Kubernetes-fürt csatolása Azure Machine Learning-munkaterülethez

ÉRVÉNYES:Azure CLI ml-bővítmény v2 (aktuális)Python SDK azure-ai-ml v2 (aktuális)

Miután üzembe helyezte az Azure Machine Tanulás bővítményt az AKS- vagy Arc Kubernetes-fürtön, csatolhatja a Kubernetes-fürtöt az Azure Machine Tanulás-munkaterülethez, és számítási célokat hozhat létre az ML-szakemberek számára.

Előfeltételek

A Kubernetes-fürt Azure Machine-Tanulás-munkaterülethez való csatolása számos különböző forgatókönyvet támogathat rugalmasan. Például a több melléklettel rendelkező megosztott forgatókönyvek, az Azure-erőforrásokhoz hozzáférő modellbetanítási szkriptek és a munkaterület hitelesítési konfigurációja.

Több csatolás és számítási feladat elkülönítése

Egy fürt egy munkaterületre, több számítási cél létrehozása

• Ugyanahhoz a Kubernetes-fürthöz többször is csatolhatja ugyanahhoz a munkaterülethez, és több számítási célt is létrehozhat különböző projektekhez/csapatokhoz/számítási feladatokhoz.

Egy fürt több munkaterületre

• Ugyanahhoz a Kubernetes-fürthöz több munkaterülethez is csatolhatja, és a több munkaterület is ugyanazt a Kubernetes-fürtöt használhatja.

Ha eltérő számítási célokat tervez különböző projektekhez/csapatokhoz, megadhatja a fürtben a meglévő Kubernetes-névteret a számítási célhoz, hogy elkülönítse a számítási feladatot a különböző csapatok/projektek között.

Fontos

A fürt Azure Machine-Tanulás-munkaterülethez való csatolásakor megadni kívánt névteret korábban létre kell hozni a fürtben.

Azure-erőforrás biztonságos elérése betanítási szkriptből

Ha biztonságosan kell hozzáférnie az Azure-erőforráshoz a betanítási szkriptből, a csatolási művelet során megadhat egy felügyelt identitást a Kubernetes számítási célhoz.

Csatolás a felhasználó által hozzárendelt felügyelt identitással rendelkező munkaterülethez

Az Azure Machine Tanulás-munkaterület alapértelmezés szerint rendszer által hozzárendelt felügyelt identitással rendelkezik az Azure Machine Tanulás-erőforrások eléréséhez. A lépések akkor fejeződnek be, ha a rendszer által hozzárendelt alapértelmezett beállítás be van kapcsolva.

Ellenkező esetben, ha egy felhasználó által hozzárendelt felügyelt identitás van megadva az Azure Machine Tanulás munkaterület létrehozásakor, a számítás csatolása előtt manuálisan kell megadni a következő szerepkör-hozzárendeléseket a felügyelt identitáshoz.

Azure-erőforrás neve	Hozzárendelendő szerepkörök	Leírás
Azure Relay	Azure Relay-tulajdonos	Csak Arc-kompatibilis Kubernetes-fürtökre alkalmazható. Az Azure Relay nem jön létre arccsatlakozás nélküli AKS-fürthöz.
Kubernetes – Azure Arc vagy Azure Kubernetes Service	Olvasó Kubernetes-bővítmény közreműködője Azure Kubernetes Service-fürt Rendszergazda	Az Arc-kompatibilis Kubernetes-fürtre és az AKS-fürtre egyaránt alkalmazható.

Tipp.

Az Azure Relay-erőforrás a bővítmény üzembe helyezése során jön létre az Arc-kompatibilis Kubernetes-fürt erőforráscsoportja alatt.

Feljegyzés

• Ha a "Kubernetes-bővítmény közreműködője" szerepkör engedélye nem érhető el, a fürtmelléklet a "bővítmény nincs telepítve" hibaüzenettel meghiúsul.
• Ha az "Azure Kubernetes Service Cluster Rendszergazda" szerepkör engedélye nem érhető el, a fürtmelléklet "belső kiszolgáló" hibával hiúsul meg.

Kubernetes-fürt csatolása az Azure Machine Tanulás-munkaterülethez

Két módszert támogatunk a Kubernetes-fürtök Azure Machine Tanulás-munkaterülethez való csatolására az Azure CLI vagy a studio felhasználói felületének használatával.

Azure CLI

Az alábbi CLI v2-parancsok bemutatják, hogyan csatolhat egy AKS- és Azure Arc-kompatibilis Kubernetes-fürtöt, és hogyan használhatja számítási célként, ha engedélyezve van a felügyelt identitás.

AKS-fürt

az ml compute attach --resource-group <resource-group-name> --workspace-name <workspace-name> --type Kubernetes --name k8s-compute --resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerService/managedclusters/<cluster-name>" --identity-type SystemAssigned --namespace <Kubernetes namespace to run Azure Machine Learning workloads> --no-wait

Arc Kubernetes-fürt

az ml compute attach --resource-group <resource-group-name> --workspace-name <workspace-name> --type Kubernetes --name amlarc-compute --resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Kubernetes/connectedClusters/<cluster-name>" --user-assigned-identities "subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>" --no-wait

Állítsa az argumentumot a --type következőre Kubernetes: . identity_type Az argumentum használatával engedélyezheti SystemAssigned vagy UserAssigned felügyelheti az identitásokat.

Fontos

--user-assigned-identities csak felügyelt identitásokhoz UserAssigned szükséges. Bár vesszővel tagolt, felhasználó által felügyelt identitások listáját is megadhatja, a fürt csatolásakor csak az elsőt használja a rendszer.

A számítási csatolás nem hozza létre automatikusan a Kubernetes-névteret, és nem ellenőrzi, hogy a Kubernetes-névtér létezett-e. Ellenőriznie kell, hogy a megadott névtér létezik-e a fürtben, ellenkező esetben az Azure Machine Tanulás számítási feladatokat, amelyeket erre a számításra küldtek, sikertelen lesz.

Studio

A Kubernetes-fürt csatolása elérhetővé teszi a munkaterület számára betanítás vagy következtetés céljából.

1. Lépjen az Azure Machine Tanulás studióba.

2. A Kezelés területen válassza a Számítás lehetőséget.

3. Válassza a Kubernetes-fürtök lapot.

4. Válassza az +Új > Kubernetes lehetőséget

   

5. Adjon meg egy számítási nevet, és válassza ki a Kubernetes-fürtöt a legördülő listából.

   • (Nem kötelező) Adja meg a Kubernetes-névteret, amely alapértelmezés szerint a .default A rendszer minden gépi tanulási számítási feladatot a fürt megadott Kubernetes-névterébe küld. A számítási csatolás nem hozza létre automatikusan a Kubernetes-névteret, és nem ellenőrzi, hogy létezik-e a Kubernetes-névtér. Ellenőriznie kell, hogy a megadott névtér létezik-e a fürtben, ellenkező esetben az Azure Machine Tanulás számítási feladatokat, amelyeket erre a számításra küldött el.

   • (Nem kötelező) Rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás hozzárendelése. Felügyelt identitásokkal nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat. További információ: A cikk felügyelt identitás hozzárendelése szakasza.

   

6. Válassza a Csatolás lehetőséget

   A Kubernetes-fürtök lapon a fürt kezdeti állapota a Létrehozás. A fürt sikeres csatolása után az állapot sikeres lesz. Ellenkező esetben az állapot sikertelen lesz.

   

Azure SDK

Az alábbi Python SDK v2-kód bemutatja, hogyan csatolhat egy AKS- és Azure Arc-kompatibilis Kubernetes-fürtöt, és hogyan használhatja számítási célként felügyelt identitással.

AKS-fürt

from azure.ai.ml import load_compute

# for AKS cluster, the resource_id should be something like '/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/managedClusters/<CLUSTER_NAME>''
compute_params = [
    {"name": "<COMPUTE_NAME>"},
    {"type": "kubernetes"},
    {
        "resource_id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/managedClusters/<CLUSTER_NAME>"
    },
]
k8s_compute = load_compute(source=None, params_override=compute_params)
ml_client.begin_create_or_update(k8s_compute).result()

Arc Kubernetes-fürt

from azure.ai.ml import load_compute

# for arc connected cluster, the resource_id should be something like '/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/connectedClusters/<CLUSTER_NAME>''
compute_params = [
    {"name": "<COMPUTE_NAME>"},
    {"type": "kubernetes"},
    {
        "resource_id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.ContainerService/connectedClusters/<CLUSTER_NAME>"
    },
]
k8s_compute = load_compute(source=None, params_override=compute_params)
ml_client.begin_create_or_update(k8s_compute).result()

Felügyelt identitás hozzárendelése a számítási célhoz

A fejlesztők számára gyakori kihívás a megoldások különböző összetevői közötti kommunikáció biztonságossá tételéhez használt titkos kódok és hitelesítő adatok kezelése. Felügyelt identitásokkal nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat.

Az Azure Container Registry (ACR) Docker-rendszerképekhez való eléréséhez és egy betanítási adatok tárolására szolgáló tárfiókhoz csatolja a Kubernetes-számítást egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás engedélyezésével.

Felügyelt identitás hozzárendelése

• A számítási csatolási lépésben hozzárendelhet egy felügyelt identitást a számításhoz.

• Ha a számítás már csatlakoztatva van, frissítheti a beállításokat úgy, hogy felügyelt identitást használjon az Azure Machine Tanulás Studióban.

  • Nyissa meg az Azure Machine Tanulás Studiót. Válassza a Számítás, a Csatolt számítás lehetőséget, és válassza ki a csatolt számítást.
  • A felügyelt identitás szerkesztéséhez válassza a ceruza ikont.

  

  

Azure-szerepkörök hozzárendelése felügyelt identitáshoz

Az Azure többféleképpen is hozzárendelhet szerepköröket egy felügyelt identitáshoz.

• Szerepkörök hozzárendelése az Azure Portal használatával
• Szerepkörök hozzárendelése az Azure CLI használatával
• Szerepkörök hozzárendelése az Azure PowerShell használatával

Ha az Azure Portalon szerepköröket rendel hozzá, és rendszer által hozzárendelt felügyelt identitással rendelkezik, válassza ki a felhasználót, a csoportnevet vagy a szolgáltatásnevet, az identitás nevét a Tagok kiválasztása lehetőség kiválasztásával keresheti meg. Az identitás nevét a következőképpen kell formázni: <workspace name>/computes/<compute target name>.

Ha felhasználó által hozzárendelt felügyelt identitással rendelkezik, válassza a Felügyelt identitás lehetőséget a célidentitás megkereséséhez.

A felügyelt identitással képeket is lekérhet az Azure Container Registryből. Adja meg az AcrPull-szerepkört a számítási felügyelt identitásnak. További információ: Azure Container Registry-szerepkörök és engedélyek.

Felügyelt identitással hozzáférhet az Azure Blobhoz:

• Írásvédett célra a Storage Blob Data Reader szerepkört kell megadni a számítási felügyelt identitásnak.
• Olvasási-írási célra a Storage Blob Data Közreműködői szerepkört kell biztosítani a számítási felügyelt identitásnak.

Következő lépések

• Példánytípusok létrehozása és kezelése
• Azure Machine Tanulás következtetési útválasztó és kapcsolati követelmények
• Biztonságos AKS-következtetési környezet