانات. إذا كان إدخال البيانات عبارة عن أصل بيانات أو مخزن بيانات، فابحث عن حساب التخزين حيث يتم وضع هذه الأصول.

5. تعيين مستوى وصول Storage Blob Data Reader في حساب التخزين:

   1. انتقل إلى قسم التحكم بالوصول (IAM) .

   2. حدد علامة التبويب تعيين الدور، ثم انقر فوق إضافة>تعيين دور.

   3. ابحث عن الدور المسمى Storage Blob Data Reader، وحدده، وانقر فوق Next.

   4. انقر فوق Select members.

   5. ابحث عن الهوية المدارة التي قمت بإنشائها. إذا كنت تستخدم هوية مدارة معينة من قبل النظام، يتم تسميتها باسم "[اسم مساحة العمل]/computes/[اسم مجموعة الحوسبة]".

   6. أضف الحساب، وأكمل المعالج.

   

6. نقطة النهاية الخاصة بك جاهزة لتلقي المهام وبيانات الإدخال من حساب التخزين المحدد.

الخطوات التالية

• عزل الشبكة في نقاط نهاية الدفعة
• استدعاء نقاط نهاية الدفعة من أحداث Event Grid في التخزين.
• استدعاء نقاط نهاية الدفعة من Azure Data Factory.