Použití GitHub Actions se službou Azure Machine Learning

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Začněte s využitím GitHub Actions k natrénování modelu ve službě Azure Machine Learning.

Tento článek vás naučí, jak vytvořit pracovní postup GitHub Actions, který sestaví a nasadí model strojového učení do služby Azure Machine Learning. Natrénujete model lineární regrese scikit-learn na datové sadě Taxi NYC.

GitHub Actions v cestě ve vašem úložišti používá soubor /.github/workflows/ YAML (.yml) pracovního postupu. Tato definice obsahuje různé kroky a parametry, které tvoří pracovní postup.

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

• Pracovní prostor služby Azure Machine Learning. Pokud ho nemáte, vytvořte ho pomocí kroků v rychlém startu : Vytvoření článku o prostředcích pracovního prostoru.

• K instalaci sady Python SDK v2 použijte následující příkaz:

  pip install azure-ai-ml azure-identity
  

  Pokud chcete aktualizovat existující instalaci sady SDK na nejnovější verzi, použijte následující příkaz:

  pip install --upgrade azure-ai-ml azure-identity
  

  Další informace najdete v tématu Instalace sady Python SDK v2 pro Azure Machine Learning.

• Účet GitHub. Pokud ho nemáte, zdarma se zaregistrujte.

Krok 1: Získání kódu

Fork následující úložiště na GitHubu:

https://github.com/azure/azureml-examples

Naklonujte své forkované úložiště místně.

git clone https://github.com/YOUR-USERNAME/azureml-examples

Krok 2: Ověření pomocí Azure

Nejprve budete muset definovat, jak se ověřovat v Azure. Můžete použít instanční objekt nebo OpenID Connect.

Generování přihlašovacích údajů pro nasazení

Instanční objekt

Pomocí příkazu az ad sp create-for-rbac v Azure CLI vytvořte instanční objekt. Spusťte tento příkaz pomocí Azure Cloud Shellu na webu Azure Portal nebo výběrem tlačítka Vyzkoušet .

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth Parametr je k dispozici ve verzích >Azure CLI = 2.51.0. Verze před tímto použitím --sdk-auth s upozorněním na vyřazení.

V předchozím příkladu nahraďte zástupné symboly ID vašeho předplatného, názvem skupiny prostředků a názvem aplikace. Výstupem je objekt JSON s přihlašovacími údaji pro přiřazení role, které poskytují přístup k vaší aplikaci App Service podobně jako v následujícím příkladu. Zkopírujte tento objekt JSON pro pozdější použití.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect je metoda ověřování, která používá krátkodobé tokeny. Nastavení OpenID Connect pomocí GitHub Actions je složitější proces, který nabízí posílené zabezpečení.

1. Pokud nemáte existující aplikaci, zaregistrujte novou aplikaci Microsoft Entra a instanční objekt, který má přístup k prostředkům.

   az ad app create --display-name myApp
   

   Tento příkaz vypíše JSON s vaším kódem appId client-id. APPLICATION-OBJECT-ID Slouží objectId k vytváření federovaných přihlašovacích údajů s voláními rozhraní Graph API. Uložte hodnotu, kterou chcete použít jako tajný kód GitHubu AZURE_CLIENT_ID později.

2. Vytvořte instanční objekt. $appID Nahraďte id aplikace z výstupu JSON. Tento příkaz vygeneruje výstup JSON s jiným objectId příkazem, který se použije v dalším kroku. Nový objectId je assignee-object-id.

   Tento příkaz vygeneruje výstup JSON s jiným objectId kódem a použije se v dalším kroku. Nový objectId je assignee-object-id.

   Zkopírujte soubor, který appOwnerTenantId chcete použít jako tajný kód GitHubu pro AZURE_TENANT_ID pozdější použití.

    az ad sp create --id $appId
   

3. Vytvořte nové přiřazení role podle předplatného a objektu. Ve výchozím nastavení bude přiřazení role svázané s vaším výchozím předplatným. Nahraďte $subscriptionId ID předplatného, $resourceGroupName názvem vaší skupiny prostředků a $assigneeObjectId vygenerovanými assignee-object-id (id nově vytvořeného objektu instančního objektu).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Spuštěním následujícího příkazu vytvořte nové přihlašovací údaje federované identity pro vaši aplikaci Microsoft Entra.

   • Nahraďte APPLICATION-OBJECT-ID objectId (vygenerovaný při vytváření aplikace) pro vaši aplikaci Microsoft Entra.
   • Nastavte hodnotu pro CREDENTIAL-NAME pozdější odkaz.
   • Nastavte .subject Hodnota je definována GitHubem v závislosti na vašem pracovním postupu:
     • Úlohy v prostředí GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • Pro úlohy, které nejsou svázané s prostředím, zahrňte cestu odkaz pro větev nebo značku na základě cesty odkazu použité k aktivaci pracovního postupu: repo:< Organization/Repository >:ref:< ref path>. Například repo:n-username/ node_express:ref:refs/heads/my-branch nebo repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pro pracovní postupy aktivované událostí žádosti o přijetí změn: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Vytváření tajných kódů

Instanční objekt

1. Na GitHubu přejděte do svého úložiště.

2. V navigační nabídce přejděte na Nastavení .

3. Vyberte Akce tajných kódů zabezpečení > a proměnných>.

   

4. Vyberte Nový tajný klíč úložiště.

5. Celý výstup JSON z příkazu Azure CLI vložte do pole hodnoty tajného kódu. Dejte tajnému názvu AZURE_CREDENTIALS.

6. Vyberte Add secret (Přidat tajný kód).

OpenID Connect

K akci přihlášení musíte zadat ID klienta, ID tenanta a ID předplatného vaší aplikace. Tyto hodnoty je možné zadat buď přímo v pracovním postupu, nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je ve vašem pracovním postupu. Uložením hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. Na GitHubu přejděte do svého úložiště.

2. Vyberte Akce tajných kódů zabezpečení > a proměnných>.

   

3. Vyberte Nový tajný klíč úložiště.

4. Vytváření tajných kódů pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Pro tajné kódy GitHubu použijte tyto hodnoty z vaší aplikace Microsoft Entra:

   Tajný kód GitHubu	Aplikace Microsoft Entra
   AZURE_CLIENT_ID	ID aplikace (klienta)
   AZURE_TENANT_ID	ID adresáře (klienta)
   AZURE_SUBSCRIPTION_ID	Subscription ID

5. Uložte každý tajný kód výběrem možnosti Přidat tajný kód.

Krok 3: Aktualizace setup.sh připojení k pracovnímu prostoru Azure Machine Learning

Budete muset aktualizovat proměnné instalačního souboru rozhraní příkazového řádku tak, aby odpovídaly vašemu pracovnímu prostoru.

1. Ve forku úložiště přejděte na azureml-examples/cli/.

2. Upravte a aktualizujte setup.sh tyto proměnné v souboru.

   Proměnná	Popis
   GROUP	Název skupiny prostředků
   UMÍSTĚNÍ	Umístění pracovního prostoru (příklad: eastus2)
   PRACOVNÍ PROSTOR	Název pracovního prostoru Azure Machine Learning

Krok 4: Aktualizace pipeline.yml názvu výpočetního clusteru

K nasazení kanálu Azure Machine Learning použijete pipeline.yml soubor. Jedná se o kanál strojového učení, nikoli kanál DevOps. Tuto aktualizaci musíte provést jenom v případě, že používáte jiný název než cpu-cluster název clusteru počítače.

1. Ve forku úložiště přejděte na azureml-examples/cli/jobs/pipelines/nyc-taxi/pipeline.yml.
2. Pokaždé, když uvidíte compute: azureml:cpu-cluster, aktualizujte hodnotu názvem výpočetního cpu-cluster clusteru. Pokud je váš cluster například pojmenovaný my-cluster, bude nová hodnota azureml:my-cluster. Existuje pět aktualizací.

Krok 5: Spuštění pracovního postupu GitHub Actions

Váš pracovní postup se ověřuje pomocí Azure, nastavuje rozhraní příkazového řádku služby Azure Machine Learning a používá rozhraní příkazového řádku k trénování modelu ve službě Azure Machine Learning.

Instanční objekt

Soubor pracovního postupu se skládá z oddílu triggeru a úloh:

• Trigger spustí pracovní postup v on části. Pracovní postup se spouští ve výchozím nastavení podle plánu cron a při vytváření žádosti o přijetí změn z odpovídajících větví a cest. Přečtěte si další informace o událostech, které aktivují pracovní postupy.
• V části úlohy pracovního postupu rezervujete kód a přihlásíte se k Azure pomocí tajného kódu instančního objektu.
• Část Úlohy obsahuje také akci nastavení, která nainstaluje a nastaví rozhraní příkazového řádku služby Machine Learning (v2). Po instalaci rozhraní příkazového řádku spustí akce spuštění úlohy soubor Služby Azure Machine Learning pipeline.yml pro trénování modelu s daty taxislužby NYC.

