Använda Azure Machine Learning Studio i ett virtuellt Azure-nätverk

I den här artikeln får du lära dig hur du använder Azure Machine Learning-studio i ett virtuellt nätverk. Studion innehåller funktioner som AutoML, designern och dataetiketter.

Vissa av studiofunktionerna är inaktiverade som standard i ett virtuellt nätverk. Om du vill återaktivera dessa funktioner måste du aktivera hanterad identitet för lagringskonton som du tänker använda i studion.

Följande åtgärder är inaktiverade som standard i ett virtuellt nätverk:

  • Förhandsgranska data i studion.
  • Visualisera data i designern.
  • Distribuera en modell i designern.
  • Skicka ett AutoML-experiment.
  • Starta ett dataetiketteringsprojekt.

Studion stöder läsning av data från följande datalagertyper i ett virtuellt nätverk:

  • Azure Storage-konto (blobfil & )
  • Azure Data Lake Storage Gen1
  • Azure Data Lake Storage Gen2
  • Azure SQL Database

I den här artikeln kan du se hur du:

  • Ge studioåtkomst till data som lagras i ett virtuellt nätverk.
  • Få åtkomst till studion från en resurs i ett virtuellt nätverk.
  • Förstå hur studion påverkar lagringssäkerheten.

Tips

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:

En självstudiekurs om hur du skapar en säker arbetsyta finns i Självstudie: Skapa en säker arbetsyta eller Självstudie: Skapa en säker arbetsyta med hjälp av en mall.

Förutsättningar

Begränsningar

Azure Storage-konto

  • När lagringskontot finns i det virtuella nätverket finns det extra verifieringskrav när du använder Studio:

    • Om lagringskontot använder en tjänstslutpunkt måste den privata slutpunkten för arbetsytan och lagringstjänstens slutpunkt finnas i samma undernät i det virtuella nätverket.
    • Om lagringskontot använder en privat slutpunkt måste den privata slutpunkten för arbetsytan och den privata lagringsslutpunkten finnas i samma virtuella nätverk. I det här fallet kan de finnas i olika undernät.

Exempelpipeline för designer

Det finns ett känt problem där användaren inte kan köra exempelpipelinen på designerns startsida. Det här är exempeldatauppsättningen som används i exempelpipelinen är Azure Global datauppsättning och den kan inte uppfylla alla virtuella nätverksmiljöer.

För att lösa det här problemet kan du använda en offentlig arbetsyta för att köra exempelpipeline för att lära dig hur du använder designern och sedan ersätta exempeldatauppsättningen med din egen datauppsättning på arbetsytan i det virtuella nätverket.

Datalager: Azure Storage-konto

Använd följande steg för att aktivera åtkomst till data som lagras i Azure Blob och File Storage:

Tips

Det första steget krävs inte för standardlagringskontot för arbetsytan. Alla andra steg krävs för alla lagringskonton bakom det virtuella nätverket och används av arbetsytan, inklusive standardlagringskontot.

  1. Om lagringskontot är standardlagringen för din arbetsyta hoppar du över det här steget. Om det inte är standard beviljar du arbetsytans hanterade identitet rollen "Storage Blob Data Reader" för Azure Storage-kontot så att den kan läsa data från Blob Storage.

    Mer information finns i den inbyggda rollen Blob Data Reader .

  2. Ge arbetsytans hanterade identitet rollen Läsare för privata lagringsslutpunkter. Om din lagringstjänst använder en privat slutpunkt beviljar du arbetsytans hanterade identitetsläsare åtkomst till den privata slutpunkten. Arbetsytans hanterade identitet i Azure AD har samma namn som din Azure Machine Learning-arbetsyta.

    Tips

    Ditt lagringskonto kan ha flera privata slutpunkter. Ett lagringskonto kan till exempel ha en separat privat slutpunkt för blob, fil och dfs (Azure Data Lake Storage Gen2). Lägg till den hanterade identiteten i alla dessa slutpunkter.

    Mer information finns i den inbyggda rollen Läsare .

  3. Aktivera hanterad identitetsautentisering för standardlagringskonton. Varje Azure Machine Learning-arbetsyta har två standardlagringskonton, ett standardkonto för bloblagring och ett standardfillagringskonto, som definieras när du skapar din arbetsyta. Du kan också ange nya standardinställningar på sidan datalagerhantering .

    Skärmbild som visar var standarddatalager finns

    I följande tabell beskrivs varför hanterad identitetsautentisering används för standardlagringskonton för arbetsytan.

    Lagringskonto Kommentarer
    Standardbloblagring för arbetsyta Lagrar modelltillgångar från designern. Aktivera hanterad identitetsautentisering på det här lagringskontot för att distribuera modeller i designern. Om hanterad identitetsautentisering är inaktiverad används användarens identitet för att komma åt data som lagras i bloben.

