Azure Machine Learning-studio gebruiken in een virtueel Azure-netwerk

Artikel
12/05/2022
7 minuten om te lezen

In dit artikel leert u hoe u Azure Machine Learning-studio gebruikt in een virtueel netwerk. De studio bevat functies zoals AutoML, de ontwerper en gegevenslabels.

Sommige functies van de studio zijn standaard uitgeschakeld in een virtueel netwerk. Als u deze functies opnieuw wilt inschakelen, moet u beheerde identiteit inschakelen voor opslagaccounts die u in de studio wilt gebruiken.

De volgende bewerkingen zijn standaard uitgeschakeld in een virtueel netwerk:

Voorbeeld van gegevens in de studio bekijken.
Gegevens visualiseren in de ontwerpfunctie.
Een model in de ontwerpfunctie implementeren.
Een AutoML-experiment indienen.
Een labelproject beginnen.

De studio ondersteunt het lezen van gegevens uit de volgende gegevensopslagtypen in een virtueel netwerk:

Azure Storage-account (blobbestand & )
Azure Data Lake Storage Gen1
Azure Data Lake Storage Gen2
Azure SQL Database

In dit artikel leert u het volgende:

Geef de studio toegang tot gegevens die zijn opgeslagen in een virtueel netwerk.
Open de studio vanuit een resource in een virtueel netwerk.
Inzicht in hoe de studio van invloed is op opslagbeveiliging.

Tip

Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks:

Zie Zelfstudie: Een beveiligde werkruimte of zelfstudie maken: Een beveiligde werkruimte maken met behulp van een sjabloon voor een zelfstudie over het maken van een beveiligde werkruimte.

Vereisten

Lees het overzicht van netwerkbeveiliging voor meer informatie over veelvoorkomende scenario's en architectuur van virtuele netwerken.
Een bestaand virtueel netwerk en subnet dat moet worden gebruikt.
Een bestaande Azure Machine Learning-werkruimte met een privé-eindpunt.
Een bestaand Azure-opslagaccount heeft uw virtuele netwerk toegevoegd.

Beperkingen

Azure Storage-account

Wanneer het opslagaccount zich in het VNet bevindt, zijn er extra validatievereisten bij het gebruik van studio:
- Als het opslagaccount een service-eindpunt gebruikt, moeten het privé-eindpunt en het eindpunt van de opslagservice zich in hetzelfde subnet van het VNet bevinden.
- Als het opslagaccount een privé-eindpunt gebruikt, moeten het privé-eindpunt van de werkruimte en het privé-eindpunt van de opslag zich in hetzelfde VNet bevinden. In dit geval kunnen ze zich in verschillende subnetten bevinden.

Voorbeeldpijplijn designer

Er is een bekend probleem waarbij de gebruiker geen voorbeeldpijplijn kan uitvoeren op de startpagina van Designer. Dit is de voorbeeldgegevensset die in de voorbeeldpijplijn wordt gebruikt, is een globale Azure-gegevensset en kan niet voldoen aan alle virtuele netwerkomgevingen.

U kunt dit probleem oplossen door een openbare werkruimte te gebruiken om een voorbeeldpijplijn uit te voeren om te leren hoe u de ontwerpfunctie gebruikt en vervolgens de voorbeeldgegevensset vervangt door uw eigen gegevensset in de werkruimte in het virtuele netwerk.

Gegevensarchief: Azure Storage-account

Gebruik de volgende stappen om toegang tot gegevens in te schakelen die zijn opgeslagen in Azure Blob- en Bestandsopslag:

Tip

De eerste stap is niet vereist voor het standaardopslagaccount voor de werkruimte. Alle andere stappen zijn vereist voor elk opslagaccount achter het VNet en gebruikt door de werkruimte, inclusief het standaardopslagaccount.

Als het opslagaccount de standaardopslag voor uw werkruimte is, slaat u deze stap over. Als dit niet de standaardinstelling is, verleent u de beheerde identiteit van de werkruimte de rol Opslagblobgegevenslezer voor het Azure-opslagaccount, zodat deze gegevens uit blobopslag kan lezen.

Zie de ingebouwde rol blobgegevenslezer voor meer informatie.
Verdeel de beheerde identiteit van de werkruimte de rol Lezer voor privé-eindpunten voor opslag. Als uw opslagservice een privé-eindpunt gebruikt, verleent u de beheerde identiteitslezer van de werkruimte toegang tot het privé-eindpunt. De beheerde identiteit van de werkruimte in Azure AD heeft dezelfde naam als uw Azure Machine Learning-werkruimte.

Tip

Uw opslagaccount heeft mogelijk meerdere privé-eindpunten. Eén opslagaccount kan bijvoorbeeld een afzonderlijk privé-eindpunt hebben voor blob, bestand en dfs (Azure Data Lake Storage Gen2). Voeg de beheerde identiteit toe aan al deze eindpunten.

Zie de ingebouwde rol Lezer voor meer informatie.

Schakel verificatie van beheerde identiteiten in voor standaardopslagaccounts. Elke Azure Machine Learning-werkruimte heeft twee standaardopslagaccounts, een standaard blobopslagaccount en een standaardbestandsarchiefaccount, dat wordt gedefinieerd wanneer u uw werkruimte maakt. U kunt ook nieuwe standaardwaarden instellen op de beheerpagina van het gegevensarchief .

Schermopname waarin wordt weergegeven waar standaardgegevensarchieven kunnen worden gevonden

In de volgende tabel wordt beschreven waarom verificatie van beheerde identiteiten wordt gebruikt voor de standaardopslagaccounts van uw werkruimte.

Storage-account	Notities
Standaardblobopslag voor werkruimte	Hiermee worden modelassets van de ontwerpfunctie opgeslagen. Schakel verificatie van beheerde identiteiten in voor dit opslagaccount om modellen in de ontwerpfunctie te implementeren. Als verificatie van beheerde identiteit is uitgeschakeld, wordt de identiteit van de gebruiker gebruikt voor toegang tot gegevens die zijn opgeslagen in de blob. U kunt een ontwerppijplijn visualiseren en uitvoeren als er een niet-standaardgegevensarchief wordt gebruikt dat is geconfigureerd voor het gebruik van beheerde identiteit. Als u echter een getraind model probeert te implementeren zonder dat beheerde identiteit is ingeschakeld voor het standaardgegevensarchief, mislukt de implementatie, ongeacht andere gegevensarchieven die worden gebruikt.
Standaardbestandsarchief voor werkruimten	Slaat AutoML-experimentassets op. Schakel verificatie van beheerde identiteiten in voor dit opslagaccount om AutoML-experimenten in te dienen.

Storage-account

Notities

Standaardblobopslag voor werkruimte

Hiermee worden modelassets van de ontwerpfunctie opgeslagen. Schakel verificatie van beheerde identiteiten in voor dit opslagaccount om modellen in de ontwerpfunctie te implementeren. Als verificatie van beheerde identiteit is uitgeschakeld, wordt de identiteit van de gebruiker gebruikt voor toegang tot gegevens die zijn opgeslagen in de blob.

U kunt een ontwerppijplijn visualiseren en uitvoeren als er een niet-standaardgegevensarchief wordt gebruikt dat is geconfigureerd voor het gebruik van beheerde identiteit. Als u echter een getraind model probeert te implementeren zonder dat beheerde identiteit is ingeschakeld voor het standaardgegevensarchief, mislukt de implementatie, ongeacht andere gegevensarchieven die worden gebruikt.

Standaardbestandsarchief voor werkruimten

Slaat AutoML-experimentassets op. Schakel verificatie van beheerde identiteiten in voor dit opslagaccount om AutoML-experimenten in te dienen.

Configureer gegevensarchieven voor het gebruik van verificatie van beheerde identiteiten. Nadat u een Azure-opslagaccount hebt toegevoegd aan uw virtuele netwerk met een service-eindpunt of privé-eindpunt, moet u uw gegevensarchief configureren voor het gebruik van verificatie van beheerde identiteiten . Hierdoor heeft de studio toegang tot gegevens in uw opslagaccount.

Azure Machine Learning maakt gebruik van gegevensopslag om verbinding te maken met opslagaccounts. Wanneer u een nieuw gegevensarchief maakt, gebruikt u de volgende stappen om een gegevensarchief te configureren voor het gebruik van verificatie van beheerde identiteiten:
1. Selecteer Gegevensarchieven in de studio.
2. Als u een bestaand gegevensarchief wilt bijwerken, selecteert u het gegevensarchief en selecteert u Referenties bijwerken.
  
  Als u een nieuw gegevensarchief wilt maken, selecteert u + Nieuw gegevensarchief.
3. Selecteer In de instellingen voor het gegevensarchief ja voor het gebruik van de beheerde identiteit van de werkruimte voor voorbeeldgegevens en profilering in Azure Machine Learning-studio.
4. Voeg in de netwerkinstellingen voor het Azure Storage-account het resourcetype Microsoft.MachineLearningService/werkruimten toe en stel de naam van het exemplaar in op de werkruimte.
Met deze stappen voegt u de beheerde identiteit van de werkruimte toe als lezer aan de nieuwe opslagservice met behulp van Azure RBAC. Met lezertoegang kan de werkruimte de resource weergeven, maar geen wijzigingen aanbrengen.