Povolení pracovního postupu

1. V rozvětveném úložišti otevřete .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml a ověřte, že váš pracovní postup vypadá takto.

   name: cli-jobs-pipelines-nyc-taxi-pipeline
   on:
     workflow_dispatch:
     schedule:
       - cron: "0 0/4 * * *"
     pull_request:
       branches:
         - main
         - sdk-preview
       paths:
         - cli/jobs/pipelines/nyc-taxi/**
         - .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml
         - cli/run-pipeline-jobs.sh
         - cli/setup.sh
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - name: check out repo
         uses: actions/checkout@v2
       - name: azure login
         uses: azure/login@v1
         with:
           creds: ${{secrets.AZURE_CREDENTIALS}}
       - name: setup
         run: bash setup.sh
         working-directory: cli
         continue-on-error: true
       - name: run job
         run: bash -x ../../../run-job.sh pipeline.yml
         working-directory: cli/jobs/pipelines/nyc-taxi
   

2. Vyberte Zobrazit spuštění.

3. Povolte pracovní postupy tak , že vyberu, že rozumím svým pracovním postupům, pokračujte a povolte je.

4. Vyberte pracovní postup cli-jobs-pipelines-nyc-taxi-pipeline a zvolte povolit pracovní postup.

5. Vyberte Spustit pracovní postup a zvolte možnost Spustit pracovní postup .

OpenID Connect

Soubor pracovního postupu se skládá z oddílu triggeru a úloh:

• Trigger spustí pracovní postup v on části. Pracovní postup se spouští ve výchozím nastavení podle plánu cron a při vytváření žádosti o přijetí změn z odpovídajících větví a cest. Přečtěte si další informace o událostech, které aktivují pracovní postupy.
• V části úlohy pracovního postupu si prohlédnete kód a přihlásíte se k Azure pomocí akce přihlášení k Azure pomocí OpenID Connect.
• Část Úlohy obsahuje také akci nastavení, která nainstaluje a nastaví rozhraní příkazového řádku služby Machine Learning (v2). Po instalaci rozhraní příkazového řádku spustí akce spuštění úlohy soubor Služby Azure Machine Learning pipeline.yml pro trénování modelu s daty taxislužby NYC.

Povolení pracovního postupu

1. V rozvětveném úložišti otevřete .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml a ověřte, že váš pracovní postup vypadá takto.

   name: cli-jobs-pipelines-nyc-taxi-pipeline
   on:
     workflow_dispatch:
     schedule:
       - cron: "0 0/4 * * *"
     pull_request:
       branches:
         - main
         - sdk-preview
       paths:
         - cli/jobs/pipelines/nyc-taxi/**
         - .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml
         - cli/run-pipeline-jobs.sh
         - cli/setup.sh
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - name: check out repo
         uses: actions/checkout@v2
       - name: azure login
         uses: azure/login@v1
         with:
             client-id: ${{ secrets.AZURE_CLIENT_ID }}
             tenant-id: ${{ secrets.AZURE_TENANT_ID }}
             subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
       - name: setup
         run: bash setup.sh
         working-directory: cli
         continue-on-error: true
       - name: run job
         run: bash -x ../../../run-job.sh pipeline.yml
         working-directory: cli/jobs/pipelines/nyc-taxi
   

2. Vyberte Zobrazit spuštění.

3. Povolte pracovní postupy tak , že vyberu, že rozumím svým pracovním postupům, pokračujte a povolte je.

4. Vyberte pracovní postup cli-jobs-pipelines-nyc-taxi-pipeline a zvolte povolit pracovní postup.

   

5. Vyberte Spustit pracovní postup a zvolte možnost Spustit pracovní postup .

   

Krok 6: Ověření spuštění pracovního postupu

1. Otevřete dokončené spuštění pracovního postupu a ověřte, že se úloha sestavení úspěšně spustila. Vedle úlohy se zobrazí zelené zaškrtnutí.

2. Otevřete studio Azure Machine Learning a přejděte na příklad nyc-taxi-pipeline-pipeline. Ověřte, že každá část úlohy (příprava, transformace, trénování, předpověď, skóre) byla dokončena a že se zobrazí zelené zaškrtnutí.

   

Vyčištění prostředků

Pokud už skupinu prostředků a úložiště nepotřebujete, vyčistěte prostředky, které jste nasadili, odstraněním skupiny prostředků a úložiště GitHub.

Další kroky

Vytváření produkčních kanálů ML pomocí sady Python SDK