إرفاق مجموعة Kubernetes إلى مساحة عمل Azure التعلم الآلي

ينطبق على:ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)

بمجرد نشر ملحق Azure التعلم الآلي على نظام مجموعة AKS أو Arc Kubernetes، يمكنك إرفاق مجموعة Kubernetes بمساحة عمل Azure التعلم الآلي وإنشاء أهداف حسابية لمتخصصي التعلم الآلي لاستخدامها.

المتطلبات الأساسية

يمكن أن يدعم إرفاق مجموعة Kubernetes بمساحة عمل Azure التعلم الآلي بمرونة العديد من السيناريوهات المختلفة. على سبيل المثال، السيناريوهات المشتركة مع مرفقات متعددة، والبرامج النصية لتدريب النموذج التي تصل إلى موارد Azure، وتكوين المصادقة لمساحة العمل.

إرفاق متعدد وعزل حمل العمل

نظام مجموعة واحد إلى مساحة عمل واحدة، وإنشاء أهداف حساب متعددة

• بالنسبة لنفس مجموعة Kubernetes، يمكنك إرفاقها بنفس مساحة العمل عدة مرات وإنشاء أهداف حساب متعددة لمشاريع/فرق/أحمال عمل مختلفة.

مجموعة واحدة إلى مساحات عمل متعددة

• بالنسبة لنفس مجموعة Kubernetes، يمكنك أيضًا إرفاقها بمساحات عمل متعددة، ويمكن لمساحات العمل المتعددة مشاركة نفس مجموعة Kubernetes.

إذا كنت تخطط للحصول على أهداف حساب مختلفة لمشاريع/فرق مختلفة، يمكنك تحديد مساحة اسم Kubernetes الموجودة في مجموعتك لهدف الحساب لعزل حمل العمل بين الفرق/المشاريع المختلفة.

هام

يجب إنشاء مساحة الاسم التي تخطط لتحديدها عند إرفاق نظام المجموعة بمساحة عمل Azure التعلم الآلي مسبقا في نظام المجموعة.

الوصول بأمان إلى مورد Azure من البرنامج النصي للتدريب

إذا كنت بحاجة إلى الوصول إلى مورد Azure بشكل آمن من البرنامج النصي للتدريب الخاص بك، يمكنك تحديد هوية مدارة لهدف حساب Kubernetes أثناء عملية الإرفاق.

إرفاق بمساحة العمل باستخدام الهوية المدارة المعينة من قبل المستخدم

يتم تعيين مساحة عمل Azure التعلم الآلي افتراضيا إلى وجود هوية مدارة معينة من قبل النظام للوصول إلى موارد Azure التعلم الآلي. تكتمل الخطوات في حال تشغيل الإعداد الافتراضي المعين من قبل النظام.

وإلا، إذا تم تحديد هوية مدارة معينة من قبل المستخدم في إنشاء مساحة عمل Azure التعلم الآلي، يجب منح تعيينات الدور التالية للهوية المدارة يدويا قبل إرفاق الحساب.

اسم مورد Azure	الأدوار التي سيتم تعيينها	‏‏الوصف
Azure Relay	Azure Relay Owner	ينطبق فقط على مجموعة Kubernetes الممكنة بواسطة Arc. لا يتم إنشاء Azure Relay لمجموعة AKS دون اتصال Arc.
Kubernetes - Azure Arc أو Azure Kubernetes Service	القارئ مساهم ملحق Kubernetes مسؤول نظام مجموعة خدمة Azure Kubernetes	ينطبق على كل من مجموعة Kubernetes الممكنة بواسطة Arc ومجموعة AKS.

تلميح

يتم إنشاء مورد Azure Relay خلال نشر الملحق ضمن نفس مجموعة الموارد مثل مجموعة Kubernetes الممكنة بواسطة Arc.

إشعار

• إذا لم يكن إذن دور "مساهم ملحق Kubernetes" متوفرا، يفشل مرفق نظام المجموعة مع ظهور الخطأ "ملحق غير مثبت".
• إذا لم يتوفر إذن دور "Azure Kubernetes Service Cluster مسؤول"، يفشل مرفق نظام المجموعة مع خطأ "الخادم الداخلي".

كيفية إرفاق مجموعة Kubernetes إلى مساحة عمل Azure التعلم الآلي

نحن ندعم طريقتين لإرفاق مجموعة Kubernetes إلى مساحة عمل Azure التعلم الآلي، باستخدام Azure CLI أو واجهة مستخدم الاستوديو.

Azure CLI

توضح أوامر CLI v2 التالية كيفية إرفاق نظام مجموعة Kubernetes التي تدعم AKS وAzure Arc، واستخدامها كهدف حساب مع تمكين الهوية المدارة.

نظام مجموعة AKS

az ml compute attach --resource-group <resource-group-name> --workspace-name <workspace-name> --type Kubernetes --name k8s-compute --resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerService/managedclusters/<cluster-name>" --identity-type SystemAssigned --namespace <Kubernetes namespace to run Azure Machine Learning workloads> --no-wait

نظام مجموعة Arc Kubernetes

az ml compute attach --resource-group <resource-group-name> --workspace-name <workspace-name> --type Kubernetes --name amlarc-compute --resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Kubernetes/connectedClusters/<cluster-name>" --user-assigned-identities "subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>" --no-wait

تعيين الوسيطة --type على Kubernetes. استخدم الوسيطة identity_type لتمكين SystemAssigned أو UserAssigned الهويات المُدارة.

هام

--user-assigned-identities مطلوب فقط لـ UserAssigned الهويات المدارة. على الرغم من أنه يمكنك تقديم قائمة بالهويات التي يديرها المستخدم مفصولة بفواصل، يتم استخدام أول واحد فقط عند إرفاق نظام المجموعة الخاصة بك.

لن يقوم إرفاق الحساب بإنشاء مساحة اسم Kubernetes تلقائيًا أو التحقق من صحة وجود مساحة اسم kubernetes. تحتاج إلى التحقق من وجود مساحة الاسم المحددة في نظام المجموعة الخاص بك، وإلا، ستفشل أي أحمال عمل Azure التعلم الآلي تم إرسالها إلى هذا الحساب.

استوديو

يؤدي إرفاق نظام مجموعة Kubernetes إلى جعلها متاحة لمساحة عملك للتدريب أو الاستدلال.

1. انتقل إلى Azure Machine Learning studio.

2. ضمن Manage، حدد Compute.

3. حدد علامة التبويب مجموعات Kubernetes.

4. حدد +New > Kubernetes

   

5. أدخل اسم حساب وحدد نظام مجموعة Kubernetes من القائمة المنسدلة.

   • (اختياري) أدخل مساحة اسم Kubernetes، والتي يتم تعيينها افتراضياً على default. يتم إرسال جميع أحمال عمل التعلم الآلي إلى مساحة اسم Kubernetes المحددة في نظام المجموعة. لا يقوم إرفاق الحساب بإنشاء مساحة اسم Kubernetes تلقائيا أو التحقق من وجود مساحة اسم kubernetes. تحتاج إلى التحقق من وجود مساحة الاسم المحددة في نظام المجموعة الخاص بك، وإلا، فإن أي أحمال عمل Azure التعلم الآلي تم إرسالها إلى هذا الحساب ستفشل.

   • (اختياري) قم بتعيين الهوية المُدارة المعينة من قبل النظام أو من قبل المستخدم. الهويات المُدارة تلغي حاجة المطورين إلى إدارة بيانات الاعتماد. لمزيد من المعلومات، راجع قسم تعيين الهوية المدارة من هذه المقالة.

   

6. تحديد Attach

   في علامة تبويب مجموعات Kubernetes، تكون الحالة الأولية للمجموعة الخاصة بك هي إنشاء. عندما يتم ربط نظام المجموعة بنجاح، تتغير الحالة إلى Succeeded. وبخلاف ذلك، تتغير الحالة إلى Failed.

   

Azure SDK

توضح التعليمات البرمجية ل python SDK v2 التالية كيفية إرفاق نظام مجموعة Kubernetes التي تدعم AKS وAzure Arc، واستخدامها كهدف حساب مع تمكين الهوية المدارة.

نظام مجموعة AKS

from azure.ai.ml import load_compute

# for AKS cluster, the resource_id should be something like '/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/managedClusters/<CLUSTER_NAME>''
compute_params = [
    {"name": "<COMPUTE_NAME>"},
    {"type": "kubernetes"},
    {
        "resource_id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/managedClusters/<CLUSTER_NAME>"
    },
]
k8s_compute = load_compute(source=None, params_override=compute_params)
ml_client.begin_create_or_update(k8s_compute).result()

نظام مجموعة Arc Kubernetes

from azure.ai.ml import load_compute

# for arc connected cluster, the resource_id should be something like '/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/connectedClusters/<CLUSTER_NAME>''
compute_params = [
    {"name": "<COMPUTE_NAME>"},
    {"type": "kubernetes"},
    {
        "resource_id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/connectedClusters/<CLUSTER_NAME>"
    },
]
k8s_compute = load_compute(source=None, params_override=compute_params)
ml_client.begin_create_or_update(k8s_compute).result()

تعيين الهوية المدارة إلى هدف الحساب

يتمثل أحد التحديات الشائعة للمطورين في إدارة البيانات السرية وبيانات الاعتماد المستخدمة لتأمين الاتصال بين المكونات المختلفة للحل. تلغي الهويات المدارة حاجة المطورين إلى إدارة بيانات الاعتماد.

للوصول إلى Azure Container Registry (ACR) لصورة Docker، وحساب تخزين لبيانات التدريب، قم بإرفاق حساب Kubernetes مع تمكين هوية مدارة معينة من قبل النظام أو معينة من قبل المستخدم.

تعيين الهوية المدارة

• يمكنك تعيين هوية مدارة للحساب في خطوة إرفاق الحساب.

• إذا تم إرفاق الحساب بالفعل، يمكنك تحديث الإعدادات لاستخدام هوية مدارة في Azure التعلم الآلي studio.

  • انتقل إلى Azure التعلم الآلي studio. حدد Compute، و Attached compute، وحدد الحساب المرفق.
  • حدد رمز القلم الرصاص لتحرير الهوية المدارة.

  

  

تعيين أدوار Azure للهوية المدارة

يقدم Azure طريقتين لتعيين أدوار لهوية مدارة.

• استخدام مدخل Microsoft Azure لتعيين الأدوار
• استخدام Azure CLI لتعيين الأدوار
• استخدام Azure PowerShell لتعيين الأدوار

إذا كنت تستخدم مدخل Microsoft Azure لتعيين الأدوار ولديك هوية مدارة معينة من قبل النظام، حدد المستخدم أو مدير المجموعة أو كيان الخدمة، يمكنك البحث عن اسم الهوية عن طريق تحديد Select members. يجب تنسيق اسم الهوية على النحو التالي: <workspace name>/computes/<compute target name>.

إذا كان لديك هوية مدارة معينة من قبل المستخدم، فحدد الهوية المدارة للعثور على الهوية الهدف.

يمكنك استخدام الهوية المدارة لسحب الصور من Azure Container Registry. امنح دور AcrPull إلى حساب الهوية المدارة. لمزيد من المعلومات، راجع أدوار Azure Container Registry وأذوناته.

يمكنك استخدام هوية مدارة للوصول إلى Azure Blob:

• لغرض القراءة فقط، يجب منح دور Storage Blob Data Reader للهوية المدارة للحساب.
• لغرض القراءة والكتابة، يجب منح دور Storage Blob Data Contributor للهوية المدارة للحساب.

الخطوات التالية

• إنشاء أنواع المثيلات وإدارتها
• موجه الاستدلال التعلم الآلي Azure ومتطلبات الاتصال
• بيئة استدلال AKS آمنة