Korzystanie z usługi Azure Machine Learning Studio w sieci wirtualnej platformy Azure
Napiwek
Zamiast kroków opisanych w tym artykule można użyć zarządzanych sieci wirtualnych usługi Azure Machine Learning. W przypadku zarządzanej sieci wirtualnej usługa Azure Machine Learning obsługuje zadanie izolacji sieci dla obszaru roboczego i zarządzanych zasobów obliczeniowych. Możesz również dodać prywatne punkty końcowe dla zasobów wymaganych przez obszar roboczy, na przykład konto usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Obszar roboczy zarządzana izolacja sieci.
W tym artykule wyjaśniono, jak używać usługi Azure Machine Learning Studio w sieci wirtualnej. Studio zawiera funkcje, takie jak AutoML, projektant i etykietowanie danych.
Niektóre funkcje studia są domyślnie wyłączone w sieci wirtualnej. Aby ponownie włączyć te funkcje, należy włączyć tożsamość zarządzaną dla kont magazynu, które mają być używane w programie Studio.
Następujące operacje są domyślnie wyłączone w sieci wirtualnej:
- Podgląd danych w programie Studio.
- Wizualizacja danych w projektancie.
- Wdrażanie modelu w projektancie.
- Przesyłanie eksperymentu AutoML.
- Rozpoczynanie projektu etykietowania.
Studio obsługuje odczytywanie danych z następujących typów magazynu danych w sieci wirtualnej:
- Konto usługi Azure Storage (obiekt blob i plik)
- Usługa Azure Data Lake Storage 1. generacji
- Usługa Azure Data Lake Storage 2. generacji
- Azure SQL Database
W tym artykule omówiono sposób wykonywania następujących zadań:
- Nadaj studio dostęp do danych przechowywanych w sieci wirtualnej.
- Uzyskaj dostęp do programu Studio z zasobu wewnątrz sieci wirtualnej.
- Dowiedz się, jak studio ma wpływ na bezpieczeństwo magazynu.
Wymagania wstępne
Zapoznaj się z omówieniem zabezpieczeń sieci, aby poznać typowe scenariusze i architekturę sieci wirtualnej.
Istniejąca sieć wirtualna i podsieć do użycia.
- Aby dowiedzieć się, jak utworzyć bezpieczny obszar roboczy, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego, szablonu Bicep lub szablonu narzędzia Terraform.
Ograniczenia
Konto magazynu platformy Azure
Jeśli konto magazynu znajduje się w sieci wirtualnej, istnieją dodatkowe wymagania dotyczące walidacji, które należy użyć programu Studio:
- Jeśli konto magazynu używa punktu końcowego usługi, prywatny punkt końcowy obszaru roboczego i punkt końcowy usługi magazynu muszą znajdować się w tej samej podsieci sieci wirtualnej.
- Jeśli konto magazynu używa prywatnego punktu końcowego , prywatny punkt końcowy obszaru roboczego i prywatny punkt końcowy magazynu muszą znajdować się w tej samej sieci wirtualnej. W takim przypadku mogą znajdować się w różnych podsieciach.
Przykładowy potok projektanta
Istnieje znany problem polegający na tym, że użytkownicy nie mogą uruchamiać przykładowego potoku na stronie głównej projektanta. Ten problem występuje, ponieważ przykładowy zestaw danych używany w przykładowym potoku jest globalnym zestawem danych platformy Azure. Nie można uzyskać do niego dostępu ze środowiska sieci wirtualnej.
Aby rozwiązać ten problem, użyj publicznego obszaru roboczego do uruchomienia przykładowego potoku. Możesz też zastąpić przykładowy zestaw danych własnym zestawem danych w obszarze roboczym w sieci wirtualnej.
Magazyn danych: konto usługi Azure Storage
Aby włączyć dostęp do danych przechowywanych w usłudze Azure Blob i File Storage, wykonaj następujące kroki:
Napiwek
Pierwszy krok nie jest wymagany dla domyślnego konta magazynu dla obszaru roboczego. Wszystkie inne kroki są wymagane dla dowolnego konta magazynu za siecią wirtualną i używanego przez obszar roboczy, w tym domyślnego konta magazynu.
Jeśli konto magazynu jest domyślnym magazynem dla obszaru roboczego, pomiń ten krok. Jeśli nie jest to ustawienie domyślne, przyznaj tożsamości zarządzanej obszaru roboczego rolę Czytelnik danych obiektu blob usługi Storage dla konta usługi Azure Storage, aby umożliwić odczytywanie danych z magazynu obiektów blob.
