Azure sanal ağında Azure Machine Learning stüdyosu kullanın

İpucu

Microsoft, bu makaledeki adımlar yerine Azure Machine Learning yönetilen sanal ağlarının kullanılmasını önerir. Yönetilen bir sanal ağ ile Azure Machine Learning, çalışma alanınız ve yönetilen işlemleriniz için ağ yalıtımı işini işler. Ayrıca çalışma alanının ihtiyaç duyduğu kaynaklar için Azure Depolama Hesabı gibi özel uç noktalar da ekleyebilirsiniz. Daha fazla bilgi için bkz. Çalışma alanı yönetilen ağ izolasyonu.

Bu makalede sanal ağda Azure Machine Learning stüdyosu nasıl kullanılacağı açıklanmaktadır. Stüdyoda AutoML, tasarımcı ve veri etiketleme gibi özellikler bulunur.

Stüdyonun bazı özellikleri sanal ağda varsayılan olarak devre dışı bırakılır. Bu özellikleri yeniden etkinleştirmek için, stüdyoda kullanmayı planladığınız depolama hesapları için yönetilen kimliği etkinleştirmeniz gerekir.

Aşağıdaki işlemler varsayılan olarak sanal ağda devre dışı bırakılır:

  • Stüdyoda verilerin önizlemesini görüntüleme.
  • Tasarımcıda verileri görselleştirme.
  • Tasarımcıda model dağıtma.
  • AutoML denemesi gönderme.
  • Etiketleme projesi başlatma.

Studio, bir sanal ağda aşağıdaki veri deposu türlerinden veri okumayı destekler:

  • Azure Depolama Hesabı (blob & dosyası)
  • Azure Data Lake Storage Gen1
  • Azure Data Lake Storage Gen2
  • Azure SQL Veritabanı

Bu makalede şunları öğreneceksiniz:

  • Stüdyoya bir sanal ağın içinde depolanan verilere erişim izni verin.
  • Sanal ağın içindeki bir kaynaktan stüdyoya erişin.
  • Stüdyonun depolama güvenliğini nasıl etkilediğini anlama.

Önkoşullar

Sınırlamalar

Azure Depolama Hesabı

  • Depolama hesabı sanal ağda olduğunda, studio'yu kullanmak için ek doğrulama gereksinimleri vardır:

    • Depolama hesabı bir hizmet uç noktası kullanıyorsa, çalışma alanı özel uç noktası ve depolama hizmeti uç noktası sanal ağın aynı alt ağında olmalıdır.
    • Depolama hesabı özel uç nokta kullanıyorsa, çalışma alanı özel uç noktası ve depolama özel uç noktası aynı sanal ağda olmalıdır. Bu durumda farklı alt ağlarda olabilirler.

Tasarım Aracı örnek işlem hattı

Kullanıcıların tasarımcı giriş sayfasında örnek işlem hattı çalıştıramama sorunu bilinen bir sorundur. Bu sorun, örnek işlem hattında kullanılan örnek veri kümesinin bir Azure Genel veri kümesi olması nedeniyle oluşur. Sanal ağ ortamından erişilemiyor.

Bu sorunu çözmek için genel çalışma alanını kullanarak örnek işlem hattını çalıştırın. Veya örnek veri kümesini bir sanal ağ içindeki çalışma alanında kendi veri kümenizle değiştirin.

Veri deposu: Azure Depolama Hesabı

Azure Blob ve Dosya depolamada depolanan verilere erişimi etkinleştirmek için aşağıdaki adımları kullanın:

İpucu

çalışma alanının varsayılan depolama hesabı için ilk adım gerekli değildir. Diğer tüm adımlar sanal ağın arkasındaki tüm depolama hesapları için gereklidir ve çalışma alanı tarafından varsayılan depolama hesabı da dahil olmak üzere kullanılır.

  1. Depolama hesabı çalışma alanınız için varsayılan depolama alanıysa bu adımı atlayın. Varsayılan değer bu değilse, çalışma alanı yönetilen kimliğine Blob depolamadan veri okuyabilmesi için Azure depolama hesabı için Depolama Blob Veri Okuyucusu rolü verin.

    Daha fazla bilgi için bkz . Blob Veri Okuyucusu yerleşik rolü.

  2. Çalışma alanı yönetilen kimliğine depolama özel uç noktaları için Okuyucu rolü verin. Depolama hizmetiniz özel bir uç nokta kullanıyorsa, çalışma alanının yönetilen kimliğine Özel uç nokta için Okuyucu erişimi verin. Microsoft Entra Id'deki çalışma alanının yönetilen kimliği, Azure Machine Learning çalışma alanınızla aynı ada sahiptir. Hem blob hem de dosya depolama türleri için özel uç nokta gereklidir.

    İpucu

    Depolama hesabınızın birden çok özel uç noktası olabilir. Örneğin, bir depolama hesabının blob, dosya ve dfs (Azure Data Lake Storage 2. Nesil) için ayrı özel uç noktası olabilir. Yönetilen kimliği tüm bu uç noktalara ekleyin.

    Daha fazla bilgi için bkz . Okuyucu yerleşik rolü.

  3. Varsayılan depolama hesapları için yönetilen kimlik kimlik doğrulamasını etkinleştirin. Her Azure Machine Learning çalışma alanının iki varsayılan depolama hesabı vardır: varsayılan blob depolama hesabı ve varsayılan dosya deposu hesabı. Her ikisi de çalışma alanınızı oluşturduğunuzda tanımlanır. Veri deposu yönetim sayfasında yeni varsayılanlar da ayarlayabilirsiniz.

    Screenshot showing where default datastores can be found.

    Aşağıdaki tabloda, çalışma alanı varsayılan depolama hesaplarınız için yönetilen kimlik kimlik doğrulamasının neden kullanıldığı açıklanmaktadır.

    Storage account Notlar
    Çalışma alanı varsayılan blob depolaması Tasarımcının model varlıklarını depolar. Tasarımcıda modelleri dağıtmak için bu depolama hesabında yönetilen kimlik kimlik doğrulamasını etkinleştirin. Yönetilen kimlik doğrulaması devre dışı bırakılırsa, kullanıcının kimliği blobda depolanan verilere erişmek için kullanılır.

    Yönetilen kimlik kullanmak üzere yapılandırılmış varsayılan olmayan bir veri deposu kullanıyorsa tasarımcı işlem hattını görselleştirebilir ve çalıştırabilirsiniz. Ancak, yönetilen kimlik etkin olmayan bir eğitilmiş modeli varsayılan veri deposunda dağıtmaya çalışırsanız, kullanılan diğer veri depolarından bağımsız olarak dağıtım başarısız olur.
    Çalışma alanı varsayılan dosya deposu AutoML deneme varlıklarını depolar. AutoML denemeleri göndermek için bu depolama hesabında yönetilen kimlik kimlik doğrulamasını etkinleştirin.
  4. Yönetilen kimlik kimlik doğrulamasını kullanmak için veri depolarını yapılandırın. Sanal ağınıza hizmet uç noktası veya özel uç nokta ile bir Azure depolama hesabı ekledikten sonra, veri deponuzu yönetilen kimlik doğrulaması kullanacak şekilde yapılandırmanız gerekir. Bunun yapılması, stüdyonun depolama hesabınızdaki verilere erişmesine olanak tanır.

    Azure Machine Learning, depolama hesaplarına bağlanmak için veri depolarını kullanır. Yeni bir veri deposu oluştururken, yönetilen kimlik kimlik doğrulamasını kullanmak üzere bir veri deposu yapılandırmak için aşağıdaki adımları kullanın:

    1. Stüdyoda Veri depoları'nı seçin.

    2. Yeni bir veri deposu oluşturmak için + Oluştur'u seçin.

    3. Veri deposu ayarlarında, Azure Machine Learning stüdyosu'da veri önizleme ve profil oluşturma için çalışma alanı yönetilen kimliğini kullan anahtarını açın.

      Screenshot showing how to enable managed workspace identity.

    4. Azure Depolama Hesabının Ağ ayarları'nda Kaynak türünü ekleyin Microsoft.MachineLearningService/workspacesve Örnek adını çalışma alanına ayarlayın.

    Bu adımlar, Azure rol tabanlı erişim denetimini (RBAC) kullanarak yeni depolama hizmetine çalışma alanının yönetilen kimliğini Okuyucu olarak ekler. Okuyucu erişimi, çalışma alanının kaynağı görüntülemesine izin verir, ancak değişiklik yapmaz.

Veri deposu: Azure Data Lake Storage 1. Nesil

Veri deposu olarak Azure Data Lake Storage 1. Nesil kullanırken, yalnızca POSIX stili erişim denetim listelerini kullanabilirsiniz. Çalışma alanının yönetilen kimlik erişimini diğer güvenlik sorumluları gibi kaynaklara atayabilirsiniz. Daha fazla bilgi için bkz. Azure Data Lake Storage 1. Nesil'de erişim denetimi.

Veri deposu: Azure Data Lake Storage 2. Nesil

veri deposu olarak Azure Data Lake Storage 2. Nesil kullanırken, sanal ağın içindeki veri erişimini denetlemek için hem Azure RBAC hem de POSIX stili erişim denetim listelerini (ACL' ler) kullanabilirsiniz.

Azure RBAC'yi kullanmak için bu makalenin Datastore: Azure Depolama Hesabı bölümündeki adımları izleyin. Data Lake Storage 2. Nesil, Azure Depolama'ı temel alır, bu nedenle Azure RBAC kullanılırken aynı adımlar uygulanır.

ACL'leri kullanmak için, çalışma alanının yönetilen kimliğine diğer güvenlik sorumluları gibi erişim atanabilir. Daha fazla bilgi için bkz . Dosyalar ve dizinler üzerindeki erişim denetimi listeleri.

Veri deposu: Azure SQL Veritabanı

Yönetilen kimlikle bir Azure SQL Veritabanı depolanan verilere erişmek için yönetilen kimliğe eşlenen sql içeren bir kullanıcı oluşturmanız gerekir. Dış sağlayıcıdan kullanıcı oluşturma hakkında daha fazla bilgi için bkz . Microsoft Entra kimliklerine eşlenmiş bağımsız kullanıcılar oluşturma.

SQL içeren bir kullanıcı oluşturduktan sonra, GRANT T-SQL komutunu kullanarak buna izin verin.

Ara bileşen çıkışı

Azure Machine Learning tasarımcısı ara bileşen çıkışını kullanırken, tasarımcıdaki herhangi bir bileşen için çıkış konumunu belirtebilirsiniz. Ara veri kümelerini güvenlik, günlük veya denetim amacıyla ayrı bir konumda depolamak için bu çıkışı kullanın. Çıktıyı belirtmek için aşağıdaki adımları kullanın:

  1. Çıkışını belirtmek istediğiniz bileşeni seçin.
  2. Bileşen ayarları bölmesinde Çıkış ayarları'nı seçin.
  3. Her bileşen çıkışı için kullanmak istediğiniz veri deposunu belirtin.

Sanal ağınızdaki ara depolama hesaplarına erişiminiz olduğundan emin olun. Aksi takdirde işlem hattı başarısız olur.

Çıkış verilerini görselleştirmek istiyorsanız ara depolama hesapları için yönetilen kimlik doğrulamasını etkinleştirin.

Sanal ağın içindeki bir kaynaktan stüdyoya erişme

Stüdyoya sanal ağın içindeki bir kaynaktan (örneğin, bir işlem örneği veya sanal makine) erişiyorsa, sanal ağdan stüdyoya giden trafiğe izin vermelisiniz.

Örneğin, giden trafiği kısıtlamak için ağ güvenlik grupları (NSG) kullanıyorsanız, hizmet etiketi hedefine AzureFrontDoor.Frontendbir kural ekleyin.

Güvenlik duvarı ayarları

Azure Depolama Hesabı gibi bazı depolama hizmetleri, söz konusu hizmet örneğinin genel uç noktasına uygulanan güvenlik duvarı ayarlarına sahiptir. Bu ayar genellikle genel İnternet'ten belirli IP adreslerinden erişime izin vermenizi/erişimi reddetmenizi sağlar. bu, Azure Machine Learning stüdyosu kullanılırken desteklenmez. Azure Machine Learning SDK'sı veya CLI kullanılırken desteklenir.

İpucu

Azure Güvenlik Duvarı hizmeti kullanılırken Azure Machine Learning stüdyosu desteklenir. Daha fazla bilgi için bkz . Gelen ve giden ağ trafiğini yapılandırma.

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın: