Zarządzanie obszarami roboczymi usługi Azure Machine Edukacja przy użyciu rozszerzenia interfejsu wiersza polecenia platformy Azure w wersji 1

DOTYCZY ROZSZERZENIA ML interfejsu wiersza polecenia platformy Azure w wersji 1

Ważne

Niektóre polecenia interfejsu wiersza polecenia platformy Azure w tym artykule używają azure-cli-mlrozszerzenia , lub v1 dla usługi Azure Machine Edukacja. Obsługa rozszerzenia w wersji 1 zakończy się 30 września 2025 r. Będzie można zainstalować rozszerzenie v1 i używać go do tej daty.

Zalecamy przejście do mlrozszerzenia , lub w wersji 2 przed 30 września 2025 r. Aby uzyskać więcej informacji na temat rozszerzenia w wersji 2, zobacz Rozszerzenie interfejsu wiersza polecenia usługi Azure ML i zestaw Python SDK w wersji 2.

Z tego artykułu dowiesz się, jak tworzyć obszary robocze usługi Azure Machine Edukacja i zarządzać nimi przy użyciu interfejsu wiersza polecenia platformy Azure. Interfejs wiersza polecenia platformy Azure udostępnia polecenia do zarządzania zasobami platformy Azure i jest przeznaczony do szybkiego pracy z platformą Azure, z naciskiem na automatyzację. Rozszerzenie uczenia maszynowego dla interfejsu wiersza polecenia udostępnia polecenia do pracy z zasobami usługi Azure Machine Edukacja.

Wymagania wstępne

• Subskrypcja platformy Azure. Jeśli go nie masz, wypróbuj bezpłatną lub płatną wersję usługi Azure Machine Edukacja.

• Aby użyć poleceń interfejsu wiersza polecenia w tym dokumencie ze środowiska lokalnego, potrzebujesz interfejsu wiersza polecenia platformy Azure.

  Jeśli używasz usługi Azure Cloud Shell, interfejs wiersza polecenia jest dostępny za pośrednictwem przeglądarki i znajduje się w chmurze.

Ograniczenia

• Podczas tworzenia nowego obszaru roboczego można automatycznie tworzyć usługi wymagane przez obszar roboczy lub korzystać z istniejących usług. Jeśli chcesz używać istniejących usług z innej subskrypcji platformy Azure niż obszar roboczy, musisz zarejestrować przestrzeń nazw usługi Azure Machine Edukacja w subskrypcji zawierającej te usługi. Na przykład utworzenie obszaru roboczego w subskrypcji A korzystającej z konta magazynu z subskrypcji B, przestrzeń nazw usługi Azure Machine Edukacja musi być zarejestrowana w subskrypcji B, zanim będzie można używać konta magazynu z obszarem roboczym.

  Dostawca zasobów dla usługi Azure Machine Edukacja to Microsoft.Machine Edukacja Services. Aby uzyskać informacje na temat sposobu jego rejestrowania i rejestrowania, zobacz artykuł Azure resource providers and types (Dostawcy zasobów i typy platformy Azure).

  Ważne

  Dotyczy to tylko zasobów udostępnianych podczas tworzenia obszaru roboczego; Konta usługi Azure Storage, rejestr kontenerów platformy Azure, usługa Azure Key Vault i Szczegółowe informacje aplikacji.

Napiwek

Wystąpienie aplikacja systemu Azure Szczegółowe informacje jest tworzone podczas tworzenia obszaru roboczego. Jeśli chcesz, możesz usunąć wystąpienie aplikacji Szczegółowe informacje po utworzeniu klastra. Usunięcie go ogranicza informacje zebrane z obszaru roboczego i może utrudnić rozwiązywanie problemów. Jeśli usuniesz wystąpienie aplikacji Szczegółowe informacje utworzone przez obszar roboczy, nie można go ponownie utworzyć bez usuwania i ponownego tworzenia obszaru roboczego.

Aby uzyskać więcej informacji na temat korzystania z tego wystąpienia usługi Application Szczegółowe informacje, zobacz Monitorowanie i zbieranie danych z punktów końcowych usługi internetowej Edukacja maszyny.

Bezpieczna komunikacja interfejsu wiersza polecenia

Niektóre polecenia interfejsu wiersza polecenia platformy Azure komunikują się z usługą Azure Resource Manager za pośrednictwem Internetu. Ta komunikacja jest zabezpieczona przy użyciu protokołu HTTPS/TLS 1.2.

