Zarządzanie obszarami roboczymi usługi Azure Machine Learning przy użyciu rozszerzenia interfejsu wiersza polecenia platformy Azure w wersji 1

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 1

Ważne

Niektóre polecenia interfejsu wiersza polecenia platformy Azure w tym artykule używają azure-cli-mlrozszerzenia , lub w wersji 1 dla usługi Azure Machine Learning. Obsługa rozszerzenia w wersji 1 zakończy się 30 września 2025 r. Będzie można zainstalować rozszerzenie v1 i używać go do tej daty.

Zalecamy przejście do mlrozszerzenia , lub w wersji 2 przed 30 września 2025 r. Aby uzyskać więcej informacji na temat rozszerzenia w wersji 2, zobacz Rozszerzenie interfejsu wiersza polecenia usługi Azure ML i zestaw Python SDK w wersji 2.

Z tego artykułu dowiesz się, jak tworzyć obszary robocze usługi Azure Machine Learning i zarządzać nimi przy użyciu interfejsu wiersza polecenia platformy Azure. Interfejs wiersza polecenia platformy Azure udostępnia polecenia do zarządzania zasobami platformy Azure i jest przeznaczony do szybkiego pracy z platformą Azure, z naciskiem na automatyzację. Rozszerzenie uczenia maszynowego dla interfejsu wiersza polecenia udostępnia polecenia do pracy z zasobami usługi Azure Machine Learning.

Wymagania wstępne

• Subskrypcja platformy Azure. Jeśli go nie masz, wypróbuj bezpłatną lub płatną wersję usługi Azure Machine Learning.

• Aby użyć poleceń interfejsu wiersza polecenia w tym dokumencie ze środowiska lokalnego, potrzebujesz interfejsu wiersza polecenia platformy Azure.

  Jeśli używasz usługi Azure Cloud Shell, interfejs wiersza polecenia jest dostępny za pośrednictwem przeglądarki i znajduje się w chmurze.

Ograniczenia

• Podczas tworzenia nowego obszaru roboczego możesz automatycznie tworzyć usługi wymagane przez obszar roboczy lub korzystać z istniejących usług. Jeśli chcesz używać istniejących usług z innej subskrypcji platformy Azure niż obszar roboczy, musisz zarejestrować przestrzeń nazw usługi Azure Machine Learning w subskrypcji zawierającej te usługi. Jeśli na przykład utworzysz obszar roboczy w subskrypcji A, który używa konta magazynu w subskrypcji B, przestrzeń nazw usługi Azure Machine Learning musi być zarejestrowana w subskrypcji B, zanim obszar roboczy będzie mógł korzystać z konta magazynu.

  Dostawca zasobów dla usługi Azure Machine Learning to Microsoft.MachineLearningServices. Aby uzyskać informacje na temat tego, czy jest on zarejestrowany, czy zarejestrowany, zobacz Dostawcy zasobów i typy platformy Azure.

  Ważne

  Te informacje dotyczą tylko zasobów udostępnianych podczas tworzenia obszaru roboczego: konta usługi Azure Storage, usługa Azure Container Registry, usługa Azure Key Vault i usługa Application Insights.

Napiwek

Wystąpienie usługi aplikacja systemu Azure Insights jest tworzone podczas tworzenia obszaru roboczego. Jeśli chcesz, możesz usunąć wystąpienie usługi Application Insights po utworzeniu klastra. Usunięcie go ogranicza informacje zebrane z obszaru roboczego i może utrudnić rozwiązywanie problemów. Jeśli usuniesz wystąpienie usługi Application Insights utworzone przez obszar roboczy, jedynym sposobem ponownego utworzenia go jest usunięcie i ponowne utworzenie obszaru roboczego.

Aby uzyskać więcej informacji na temat korzystania z wystąpienia usługi Application Insights, zobacz Monitorowanie i zbieranie danych z punktów końcowych usługi sieci Web Machine Learning.

Bezpieczna komunikacja interfejsu wiersza polecenia

Niektóre polecenia interfejsu wiersza polecenia platformy Azure komunikują się z usługą Azure Resource Manager za pośrednictwem Internetu. Ta komunikacja jest zabezpieczona przy użyciu protokołu HTTPS/TLS 1.2.

Z rozszerzeniem interfejsu wiersza polecenia usługi Azure Machine Learning w wersji 1 (azure-cli-ml) tylko niektóre polecenia komunikują się z usługą Azure Resource Manager. W szczególności polecenia, które tworzą, aktualizują, usuwają, wyświetlają lub wyświetlają zasoby platformy Azure. Operacje, takie jak przesyłanie zadania szkoleniowego, komunikują się bezpośrednio z obszarem roboczym usługi Azure Machine Learning. Jeśli obszar roboczy jest zabezpieczony za pomocą prywatnego punktu końcowego, wystarczy zabezpieczyć polecenia udostępniane przez azure-cli-ml rozszerzenie.

Łączenie interfejsu wiersza polecenia z subskrypcją platformy Azure

Ważne

Jeśli używasz usługi Azure Cloud Shell, możesz pominąć tę sekcję. Usługa Cloud Shell automatycznie uwierzytelnia się przy użyciu konta, które logujesz się do subskrypcji platformy Azure.

Istnieje kilka sposobów uwierzytelniania w subskrypcji platformy Azure z poziomu interfejsu wiersza polecenia. Najprostszym sposobem jest interaktywne uwierzytelnianie przy użyciu przeglądarki. Aby uwierzytelnić się interaktywnie, otwórz wiersz polecenia lub terminal i użyj następującego polecenia:

az login

Jeśli interfejs wiersza polecenia może otworzyć Twoją domyślną przeglądarkę, zrobi to i załaduje stronę logowania. W przeciwnym razie musisz otworzyć przeglądarkę i postępować zgodnie z instrukcjami w wierszu polecenia. Instrukcje obejmują przechodzenie do https://aka.ms/devicelogin i wprowadzanie kodu autoryzacji.

Napiwek

Po zalogowaniu zostanie wyświetlona lista subskrypcji skojarzonych z kontem platformy Azure. Informacje o subskrypcji z isDefault: true programem to aktualnie aktywowana subskrypcja poleceń interfejsu wiersza polecenia platformy Azure. Ta subskrypcja musi być taka sama, która zawiera obszar roboczy usługi Azure Machine Learning. Informacje o subskrypcji można znaleźć na stronie przeglądu obszaru roboczego w witrynie Azure Portal.

Aby wybrać inną subskrypcję do użycia dla poleceń interfejsu wiersza polecenia platformy Azure, uruchom az account set -s <subscription> polecenie i określ nazwę subskrypcji lub identyfikator, do których ma zostać przełączona. Aby uzyskać więcej informacji na temat wyboru subskrypcji, zobacz Korzystanie z wielu subskrypcji platformy Azure.

Aby uzyskać informacje na temat innych metod uwierzytelniania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

Tworzenie grupy zasobów

Obszar roboczy usługi Azure Machine Learning musi zostać utworzony w grupie zasobów. Możesz wybrać istniejącą grupę zasobów lub utworzyć nową. Aby utworzyć nową grupę zasobów, użyj następującego polecenia. Zastąp <resource-group-name> ciąg nazwą używaną dla tej grupy zasobów. Zastąp <location> element regionem świadczenia usługi Azure, który ma być używany dla tej grupy zasobów:

Uwaga

Należy wybrać region, w którym jest dostępna usługa Azure Machine Learning. Aby uzyskać informacje, zobacz Dostępność produktów według regionów.

az group create --name <resource-group-name> --location <location>

Odpowiedź z tego polecenia jest podobna do następującego kodu JSON. Możesz użyć wartości wyjściowych, aby zlokalizować utworzone zasoby lub przeanalizować je jako dane wejściowe do kolejnych kroków interfejsu wiersza polecenia w celu automatyzacji.

{
  "id": "/subscriptions/<subscription-GUID>/resourceGroups/<resourcegroupname>",
  "location": "<location>",
  "managedBy": null,
  "name": "<resource-group-name>",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": null
}

Aby uzyskać więcej informacji na temat pracy z grupami zasobów, zobacz az group.

Tworzenie obszaru roboczego

Podczas wdrażania obszaru roboczego usługi Azure Machine Learning różne inne usługi są wymagane jako zależne skojarzone zasoby. Jeśli używasz interfejsu wiersza polecenia do tworzenia obszaru roboczego, interfejs wiersza polecenia może utworzyć nowe skojarzone zasoby w Twoim imieniu lub dołączyć istniejące zasoby.

Ważne

Podczas dołączania własnego konta magazynu upewnij się, że spełnia on następujące kryteria:

• Konto magazynu nie jest kontem premium (Premium_LRS i Premium_GRS)
• Włączono zarówno funkcje obiektów blob platformy Azure, jak i usługi Azure File
• Hierarchiczna przestrzeń nazw (ADLS Gen 2) jest wyłączona. Te wymagania dotyczą tylko domyślnego konta magazynu używanego przez obszar roboczy.

Podczas dołączania rejestru kontenerów platformy Azure musisz mieć włączone konto administratora, zanim będzie można go używać z obszarem roboczym usługi Azure Machine Learning.

Tworzenie przy użyciu nowych zasobów

Aby utworzyć nowy obszar roboczy, w którym usługi są tworzone automatycznie, użyj następującego polecenia:

az ml workspace create -w <workspace-name> -g <resource-group-name>

Przenoszenie istniejących zasobów

Aby utworzyć obszar roboczy korzystający z istniejących zasobów, musisz podać identyfikator zasobu dla każdego zasobu. Ten identyfikator można uzyskać za pośrednictwem karty "właściwości" dla każdego zasobu za pośrednictwem witryny Azure Portal lub uruchamiając następujące polecenia przy użyciu interfejsu wiersza polecenia platformy Azure.

• Konto usługi Azure Storage: az storage account show --name <storage-account-name> --query "id"
• aplikacja systemu Azure Insights:az monitor app-insights component show --app <application-insight-name> -g <resource-group-name> --query "id"
• Azure Key Vault: az keyvault show --name <key-vault-name> --query "ID"
• Azure Container Registry: az acr show --name <acr-name> -g <resource-group-name> --query "id"

Zwrócony identyfikator zasobu ma następujący format: "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/<provider>/<subresource>/<resource-name>".

Po utworzeniu identyfikatorów zasobów, których chcesz używać z obszarem roboczym, użyj podstawowego az workspace create -w <workspace-name> -g <resource-group-name> polecenia i dodaj parametry i identyfikatory dla istniejących zasobów. Na przykład następujące polecenie tworzy obszar roboczy, który używa istniejącego rejestru kontenerów:

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --container-registry "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerRegistry/registries/<acr-name>"

Ważne

Podczas dołączania istniejących zasobów nie trzeba określać wszystkich. Można określić co najmniej jeden. Możesz na przykład określić istniejące konto magazynu, a obszar roboczy utworzy inne zasoby.

Dane wyjściowe polecenia tworzenia obszaru roboczego są podobne do następującego kodu JSON. Możesz użyć wartości wyjściowych, aby zlokalizować utworzone zasoby lub przeanalizować je jako dane wejściowe do kolejnych kroków interfejsu wiersza polecenia.

{
  "applicationInsights": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.insights/components/<application-insight-name>",
  "containerRegistry": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.containerregistry/registries/<acr-name>",
  "creationTime": "2019-08-30T20:24:19.6984254+00:00",
  "description": "",
  "friendlyName": "<workspace-name>",
  "id": "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>",
  "identityPrincipalId": "<GUID>",
  "identityTenantId": "<GUID>",
  "identityType": "SystemAssigned",
  "keyVault": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.keyvault/vaults/<key-vault-name>",
  "location": "<location>",
  "name": "<workspace-name>",
  "resourceGroup": "<resource-group-name>",
  "storageAccount": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.storage/storageaccounts/<storage-account-name>",
  "type": "Microsoft.MachineLearningServices/workspaces",
  "workspaceid": "<GUID>"
}

Konfiguracje zaawansowane

Konfigurowanie obszaru roboczego na potrzeby łączności z siecią prywatną

Zależnie od wymagań organizacyjnych i przypadków użycia możesz skonfigurować usługę Azure Machine Learning przy użyciu łączności sieciowej prywatnej. Interfejs wiersza polecenia platformy Azure umożliwia wdrożenie obszaru roboczego i punktu końcowego łącza prywatnego dla zasobu obszaru roboczego. Aby uzyskać więcej informacji na temat korzystania z prywatnego punktu końcowego i sieci wirtualnej z obszarem roboczym, zobacz Omówienie izolacji sieci wirtualnej i prywatności. W przypadku złożonych konfiguracji zasobów zapoznaj się również z opcjami wdrażania opartymi na szablonach, w tym usługą Azure Resource Manager.

Jeśli chcesz ograniczyć dostęp do obszaru roboczego do sieci wirtualnej, możesz użyć następujących parametrów w ramach az ml workspace create polecenia lub użyć az ml workspace private-endpoint poleceń.

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --pe-name "<pe name>"
                       --pe-auto-approval "<pe-autoapproval>"
                       --pe-resource-group "<pe name>"
                       --pe-vnet-name "<pe name>"
                       --pe-subnet-name "<pe name>"

• --pe-name: nazwa utworzonego prywatnego punktu końcowego.
• --pe-auto-approval: czy połączenia prywatnego punktu końcowego z obszarem roboczym powinny być automatycznie zatwierdzane.
• --pe-resource-group: grupa zasobów do utworzenia prywatnego punktu końcowego w programie. Musi być tą samą grupą, która zawiera sieć wirtualną.
• --pe-vnet-name: istniejąca sieć wirtualna do utworzenia prywatnego punktu końcowego w programie.
• --pe-subnet-name: nazwa podsieci do utworzenia prywatnego punktu końcowego. Domyślna wartość to default.

Aby uzyskać więcej informacji na temat używania tych poleceń, zobacz strony referencyjne interfejsu wiersza polecenia.

Klucz zarządzany przez klienta i obszar roboczy o dużym wpływie na działalność biznesową

Domyślnie metadane obszaru roboczego są przechowywane w wystąpieniu usługi Azure Cosmos DB, które utrzymuje firma Microsoft. Te dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Zamiast używać klucza zarządzanego przez firmę Microsoft, możesz również podać własny klucz. Spowoduje to utworzenie dodatkowego zestawu zasobów w ramach subskrypcji platformy Azure w celu przechowywania danych.

Aby dowiedzieć się więcej o zasobach tworzonych podczas szyfrowania własnego klucza, zobacz Szyfrowanie danych za pomocą usługi Azure Machine Learning.

Użyj parametru , aby określić usługę --cmk-keyvault Azure Key Vault zawierającą klucz oraz --resource-cmk-uri określić identyfikator zasobu i identyfikator URI klucza w magazynie.

Aby ograniczyć dane zbierane przez firmę Microsoft w obszarze roboczym, możesz dodatkowo określić --hbi-workspace parametr .

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --cmk-keyvault "<cmk keyvault name>"
                       --resource-cmk-uri "<resource cmk uri>"
                       --hbi-workspace

Uwaga

Autoryzowanie aplikacji Machine Learning (w zarządzaniu tożsamościami i dostępem) z uprawnieniami współautora w ramach subskrypcji w celu zarządzania dodatkowymi zasobami szyfrowania danych.

Uwaga

Usługa Azure Cosmos DB nie jest używana do przechowywania informacji, takich jak wydajność modelu, informacje rejestrowane przez eksperymenty lub informacje rejestrowane z wdrożeń modelu. Aby uzyskać więcej informacji na temat monitorowania tych elementów, zobacz sekcję Monitorowanie i rejestrowanie w artykule dotyczącym architektury i pojęć.

Ważne

Wybranie wysokiego wpływu biznesowego można wykonać tylko podczas tworzenia obszaru roboczego. Nie można zmienić tego ustawienia po utworzeniu obszaru roboczego.

Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta i obszaru roboczego o dużym wpływie na działalność biznesową, zobacz Zabezpieczenia przedsiębiorstwa dla usługi Azure Machine Learning.

Zarządzanie obszarami roboczymi przy użyciu interfejsu wiersza polecenia

Pobieranie informacji o obszarze roboczym

Aby uzyskać informacje o obszarze roboczym, użyj następującego polecenia:

az ml workspace show -w <workspace-name> -g <resource-group-name>

Aktualizowanie obszaru roboczego

Aby zaktualizować obszar roboczy, użyj następującego polecenia:

az ml workspace update -n <workspace-name> -g <resource-group-name>

Synchronizowanie kluczy dla zasobów zależnych

Jeśli zmienisz klucze dostępu dla jednego z zasobów używanych przez obszar roboczy, synchronizacja z nowym kluczem zajmuje około godziny. Aby wymusić natychmiastowe zsynchronizowanie nowych kluczy w obszarze roboczym, użyj następującego polecenia:

az ml workspace sync-keys -w <workspace-name> -g <resource-group-name>

Aby uzyskać więcej informacji na temat zmieniania kluczy, zobacz Ponowne generowanie kluczy dostępu do magazynu.

Usuwanie obszaru roboczego

Ostrzeżenie

Jeśli dla obszaru roboczego włączono usuwanie nietrwałe, można je odzyskać po usunięciu. Jeśli usuwanie nietrwałe nie jest włączone lub wybierzesz opcję trwałego usunięcia obszaru roboczego, nie można go odzyskać. Aby uzyskać więcej informacji, zobacz Odzyskiwanie usuniętego obszaru roboczego.

Aby usunąć obszar roboczy po tym, jak nie jest już potrzebny, użyj następującego polecenia:

az ml workspace delete -w <workspace-name> -g <resource-group-name>

Ważne

Usunięcie obszaru roboczego nie powoduje usunięcia szczegółowych informacji o aplikacji, konta magazynu, magazynu kluczy ani rejestru kontenerów używanego przez obszar roboczy.

Możesz również usunąć grupę zasobów, która usuwa obszar roboczy i wszystkie inne zasoby platformy Azure w grupie zasobów. Aby usunąć grupę zasobów, użyj następującego polecenia:

az group delete -g <resource-group-name>

Napiwek

Domyślnym zachowaniem usługi Azure Machine Learning jest usunięcie obszaru roboczego w sposób nietrwały. Oznacza to, że obszar roboczy nie jest natychmiast usuwany, ale zamiast tego jest oznaczony do usunięcia. Aby uzyskać więcej informacji, zobacz Usuwanie nietrwałe.

Rozwiązywanie problemów

Błędy dostawcy zasobów

Podczas tworzenia obszaru roboczego usługi Azure Machine Learning lub zasobu używanego przez obszar roboczy może wystąpić błąd podobny do następujących komunikatów:

• No registered resource provider found for location {location}
• The subscription is not registered to use namespace {resource-provider-namespace}

Większość dostawców zasobów jest automatycznie rejestrowana, ale nie wszystkie. Jeśli zostanie wyświetlony ten komunikat, musisz zarejestrować wymienionego dostawcę.

Poniższa tabela zawiera listę dostawców zasobów wymaganych przez usługę Azure Machine Learning:

Dostawca zasobów	Dlaczego jest to potrzebne
Microsoft.MachineLearningServices	Tworzenie obszaru roboczego usługi Azure Machine Learning.
Microsoft.Storage	Konto usługi Azure Storage jest używane jako domyślny magazyn dla obszaru roboczego.
Microsoft.ContainerRegistry	Usługa Azure Container Registry jest używana przez obszar roboczy do tworzenia obrazów platformy Docker.
Microsoft.KeyVault	Usługa Azure Key Vault jest używana przez obszar roboczy do przechowywania wpisów tajnych.
Microsoft.Notebooks	Zintegrowane notesy w wystąpieniu obliczeniowym usługi Azure Machine Learning.
Microsoft.ContainerService	Jeśli planujesz wdrażanie wytrenowanych modeli w usługach Azure Kubernetes Services.

Jeśli planujesz korzystanie z klucza zarządzanego przez klienta w usłudze Azure Machine Learning, należy zarejestrować następujących dostawców usług:

Dostawca zasobów	Dlaczego jest to potrzebne
Microsoft.DocumentDB	Wystąpienie usługi Azure CosmosDB, które rejestruje metadane obszaru roboczego.
Microsoft.Search	Usługa Azure Search udostępnia funkcje indeksowania dla obszaru roboczego.

Jeśli planujesz korzystanie z zarządzanej sieci wirtualnej z usługą Azure Machine Learning, dostawca zasobów Microsoft.Network musi być zarejestrowany. Ten dostawca zasobów jest używany przez obszar roboczy podczas tworzenia prywatnych punktów końcowych dla zarządzanej sieci wirtualnej.

Aby uzyskać informacje na temat rejestrowania dostawców zasobów, zobacz Rozwiązywanie błędów dotyczących rejestracji dostawcy zasobów.

Przenoszenie obszaru roboczego

Ostrzeżenie

Przeniesienie obszaru roboczego usługi Azure Machine Learning do innej subskrypcji lub przeniesienie subskrypcji będącej właścicielem do nowej dzierżawy nie jest obsługiwane. Może to spowodować błędy.

Usuwanie usługi Azure Container Registry

Obszar roboczy usługi Azure Machine Learning używa usługi Azure Container Registry (ACR) na potrzeby niektórych operacji. Spowoduje to automatyczne utworzenie wystąpienia usługi ACR, gdy będzie ono najpierw potrzebne.

Ostrzeżenie

Po utworzeniu usługi Azure Container Registry dla obszaru roboczego nie usuwaj go. Spowoduje to przerwanie obszaru roboczego usługi Azure Machine Learning.

Następne kroki

Aby uzyskać więcej informacji na temat rozszerzenia interfejsu wiersza polecenia platformy Azure na potrzeby uczenia maszynowego, zobacz dokumentację az ml (wersja 1).

Aby sprawdzić problemy z obszarem roboczym, zobacz Jak używać diagnostyki obszaru roboczego.

Aby dowiedzieć się, jak przenieść obszar roboczy do nowej subskrypcji platformy Azure, zobacz Jak przenieść obszar roboczy.

Aby uzyskać informacje na temat aktualizowania usługi Azure Machine Learning przy użyciu najnowszych aktualizacji zabezpieczeń, zobacz Zarządzanie lukami w zabezpieczeniach.