Gegevensarchief: Azure Data Lake Storage Gen1

Wanneer u Azure Data Lake Storage Gen1 als gegevensarchief gebruikt, kunt u alleen POSIX-achtige toegangsbeheerlijsten gebruiken. U kunt de beheerde identiteit van de werkruimte net als elke andere beveiligingsprincipaal toewijzen aan resources. Zie Toegangsbeheer in Azure Data Lake Storage Gen1 voor meer informatie.

Gegevensarchief: Azure Data Lake Storage Gen2

Wanneer u Azure Data Lake Storage Gen2 als gegevensarchief gebruikt, kunt u zowel Azure RBAC- als POSIX-toegangscontrolelijsten (ACL's) gebruiken om de toegang tot gegevens in een virtueel netwerk te beheren.

Als u Azure RBAC wilt gebruiken, volgt u de stappen in het gedeelte Datastore: Azure Storage-account van dit artikel. Data Lake Storage Gen2 is gebaseerd op Azure Storage, dus dezelfde stappen gelden voor het gebruik van Azure RBAC.

Als u ACL's wilt gebruiken, kan de beheerde identiteit van de werkruimte net als elke andere beveiligingsprincipal worden toegewezen. Zie Toegangsbeheerlijsten voor bestanden en mappen voor meer informatie.

Gegevensarchief: Azure SQL database

Als u toegang wilt krijgen tot gegevens die zijn opgeslagen in een Azure SQL Database met een beheerde identiteit, moet u een inGESLOTEN SQL-gebruiker maken die is toegewezen aan de beheerde identiteit. Zie Ingesloten gebruikers maken die zijn toegewezen aan Azure AD identiteiten voor meer informatie over het maken van een gebruiker van een externe provider.

Nadat u een ingesloten SQL-gebruiker hebt gemaakt, verleent u deze machtigingen met behulp van de opdracht GRANT T-SQL.

Uitvoer van tussenliggende onderdelen

Wanneer u de tussenliggende componentuitvoer van azure Machine Learning Designer gebruikt, kunt u de uitvoerlocatie voor elk onderdeel in de ontwerpfunctie opgeven. Gebruik dit om tussenliggende gegevenssets op te slaan op een afzonderlijke locatie voor beveiligings-, logboekregistratie- of controledoeleinden. Voer de volgende stappen uit om uitvoer op te geven:

Selecteer het onderdeel waarvan u de uitvoer wilt opgeven.
Selecteer uitvoerinstellingen in het deelvenster met onderdeelinstellingen dat rechts wordt weergegeven.
Geef het gegevensarchief op dat u wilt gebruiken voor elke onderdeeluitvoer.

Zorg ervoor dat u toegang hebt tot de tussenliggende opslagaccounts in uw virtuele netwerk. Anders mislukt de pijplijn.

Schakel verificatie van beheerde identiteiten in voor tussenliggende opslagaccounts om uitvoergegevens te visualiseren.

Toegang tot de studio vanuit een resource in het VNet

Als u toegang hebt tot de studio vanuit een resource binnen een virtueel netwerk (bijvoorbeeld een rekenproces of virtuele machine), moet u uitgaand verkeer van het virtuele netwerk naar de studio toestaan.

Als u bijvoorbeeld netwerkbeveiligingsgroepen (NSG) gebruikt om uitgaand verkeer te beperken, voegt u een regel toe aan een servicetagbestemming van AzureFrontDoor.Frontend.

Firewallinstellingen

Sommige opslagservices, zoals Azure Storage-account, hebben firewallinstellingen die van toepassing zijn op het openbare eindpunt voor dat specifieke service-exemplaar. Meestal kunt u met deze instelling toegang vanaf specifieke IP-adressen vanaf het openbare internet toestaan/weigeren. Dit wordt niet ondersteund bij het gebruik van Azure Machine Learning-studio. Deze wordt ondersteund bij het gebruik van de Azure Machine Learning SDK of CLI.

Tip

Azure Machine Learning-studio wordt ondersteund bij het gebruik van de Azure Firewall-service. Zie Uw werkruimte achter een firewall gebruiken voor meer informatie.

Volgende stappen