W przypadku rozszerzenia interfejsu wiersza polecenia usługi Azure Machine Edukacja w wersji 1 (azure-cli-ml) tylko niektóre polecenia komunikują się z usługą Azure Resource Manager. W szczególności polecenia, które tworzą, aktualizują, usuwają, wyświetlają lub wyświetlają zasoby platformy Azure. Operacje, takie jak przesyłanie zadania szkoleniowego, komunikują się bezpośrednio z obszarem roboczym usługi Azure Machine Edukacja. Jeśli obszar roboczy jest zabezpieczony za pomocą prywatnego punktu końcowego, wystarczy zabezpieczyć polecenia udostępniane przez azure-cli-ml rozszerzenie.

Połączenie interfejsu wiersza polecenia do subskrypcji platformy Azure

Ważne

Jeśli używasz usługi Azure Cloud Shell, możesz pominąć tę sekcję. Usługa Cloud Shell automatycznie uwierzytelnia się przy użyciu konta, które logujesz się do subskrypcji platformy Azure.

Istnieje kilka sposobów uwierzytelniania w subskrypcji platformy Azure z poziomu interfejsu wiersza polecenia. Najprostszym sposobem jest interaktywne uwierzytelnianie przy użyciu przeglądarki. Aby uwierzytelnić się interaktywnie, otwórz wiersz polecenia lub terminal i użyj następującego polecenia:

az login

Jeśli interfejs wiersza polecenia może otworzyć Twoją domyślną przeglądarkę, zrobi to i załaduje stronę logowania. W przeciwnym razie musisz otworzyć przeglądarkę i postępować zgodnie z instrukcjami w wierszu polecenia. Instrukcje obejmują przechodzenie do https://aka.ms/devicelogin i wprowadzanie kodu autoryzacji.

Napiwek

Po zalogowaniu zostanie wyświetlona lista subskrypcji skojarzonych z kontem platformy Azure. Informacje o subskrypcji z isDefault: true programem to aktualnie aktywowana subskrypcja poleceń interfejsu wiersza polecenia platformy Azure. Ta subskrypcja musi być taka sama, która zawiera obszar roboczy usługi Azure Machine Edukacja. Identyfikator subskrypcji można znaleźć w witrynie Azure Portal , odwiedzając stronę przeglądu obszaru roboczego.

Aby wybrać inną subskrypcję, użyj az account set -s <subscription name or ID> polecenia i określ nazwę subskrypcji lub identyfikator, do których chcesz przełączyć się. Aby uzyskać więcej informacji na temat wyboru subskrypcji, zobacz Korzystanie z wielu subskrypcji platformy Azure.

Aby uzyskać informacje na temat innych metod uwierzytelniania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

Tworzenie grupy zasobów

Obszar roboczy usługi Azure Machine Edukacja należy utworzyć w grupie zasobów. Możesz wybrać istniejącą grupę zasobów lub utworzyć nową. Aby utworzyć nową grupę zasobów, użyj następującego polecenia. Zastąp <resource-group-name> ciąg nazwą używaną dla tej grupy zasobów. Zastąp <location> element regionem świadczenia usługi Azure, który ma być używany dla tej grupy zasobów:

Uwaga

Należy wybrać region, w którym jest dostępna usługa Azure Machine Edukacja. Aby uzyskać informacje, zobacz Dostępność produktów według regionów.

az group create --name <resource-group-name> --location <location>

Odpowiedź z tego polecenia jest podobna do następującego kodu JSON. Możesz użyć wartości wyjściowych, aby zlokalizować utworzone zasoby lub przeanalizować je jako dane wejściowe do kolejnych kroków interfejsu wiersza polecenia w celu automatyzacji.

{
  "id": "/subscriptions/<subscription-GUID>/resourceGroups/<resourcegroupname>",
  "location": "<location>",
  "managedBy": null,
  "name": "<resource-group-name>",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": null
}

Aby uzyskać więcej informacji na temat pracy z grupami zasobów, zobacz az group.

Tworzenie obszaru roboczego

Podczas wdrażania obszaru roboczego usługi Azure Machine Edukacja różne inne usługi są wymagane jako zależne skojarzone zasoby. Jeśli używasz interfejsu wiersza polecenia do tworzenia obszaru roboczego, interfejs wiersza polecenia może utworzyć nowe skojarzone zasoby w Twoim imieniu lub dołączyć istniejące zasoby.

Ważne

Podczas dołączania własnego konta magazynu upewnij się, że spełnia on następujące kryteria:

• Konto magazynu nie jest kontem premium (Premium_LRS i Premium_GRS)
• Włączono zarówno funkcje obiektów blob platformy Azure, jak i usługi Azure File
• Hierarchiczna przestrzeń nazw (ADLS Gen 2) jest wyłączona. Te wymagania dotyczą tylko domyślnego konta magazynu używanego przez obszar roboczy.

Podczas dołączania rejestru kontenerów platformy Azure musisz mieć włączone konto administratora, zanim będzie można go używać z obszarem roboczym usługi Azure Machine Edukacja.

Tworzenie przy użyciu nowych zasobów

Aby utworzyć nowy obszar roboczy, w którym usługi są tworzone automatycznie, użyj następującego polecenia:

az ml workspace create -w <workspace-name> -g <resource-group-name>

Przenoszenie istniejących zasobów

Aby utworzyć obszar roboczy korzystający z istniejących zasobów, musisz podać identyfikator zasobu dla każdego zasobu. Ten identyfikator można uzyskać za pośrednictwem karty "właściwości" dla każdego zasobu za pośrednictwem witryny Azure Portal lub uruchamiając następujące polecenia przy użyciu interfejsu wiersza polecenia platformy Azure.

• Konto usługi Azure Storage: az storage account show --name <storage-account-name> --query "id"
• aplikacja systemu Azure Szczegółowe informacje:az monitor app-insights component show --app <application-insight-name> -g <resource-group-name> --query "id"
• Azure Key Vault: az keyvault show --name <key-vault-name> --query "ID"
• Azure Container Registry: az acr show --name <acr-name> -g <resource-group-name> --query "id"

Zwrócony identyfikator zasobu ma następujący format: "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/<provider>/<subresource>/<resource-name>".

Po utworzeniu identyfikatorów zasobów, których chcesz używać z obszarem roboczym, użyj podstawowego az workspace create -w <workspace-name> -g <resource-group-name> polecenia i dodaj parametry i identyfikatory dla istniejących zasobów. Na przykład następujące polecenie tworzy obszar roboczy, który używa istniejącego rejestru kontenerów:

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --container-registry "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerRegistry/registries/<acr-name>"

Ważne

Podczas dołączania istniejących zasobów nie trzeba określać wszystkich. Można określić co najmniej jeden. Możesz na przykład określić istniejące konto magazynu, a obszar roboczy utworzy inne zasoby.

Dane wyjściowe polecenia tworzenia obszaru roboczego są podobne do następującego kodu JSON. Możesz użyć wartości wyjściowych, aby zlokalizować utworzone zasoby lub przeanalizować je jako dane wejściowe do kolejnych kroków interfejsu wiersza polecenia.

{
  "applicationInsights": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.insights/components/<application-insight-name>",
  "containerRegistry": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.containerregistry/registries/<acr-name>",
  "creationTime": "2019-08-30T20:24:19.6984254+00:00",
  "description": "",
  "friendlyName": "<workspace-name>",
  "id": "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>",
  "identityPrincipalId": "<GUID>",
  "identityTenantId": "<GUID>",
  "identityType": "SystemAssigned",
  "keyVault": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.keyvault/vaults/<key-vault-name>",
  "location": "<location>",
  "name": "<workspace-name>",
  "resourceGroup": "<resource-group-name>",
  "storageAccount": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.storage/storageaccounts/<storage-account-name>",
  "type": "Microsoft.MachineLearningServices/workspaces",
  "workspaceid": "<GUID>"
}

Konfiguracje zaawansowane

Konfigurowanie obszaru roboczego na potrzeby łączności z siecią prywatną

Zależnie od wymagań organizacyjnych i przypadków użycia możesz skonfigurować usługę Azure Machine Edukacja przy użyciu łączności sieciowej prywatnej. Interfejs wiersza polecenia platformy Azure umożliwia wdrożenie obszaru roboczego i punktu końcowego łącza prywatnego dla zasobu obszaru roboczego. Aby uzyskać więcej informacji na temat korzystania z prywatnego punktu końcowego i sieci wirtualnej z obszarem roboczym, zobacz Omówienie izolacji sieci wirtualnej i prywatności. W przypadku złożonych konfiguracji zasobów zapoznaj się również z opcjami wdrażania opartymi na szablonach, w tym usługą Azure Resource Manager.

Jeśli chcesz ograniczyć dostęp do obszaru roboczego do sieci wirtualnej, możesz użyć następujących parametrów w ramach az ml workspace create polecenia lub użyć az ml workspace private-endpoint poleceń.

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --pe-name "<pe name>"
                       --pe-auto-approval "<pe-autoapproval>"
                       --pe-resource-group "<pe name>"
                       --pe-vnet-name "<pe name>"
                       --pe-subnet-name "<pe name>"

• --pe-name: nazwa utworzonego prywatnego punktu końcowego.
• --pe-auto-approval: czy połączenia prywatnego punktu końcowego z obszarem roboczym powinny być automatycznie zatwierdzane.
• --pe-resource-group: grupa zasobów do utworzenia prywatnego punktu końcowego w programie. Musi być tą samą grupą, która zawiera sieć wirtualną.
• --pe-vnet-name: istniejąca sieć wirtualna do utworzenia prywatnego punktu końcowego w programie.
• --pe-subnet-name: nazwa podsieci do utworzenia prywatnego punktu końcowego. Wartość domyślna to default.

Aby uzyskać więcej informacji na temat używania tych poleceń, zobacz strony referencyjne interfejsu wiersza polecenia.

Klucz zarządzany przez klienta i obszar roboczy o dużym wpływie na działalność biznesową

Domyślnie metadane obszaru roboczego są przechowywane w wystąpieniu usługi Azure Cosmos DB, które utrzymuje firma Microsoft. Te dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Zamiast używać klucza zarządzanego przez firmę Microsoft, możesz również podać własny klucz. Spowoduje to utworzenie dodatkowego zestawu zasobów w ramach subskrypcji platformy Azure w celu przechowywania danych.

Aby dowiedzieć się więcej o zasobach tworzonych podczas szyfrowania własnego klucza, zobacz Szyfrowanie danych przy użyciu usługi Azure Machine Edukacja.

Użyj parametru , aby określić usługę --cmk-keyvault Azure Key Vault zawierającą klucz oraz --resource-cmk-uri określić identyfikator zasobu i identyfikator URI klucza w magazynie.

Aby ograniczyć dane zbierane przez firmę Microsoft w obszarze roboczym, możesz dodatkowo określić --hbi-workspace parametr .

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --cmk-keyvault "<cmk keyvault name>"
                       --resource-cmk-uri "<resource cmk uri>"
                       --hbi-workspace

Uwaga

Autoryzowanie aplikacji machine Edukacja (w usłudze Identity and Access Management) z uprawnieniami współautora w ramach subskrypcji w celu zarządzania dodatkowymi zasobami szyfrowania danych.

Uwaga

Usługa Azure Cosmos DB nie jest używana do przechowywania informacji, takich jak wydajność modelu, informacje rejestrowane przez eksperymenty lub informacje rejestrowane z wdrożeń modelu. Aby uzyskać więcej informacji na temat monitorowania tych elementów, zobacz sekcję Monitorowanie i rejestrowanie w artykule dotyczącym architektury i pojęć.

Ważne

Wybranie wysokiego wpływu biznesowego można wykonać tylko podczas tworzenia obszaru roboczego. Nie można zmienić tego ustawienia po utworzeniu obszaru roboczego.

Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta i obszaru roboczego o dużym wpływie na działalność biznesową, zobacz Zabezpieczenia przedsiębiorstwa dla usługi Azure Machine Edukacja.

Zarządzanie obszarami roboczymi przy użyciu interfejsu wiersza polecenia

Pobieranie informacji o obszarze roboczym

Aby uzyskać informacje o obszarze roboczym, użyj następującego polecenia:

az ml workspace show -w <workspace-name> -g <resource-group-name>

Aktualizowanie obszaru roboczego

Aby zaktualizować obszar roboczy, użyj następującego polecenia:

az ml workspace update -n <workspace-name> -g <resource-group-name>

Synchronizowanie kluczy dla zasobów zależnych

Jeśli zmienisz klucze dostępu dla jednego z zasobów używanych przez obszar roboczy, synchronizacja z nowym kluczem zajmuje około godziny. Aby wymusić natychmiastowe zsynchronizowanie nowych kluczy w obszarze roboczym, użyj następującego polecenia:

az ml workspace sync-keys -w <workspace-name> -g <resource-group-name>

Aby uzyskać więcej informacji na temat zmieniania kluczy, zobacz Ponowne generowanie kluczy dostępu do magazynu.

Usuwanie obszaru roboczego

Ostrzeżenie

Jeśli dla obszaru roboczego włączono usuwanie nietrwałe, można je odzyskać po usunięciu. Jeśli usuwanie nietrwałe nie jest włączone lub wybierzesz opcję trwałego usunięcia obszaru roboczego, nie można go odzyskać. Aby uzyskać więcej informacji, zobacz Odzyskiwanie usuniętego obszaru roboczego.

Aby usunąć obszar roboczy po tym, jak nie jest już potrzebny, użyj następującego polecenia:

az ml workspace delete -w <workspace-name> -g <resource-group-name>

Ważne

Usunięcie obszaru roboczego nie powoduje usunięcia szczegółowych informacji o aplikacji, konta magazynu, magazynu kluczy ani rejestru kontenerów używanego przez obszar roboczy.

Możesz również usunąć grupę zasobów, która usuwa obszar roboczy i wszystkie inne zasoby platformy Azure w grupie zasobów. Aby usunąć grupę zasobów, użyj następującego polecenia:

az group delete -g <resource-group-name>

Napiwek

Domyślnym zachowaniem Edukacja usługi Azure Machine jest usunięcie obszaru roboczego w sposób nietrwały. Oznacza to, że obszar roboczy nie jest natychmiast usuwany, ale zamiast tego jest oznaczony do usunięcia. Aby uzyskać więcej informacji, zobacz Usuwanie nietrwałe.

Rozwiązywanie problemów

Błędy dostawcy zasobów

Podczas tworzenia obszaru roboczego usługi Azure Machine Edukacja lub zasobu używanego przez obszar roboczy może zostać wyświetlony błąd podobny do następujących komunikatów:

• No registered resource provider found for location {location}
• The subscription is not registered to use namespace {resource-provider-namespace}

Większość dostawców zasobów jest automatycznie rejestrowana, ale nie wszystkie. Jeśli zostanie wyświetlony ten komunikat, musisz zarejestrować wymienionego dostawcę.

Poniższa tabela zawiera listę dostawców zasobów wymaganych przez usługę Azure Machine Edukacja:

Dostawca zasobów	Dlaczego jest to potrzebne
Microsoft.Machine Edukacja Services	Tworzenie obszaru roboczego usługi Azure Machine Edukacja.
Microsoft.Storage	Konto usługi Azure Storage jest używane jako domyślny magazyn dla obszaru roboczego.
Microsoft.ContainerRegistry	Usługa Azure Container Registry jest używana przez obszar roboczy do tworzenia obrazów platformy Docker.
Microsoft.KeyVault	Usługa Azure Key Vault jest używana przez obszar roboczy do przechowywania wpisów tajnych.
Microsoft.Notebooks	Zintegrowane notesy na maszynie Azure Edukacja wystąpienia obliczeniowego.
Microsoft.ContainerService	Jeśli planujesz wdrażanie wytrenowanych modeli w usługach Azure Kubernetes Services.

Jeśli planujesz używanie klucza zarządzanego przez klienta z usługą Azure Machine Edukacja, należy zarejestrować następujących dostawców usług:

Dostawca zasobów	Dlaczego jest to potrzebne
Microsoft.DocumentDB	Wystąpienie usługi Azure CosmosDB, które rejestruje metadane obszaru roboczego.
Microsoft.Search	Usługa Azure Search udostępnia funkcje indeksowania dla obszaru roboczego.

Jeśli planujesz korzystanie z zarządzanej sieci wirtualnej z usługą Azure Machine Edukacja, należy zarejestrować dostawcę zasobów Microsoft.Network. Ten dostawca zasobów jest używany przez obszar roboczy podczas tworzenia prywatnych punktów końcowych dla zarządzanej sieci wirtualnej.

Aby uzyskać informacje na temat rejestrowania dostawców zasobów, zobacz Rozwiązywanie błędów dotyczących rejestracji dostawcy zasobów.

Przenoszenie obszaru roboczego

Ostrzeżenie

Przenoszenie obszaru roboczego usługi Azure Machine Edukacja do innej subskrypcji lub przenoszenie subskrypcji będącą właścicielem do nowej dzierżawy nie jest obsługiwane. Może to spowodować błędy.

Usuwanie usługi Azure Container Registry

Obszar roboczy usługi Azure Machine Edukacja używa usługi Azure Container Registry (ACR) na potrzeby niektórych operacji. Spowoduje to automatyczne utworzenie wystąpienia usługi ACR, gdy będzie ono najpierw potrzebne.

Ostrzeżenie

Po utworzeniu usługi Azure Container Registry dla obszaru roboczego nie usuwaj go. Spowoduje to przerwanie obszaru roboczego usługi Azure Machine Edukacja.

Następne kroki

Aby uzyskać więcej informacji na temat rozszerzenia interfejsu wiersza polecenia platformy Azure na potrzeby uczenia maszynowego, zobacz dokumentację az ml (wersja 1).

Aby sprawdzić problemy z obszarem roboczym, zobacz Jak używać diagnostyki obszaru roboczego.

Aby dowiedzieć się, jak przenieść obszar roboczy do nowej subskrypcji platformy Azure, zobacz Jak przenieść obszar roboczy.

Aby uzyskać informacje o sposobie aktualizowania usługi Azure Machine Edukacja przy użyciu najnowszych aktualizacji zabezpieczeń, zobacz Zarządzanie lukami w zabezpieczeniach.