    Du kan visualisera och köra en designerpipeline om den använder ett icke-standarddatalager som har konfigurerats för att använda hanterad identitet. Men om du försöker distribuera en tränad modell utan att hanterad identitet är aktiverad i standarddatalagringen misslyckas distributionen oavsett andra datalager som används.
    Standardfilarkiv för arbetsyta Lagrar AutoML-experimenttillgångar. Aktivera hanterad identitetsautentisering på det här lagringskontot för att skicka AutoML-experiment.
  4. Konfigurera datalager för att använda hanterad identitetsautentisering. När du har lagt till ett Azure Storage-konto i ditt virtuella nätverk med antingen en tjänstslutpunkt eller en privat slutpunkt måste du konfigurera datalagret så att det använder hanterad identitetsautentisering . På så sätt kan studioåtkomst till data i ditt lagringskonto.

    Azure Machine Learning använder datalager för att ansluta till lagringskonton. När du skapar ett nytt datalager använder du följande steg för att konfigurera ett datalager för att använda hanterad identitetsautentisering:

    1. I studion väljer du Datalager.

    2. Om du vill uppdatera ett befintligt datalager väljer du dataarkivet och väljer Uppdatera autentiseringsuppgifter.

      Om du vill skapa ett nytt datalager väljer du + Nytt datalager.

    3. I inställningarna för datalager väljer du Ja för Använd arbetsytans hanterade identitet för förhandsgranskning och profilering av data i Azure Machine Learning-studio.

      Skärmbild som visar hur du aktiverar identitet för hanterad arbetsyta

    4. I Nätverksinställningarna för Azure Storage-kontot lägger du till resurstypen Microsoft.MachineLearningService/workspaces och anger instansnamnet till arbetsytan.

    De här stegen lägger till arbetsytans hanterade identitet som läsare i den nya lagringstjänsten med hjälp av Azure RBAC. Med läsaråtkomst kan arbetsytan visa resursen, men inte göra ändringar.

Datalager: Azure Data Lake Storage Gen1

När du använder Azure Data Lake Storage Gen1 som ett datalager kan du bara använda åtkomstkontrollistor i POSIX-format. Du kan tilldela arbetsytans hanterade identitet åtkomst till resurser precis som andra säkerhetsobjekt. Mer information finns i Åtkomstkontroll i Azure Data Lake Storage Gen1.

Datalager: Azure Data Lake Storage Gen2

När du använder Azure Data Lake Storage Gen2 som ett datalager kan du använda åtkomstkontrollistor i både Azure RBAC- och POSIX-format för att styra dataåtkomst i ett virtuellt nätverk.

Följ stegen i avsnittet Datastore: Azure Storage Account i den här artikeln om du vill använda Azure RBAC. Data Lake Storage Gen2 baseras på Azure Storage, så samma steg gäller när du använder Azure RBAC.

Om du vill använda ACL:er kan arbetsytans hanterade identitet tilldelas åtkomst precis som andra säkerhetsobjekt. Mer information finns i Åtkomstkontrollistor för filer och kataloger.

Datalager: Azure SQL Database

Om du vill komma åt data som lagras i en Azure SQL Database med en hanterad identitet måste du skapa en SQL-innesluten användare som mappar till den hanterade identiteten. Mer information om hur du skapar en användare från en extern provider finns i Skapa inneslutna användare mappade till Azure AD identiteter.

När du har skapat en SQL-innesluten användare beviljar du behörigheter till den med hjälp av kommandot GRANT T-SQL.

Mellanliggande komponentutdata

När du använder azure Machine Learning-designerns mellanliggande komponentutdata kan du ange utdataplatsen för valfri komponent i designern. Använd detta för att lagra mellanliggande datauppsättningar på en separat plats i säkerhets-, loggnings- eller granskningssyfte. Använd följande steg för att ange utdata:

  1. Välj den komponent vars utdata du vill ange.
  2. I fönstret komponentinställningar som visas till höger väljer du Utdatainställningar.
  3. Ange det datalager som du vill använda för varje komponentutdata.

Kontrollera att du har åtkomst till mellanliggande lagringskonton i ditt virtuella nätverk. Annars misslyckas pipelinen.

Aktivera hanterad identitetsautentisering för mellanliggande lagringskonton för att visualisera utdata.

Komma åt studion från en resurs i det virtuella nätverket

Om du kommer åt studion från en resurs i ett virtuellt nätverk (till exempel en beräkningsinstans eller virtuell dator) måste du tillåta utgående trafik från det virtuella nätverket till studion.

Om du till exempel använder nätverkssäkerhetsgrupper (NSG) för att begränsa utgående trafik lägger du till en regel i ett tjänsttaggmål för AzureFrontDoor.Frontend.

Brandväggsinställningar

Vissa lagringstjänster, till exempel Azure Storage-konto, har brandväggsinställningar som gäller för den offentliga slutpunkten för den specifika tjänstinstansen. Vanligtvis gör den här inställningen att du kan tillåta/neka åtkomst från specifika IP-adresser från det offentliga Internet. Detta stöds inte när du använder Azure Machine Learning-studio. Det stöds när du använder Azure Machine Learning SDK eller CLI.

Tips

Azure Machine Learning-studio stöds när du använder Azure Firewall-tjänsten. Mer information finns i Använda din arbetsyta bakom en brandvägg.

Nästa steg

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien: