Použití služby Azure Machine Learning Studio ve virtuální síti Azure
Tip
Místo kroků v tomto článku můžete použít spravované virtuální sítě Azure Machine Learning. Se spravovanou virtuální sítí zpracovává Azure Machine Learning úlohu izolace sítě pro váš pracovní prostor a spravované výpočetní prostředky. Můžete také přidat privátní koncové body pro prostředky potřebné pracovním prostorem, jako je například účet služby Azure Storage. Další informace najdete v tématu Spravovaná izolace sítě pracovního prostoru.
Tento článek vysvětluje, jak používat studio Azure Machine Learning ve virtuální síti. Studio obsahuje funkce, jako je AutoML, návrhář a popisování dat.
Některé funkce studia jsou ve virtuální síti ve výchozím nastavení zakázané. Pokud chcete tyto funkce znovu povolit, musíte povolit spravovanou identitu pro účty úložiště, které chcete používat v sadě Studio.
Následující operace jsou ve virtuální síti ve výchozím nastavení zakázané:
- Náhled dat ve studiu
- Vizualizace dat v návrháři
- Nasazení modelu v návrháři
- Odeslání experimentu automatizovaného strojového učení
- Spuštění projektu popisování
Studio podporuje čtení dat z následujících typů úložiště dat ve virtuální síti:
- Účet služby Azure Storage (objekt blob a soubor)
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL Database
V tomto článku získáte informace o těchto tématech:
- Dejte studiu přístup k datům uloženým ve virtuální síti.
- Přístup k sadě Studio z prostředku uvnitř virtuální sítě
- Seznamte se s tím, jak studio ovlivňuje zabezpečení úložiště.
Požadavky
Přečtěte si přehled zabezpečení sítě a seznamte se s běžnými scénáři a architekturou virtuálních sítí.
Existující virtuální síť a podsíť, které se mají použít.
- Informace o vytvoření zabezpečeného pracovního prostoru najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru, šablony Bicep nebo šablony Terraformu.
Omezení
Účet služby Azure Storage
Pokud je účet úložiště ve virtuální síti, pro použití studia existují další požadavky na ověření:
- Pokud účet úložiště používá koncový bod služby, musí být privátní koncový bod pracovního prostoru a koncový bod služby úložiště ve stejné podsíti virtuální sítě.
- Pokud účet úložiště používá privátní koncový bod, musí být privátní koncový bod pracovního prostoru a privátní koncový bod úložiště ve stejné virtuální síti. V tomto případě se můžou nacházet v různých podsítích.
Ukázkový kanál návrháře
Existuje známý problém, kdy uživatelé nemůžou spustit ukázkový kanál na domovské stránce návrháře. K tomuto problému dochází, protože ukázková datová sada použitá v ukázkovém kanálu je globální datová sada Azure. Není přístupný z prostředí virtuální sítě.
Pokud chcete tento problém vyřešit, spusťte ukázkový kanál pomocí veřejného pracovního prostoru. Nebo ukázkovou datovou sadu nahraďte vlastní datovou sadou v pracovním prostoru ve virtuální síti.
Úložiště dat: Účet úložiště Azure
Pomocí následujících kroků povolíte přístup k datům uloženým v Azure Blob Storage a File Storage:
Tip
První krok není nutný pro výchozí účet úložiště pro pracovní prostor. Všechny další kroky jsou vyžadovány pro jakýkoli účet úložiště za virtuální sítí a používaný pracovním prostorem, včetně výchozího účtu úložiště.
Pokud je účet úložiště výchozím úložištěm pro váš pracovní prostor, přeskočte tento krok. Pokud není výchozí, udělte spravované identitě pracovního prostoru roli Čtenář dat objektů blob služby Storage pro účet úložiště Azure, aby mohl číst data z úložiště objektů blob.
Další informace najdete v předdefinované roli Čtenář dat objektů blob.
Udělte identitě uživatele Azure roli Čtenář dat objektů blob služby Storage pro účet úložiště Azure. Studio používá vaši identitu pro přístup k datům do úložiště objektů blob, i když má spravovaná identita pracovního prostoru roli Čtenář.
Další informace najdete v předdefinované roli Čtenář dat objektů blob.
Udělte spravované identitě pracovního prostoru roli Čtenář pro privátní koncové body úložiště. Pokud vaše služba úložiště používá privátní koncový bod, udělte čtenáři spravované identity pracovního prostoru přístup k privátnímu koncovému bodu. Spravovaná identita pracovního prostoru v MICROSOFT Entra ID má stejný název jako váš pracovní prostor Azure Machine Learning. Privátní koncový bod je nezbytný pro typy úložiště objektů blob i souborů.
Tip
Váš účet úložiště může mít několik privátních koncových bodů. Jeden účet úložiště může mít například samostatný privátní koncový bod pro objekt blob, soubor a dfs (Azure Data Lake Storage Gen2). Přidejte spravovanou identitu do všech těchto koncových bodů.
Další informace najdete v předdefinované roli Čtenář .
Povolte ověřování spravované identity pro výchozí účty úložiště. Každý pracovní prostor Azure Machine Learning má dva výchozí účty úložiště, výchozí účet úložiště objektů blob a výchozí účet úložiště souborů. Obě jsou definovány při vytváření pracovního prostoru. Nové výchozí hodnoty můžete nastavit také na stránce správy úložiště dat.
Následující tabulka popisuje, proč se pro výchozí účty úložiště pracovního prostoru používá ověřování spravovaných identit.
Účet úložiště Notes Výchozí úložiště objektů blob pracovního prostoru Ukládá prostředky modelu od návrháře. Povolte ověřování spravovaných identit v tomto účtu úložiště a nasaďte modely v návrháři. Pokud je ověřování spravované identity zakázané, použije se identita uživatele pro přístup k datům uloženým v objektu blob.
Kanál návrháře můžete vizualizovat a spustit, pokud používá jiné než výchozí úložiště dat, které je nakonfigurované tak, aby používalo spravovanou identitu. Pokud se ale pokusíte nasadit natrénovaný model bez povolené spravované identity ve výchozím úložišti dat, nasazení selže bez ohledu na ostatní používané úložiště dat.Výchozí úložiště souborů pracovního prostoru Ukládá prostředky experimentu AutoML. Povolte u tohoto účtu úložiště ověřování spravované identity a odešlete experimenty AutoML. Nakonfigurujte úložiště dat tak, aby používaly ověřování spravovaných identit. Po přidání účtu úložiště Azure do virtuální sítě s koncovým bodem služby nebo privátním koncovým bodem musíte úložiště dat nakonfigurovat tak, aby používalo ověřování spravované identity. Tím umožníte studiu přistupovat k datům ve vašem účtu úložiště.
Azure Machine Learning používá úložiště dat pro připojení k účtům úložiště. Při vytváření nového úložiště dat pomocí následujících kroků nakonfigurujte úložiště dat tak, aby používalo ověřování spravované identity:
V sadě Studio vyberte Úložiště dat.
Pokud chcete vytvořit nové úložiště dat, vyberte + Vytvořit.
V studio Azure Machine Learning nastavení úložištědatch
V nastavení sítě pro účet úložiště Azure přidejte
Microsoft.MachineLearningService/workspaces
typ prostředku a nastavte název instance do pracovního prostoru.
Tento postup přidá spravovanou identitu pracovního prostoru jako čtenář do nové služby úložiště pomocí řízení přístupu na základě role v Azure (RBAC). Přístup pro čtení umožňuje pracovnímu prostoru zobrazit prostředek, ale ne provádět změny.
Úložiště dat: Azure Data Lake Storage Gen1
Při použití Azure Data Lake Storage Gen1 jako úložiště dat můžete použít pouze seznamy řízení přístupu ve stylu POSIX. Spravovaný přístup k prostředkům pracovního prostoru můžete přiřadit stejně jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Řízení přístupu v Azure Data Lake Storage Gen1.
Úložiště dat: Azure Data Lake Storage Gen2
Při použití Azure Data Lake Storage Gen2 jako úložiště dat můžete k řízení přístupu v rámci virtuální sítě použít seznamy řízení přístupu ve stylu Azure RBAC i seznamy řízení přístupu (ACL) ve stylu POSIX.
Pokud chcete použít Azure RBAC, postupujte podle kroků v úložišti dat: Účet úložiště Azure v tomto článku. Data Lake Storage Gen2 je založená na Azure Storage, takže stejný postup platí i při použití Azure RBAC.
Pokud chcete používat seznamy ACL, je možné spravované identitě pracovního prostoru přiřadit přístup stejně jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Seznamy řízení přístupu k souborům a adresářům.
Úložiště dat: Azure SQL Database
Pokud chcete získat přístup k datům uloženým ve službě Azure SQL Database se spravovanou identitou, musíte vytvořit uživatele s omezením SQL, který se mapuje na spravovanou identitu. Další informace o vytvoření uživatele z externího zprostředkovatele najdete v tématu Vytvoření uživatelů s omezením namapovaných na identity Microsoft Entra.
Po vytvoření uživatele s obsahem SQL mu pomocí příkazu GRANT T-SQL udělte oprávnění.
Výstup zprostředkující komponenty
Při použití výstupu zprostředkující komponenty návrháře Azure Machine Learning můžete určit umístění výstupu pro libovolnou komponentu v návrháři. Tento výstup slouží k ukládání mezilehlých datových sad v samostatném umístění pro účely zabezpečení, protokolování nebo auditování. Pokud chcete zadat výstup, použijte následující kroky:
- Vyberte komponentu, jejíž výstup chcete určit.
- V podokně nastavení komponent vyberte Nastavení výstupu.
- Zadejte úložiště dat, které chcete použít pro výstup každé komponenty.
Ujistěte se, že máte přístup k zprostředkujícím účtům úložiště ve vaší virtuální síti. V opačném případě kanál selže.
Povolte ověřování spravovaných identit pro zprostředkující účty úložiště, aby bylo možné vizualizovat výstupní data.
Přístup k sadě Studio z prostředku uvnitř virtuální sítě
Pokud ke studiu přistupujete z prostředku uvnitř virtuální sítě (například z výpočetní instance nebo virtuálního počítače), musíte povolit odchozí provoz z virtuální sítě do studia.
Pokud například pomocí skupin zabezpečení sítě (NSG) omezíte odchozí provoz, přidejte pravidlo do cíle značky AzureFrontDoor.Frontend
služby .
Nastavení brány firewall
Některé služby úložiště, například účet služby Azure Storage, mají nastavení brány firewall, která se vztahují na veřejný koncový bod pro danou instanci služby. Toto nastavení obvykle umožňuje povolit nebo zakázat přístup z konkrétních IP adres z veřejného internetu. Tato funkce není podporována při použití studio Azure Machine Learning. Podporuje se při použití sady Azure Machine Learning SDK nebo rozhraní příkazového řádku.
Tip
studio Azure Machine Learning se podporuje při používání služby Azure Firewall. Další informace najdete v tématu Konfigurace příchozího a odchozího síťového provozu.
Související obsah
Tento článek je součástí série o zabezpečení pracovního postupu služby Azure Machine Learning. Podívejte se na další články v této sérii: