Použití GitHub Actions se službou Azure Machine Learning

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Začněte s využitím GitHub Actions k natrénování modelu ve službě Azure Machine Learning.

Tento článek vás naučí, jak vytvořit pracovní postup GitHub Actions, který sestaví a nasadí model strojového učení do služby Azure Machine Learning. Vytrénujete model lineární regrese scikit-learn v datové sadě taxi NYC.

GitHub Actions v cestě ve vašem úložišti používá soubor /.github/workflows/ YAML (.yml) pracovního postupu. Tato definice obsahuje různé kroky a parametry, které tvoří pracovní postup.

Požadavky

• Pracovní prostor služby Azure Machine Learning. Postup vytvoření pracovního prostoru najdete v tématu Vytvoření pracovního prostoru.

• Sada nástrojů Azure Machine Learning SDK pro Python, verze 2 K instalaci sady SDK použijte následující příkaz:

  pip install azure-ai-ml azure-identity
  

  Pokud chcete aktualizovat existující instalaci sady SDK na nejnovější verzi, použijte následující příkaz:

  pip install --upgrade azure-ai-ml azure-identity
  

  Další informace najdete v klientské knihovně balíčku Azure Machine Learning pro Python.

• Účet GitHub. Pokud ho nemáte, zdarma se zaregistrujte.

Krok 1: Získání kódu

Fork následující úložiště na GitHubu:

https://github.com/azure/azureml-examples

Naklonujte své forkované úložiště místně.

git clone https://github.com/YOUR-USERNAME/azureml-examples

Krok 2: Ověření pomocí Azure

Nejprve budete muset definovat, jak se ověřovat v Azure. Doporučenou, bezpečnější možností je přihlásit se pomocí OpenID Connect pomocí aplikace Microsoft Entra nebo spravované identity přiřazené uživatelem. V případě potřeby můžete použít také přihlášení pomocí instančního objektu a tajného kódu. Tento přístup je méně zabezpečený a nedoporučuje se.

Generování přihlašovacích údajů pro nasazení

OpenID Connect

Pokud chcete s OIDC použít akci přihlášení k Azure, musíte nakonfigurovat přihlašovací údaje federované identity v aplikaci Microsoft Entra nebo spravované identitě přiřazené uživatelem.

Možnost 1: Aplikace Microsoft Entra

• Vytvořte aplikaci Microsoft Entra s instančním objektem pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
• Zkopírujte hodnoty ID klienta, ID předplatného a ID adresáře (tenanta) a použijte je později v pracovním postupu GitHub Actions.
• Přiřaďte k instančnímu objektu příslušnou roli pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
• Nakonfigurujte přihlašovací údaje federované identity v aplikaci Microsoft Entra tak, aby důvěřovaly tokenům vydaným GitHub Actions do vašeho úložiště GitHub.

Možnost 2: Spravovaná identita přiřazená uživatelem

• Vytvořte spravovanou identitu přiřazenou uživatelem.
• Zkopírujte hodnoty ID klienta, ID předplatného a ID adresáře (tenanta) a použijte je později v pracovním postupu GitHub Actions.
• Přiřaďte spravované identitě přiřazené uživatelem odpovídající roli.
• Nakonfigurujte přihlašovací údaje federované identity pro spravovanou identitu přiřazenou uživatelem tak, aby důvěřovaly tokenům vydaným GitHub Actions ve vašem úložišti GitHub.

Instanční objekt

• Vytvořte aplikaci Microsoft Entra s instančním objektem pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
• Vytvořte tajný klíč klienta pro instanční objekt pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
• Zkopírujte hodnoty id klienta, tajného klíče klienta, ID předplatného a ID adresáře (tenanta) pro pozdější použití v pracovním postupu GitHub Actions.
• Přiřaďte k instančnímu objektu příslušnou roli pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Vytváření tajných kódů

OpenID Connect

K akci přihlášení musíte zadat ID klienta, ID adresáře (tenanta) a ID předplatného vaší aplikace. Tyto hodnoty je možné zadat buď přímo v pracovním postupu, nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je ve vašem pracovním postupu. Uložením hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. Na GitHubu přejděte do svého úložiště.

2. Vyberte > tajných kódů zabezpečení > a proměnných.

   

3. Vyberte Nový tajný klíč úložiště.

   Poznámka:

   Pokud chcete zvýšit zabezpečení pracovního postupu ve veřejných úložištích, používejte tajné kódy prostředí místo tajných kódů úložiště. Pokud prostředí vyžaduje schválení, úloha nemůže získat přístup k tajným kódům prostředí, dokud ho některý z požadovaných kontrolorů neschválí.

4. Vytváření tajných kódů pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Zkopírujte tyto hodnoty z vaší aplikace Microsoft Entra nebo spravované identity přiřazené uživatelem pro tajné kódy GitHubu:

   Tajný kód GitHubu	Spravovaná identita přiřazená uživatelem nebo aplikace Microsoft Entra
   AZURE_CLIENT_ID	ID klienta
   AZURE_PŘEDPLATNÉ_ID	Identifikátor předplatného
   AZURE_TENANT_ID	ID adresáře (klienta)

   Poznámka:

   Z bezpečnostních důvodů doporučujeme místo předávání hodnot přímo pracovnímu postupu používat tajné kódy GitHubu.

Instanční objekt

1. Na GitHubu přejděte do svého úložiště.

2. V navigační nabídce přejděte na Nastavení .

3. Vyberte > tajných kódů zabezpečení > a proměnných.

   

4. Vyberte Nový tajný klíč úložiště.

5. Celý výstup JSON z příkazu Azure CLI vložte do pole hodnoty tajného kódu. Dejte tajnému názvu AZURE_CREDENTIALS.

6. Vyberte Add secret (Přidat tajný kód).

Krok 3: Aktualizace setup.sh připojení k pracovnímu prostoru Azure Machine Learning

Musíte aktualizovat proměnné instalačního souboru rozhraní příkazového řádku tak, aby odpovídaly vašemu pracovnímu prostoru.

1. Ve forku úložiště přejděte na azureml-examples/cli/.

2. Upravte a aktualizujte setup.sh tyto proměnné v souboru.

   Proměnná	Popis
   SKUPINA	Název skupiny prostředků
   UMÍSTĚNÍ	Umístění pracovního prostoru (příklad: eastus2)
   PRACOVNÍ PROSTOR	Název pracovního prostoru Azure Machine Learning

Krok 4: Aktualizace pipeline.yml názvu výpočetního clusteru

K nasazení kanálu Azure Machine Learning použijete pipeline.yml soubor. Kanál je kanál strojového učení, nikoli kanál DevOps. Tuto aktualizaci musíte provést jenom v případě, že používáte jiný název než cpu-cluster název clusteru počítače.

1. Ve forku úložiště přejděte na azureml-examples/cli/jobs/pipelines/nyc-taxi/pipeline.yml.
2. Pokaždé, když uvidíte compute: azureml:cpu-cluster, aktualizujte hodnotu názvem výpočetního cpu-cluster clusteru. Pokud je váš cluster například pojmenovaný my-cluster, bude nová hodnota azureml:my-cluster. Existuje pět aktualizací.

Krok 5: Spuštění pracovního postupu GitHub Actions

Váš pracovní postup se ověřuje pomocí Azure, nastavuje rozhraní příkazového řádku služby Azure Machine Learning a používá rozhraní příkazového řádku k trénování modelu ve službě Azure Machine Learning.

OpenID Connect

Soubor pracovního postupu se skládá z oddílu triggeru a úloh:

• Trigger spustí pracovní postup v on části. Pracovní postup se spouští ve výchozím nastavení podle plánu cron a při vytváření žádosti o přijetí změn z odpovídajících větví a cest. Přečtěte si další informace o událostech, které aktivují pracovní postupy.
• V části úlohy pracovního postupu si prohlédnete kód a přihlásíte se k Azure pomocí akce přihlášení k Azure pomocí OpenID Connect.
• Část Úlohy obsahuje také akci nastavení, která nainstaluje a nastaví rozhraní příkazového řádku služby Machine Learning (v2). Po instalaci rozhraní příkazového řádku spustí akce spuštění úlohy soubor Služby Azure Machine Learning pipeline.yml pro trénování modelu s daty taxislužby NYC.

Povolení pracovního postupu

1. V rozvětveném úložišti otevřete .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml a ověřte, že váš pracovní postup vypadá takto.

   name: cli-jobs-pipelines-nyc-taxi-pipeline
   on:
     workflow_dispatch:
     schedule:
       - cron: "0 0/4 * * *"
     pull_request:
       branches:
         - main
         - sdk-preview
       paths:
         - cli/jobs/pipelines/nyc-taxi/**
         - .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml
         - cli/run-pipeline-jobs.sh
         - cli/setup.sh
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - name: check out repo
         uses: actions/checkout@v2
       - name: azure login
         uses: azure/login@v2
         with:
             client-id: ${{ secrets.AZURE_CLIENT_ID }}
             tenant-id: ${{ secrets.AZURE_TENANT_ID }}
             subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
       - name: setup
         run: bash setup.sh
         working-directory: cli
         continue-on-error: true
       - name: run job
         run: bash -x ../../../run-job.sh pipeline.yml
         working-directory: cli/jobs/pipelines/nyc-taxi
   

2. Vyberte Zobrazit spuštění.

3. Povolte pracovní postupy tak , že vyberu, že rozumím svým pracovním postupům, pokračujte a povolte je.

4. Vyberte pracovní postup cli-jobs-pipelines-nyc-taxi-pipeline a zvolte povolit pracovní postup.

   

5. Vyberte Spustit pracovní postup a zvolte možnost Spustit pracovní postup .

   

Instanční objekt

Soubor pracovního postupu se skládá z oddílu triggeru a úloh:

• Trigger spustí pracovní postup v on části. Pracovní postup se spouští ve výchozím nastavení podle plánu cron a při vytváření žádosti o přijetí změn z odpovídajících větví a cest. Přečtěte si další informace o událostech, které aktivují pracovní postupy.
• V části úlohy pracovního postupu rezervujete kód a přihlásíte se k Azure pomocí tajného kódu instančního objektu.
• Část Úlohy obsahuje také akci nastavení, která nainstaluje a nastaví rozhraní příkazového řádku služby Machine Learning (v2). Po instalaci rozhraní příkazového řádku spustí akce spuštění úlohy soubor Služby Azure Machine Learning pipeline.yml pro trénování modelu s daty taxislužby NYC.

Povolení pracovního postupu

1. V rozvětveném úložišti otevřete .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml a ověřte, že váš pracovní postup vypadá takto.

   name: cli-jobs-pipelines-nyc-taxi-pipeline
   on:
     workflow_dispatch:
     schedule:
       - cron: "0 0/4 * * *"
     pull_request:
       branches:
         - main
         - sdk-preview
       paths:
         - cli/jobs/pipelines/nyc-taxi/**
         - .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml
         - cli/run-pipeline-jobs.sh
         - cli/setup.sh
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - name: check out repo
         uses: actions/checkout@v2
       - name: azure login
         uses: azure/login@v2
         with:
           creds: ${{secrets.AZURE_CREDENTIALS}}
       - name: setup
         run: bash setup.sh
         working-directory: cli
         continue-on-error: true
       - name: run job
         run: bash -x ../../../run-job.sh pipeline.yml
         working-directory: cli/jobs/pipelines/nyc-taxi
   

2. Vyberte Zobrazit spuštění.

3. Povolte pracovní postupy tak , že vyberu, že rozumím svým pracovním postupům, pokračujte a povolte je.

4. Vyberte pracovní postup cli-jobs-pipelines-nyc-taxi-pipeline a zvolte povolit pracovní postup.

5. Vyberte Spustit pracovní postup a zvolte možnost Spustit pracovní postup .

Krok 6: Ověření spuštění pracovního postupu

1. Otevřete dokončené spuštění pracovního postupu a ověřte, že se úloha sestavení úspěšně spustila. Vedle úlohy se zobrazí zelená značka zaškrtnutí.

2. Otevřete studio Azure Machine Learning a přejděte na příklad nyc-taxi-pipeline-pipeline. Ověřte, že každá část úlohy (příprava, transformace, trénování, předpověď, skóre) byla dokončena a že se zobrazí zelené zaškrtnutí.

   

Vyčištění prostředků

Pokud už skupinu prostředků a úložiště nepotřebujete, vyčistěte prostředky, které jste nasadili, odstraněním skupiny prostředků a úložiště GitHub.

Další kroky

Vytváření produkčních kanálů ML pomocí sady Python SDK