Aby uzyskać więcej informacji, zobacz wbudowaną rolę Czytelnik danych obiektów blob.
Udziel tożsamości użytkownika platformy Azure roli Czytelnik danych obiektu blob usługi Storage dla konta usługi Azure Storage. Studio używa tożsamości do uzyskiwania dostępu do danych do magazynu obiektów blob, nawet jeśli tożsamość zarządzana obszaru roboczego ma rolę Czytelnik.
Aby uzyskać więcej informacji, zobacz wbudowaną rolę Czytelnik danych obiektów blob.
Udziel tożsamości zarządzanej obszaru roboczego rolę Czytelnik dla prywatnych punktów końcowych magazynu. Jeśli usługa magazynu używa prywatnego punktu końcowego, przyznaj dostęp czytelnika tożsamości zarządzanej obszaru roboczego do prywatnego punktu końcowego. Tożsamość zarządzana obszaru roboczego w identyfikatorze Entra firmy Microsoft ma taką samą nazwę jak obszar roboczy usługi Azure Machine Learning. Prywatny punkt końcowy jest niezbędny zarówno dla typów magazynu obiektów blob, jak i plików.
Napiwek
Konto magazynu może mieć wiele prywatnych punktów końcowych. Na przykład jedno konto magazynu może mieć oddzielny prywatny punkt końcowy dla obiektów blob, plików i dfs (Azure Data Lake Storage Gen2). Dodaj tożsamość zarządzaną do wszystkich tych punktów końcowych.
Aby uzyskać więcej informacji, zobacz wbudowaną rolę Czytelnik .
Włącz uwierzytelnianie tożsamości zarządzanej dla domyślnych kont magazynu. Każdy obszar roboczy usługi Azure Machine Learning ma dwa domyślne konta magazynu, domyślne konto magazynu obiektów blob i domyślne konto magazynu plików. Oba są definiowane podczas tworzenia obszaru roboczego. Nowe wartości domyślne można również ustawić na stronie zarządzania magazynem danych.
W poniższej tabeli opisano, dlaczego uwierzytelnianie tożsamości zarządzanej jest używane dla domyślnych kont magazynu obszaru roboczego.
Konto magazynu Uwagi Domyślny magazyn obiektów blob obszaru roboczego Przechowuje zasoby modelu od projektanta. Włącz uwierzytelnianie tożsamości zarządzanej na tym koncie magazynu, aby wdrożyć modele w projektancie. Jeśli uwierzytelnianie tożsamości zarządzanej jest wyłączone, tożsamość użytkownika jest używana do uzyskiwania dostępu do danych przechowywanych w obiekcie blob.
Potok projektanta można wizualizować i uruchamiać, jeśli używa on magazynu danych innego niż domyślny, który został skonfigurowany do korzystania z tożsamości zarządzanej. Jeśli jednak spróbujesz wdrożyć wytrenowany model bez włączonej tożsamości zarządzanej w domyślnym magazynie danych, wdrożenie zakończy się niepowodzeniem niezależnie od innych używanych magazynów danych.Domyślny magazyn plików obszaru roboczego Przechowuje zasoby eksperymentów zautomatyzowanego uczenia maszynowego. Włącz uwierzytelnianie tożsamości zarządzanej na tym koncie magazynu, aby przesłać eksperymenty rozwiązania AutoML. Skonfiguruj magazyny danych do korzystania z uwierzytelniania tożsamości zarządzanej. Po dodaniu konta usługi Azure Storage do sieci wirtualnej przy użyciu punktu końcowego usługi lub prywatnego punktu końcowego należy skonfigurować magazyn danych do korzystania z uwierzytelniania tożsamości zarządzanej. Dzięki temu studio uzyskuje dostęp do danych na koncie magazynu.
Usługa Azure Machine Learning używa magazynu danych do łączenia się z kontami magazynu. Podczas tworzenia nowego magazynu danych wykonaj następujące kroki, aby skonfigurować magazyn danych do korzystania z uwierzytelniania tożsamości zarządzanej:
W studio wybierz pozycję Magazyny danych.
Aby utworzyć nowy magazyn danych, wybierz pozycję + Utwórz.
W ustawieniach magazynu danych włącz przełącznik Użyj tożsamości zarządzanej obszaru roboczego na potrzeby podglądu danych i profilowania w usłudze Azure Machine Learning Studio.
W ustawieniach sieci dla konta usługi Azure Storage dodaj
Microsoft.MachineLearningService/workspaces
typ zasobu i ustaw nazwę wystąpienia na obszar roboczy.
Te kroki umożliwiają dodanie tożsamości zarządzanej obszaru roboczego jako czytelnika do nowej usługi magazynu przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. Dostęp czytelnika umożliwia obszarowi roboczemu wyświetlanie zasobu, ale nie wprowadzanie zmian.
Magazyn danych: Azure Data Lake Storage Gen1
W przypadku korzystania z usługi Azure Data Lake Storage Gen1 jako magazynu danych można używać tylko list kontroli dostępu w stylu POSIX. Dostęp tożsamości zarządzanej obszaru roboczego można przypisać do zasobów, podobnie jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kontrola dostępu w usłudze Azure Data Lake Storage Gen1.
Magazyn danych: Azure Data Lake Storage Gen2
W przypadku korzystania z usługi Azure Data Lake Storage Gen2 jako magazynu danych można użyć zarówno kontroli dostępu opartej na rolach platformy Azure, jak i list kontroli dostępu w stylu POSIX w celu kontrolowania dostępu do danych wewnątrz sieci wirtualnej.
Aby użyć kontroli dostępu opartej na rolach platformy Azure, wykonaj kroki opisane w sekcji Magazyn danych: Konto usługi Azure Storage w tym artykule. Usługa Data Lake Storage Gen2 jest oparta na usłudze Azure Storage, dlatego te same kroki mają zastosowanie podczas korzystania z kontroli dostępu opartej na rolach platformy Azure.
Aby korzystać z list ACL, tożsamość zarządzana obszaru roboczego może być przypisana tak samo jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu dotyczące plików i katalogów.
Magazyn danych: Azure SQL Database
Aby uzyskać dostęp do danych przechowywanych w usłudze Azure SQL Database przy użyciu tożsamości zarządzanej, musisz utworzyć użytkownika zawartego w języku SQL, który jest mapowana na tożsamość zarządzaną. Aby uzyskać więcej informacji na temat tworzenia użytkownika od dostawcy zewnętrznego, zobacz Tworzenie zawartych użytkowników mapowanych na tożsamości firmy Microsoft Entra.
Po utworzeniu użytkownika zawartego w języku SQL przyznaj mu uprawnienia przy użyciu polecenia GRANT T-SQL.
Dane wyjściowe składnika pośredniego
W przypadku korzystania z danych wyjściowych składnika pośredniego projektanta usługi Azure Machine Learning można określić lokalizację wyjściową dla dowolnego składnika w projektancie. Te dane wyjściowe służą do przechowywania pośrednich zestawów danych w oddzielnej lokalizacji na potrzeby zabezpieczeń, rejestrowania lub inspekcji. Aby określić dane wyjściowe, wykonaj następujące kroki:
- Wybierz składnik, którego dane wyjściowe chcesz określić.
- W okienku ustawień składnika wybierz pozycję Ustawienia danych wyjściowych.
- Określ magazyn danych, którego chcesz użyć dla danych wyjściowych każdego składnika.
Upewnij się, że masz dostęp do pośrednich kont magazynu w sieci wirtualnej. W przeciwnym razie potok zakończy się niepowodzeniem.
Włącz uwierzytelnianie tożsamości zarządzanej dla pośrednich kont magazynu w celu wizualizacji danych wyjściowych.
Uzyskiwanie dostępu do programu Studio z zasobu w sieci wirtualnej
Jeśli uzyskujesz dostęp do programu Studio z zasobu wewnątrz sieci wirtualnej (na przykład wystąpienia obliczeniowego lub maszyny wirtualnej), musisz zezwolić na ruch wychodzący z sieci wirtualnej do studia.
Jeśli na przykład używasz sieciowych grup zabezpieczeń w celu ograniczenia ruchu wychodzącego, dodaj regułę do miejsca docelowego tagu AzureFrontDoor.Frontend
usługi .
Ustawienia zapory
Niektóre usługi magazynu, takie jak konto usługi Azure Storage, mają ustawienia zapory, które mają zastosowanie do publicznego punktu końcowego dla tego konkretnego wystąpienia usługi. Zazwyczaj to ustawienie umożliwia/nie zezwala na dostęp z określonych adresów IP z publicznego Internetu. Nie jest to obsługiwane w przypadku korzystania z usługi Azure Machine Learning Studio. Jest ona obsługiwana w przypadku korzystania z zestawu Azure Machine Learning SDK lub interfejsu wiersza polecenia.
Napiwek
Usługa Azure Machine Learning Studio jest obsługiwana w przypadku korzystania z usługi Azure Firewall. Aby uzyskać więcej informacji, zobacz Konfigurowanie ruchu przychodzącego i wychodzącego ruchu sieciowego.
Powiązana zawartość
Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii: