Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Batch-végpontok támogatják a Microsoft Entra-hitelesítést vagy aad_token
a . Ez azt jelenti, hogy egy kötegelt végpont meghívásához a felhasználónak érvényes Microsoft Entra hitelesítési tokent kell bemutatnia a kötegelt végpont URI-jának. Az engedélyezés a végpont szintjén van kényszerítve. Az alábbi cikk bemutatja, hogyan használhatja helyesen a kötegelt végpontokat és annak biztonsági követelményeit.
Az engedélyezés működése
Batch-végpont meghívásához a felhasználónak egy érvényes Microsoft Entra-jogkivonatot kell bemutatnia, amely egy biztonsági tagot jelöl. Ez a rendszernév lehet egyszerű felhasználó vagy szolgáltatásnév. Mindenesetre a végpont meghívása után létrejön egy kötegtelepítési feladat a jogkivonathoz társított identitás alatt. Az identitásnak a következő engedélyekre van szüksége a feladat sikeres létrehozásához:
- Kötegelt végpontok/üzembe helyezések olvasása.
- Feladatok létrehozása kötegelt következtetési végpontokban/üzembe helyezésben.
- Kísérletek/futtatások létrehozása.
- Olvasás és írás adattárakból vagy adattárakba.
- Az adattár titkos kulcsokat sorolja fel.
Az RBAC-engedélyek részletes listájáért tekintse meg az RBAC konfigurálása kötegelt végponti meghíváshoz című témakört.
Fontos
Előfordulhat, hogy a kötegvégpont meghívásához használt identitás nem használható a mögöttes adatok olvasására attól függően, hogy az adattár hogyan van konfigurálva. További részletekért lásd : Számítási fürtök konfigurálása adathozzáféréshez .
Feladatok futtatása különböző típusú hitelesítő adatokkal
Az alábbi példák különböző módszereket mutatnak be a kötegelt üzembehelyezési feladatok különböző hitelesítő adatokkal való elindítására:
Fontos
Ha privát kapcsolatokkal kompatibilis munkaterületeken dolgozik, a kötegvégpontok nem hívhatók meg a felhasználói felületről az Azure Machine Learning Studióban. A feladatlétrehozáshoz használja inkább az Azure Machine Learning CLI v2-t.
Előfeltételek
- Ez a példa feltételezi, hogy a modell megfelelően van üzembe helyezve kötegelt végpontként. Különösen az oktatóanyagban létrehozott szívállapot-osztályozót használjuk az MLflow-modellek kötegelt üzembe helyezések során.
Feladatok futtatása a felhasználó hitelesítő adataival
Ebben az esetben egy kötegelt végpontot szeretnénk végrehajtani az aktuálisan bejelentkezett felhasználó identitásával. Tegye a következők egyikét:
Az Azure CLI használatával interaktív vagy eszközkód-hitelesítéssel jelentkezhet be:
az login
A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:
az ml batch-endpoint invoke --name $ENDPOINT_NAME \ --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
Feladatok futtatása szolgáltatásnévvel
Ebben az esetben egy kötegvégpontot szeretnénk végrehajtani a Microsoft Entra ID azonosítójában már létrehozott szolgáltatásnév használatával. A hitelesítés befejezéséhez létre kell hoznia egy titkos kulcsot a hitelesítés végrehajtásához. Tegye a következők egyikét:
Hozzon létre egy titkos kulcsot a hitelesítéshez a 3. lehetőség leírása szerint : Új ügyfélkód létrehozása.
A szolgáltatásnévvel történő hitelesítéshez használja az alábbi parancsot. További részletekért lásd: Bejelentkezés az Azure CLI-vel.
az login --service-principal \ --tenant <tenant> \ -u <app-id> \ -p <password-or-cert>
A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:
az ml batch-endpoint invoke --name $ENDPOINT_NAME \ --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
Feladatok futtatása felügyelt identitással
Felügyelt identitásokkal hívhatja meg a kötegelt végpontokat és az üzembe helyezéseket. Figyelje meg, hogy ez a kezelési identitás nem a kötegvégponthoz tartozik, hanem a végpont végrehajtásához és így egy kötegfeladat létrehozásához használt identitás. Ebben a forgatókönyvben a felhasználó által hozzárendelt és a rendszer által hozzárendelt identitások egyaránt használhatók.
Az Azure-erőforrások felügyelt identitásaihoz konfigurált erőforrásokon bejelentkezhet a felügyelt identitással. Az erőforrás identitásával való bejelentkezés az --identity
jelzőn keresztül történik. További részletekért lásd : Bejelentkezés az Azure CLI-vel.
az login --identity
A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:
az ml batch-endpoint invoke --name $ENDPOINT_NAME \
--input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
RBAC konfigurálása Batch-végpontok meghívásához
A Batch Endpoints olyan tartós API-felhasználókat tesz elérhetővé, a segítségével feladatokat hozhatnak létre. A meghívó megfelelő engedélyt kér a feladatok létrehozásához. Használhatja az egyik beépített biztonsági szerepkört , vagy létrehozhat egy egyéni szerepkört erre a célra.
A kötegelt végpont sikeres meghívásához a végpontok meghívásához használt identitáshoz megadott alábbi explicit műveletekre van szükség. Az Azure-szerepkörök hozzárendelésének lépéseit követve útmutatást talál a szerepkörök hozzárendeléséhez.
"actions": [
"Microsoft.MachineLearningServices/workspaces/read",
"Microsoft.MachineLearningServices/workspaces/data/versions/write",
"Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
"Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
"Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
"Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
"Microsoft.MachineLearningServices/workspaces/datastores/read",
"Microsoft.MachineLearningServices/workspaces/datastores/write",
"Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
"Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
"Microsoft.MachineLearningServices/workspaces/computes/read",
"Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
"Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
"Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
"Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
"Microsoft.MachineLearningServices/workspaces/experiments/read",
"Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
"Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
"Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
"Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
"Microsoft.MachineLearningServices/workspaces/modules/read",
"Microsoft.MachineLearningServices/workspaces/models/read",
"Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
"Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
"Microsoft.MachineLearningServices/workspaces/environments/read",
"Microsoft.MachineLearningServices/workspaces/environments/write",
"Microsoft.MachineLearningServices/workspaces/environments/build/action",
"Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]
Számítási fürtök konfigurálása adathozzáféréshez
A Batch-végpontok biztosítják, hogy csak a jogosult felhasználók tudják meghívni a batch-telepítéseket, és feladatokat generáljanak. A bemeneti adatok konfigurálásának módjától függően azonban más hitelesítő adatok is használhatók a mögöttes adatok olvasásához. A következő táblázatból megtudhatja, hogy mely hitelesítő adatokat használja:
Adatbevitel típusa | Hitelesítő adatok a tárolóban | Használt hitelesítő adatok | Hozzáférés a következő által: |
---|---|---|---|
Adattár | Igen | Az adattár hitelesítő adatai a munkaterületen | Hozzáférési kulcs vagy SAS |
Adategység | Igen | Az adattár hitelesítő adatai a munkaterületen | Hozzáférési kulcs vagy SAS |
Adattár | Nem | A feladat identitása + a számítási fürt felügyelt identitása | RBAC |
Adategység | Nem | A feladat identitása + a számítási fürt felügyelt identitása | RBAC |
Azure Blob Storage | Nem alkalmazható | A feladat identitása + a számítási fürt felügyelt identitása | RBAC |
Azure Data Lake Storage Gen1 | Nem alkalmazható | A feladat identitása + a számítási fürt felügyelt identitása | POSIX |
Azure Data Lake Storage Gen2 | Nem alkalmazható | A feladat identitása + a számítási fürt felügyelt identitása | POSIX és RBAC |
A tábla azon elemeinél, ahol a feladat identitása + a számítási fürt felügyelt identitása jelenik meg, a számítási fürt felügyelt identitása a tárfiókok csatlakoztatására és konfigurálására szolgál. A feladat identitása azonban továbbra is a mögöttes adatok olvasására szolgál, így részletes hozzáférés-vezérlés érhető el. Ez azt jelenti, hogy az adatok tárolóból való sikeres beolvasásához annak a számítási fürtnek a felügyelt identitásának, amelyen az üzembe helyezés fut, legalább Storage Blob Data Reader hozzáféréssel kell rendelkeznie a tárfiókhoz.
A számítási fürt adathozzáféréshez való konfigurálásához kövesse az alábbi lépéseket:
Nyissa meg az Azure Machine Learning Studiót.
Lépjen a Compute, majd a Compute-fürtök elemre.
Válassza ki azt a számítási fürtöt, amelyet az üzembe helyezés használ. Ez a művelet megnyitja a számítási fürt Részletek lapját.
Felügyelt identitás hozzárendelése a számítási fürthöz:
Lépjen a Felügyelt identitás szakaszra az oldalon, és ellenőrizze, hogy a számítógéphez hozzá van-e rendelve felügyelt identitás. Ha nem, válassza a ceruza ikont a felügyelt identitás szerkesztéséhez.
Válassza ki a felügyelt identitás hozzárendelése melletti csúszkát, hogy szükség szerint engedélyezze és konfigurálja azt. Használhat rendszer által hozzárendelt felügyelt identitást vagy felhasználó által hozzárendelt felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".
Mentse el a módosításokat.
Lépjen az Azure Portalra , és keresse meg azt a tárfiókot, ahol az adatok találhatók. Ha az adatbevitel adategység vagy adattár, keresse meg azt a tárfiókot, ahol az eszközök találhatók.
Storage Blob Data Reader hozzáférési szint hozzárendelése a tárfiókban:
Lépjen a Hozzáférés-vezérlés (IAM) szakaszra.
Jelölje ki a lap szerepkör-hozzárendelését, majd kattintson a Szerepkör-hozzárendelés hozzáadása>elemre.
Keresse meg a Storage Blob Data Reader nevű szerepkört, jelölje ki, majd kattintson a Tovább gombra.
Kattintson a Tagok kijelölése elemre.
Keresse meg a létrehozott felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".
Adja hozzá a fiókot, és fejezze be a varázslót.
A végpont készen áll a feladatok és a bemeneti adatok fogadására a kiválasztott tárfiókból.
Következő lépések
- Hálózatelkülönítés kötegvégpontokban
- Batch-végpontok meghívása a tárolóban lévő Event Grid-eseményekből.
- Kötegelt végpontok meghívása az Azure Data Factoryből.