Megosztás a következőn keresztül:

Az Azure Machine Learning naplózása és kezelése

  • Cikk

Amikor a csapatok együttműködnek az Azure Machine Learningben, az erőforrások konfigurálásának és rendszerezésének különböző követelményei lehetnek. A gépi tanulási csapatok rugalmasan rendszerezhetik a munkaterületeket az együttműködéshez, vagy hogyan méretezhetik a számítási fürtöket a használati esetek követelményeinek megfelelően. Ezekben a forgatókönyvekben a hatékonyság akkor lehet hasznos, ha az alkalmazáscsapatok kezelhetik saját infrastruktúrájukat.

Platformadminisztrátorként szabályzatokkal védelmeket állíthat be a csapatok számára a saját erőforrásaik kezeléséhez. Az Azure Policy segít az erőforrások állapotának naplózásában és szabályozásában. Ez a cikk bemutatja, hogyan használhat naplózási vezérlőket és szabályozási eljárásokat az Azure Machine Learninghez.

Szabályzatok az Azure Machine Learninghez

Az Azure Policy egy szabályozási eszköz, amely lehetővé teszi, hogy az Azure-erőforrások megfeleljenek a szabályzatainak.

Az Azure Policy olyan szabályzatokat biztosít, amelyeket az Azure Machine Learning gyakori forgatókönyveihez használhat. Ezeket a szabályzatdefiníciókat hozzárendelheti a meglévő előfizetéséhez, vagy használhatja őket saját egyéni definíciók létrehozásához.

Az alábbi táblázat az Azure Machine Learninghez hozzárendelhető beépített szabályzatokat sorolja fel. Az Azure beépített szabályzatainak listáját a beépített szabályzatok között találja.

Név
(Azure Portal)		 Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Machine Learning-modell beállításjegyzékének központi telepítései az engedélyezett beállításjegyzék kivételével korlátozottak Csak a beállításjegyzék-modelleket helyezze üzembe az engedélyezett beállításjegyzékben, és amelyek nincsenek korlátozva. Megtagadás, letiltva 1.0.0-előzetes verzió
Az Azure Machine Learning számítási példányának tétlen leállítást kell használnia. Az üresjárati leállítás ütemezése csökkenti a költségeket azáltal, hogy leállítja az előre meghatározott tevékenységi időszak után tétlen számításokat. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Machine Learning számítási példányait újra létre kell hozni a legújabb szoftverfrissítések beszerzéséhez Győződjön meg arról, hogy az Azure Machine Learning számítási példányai a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Az Azure Machine Learning Computesnek virtuális hálózaton kell lennie Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Learning számítási fürtöi és példányai, valamint alhálózatai, hozzáférés-vezérlési szabályzatai és egyéb funkciói számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. Naplózás, letiltva 1.0.1
Az Azure Machine Learning Computesben le kell tiltani a helyi hitelesítési módszereket A helyi hitelesítési módszerek letiltása azáltal javítja a biztonságot, hogy a Machine Learning Computes csak a hitelesítéshez igényel Azure Active Directory-identitásokat. További információ: https://aka.ms/azure-ml-aad-policy. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. Naplózás, megtagadás, letiltva 1.0.3
Az Azure Machine Learning-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Machine Learning-munkaterületek nem érhetők el a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Naplózás, megtagadás, letiltva 2.0.1
Az Azure Machine Learning-munkaterületeknek engedélyeznie kell a V1LegacyMode-ot a hálózatelkülönítés visszamenőleges kompatibilitásának támogatásához Az Azure ML áttér egy új V2 API-platformra az Azure Resource Managerben, és a V1LegacyMode paraméterrel vezérelheti az API-platform verzióját. A V1LegacyMode paraméter engedélyezése lehetővé teszi, hogy a munkaterületek ugyanabban a hálózati elkülönítésben maradjanak, mint a V1, bár nem fogja használni az új V2-funkciókat. Javasoljuk, hogy csak akkor kapcsolja be a V1 örökölt módot, ha meg szeretné őrizni az AzureML vezérlősík adatait a magánhálózatokon belül. További információ: https://aka.ms/V1LegacyMode. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Machine Learning-munkaterületeknek felhasználó által hozzárendelt felügyelt identitást kell használniuk Hozzáférés az Azure ML-munkaterülethez és a kapcsolódó erőforrásokhoz, az Azure Container Registryhez, a KeyVaulthoz, a Storage-hoz és az App Insightshoz felhasználó által hozzárendelt felügyelt identitás használatával. Alapértelmezés szerint a rendszer által hozzárendelt felügyelt identitást az Azure ML-munkaterület használja a társított erőforrások eléréséhez. A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi az identitás Azure-erőforrásként való létrehozását és az identitás életciklusának fenntartását. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Machine Learning Computes konfigurálása a helyi hitelesítési módszerek letiltásához Tiltsa le a helyhitelesítési módszereket, hogy a Machine Learning Computes kizárólag a hitelesítéshez igényelje az Azure Active Directory-identitásokat. További információ: https://aka.ms/azure-ml-aad-policy. Módosítás, letiltva 2.1.0
Az Azure Machine Learning-munkaterület konfigurálása privát DNS-zónák használatára Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Machine Learning-munkaterületekhez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.1.0
Az Azure Machine Learning-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához Tiltsa le az Azure Machine Learning-munkaterületek nyilvános hálózati hozzáférését, hogy a munkaterületek ne legyenek elérhetők a nyilvános interneten keresztül. Ez segít megvédeni a munkaterületeket az adatszivárgási kockázatokkal szemben. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Módosítás, letiltva 1.0.3
Azure Machine Learning-munkaterületek konfigurálása privát végpontokkal A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Machine Learning-munkaterületre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Az Azure Machine Learning-munkaterületek diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre Üzembe helyezi az Azure Machine Learning-munkaterületek diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Azure Machine Learning-munkaterületek létrejönnek vagy frissülnek. DeployIfNotExists, Disabled 1.0.1
Engedélyezni kell az Erőforrásnaplókat az Azure Machine Learning-munkaterületeken Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. AuditIfNotExists, Disabled 1.0.1

A szabályzatok különböző hatókörökben állíthatók be, például az előfizetés vagy az erőforráscsoport szintjén. További információkért tekintse meg az Azure Policy dokumentációját.

Beépített szabályzatok hozzárendelése

Az Azure Machine Learninghez kapcsolódó beépített szabályzatdefiníciók megtekintéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure Policyt az Azure Portalon.
  2. Válassza a Definíciók lehetőséget.
  3. A Típus beállításnál válassza a Beépített lehetőséget. Kategória esetén válassza a Machine Learning lehetőséget.

Itt kiválaszthatja a szabályzatdefiníciókat, hogy megtekinthesse őket. Definíció megtekintése közben a Hozzárendelés hivatkozással hozzárendelheti a szabályzatot egy adott hatókörhöz, és konfigurálhatja a szabályzat paramétereit. További információ: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azure portalon történő azonosításához.

Szabályzatokat az Azure PowerShell, az Azure CLI vagy a sablonok használatával is hozzárendelhet.

Feltételes hozzáférési szabályzatok

Az Azure Machine Learning-munkaterület elérésének szabályozásához használja a Microsoft Entra Feltételes hozzáférést. Az Azure Machine Learning-munkaterületek feltételes hozzáférésének használatához rendelje hozzá a feltételes hozzáférési szabályzatot az Azure Machine Learning nevű alkalmazáshoz. Az alkalmazás azonosítója : 0736f41a-0425-bdb5-1563eff02385.

Önkiszolgáló szolgáltatás engedélyezése kezdőzónákkal

A kezdőzónák olyan architektúraminták, amelyek az Azure-környezetek beállításakor skálázást, szabályozást, biztonságot és hatékonyságot biztosítanak. Az adat-kezdőzóna egy rendszergazda által konfigurált környezet, amelyet az alkalmazáscsapat az adat- és elemzési számítási feladatok üzemeltetésére használ.

