Správa pracovních prostorů Azure Machine Učení pomocí Azure CLI

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)

V tomto článku se dozvíte, jak vytvářet a spravovat pracovní prostory Azure Machine Učení pomocí Azure CLI. Azure CLI poskytuje příkazy pro správu prostředků Azure a je navržená tak, aby vám rychle fungovala s Azure a klade důraz na automatizaci. Rozšíření strojového učení rozhraní příkazového řádku poskytuje příkazy pro práci s prostředky Učení Azure Machine.

Pracovní prostory můžete spravovat také pomocí webu Azure Portal a sady Python SDK, Azure PowerShellu nebo rozšíření VS Code.

Požadavky

• Předplatné Azure Pokud ho nemáte, vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Učení.

• Pokud chcete použít příkazy rozhraní příkazového řádku v tomto dokumentu z místního prostředí, potřebujete Azure CLI.

  Pokud používáte Azure Cloud Shell, rozhraní příkazového řádku se přistupuje přes prohlížeč a žije v cloudu.

Omezení

• Při vytváření nového pracovního prostoru můžete buď automaticky vytvářet služby potřebné pracovním prostorem, nebo používat existující služby. Pokud chcete použít existující služby z jiného předplatného Azure, než je pracovní prostor, musíte zaregistrovat obor názvů azure machine Učení v předplatném, které tyto služby obsahuje. Například vytvoření pracovního prostoru v předplatném A, který používá účet úložiště z předplatného B, musí být obor názvů Azure Machine Učení zaregistrovaný v předplatném B, abyste mohli použít účet úložiště s pracovním prostorem.

  Poskytovatel prostředků pro Azure Machine Učení je Microsoft.Machine Učení Services. Informace o tom, jak zjistit, jestli je zaregistrovaná a jak ji zaregistrovat, najdete v článku o poskytovatelích a typech prostředků Azure.

  Důležité

  To platí pouze pro prostředky poskytnuté během vytváření pracovního prostoru; Účty azure Storage, Azure Container Register, Azure Key Vault a Přehledy aplikací.

Tip

Při vytváření pracovního prostoru se vytvoří instance Aplikace Azure Přehledy. Pokud chcete, můžete instanci Přehledy aplikace odstranit po vytvoření clusteru. Odstraněním omezíte informace shromážděné z pracovního prostoru a může být obtížnější řešit problémy. Pokud odstraníte aplikaci Přehledy instanci vytvořenou pracovním prostorem, nemůžete ji znovu vytvořit bez odstranění a opětovného vytvoření pracovního prostoru.

Další informace o používání této instance Přehledy aplikace najdete v tématu Monitorování a shromažďování dat z koncových bodů webové služby Učení počítače.

Zabezpečená komunikace rozhraní příkazového řádku

Některé příkazy Azure CLI komunikují s Azure Resource Managerem přes internet. Tato komunikace je zabezpečená pomocí protokolu HTTPS/TLS 1.2.

S rozšířením Azure Machine Učení CLI v2 (ml) komunikují všechny příkazy s Azure Resource Managerem. To zahrnuje provozní data, jako jsou parametry YAML a metadata. Pokud je váš pracovní prostor Azure Machine Učení veřejný (to znamená ne za virtuální sítí), není potřeba žádná další konfigurace. Komunikace je zabezpečená pomocí protokolu HTTPS/TLS 1.2.

Pokud váš pracovní prostor azure machine Učení používá privátní koncový bod a virtuální síť a používáte rozhraní příkazového řádku verze 2, zvolte jednu z následujících konfigurací, které chcete použít:

• Pokud máte v pořádku komunikaci rozhraní příkazového řádku v2 přes veřejný internet, pomocí následujícího --public-network-access parametru az ml workspace update pro příkaz povolte přístup k veřejné síti. Například následující příkaz aktualizuje pracovní prostor pro přístup k veřejné síti:

  az ml workspace update --name myworkspace --public-network-access enabled
  

• Pokud nejste v pořádku s komunikací rozhraní příkazového řádku v2 přes veřejný internet, můžete pomocí služby Azure Private Link zvýšit zabezpečení komunikace. Pomocí následujících odkazů můžete zabezpečit komunikaci s Azure Resource Managerem pomocí služby Azure Private Link.

  1. Zabezpečte svůj pracovní prostor azure machine Učení uvnitř virtuální sítě pomocí privátního koncového bodu.
  2. Vytvoření služby Private Link pro správu prostředků Azure
  3. Vytvořte privátní koncový bod pro službu Private Link vytvořenou v předchozím kroku.

  Důležité

  Pokud chcete nakonfigurovat privátní propojení pro Azure Resource Manager, musíte být vlastníkem předplatného předplatného Azure a vlastníkemnebo přispěvatelem kořenové skupiny pro správu. Další informace najdete v tématu Vytvoření privátního propojení pro správu prostředků Azure.

Další informace o komunikaci rozhraní příkazového řádku v2 najdete v tématu Instalace a nastavení rozhraní příkazového řádku.

Připojení rozhraní příkazového řádku k předplatnému Azure

Důležité

Pokud používáte Azure Cloud Shell, můžete tuto část přeskočit. Cloud Shell vás automaticky ověří pomocí účtu, který se přihlásíte ke svému předplatnému Azure.

Existuje několik způsobů, jak se můžete ověřit ve svém předplatném Azure z rozhraní příkazového řádku. Nejjednodušší je interaktivně ověřovat pomocí prohlížeče. Pokud chcete provést ověření interaktivně, otevřete příkazový řádek nebo terminál a použijte následující příkaz:

az login

Pokud rozhraní příkazového řádku může spustit výchozí prohlížeč, udělá to a načte přihlašovací stránku. Jinak musíte otevřít prohlížeč a postupovat podle pokynů na příkazovém řádku. Pokyny zahrnují procházení https://aka.ms/devicelogin a zadávání autorizačního kódu.

Tip

Po přihlášení se zobrazí seznam předplatných přidružených k vašemu účtu Azure. Informace o isDefault: true předplatném jsou aktuálně aktivované předplatné pro příkazy Azure CLI. Toto předplatné musí být stejné, které obsahuje váš pracovní prostor Azure Machine Učení. ID předplatného najdete na webu Azure Portal na stránce přehledu vašeho pracovního prostoru.

Pokud chcete vybrat jiné předplatné, použijte az account set -s <subscription name or ID> příkaz a zadejte název nebo ID předplatného, na které chcete přejít. Další informace o výběru předplatného najdete v tématu Použití více předplatných Azure.

Další metody ověřování najdete v tématu Přihlášení pomocí Azure CLI.

Vytvoření skupiny zdrojů

Pracovní prostor azure machine Učení musí být vytvořen uvnitř skupiny prostředků. Můžete použít stávající skupinu prostředků nebo vytvořit novou skupinu. Pokud chcete vytvořit novou skupinu prostředků, použijte následující příkaz. Nahraďte <resource-group-name> názvem, který se má použít pro tuto skupinu prostředků. Nahraďte <location> oblastí Azure, která se má použít pro tuto skupinu prostředků:

Poznámka:

Měli byste vybrat oblast, ve které je k dispozici Učení Azure Machine. Informace najdete v tématu Produkty dostupné v jednotlivých oblastech.

az group create --name <resource-group-name> --location <location>

Odpověď z tohoto příkazu je podobná následujícímu formátu JSON. Výstupní hodnoty můžete použít k vyhledání vytvořených prostředků nebo jejich parsování jako vstupu do následných kroků rozhraní příkazového řádku pro automatizaci.

{
  "id": "/subscriptions/<subscription-GUID>/resourceGroups/<resourcegroupname>",
  "location": "<location>",
  "managedBy": null,
  "name": "<resource-group-name>",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": null
}

Další informace o práci se skupinami prostředků najdete v tématu az group.

Vytvoření pracovního prostoru

Když nasadíte pracovní prostor Azure Machine Učení, vyžadují se různé další služby jako závislé přidružené prostředky. Když k vytvoření pracovního prostoru použijete rozhraní příkazového řádku, může rozhraní příkazového řádku buď vytvořit nové přidružené prostředky vaším jménem, nebo můžete připojit existující prostředky.

Důležité

Při připojování vlastního účtu úložiště se ujistěte, že splňuje následující kritéria:

• Účet úložiště není účet Premium (Premium_LRS a Premium_GRS).
• Povolené funkce Azure Blob i Azure File
• Hierarchický obor názvů (ADLS Gen2) je zakázaný. Tyto požadavky platí jenom pro výchozí účet úložiště používaný pracovním prostorem.

Při připojování registru kontejneru Azure musíte mít účet správce povolený, abyste ho mohli použít s pracovním prostorem azure machine Učení.

Vytvoření s využitím nových prostředků

Pokud chcete vytvořit nový pracovní prostor, ve kterém se služby automaticky vytvoří, použijte následující příkaz:

az ml workspace create -n <workspace-name> -g <resource-group-name>

Přenesení existujících prostředků

Pokud chcete vytvořit nový pracovní prostor při přenesení existujících přidružených prostředků pomocí rozhraní příkazového řádku, musíte nejprve definovat, jak se má pracovní prostor nakonfigurovat v konfiguračním souboru.

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-basicex-prod
location: eastus
display_name: Bring your own dependent resources-example
description: This configuration specifies a workspace configuration with existing dependent resources
storage_account: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT>
container_registry: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerRegistry/registries/<CONTAINER_REGISTRY>
key_vault: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.KeyVault/vaults/<KEY_VAULT>
application_insights: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.insights/components/<APP_INSIGHTS>
tags:
  purpose: demonstration

Na tento konfigurační soubor pak můžete odkazovat jako součást příkazu rozhraní příkazového řádku pro vytvoření pracovního prostoru.

az ml workspace create -g <resource-group-name> --file workspace.yml

Pokud připojujete existující prostředky, musíte zadat ID pro prostředky. Toto ID můžete získat buď pomocí karty Vlastnosti na jednotlivých prostředcích na webu Azure Portal, nebo spuštěním následujících příkazů pomocí Azure CLI.

• Účet služby Azure Storage: az storage account show --name <storage-account-name> --query "id"
• Aplikace Azure Přehledy:az monitor app-insights component show --app <application-insight-name> -g <resource-group-name> --query "id"
• Azure Key Vault: az keyvault show --name <key-vault-name> --query "ID"
• Azure Container Registry: az acr show --name <acr-name> -g <resource-group-name> --query "id"

Hodnota ID prostředku vypadá podobně jako v následujícím textu: "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/<provider>/<subresource>/<resource-name>".

Důležité

Při připojování existujících prostředků nemusíte zadávat všechny. Můžete zadat jednu nebo více. Můžete například zadat existující účet úložiště a pracovní prostor vytvoří další prostředky.

Výstup příkazu pro vytvoření pracovního prostoru je podobný následujícímu formátu JSON. Výstupní hodnoty můžete použít k vyhledání vytvořených prostředků nebo jejich parsování jako vstupu do následných kroků rozhraní příkazového řádku.

{
  "applicationInsights": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.insights/components/<application-insight-name>",
  "containerRegistry": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.containerregistry/registries/<acr-name>",
  "creationTime": "2019-08-30T20:24:19.6984254+00:00",
  "description": "",
  "friendlyName": "<workspace-name>",
  "id": "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>",
  "identityPrincipalId": "<GUID>",
  "identityTenantId": "<GUID>",
  "identityType": "SystemAssigned",
  "keyVault": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.keyvault/vaults/<key-vault-name>",
  "location": "<location>",
  "name": "<workspace-name>",
  "resourceGroup": "<resource-group-name>",
  "storageAccount": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.storage/storageaccounts/<storage-account-name>",
  "type": "Microsoft.MachineLearningServices/workspaces",
  "workspaceid": "<GUID>"
}

Pokročilá konfigurace

Konfigurace pracovního prostoru pro připojení k privátní síti

V závislosti na vašem případu použití a požadavcích organizace můžete nakonfigurovat službu Azure Machine Učení pomocí připojení k privátní síti. Pomocí Azure CLI můžete nasadit pracovní prostor a koncový bod privátního propojení pro prostředek pracovního prostoru. Další informace o použití privátního koncového bodu a virtuální sítě (VNet) s pracovním prostorem najdete v přehledu izolace virtuální sítě a ochrany osobních údajů. V případě složitých konfigurací prostředků se také podívejte na možnosti nasazení založené na šablonách, včetně Azure Resource Manageru.

Pokud používáte privátní propojení, váš pracovní prostor nemůže k vytváření imagí Dockeru použít Azure Container Registry. Proto je nutné nastavit vlastnost image_build_compute na název výpočetního clusteru procesoru, který se má použít pro sestavení prostředí image Dockeru. Pomocí vlastnosti public_network_access můžete také určit, jestli má být pracovní prostor privátního propojení přístupný přes internet.

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-privatelink-prod
location: eastus
display_name: Private Link endpoint workspace-example
description: When using private link, you must set the image_build_compute property to a cluster name to use for Docker image environment building. You can also specify whether the workspace should be accessible over the internet.
image_build_compute: cpu-compute
public_network_access: Disabled
tags:
  purpose: demonstration

az ml workspace create -g <resource-group-name> --file privatelink.yml

Po vytvoření pracovního prostoru pomocí příkazů Azure networking CLI vytvořte koncový bod privátního propojení pro tento pracovní prostor.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Pokud chcete vytvořit položky privátní zóny DNS pro pracovní prostor, použijte následující příkazy:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Klíč spravovaný zákazníkem a pracovní prostor s vysokým obchodním dopadem

Ve výchozím nastavení se metadata pracovního prostoru ukládají v instanci služby Azure Cosmos DB, kterou microsoft udržuje. Tato data se šifrují pomocí klíčů spravovaných Microsoftem. Místo použití klíče spravovaného Microsoftem můžete také zadat vlastní klíč. Tím se v předplatném Azure vytvoří další sada prostředků pro ukládání dat.

Další informace o prostředcích vytvořených při používání vlastního klíče pro šifrování najdete v tématu Šifrování dat pomocí služby Azure Machine Učení.

Pomocí parametru customer_managed_key a obsahujících key_vault a key_uri parametrů zadejte ID prostředku a identifikátor URI klíče v trezoru.

Pokud chcete omezit data, která Microsoft shromažďuje ve vašem pracovním prostoru, můžete také zadat hbi_workspace vlastnost.

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-cmkexample-prod
location: eastus
display_name: Customer managed key encryption-example
description: This configurations shows how to create a workspace that uses customer-managed keys for encryption.
customer_managed_key: 
  key_vault: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.KeyVault/vaults/<KEY_VAULT>
  key_uri: https://<KEY_VAULT>.vault.azure.net/keys/<KEY_NAME>/<KEY_VERSION>
tags:
  purpose: demonstration

Na tento konfigurační soubor pak můžete odkazovat jako součást příkazu rozhraní příkazového řádku pro vytvoření pracovního prostoru.

az ml workspace create -g <resource-group-name> --file cmk.yml

Poznámka:

Autorizovat aplikaci Machine Učení (ve správě identit a přístupu) s oprávněními přispěvatele k vašemu předplatnému ke správě dalších prostředků šifrování dat.

Poznámka:

Azure Cosmos DB se nepoužívá k ukládání informací, jako je výkon modelu, informace protokolované experimenty nebo informace zaprotokolované z nasazení modelu.

Důležité

Výběr vysokého obchodního dopadu se dá provést jenom při vytváření pracovního prostoru. Po vytvoření pracovního prostoru nelze toto nastavení změnit.

Další informace o klíčích spravovaných zákazníkem a pracovním prostoru s vysokým obchodním dopadem najdete v tématu Zabezpečení podniku pro službu Azure Machine Učení.

Použití rozhraní příkazového řádku ke správě pracovních prostorů

Získání informací o pracovním prostoru

Informace o pracovním prostoru získáte pomocí následujícího příkazu:

az ml workspace show -n <workspace-name> -g <resource-group-name>

Další informace najdete v dokumentaci k příkazu az ml workspace show .

Aktualizace pracovního prostoru

Pokud chcete aktualizovat pracovní prostor, použijte následující příkaz:

az ml workspace update -n <workspace-name> -g <resource-group-name>

Další informace najdete v dokumentaci k az ml workspace update .

Synchronizace klíčů pro závislé prostředky

Pokud změníte přístupové klíče pro jeden z prostředků, které váš pracovní prostor používá, trvá přibližně hodinu, než se pracovní prostor synchronizuje s novým klíčem. Pokud chcete, aby se pracovní prostor okamžitě synchronizoval s novými klíči, použijte následující příkaz:

az ml workspace sync-keys -n <workspace-name> -g <resource-group-name>

Další informace o změně klíčů najdete v tématu Opětovné vygenerování přístupových klíčů k úložišti.

Další informace o příkazu sync-keys najdete v tématu az ml workspace sync-keys.

Odstranění pracovního prostoru

Upozorňující

Pokud je pro pracovní prostor povolené obnovitelné odstranění, můžete ho po odstranění obnovit. Pokud obnovitelné odstranění není povolené nebo vyberete možnost trvalého odstranění pracovního prostoru, nedá se obnovit. Další informace najdete v tématu Obnovení odstraněného pracovního prostoru.

Pokud chcete odstranit pracovní prostor, jakmile už ho nepotřebujete, použijte následující příkaz:

az ml workspace delete -n <workspace-name> -g <resource-group-name>

Důležité

Odstraněním pracovního prostoru nedojde k odstranění přehledu aplikace, účtu úložiště, trezoru klíčů nebo registru kontejneru používaného pracovním prostorem.

Můžete také odstranit skupinu prostředků, která odstraní pracovní prostor a všechny ostatní prostředky Azure ve skupině prostředků. Pokud chcete odstranit skupinu prostředků, použijte následující příkaz:

az group delete -g <resource-group-name>

Další informace najdete v dokumentaci az ml workspace delete .

Tip

Výchozím chováním služby Azure Machine Učení je obnovitelné odstranění pracovního prostoru. To znamená, že pracovní prostor se neodstraní okamžitě, ale místo toho je označen k odstranění. Další informace najdete v tématu Obnovitelné odstranění.

Řešení problému

Chyby poskytovatele prostředků

Při vytváření pracovního prostoru azure machine Učení nebo prostředku používaného pracovním prostorem se může zobrazit chyba podobná následujícím zprávě:

• No registered resource provider found for location {location}
• The subscription is not registered to use namespace {resource-provider-namespace}

Většina poskytovatelů prostředků se registruje automaticky, ale ne všechny. Pokud se zobrazí tato zpráva, musíte zaregistrovat uvedeného poskytovatele.

Následující tabulka obsahuje seznam poskytovatelů prostředků vyžadovaných službou Azure Machine Učení:

Poskytovatel prostředků	Proč je to potřeba
Microsoft.Machine Učení Services	Vytvoření pracovního prostoru Azure Machine Učení
Microsoft.Storage	Účet služby Azure Storage se používá jako výchozí úložiště pro pracovní prostor.
Microsoft.ContainerRegistry	Azure Container Registry používá pracovní prostor k vytváření imagí Dockeru.
Microsoft.KeyVault	Azure Key Vault používá pracovní prostor k ukládání tajných kódů.
Microsoft.Notebooks	Integrované poznámkové bloky ve službě Azure Machine Učení výpočetní instanci
Microsoft.ContainerService	Pokud plánujete nasadit natrénované modely do azure Kubernetes Services.

Pokud plánujete používat klíč spravovaný zákazníkem se službou Azure Machine Učení, musí být zaregistrovaní následující poskytovatelé služeb:

Poskytovatel prostředků	Proč je to potřeba
Microsoft.DocumentDB	Instance Azure CosmosDB, která protokoluje metadata pro pracovní prostor.
Microsoft.Search	Azure Search poskytuje možnosti indexování pro pracovní prostor.

Pokud plánujete používat spravovanou virtuální síť se službou Azure Machine Učení, musí být zaregistrovaný poskytovatel prostředků Microsoft.Network. Tento poskytovatel prostředků je používán pracovním prostorem při vytváření privátních koncových bodů pro spravovanou virtuální síť.

Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

Přesun pracovního prostoru

Upozorňující

Přesun pracovního prostoru azure Učení do jiného předplatného nebo přesun vlastnícího předplatného do nového tenanta se nepodporuje. To může způsobit chyby.

Odstranění služby Azure Container Registry

Pracovní prostor Azure Machine Učení používá pro některé operace službu Azure Container Registry (ACR). Když ji poprvé potřebuje, automaticky vytvoří instanci ACR.

Upozorňující

Po vytvoření služby Azure Container Registry pro pracovní prostor ho neodstraňovat. Tím dojde k přerušení pracovního prostoru Azure Machine Učení.

Další kroky

Další informace o rozšíření Azure CLI pro strojové učení najdete v dokumentaci az ml .

Pokud chcete zkontrolovat problémy s pracovním prostorem, přečtěte si téma Použití diagnostiky pracovního prostoru.

Informace o přesunu pracovního prostoru do nového předplatného Azure najdete v tématu Postup přesunutí pracovního prostoru.

Informace o tom, jak udržovat počítač Azure Učení aktuální s nejnovějšími aktualizacemi zabezpečení, najdete v tématu Správa ohrožení zabezpečení.