Kubernetes-fürt csatolása Azure Machine Learning-munkaterülethez
ÉRVÉNYES:Azure CLI ml-bővítmény v2 (aktuális)Python SDK azure-ai-ml v2 (aktuális)
Miután üzembe helyezte az Azure Machine Learning-bővítményt az AKS- vagy Arc Kubernetes-fürtön, csatolhatja a Kubernetes-fürtöt az Azure Machine Learning-munkaterülethez, és számítási célokat hozhat létre az ML-szakemberek számára.
Előfeltételek
A Kubernetes-fürt Azure Machine Learning-munkaterülethez való csatolása számos különböző forgatókönyvet támogathat rugalmasan. Például a több melléklettel rendelkező megosztott forgatókönyvek, az Azure-erőforrásokhoz hozzáférő modellbetanítási szkriptek és a munkaterület hitelesítési konfigurációja.
Több csatolás és számítási feladat elkülönítése
Egy fürt egy munkaterületre, több számítási cél létrehozása
- Ugyanahhoz a Kubernetes-fürthöz többször is csatolhatja ugyanahhoz a munkaterülethez, és több számítási célt is létrehozhat különböző projektekhez/csapatokhoz/számítási feladatokhoz.
Egy fürt több munkaterületre
- Ugyanahhoz a Kubernetes-fürthöz több munkaterülethez is csatolhatja, és a több munkaterület is ugyanazt a Kubernetes-fürtöt használhatja.
Ha eltérő számítási célokat tervez különböző projektekhez/csapatokhoz, megadhatja a fürtben a meglévő Kubernetes-névteret a számítási célhoz, hogy elkülönítse a számítási feladatot a különböző csapatok/projektek között.
Fontos
A fürt Azure Machine Learning-munkaterülethez való csatolásakor megadott névteret korábban létre kell hozni a fürtben.
Azure-erőforrás biztonságos elérése betanítási szkriptből
Ha biztonságosan kell hozzáférnie az Azure-erőforráshoz a betanítási szkriptből, a csatolási művelet során megadhat egy felügyelt identitást a Kubernetes számítási célhoz.
Csatolás a felhasználó által hozzárendelt felügyelt identitással rendelkező munkaterülethez
Az Azure Machine Learning-munkaterület alapértelmezés szerint rendszer által hozzárendelt felügyelt identitással rendelkezik az Azure Machine Learning-erőforrások eléréséhez. A lépések akkor fejeződnek be, ha a rendszer által hozzárendelt alapértelmezett beállítás be van kapcsolva.
Ellenkező esetben, ha egy felhasználó által hozzárendelt felügyelt identitás van megadva az Azure Machine Learning-munkaterület létrehozásakor, a következő szerepkör-hozzárendeléseket manuálisan kell megadni a felügyelt identitáshoz a számítás csatolása előtt.
Azure-erőforrás neve | Hozzárendelendő szerepkörök | Leírás |
---|---|---|
Azure Relay | Azure Relay-tulajdonos | Csak Arc-kompatibilis Kubernetes-fürtökre alkalmazható. Az Azure Relay nem jön létre arccsatlakozás nélküli AKS-fürthöz. |
Kubernetes – Azure Arc vagy Azure Kubernetes Service | Olvasó Kubernetes-bővítmény közreműködője Az Azure Kubernetes Szolgáltatásfürt rendszergazdája |
Az Arc-kompatibilis Kubernetes-fürtre és az AKS-fürtre egyaránt alkalmazható. |
Azure Kubernetes Service | Közreműködő | Csak olyan AKS-fürtök esetén szükséges, amelyek a Megbízható hozzáférés funkciót használják. A munkaterület felhasználó által hozzárendelt felügyelt identitást használ. A részletekért tekintse meg az AzureML hozzáférését az AKS-fürtökhöz speciális konfigurációkkal . |
Tipp.
Az Azure Relay-erőforrás a bővítmény üzembe helyezése során jön létre az Arc-kompatibilis Kubernetes-fürt erőforráscsoportja alatt.
Feljegyzés
- Ha a "Kubernetes-bővítmény közreműködője" szerepkör engedélye nem érhető el, a fürtmelléklet a "bővítmény nincs telepítve" hibaüzenettel meghiúsul.
- Ha az "Azure Kubernetes Service Cluster Admin" szerepkör-engedély nem érhető el, a fürtmelléklet "belső kiszolgáló" hibával meghiúsul.
Kubernetes-fürt csatolása az Azure Machine Learning-munkaterülethez
Két módszert támogatunk a Kubernetes-fürtök Azure Machine Learning-munkaterülethez való csatolására az Azure CLI vagy a studio felhasználói felületének használatával.
Az alábbi CLI v2-parancsok bemutatják, hogyan csatolhat egy AKS- és Azure Arc-kompatibilis Kubernetes-fürtöt, és hogyan használhatja számítási célként, ha engedélyezve van a felügyelt identitás.
AKS-fürt
az ml compute attach --resource-group <resource-group-name> --workspace-name <workspace-name> --type Kubernetes --name k8s-compute --resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerService/managedclusters/<cluster-name>" --identity-type SystemAssigned --namespace <Kubernetes namespace to run Azure Machine Learning workloads> --no-wait
Arc Kubernetes-fürt
az ml compute attach --resource-group <resource-group-name> --workspace-name <workspace-name> --type Kubernetes --name amlarc-compute --resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Kubernetes/connectedClusters/<cluster-name>" --user-assigned-identities "subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>" --no-wait
Állítsa az argumentumot a --type
következőre Kubernetes
: . identity_type
Az argumentum használatával engedélyezheti SystemAssigned
vagy UserAssigned
felügyelheti az identitásokat.
Fontos
--user-assigned-identities
csak felügyelt identitásokhoz UserAssigned
szükséges. Bár vesszővel tagolt, felhasználó által felügyelt identitások listáját is megadhatja, a fürt csatolásakor csak az elsőt használja a rendszer.
A számítási csatolás nem hozza létre automatikusan a Kubernetes-névteret, és nem ellenőrzi, hogy a Kubernetes-névtér létezett-e. Ellenőriznie kell, hogy a megadott névtér létezik-e a fürtben, ellenkező esetben a számításhoz küldött Azure Machine Learning-számítási feladatok sikertelenek lesznek.
Felügyelt identitás hozzárendelése a számítási célhoz
A fejlesztők számára gyakori kihívás a megoldások különböző összetevői közötti kommunikáció biztonságossá tételéhez használt titkos kódok és hitelesítő adatok kezelése. Felügyelt identitásokkal nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat.
Az Azure Container Registry (ACR) Docker-rendszerképekhez való eléréséhez és egy betanítási adatok tárolására szolgáló tárfiókhoz csatolja a Kubernetes-számítást egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás engedélyezésével.
Felügyelt identitás hozzárendelése
A számítási csatolási lépésben hozzárendelhet egy felügyelt identitást a számításhoz.
Ha a számítás már csatlakoztatva van, frissítheti a beállításokat, hogy felügyelt identitást használjon az Azure Machine Learning Studióban.
- Nyissa meg az Azure Machine Learning Studiót. Válassza a Számítás, a Csatolt számítás lehetőséget, és válassza ki a csatolt számítást.
- A felügyelt identitás szerkesztéséhez válassza a ceruza ikont.
Azure-szerepkörök hozzárendelése felügyelt identitáshoz
Az Azure többféleképpen is hozzárendelhet szerepköröket egy felügyelt identitáshoz.
- Szerepkörök hozzárendelése az Azure Portal használatával
- Szerepkörök hozzárendelése az Azure CLI használatával
- Szerepkörök hozzárendelése az Azure PowerShell használatával
Ha az Azure Portalon szerepköröket rendel hozzá, és rendszer által hozzárendelt felügyelt identitással rendelkezik, válassza ki a felhasználót, a csoportnevet vagy a szolgáltatásnevet, az identitás nevét a Tagok kiválasztása lehetőség kiválasztásával keresheti meg. Az identitás nevét a következőképpen kell formázni: <workspace name>/computes/<compute target name>
.
Ha felhasználó által hozzárendelt felügyelt identitással rendelkezik, válassza a Felügyelt identitás lehetőséget a célidentitás megkereséséhez.
A felügyelt identitással képeket is lekérhet az Azure Container Registryből. Adja meg az AcrPull-szerepkört a számítási felügyelt identitásnak. További információ: Azure Container Registry-szerepkörök és engedélyek.
Felügyelt identitással hozzáférhet az Azure Blobhoz:
- Írásvédett célra a Storage Blob Data Reader szerepkört kell megadni a számítási felügyelt identitásnak.
- Olvasási-írási célra a Storage Blob Data Közreműködői szerepkört kell biztosítani a számítási felügyelt identitásnak.