A célzóna célja annak biztosítása, hogy minden infrastruktúra-konfigurációs munka befejeződjön, amikor egy csapat elindul az Azure-környezetben. A biztonsági vezérlők például a szervezeti szabványoknak megfelelően vannak beállítva, és a hálózati kapcsolat be van állítva.

A kezdőzónák mintájának használatával a gépi tanulási csapatok önkiszolgáló alapon helyezhetik üzembe és kezelhetik saját erőforrásaikat. Az Azure Policy rendszergazdaként való használatával az Azure-erőforrásokat a megfelelőség érdekében naplózhatja és kezelheti.

Az Azure Machine Learning integrálható az adat-kezdőzónákkal az felhőadaptálási keretrendszer adatkezelési és elemzési forgatókönyvben. Ez a referencia-implementáció optimalizált környezetet biztosít a gépi tanulási számítási feladatok Azure Machine Learningbe való migrálásához, és előre konfigurált szabályzatokat tartalmaz.

Beépített szabályzatok konfigurálása

A számítási példánynak tétlenségi leállítást kell használnia

Ez a szabályzat szabályozza, hogy egy Azure Machine Learning számítási példánynak engedélyezve kell-e lennie az inaktív leállításnak. A tétlen leállítás automatikusan leállítja a számítási példányt, ha egy adott ideig tétlen. Ez a szabályzat költségmegtakarításhoz és annak biztosításához hasznos, hogy az erőforrásokat ne használják fölöslegesen.

A szabályzat konfigurálásához állítsa az effektusparamétert naplózásra, elutasításra vagy letiltásra. Ha naplózásra van állítva, létrehozhat egy számítási példányt anélkül, hogy engedélyezve van az inaktív leállítás, és figyelmeztető esemény jön létre a tevékenységnaplóban.

A számítási példányokat újra létre kell hozni a szoftverfrissítések lekéréséhez

Azt szabályozza, hogy az Azure Machine Learning számítási példányait naplózni kell-e, hogy biztosan a legújabb elérhető szoftverfrissítéseket futtatják-e. Ez a szabályzat hasznos annak biztosításához, hogy a számítási példányok a legújabb szoftverfrissítéseket futtatják a biztonság és a teljesítmény fenntartása érdekében. További információ: Az Azure Machine Learning sebezhetőségi kezelése.

A szabályzat konfigurálásához állítsa az effektusparamétert Naplózás vagy Letiltva értékre. Ha naplózásra van állítva, figyelmeztető esemény jön létre a tevékenységnaplóban, ha egy számítás nem a legújabb szoftverfrissítéseket futtatja.

A számítási fürtnek és a példánynak virtuális hálózaton kell lennie

Szabályozza a számítási fürt és a virtuális hálózat mögötti példányerőforrások naplózását.

A szabályzat konfigurálásához állítsa az effektusparamétert Naplózás vagy Letiltva értékre. Ha naplózásra van állítva, létrehozhat egy olyan számítást, amely nincs virtuális hálózat mögött konfigurálva, és figyelmeztető esemény jön létre a tevékenységnaplóban.

A számításokban le kell tiltani a helyi hitelesítési módszereket.

Azt szabályozza, hogy egy Azure Machine Learning számítási fürt vagy példány letiltsa-e a helyi hitelesítést (SSH).

A szabályzat konfigurálásához állítsa az effektusparamétert naplózásra, elutasításra vagy letiltásra. Ha naplózásra van állítva, létrehozhat egy számítást úgy, hogy engedélyezve van az SSH, és figyelmeztető esemény jön létre a tevékenységnaplóban.

Ha a házirend Megtagadás értékre van állítva, akkor csak akkor hozhat létre számítást, ha az SSH le van tiltva. Ha SSH-kompatibilis számítást próbál létrehozni, az hibát eredményez. A hiba a tevékenységnaplóba is be van naplózva. A rendszer a hiba részeként visszaadja a szabályzatazonosítót.

A munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani

Azt szabályozza, hogy egy munkaterületet ügyfél által felügyelt kulccsal vagy Microsoft által felügyelt kulccsal kell-e titkosítani a metrikák és metaadatok titkosításához. Az ügyfél által felügyelt kulcs használatáról az adattitkosítási cikk Azure Cosmos DB-szakaszában talál további információt.

A szabályzat konfigurálásához állítsa az effektus paramétert Naplózás vagy Megtagadás értékre. Ha naplózásra van állítva, létrehozhat egy munkaterületet ügyfél által felügyelt kulcs nélkül, és figyelmeztető esemény jön létre a tevékenységnaplóban.

Ha a szabályzat Megtagadás értékre van állítva, akkor csak akkor hozhat létre munkaterületet, ha az ügyfél által felügyelt kulcsot ad meg. Ha ügyfél által felügyelt kulcs nélkül próbál munkaterületet létrehozni, az a tevékenységnaplóhoz Resource 'clustername' was disallowed by policy hasonló hibát eredményez, és hibát okoz. A rendszer a szabályzatazonosítót is visszaadja ennek a hibának a részeként.

Munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltására

Azt szabályozza, hogy egy munkaterület letiltsa-e a hálózati hozzáférést a nyilvános internetről.

A szabályzat konfigurálásához állítsa az effektusparamétert naplózásra, elutasításra vagy letiltásra. Ha naplózásra van állítva, létrehozhat egy nyilvános hozzáférésű munkaterületet, és figyelmeztető esemény jön létre a tevékenységnaplóban.

Ha a házirend Megtagadás értékre van állítva, akkor nem hozhat létre olyan munkaterületet, amely engedélyezi a hálózati hozzáférést a nyilvános internetről.

A munkaterületeknek engedélyeznie kell a V1LegacyMode-t a hálózatelkülönítés visszamenőleges kompatibilitásának támogatásához

Azt szabályozza, hogy egy munkaterület engedélyezze-e a V1LegacyMode-ot a hálózatelkülönítés visszamenőleges kompatibilitásának támogatásához. Ez a szabályzat akkor hasznos, ha az Azure Machine Learning vezérlősík adatait magánhálózatán belül szeretné tárolni. További információ: Hálózatelkülönítés módosítása az új API-platformmal.

A szabályzat konfigurálásához állítsa az effektusparamétert Naplózás, Megtagadás vagy Letiltás beállításra. Ha naplózásra van állítva, létrehozhat egy munkaterületet a V1LegacyMode engedélyezése nélkül, és figyelmeztető esemény jön létre a tevékenységnaplóban.

Ha a szabályzat Megtagadás értékre van állítva, akkor csak akkor hozhat létre munkaterületet, ha engedélyezi a V1LegacyMode-ot.

Azt szabályozza, hogy egy munkaterület az Azure Private Link használatával kommunikáljon-e az Azure Virtual Network szolgáltatással. A privát kapcsolat használatáról további információt az Azure Machine Learning-munkaterület privát végpontjának konfigurálása című témakörben talál.

A szabályzat konfigurálásához állítsa az effektus paramétert Naplózás vagy Megtagadás értékre. Ha naplózásra van állítva, privát hivatkozás használata nélkül hozhat létre munkaterületet, és figyelmeztető esemény jön létre a tevékenységnaplóban.

Ha a szabályzat Megtagadás értékre van állítva, akkor csak akkor hozhat létre munkaterületet, ha privát hivatkozást használ. Ha privát hivatkozás nélkül próbál munkaterületet létrehozni, az hibát eredményez. A hiba a tevékenységnaplóba is be van naplózva. A rendszer a hiba részeként visszaadja a szabályzatazonosítót.

A munkaterületeknek felhasználó által hozzárendelt felügyelt identitást kell használniuk

Azt szabályozza, hogy a munkaterület rendszer által hozzárendelt felügyelt identitással (alapértelmezett) vagy felhasználó által hozzárendelt felügyelt identitással lett-e létrehozva. A munkaterület felügyelt identitása olyan társított erőforrások eléréséhez használható, mint az Azure Storage, az Azure Container Registry, az Azure Key Vault és a Azure-alkalmazás Insights. További információ: Hitelesítés beállítása az Azure Machine Learning és más szolgáltatások között.

A szabályzat konfigurálásához állítsa az effektusparamétert naplózásra, elutasításra vagy letiltásra. Ha naplózásra van állítva, létrehozhat egy munkaterületet felhasználó által hozzárendelt felügyelt identitás megadása nélkül. A rendszer rendszer által hozzárendelt identitást használ, és figyelmeztető esemény jön létre a tevékenységnaplóban.

Ha a szabályzat Megtagadás értékre van állítva, akkor csak akkor hozhat létre munkaterületet, ha a létrehozási folyamat során felhasználó által hozzárendelt identitást ad meg. Ha felhasználó által hozzárendelt identitás megadása nélkül próbál munkaterületet létrehozni, az hibát eredményez. A rendszer a hibát a tevékenységnaplóba is naplózza. A rendszer a hiba részeként visszaadja a szabályzatazonosítót.

Számítások konfigurálása a helyi hitelesítés módosításához/letiltásához

Ez a szabályzat módosítja az Azure Machine Learning számítási fürtre vagy példánylétrehozásra vonatkozó kéréseket a helyi hitelesítés (SSH) letiltásához.

A szabályzat konfigurálásához állítsa az effektusparamétert Módosítás vagy Letiltás értékre. Ha beállítja a Módosítás beállítást, a házirend alkalmazási körén belüli számítási fürt vagy példány létrehozása automatikusan letiltja a helyi hitelesítést.

Munkaterület konfigurálása privát DNS-zónák használatára

Ez a szabályzat úgy konfigurál egy munkaterületet, hogy privát DNS-zónát használjon, felülírva a privát végpont alapértelmezett DNS-feloldását.

A szabályzat konfigurálásához állítsa az effektusparamétert a DeployIfNotExists értékre. Állítsa a privateDnsZoneId azonosítót a használni kívánt privát DNS-zóna Azure Resource Manager-azonosítójára.

Munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltására

A munkaterületet úgy konfigurálja, hogy letiltsa a hálózati hozzáférést a nyilvános internetről. Ez segít megvédeni a munkaterületeket az adatszivárgási kockázatokkal szemben. Ehelyett privát végpontok létrehozásával érheti el a munkaterületet. További információ: Privát végpont konfigurálása Azure Machine Learning-munkaterülethez.

A szabályzat konfigurálásához állítsa az effektusparamétert Módosítás vagy Letiltás értékre. Ha módosításra van állítva, a szabályzat hatálya alá tartozó munkaterületek létrehozása automatikusan le lesz tiltva a nyilvános hálózati hozzáféréssel.

Munkaterületek konfigurálása privát végpontokkal

Egy munkaterületet úgy konfigurál, hogy privát végpontot hozzon létre egy Azure-beli virtuális hálózat megadott alhálózatán belül.

A szabályzat konfigurálásához állítsa az effektusparamétert a DeployIfNotExists értékre. Állítsa a privateEndpointSubnetID azonosítót az alhálózat Azure Resource Manager-azonosítójára.

Diagnosztikai munkaterületek konfigurálása naplók log analytics-munkaterületekre való küldéséhez

Az Azure Machine Learning-munkaterület diagnosztikai beállításait konfigurálja naplók Log Analytics-munkaterületre való küldéséhez.

A szabályzat konfigurálásához állítsa az effektusparamétert DeployIfNotExists vagy Disabled értékre. Ha a DeployIfNotExists értékre van állítva, a szabályzat létrehoz egy diagnosztikai beállítást, amely naplókat küld egy Log Analytics-munkaterületre, ha még nem létezik.

Engedélyezni kell az erőforrásnaplókat a munkaterületeken

Ellenőrzi, hogy az erőforrásnaplók engedélyezve vannak-e egy Azure Machine Learning-munkaterületen. Az erőforrásnaplók részletes információkat nyújtanak a munkaterület erőforrásain végrehajtott műveletekről.

A szabályzat konfigurálásához állítsa az effektusparamétert Az AuditIfNotExists vagy a Disabled értékre. Ha Az AuditIfNotExists értékre van állítva, a szabályzat naplózza, ha az erőforrásnaplók nincsenek engedélyezve a munkaterületen.

Kapcsolódó tartalom