Azure sanal ağında Azure Machine Learning stüdyosu kullanın
İpucu
Bu makaledeki adımlar yerine Azure Machine Learning tarafından yönetilen sanal ağları kullanabilirsiniz. Yönetilen bir sanal ağ ile Azure Machine Learning, çalışma alanınız ve yönetilen işlemleriniz için ağ yalıtımı işini işler. Ayrıca, çalışma alanının ihtiyaç duyduğu kaynaklar için Azure Depolama Hesabı gibi özel uç noktalar da ekleyebilirsiniz. Daha fazla bilgi için bkz. Çalışma alanı yönetilen ağ izolasyonu.
Bu makalede sanal ağda Azure Machine Learning stüdyosu nasıl kullanılacağı açıklanmaktadır. Stüdyoda AutoML, tasarımcı ve veri etiketleme gibi özellikler bulunur.
Stüdyonun bazı özellikleri sanal ağda varsayılan olarak devre dışı bırakılır. Bu özellikleri yeniden etkinleştirmek için, stüdyoda kullanmayı planladığınız depolama hesapları için yönetilen kimliği etkinleştirmeniz gerekir.
Aşağıdaki işlemler varsayılan olarak sanal ağda devre dışı bırakılır:
- Stüdyoda verilerin önizlemesini görüntüleme.
- Tasarımcıda verileri görselleştirme.
- Tasarımcıda model dağıtma.
- AutoML denemesi gönderme.
- Etiketleme projesi başlatma.
Studio, bir sanal ağda aşağıdaki veri deposu türlerinden veri okumayı destekler:
- Azure Depolama Hesabı (blob & dosyası)
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL Veritabanı
Bu makalede şunları öğreneceksiniz:
- Stüdyoya bir sanal ağın içinde depolanan verilere erişim izni verin.
- Sanal ağın içindeki bir kaynaktan stüdyoya erişin.
- Stüdyonun depolama güvenliğini nasıl etkilediğini anlama.
Önkoşullar
Yaygın sanal ağ senaryolarını ve mimarisini anlamak için Ağ güvenliğine genel bakış'ı okuyun.
Kullanılacak önceden var olan bir sanal ağ ve alt ağ.
Özel uç nokta içeren mevcut bir Azure Machine Learning çalışma alanı.
Mevcut bir Azure depolama hesabı sanal ağınızı ekledi.
Özel uç nokta içeren mevcut bir Azure Machine Learning çalışma alanı.
Mevcut bir Azure depolama hesabı sanal ağınızı ekledi.
- Güvenli çalışma alanı oluşturmayı öğrenmek için bkz . Öğretici: Güvenli çalışma alanı, Bicep şablonu veya Terraform şablonu oluşturma.
Sınırlamalar
Azure Depolama Hesabı
Depolama hesabı sanal ağda olduğunda, studio'yu kullanmak için ek doğrulama gereksinimleri vardır:
- Depolama hesabı bir hizmet uç noktası kullanıyorsa, çalışma alanı özel uç noktası ve depolama hizmeti uç noktası sanal ağın aynı alt ağında olmalıdır.
- Depolama hesabı özel uç nokta kullanıyorsa, çalışma alanı özel uç noktası ve depolama özel uç noktası aynı sanal ağda olmalıdır. Bu durumda farklı alt ağlarda olabilirler.
Tasarımcı örnek işlem hattı
Kullanıcıların tasarımcı giriş sayfasında örnek işlem hattı çalıştıramama sorunu bilinen bir sorundur. Bu sorun, örnek işlem hattında kullanılan örnek veri kümesinin bir Azure Genel veri kümesi olması nedeniyle oluşur. Sanal ağ ortamından erişilemiyor.
Bu sorunu çözmek için genel çalışma alanını kullanarak örnek işlem hattını çalıştırın. Veya örnek veri kümesini bir sanal ağ içindeki çalışma alanında kendi veri kümenizle değiştirin.
Veri deposu: Azure Depolama Hesabı
Azure Blob ve Dosya depolamada depolanan verilere erişimi etkinleştirmek için aşağıdaki adımları kullanın:
İpucu
çalışma alanının varsayılan depolama hesabı için ilk adım gerekli değildir. Diğer tüm adımlar sanal ağın arkasındaki tüm depolama hesapları için gereklidir ve çalışma alanı tarafından varsayılan depolama hesabı da dahil olmak üzere kullanılır.
Depolama hesabı çalışma alanınız için varsayılan depolama alanıysa bu adımı atlayın. Varsayılan değer bu değilse, blob depolamadan veri okuyabilmesi için çalışma alanı yönetilen kimliğine Azure depolama hesabı için Depolama Blob Veri Okuyucusu rolünü verin.
Daha fazla bilgi için bkz . Blob Veri Okuyucusu yerleşik rolü.
Azure kullanıcı kimliğinize Azure depolama hesabı için Depolama Blob Veri okuyucusu rolü verin. Çalışma alanı yönetilen kimliği Okuyucu rolüne sahip olsa bile stüdyo, blob depolamaya veri erişmek için kimliğinizi kullanır.
Daha fazla bilgi için bkz . Blob Veri Okuyucusu yerleşik rolü.
Çalışma alanı yönetilen kimliğine depolama özel uç noktaları için Okuyucu rolü verin. Depolama hizmetiniz özel bir uç nokta kullanıyorsa, çalışma alanının yönetilen kimliğine Özel uç nokta için Okuyucu erişimi verin. Microsoft Entra Id'deki çalışma alanının yönetilen kimliği, Azure Machine Learning çalışma alanınızla aynı ada sahiptir. Hem blob hem de dosya depolama türleri için özel uç nokta gereklidir.
İpucu
Depolama hesabınızın birden çok özel uç noktası olabilir. Örneğin, bir depolama hesabının blob, dosya ve dfs (Azure Data Lake Storage 2. Nesil) için ayrı özel uç noktası olabilir. Yönetilen kimliği tüm bu uç noktalara ekleyin.
Daha fazla bilgi için bkz . Okuyucu yerleşik rolü.
Varsayılan depolama hesapları için yönetilen kimlik kimlik doğrulamasını etkinleştirin. Her Azure Machine Learning çalışma alanının iki varsayılan depolama hesabı vardır: varsayılan blob depolama hesabı ve varsayılan dosya deposu hesabı. Her ikisi de çalışma alanınızı oluşturduğunuzda tanımlanır. Veri deposu yönetim sayfasında yeni varsayılanlar da ayarlayabilirsiniz.
Aşağıdaki tabloda, çalışma alanı varsayılan depolama hesaplarınız için yönetilen kimlik kimlik doğrulamasının neden kullanıldığı açıklanmaktadır.
Storage account Notlar Çalışma alanı varsayılan blob depolaması Tasarımcının model varlıklarını depolar. Tasarımcıda modelleri dağıtmak için bu depolama hesabında yönetilen kimlik kimlik doğrulamasını etkinleştirin. Yönetilen kimlik doğrulaması devre dışı bırakılırsa, kullanıcının kimliği blobda depolanan verilere erişmek için kullanılır.
Yönetilen kimlik kullanmak üzere yapılandırılmış varsayılan olmayan bir veri deposu kullanıyorsa tasarımcı işlem hattını görselleştirebilir ve çalıştırabilirsiniz. Ancak, yönetilen kimlik etkin olmayan bir eğitilmiş modeli varsayılan veri deposunda dağıtmaya çalışırsanız, kullanılan diğer veri depolarından bağımsız olarak dağıtım başarısız olur.Çalışma alanı varsayılan dosya deposu AutoML deneme varlıklarını depolar. AutoML denemeleri göndermek için bu depolama hesabında yönetilen kimlik kimlik doğrulamasını etkinleştirin. Yönetilen kimlik kimlik doğrulamasını kullanmak için veri depolarını yapılandırın. Sanal ağınıza hizmet uç noktası veya özel uç nokta ile bir Azure depolama hesabı ekledikten sonra, veri deponuzu yönetilen kimlik doğrulaması kullanacak şekilde yapılandırmanız gerekir. Bunun yapılması, stüdyonun depolama hesabınızdaki verilere erişmesine olanak tanır.
Azure Machine Learning, depolama hesaplarına bağlanmak için veri depolarını kullanır. Yeni bir veri deposu oluştururken, yönetilen kimlik kimlik doğrulamasını kullanmak üzere bir veri deposu yapılandırmak için aşağıdaki adımları kullanın:
Stüdyoda Veri depoları'nı seçin.
Yeni bir veri deposu oluşturmak için + Oluştur'u seçin.
Veri deposu ayarlarında, Azure Machine Learning stüdyosu'da veri önizleme ve profil oluşturma için çalışma alanı yönetilen kimliğini kullan anahtarını açın.
Azure Depolama Hesabının Ağ ayarlarına Kaynak türünü ekleyin
Microsoft.MachineLearningService/workspaces
ve Örnek adını çalışma alanına ayarlayın.
Bu adımlar, Azure rol tabanlı erişim denetimini (RBAC) kullanarak yeni depolama hizmetine çalışma alanının yönetilen kimliğini Okuyucu olarak ekler. Okuyucu erişimi, çalışma alanının kaynağı görüntülemesine izin verir, ancak değişiklik yapmaz.
Veri deposu: Azure Data Lake Storage 1. Nesil
Veri deposu olarak Azure Data Lake Storage 1. Nesil kullanırken, yalnızca POSIX stili erişim denetim listelerini kullanabilirsiniz. Çalışma alanının yönetilen kimlik erişimini diğer güvenlik sorumluları gibi kaynaklara atayabilirsiniz. Daha fazla bilgi için bkz. Azure Data Lake Storage 1. Nesil'de erişim denetimi.
Veri deposu: Azure Data Lake Storage 2. Nesil
veri deposu olarak Azure Data Lake Storage 2. Nesil kullanırken, sanal ağın içindeki veri erişimini denetlemek için hem Azure RBAC hem de POSIX stili erişim denetim listelerini (ACL' ler) kullanabilirsiniz.
Azure RBAC'yi kullanmak için bu makalenin Datastore: Azure Depolama Hesabı bölümündeki adımları izleyin. Data Lake Storage 2. Nesil, Azure Depolama'yı temel alır, bu nedenle Azure RBAC kullanılırken aynı adımlar uygulanır.
ACL'leri kullanmak için, çalışma alanının yönetilen kimliğine diğer güvenlik sorumluları gibi erişim atanabilir. Daha fazla bilgi için bkz . Dosyalar ve dizinler üzerindeki erişim denetimi listeleri.
Veri deposu: Azure SQL Veritabanı
Yönetilen kimlikle bir Azure SQL Veritabanı depolanan verilere erişmek için yönetilen kimliğe eşlenen sql içeren bir kullanıcı oluşturmanız gerekir. Dış sağlayıcıdan kullanıcı oluşturma hakkında daha fazla bilgi için bkz . Microsoft Entra kimliklerine eşlenmiş bağımsız kullanıcılar oluşturma.
SQL içeren bir kullanıcı oluşturduktan sonra, GRANT T-SQL komutunu kullanarak buna izin verin.
Ara bileşen çıkışı
Azure Machine Learning tasarımcısı ara bileşen çıkışını kullanırken, tasarımcıdaki herhangi bir bileşen için çıkış konumunu belirtebilirsiniz. Ara veri kümelerini güvenlik, günlük veya denetim amacıyla ayrı bir konumda depolamak için bu çıkışı kullanın. Çıktıyı belirtmek için aşağıdaki adımları kullanın:
- Çıkışını belirtmek istediğiniz bileşeni seçin.
- Bileşen ayarları bölmesinde Çıkış ayarları'nı seçin.
- Her bileşen çıkışı için kullanmak istediğiniz veri deposunu belirtin.
Sanal ağınızdaki ara depolama hesaplarına erişiminiz olduğundan emin olun. Aksi takdirde işlem hattı başarısız olur.
Çıkış verilerini görselleştirmek istiyorsanız ara depolama hesapları için yönetilen kimlik doğrulamasını etkinleştirin.
Sanal ağın içindeki bir kaynaktan stüdyoya erişme
Stüdyoya sanal ağın içindeki bir kaynaktan (örneğin, bir işlem örneği veya sanal makine) erişiyorsa, sanal ağdan stüdyoya giden trafiğe izin vermelisiniz.
Örneğin, giden trafiği kısıtlamak için ağ güvenlik grupları (NSG) kullanıyorsanız, hizmet etiketi hedefine AzureFrontDoor.Frontend
bir kural ekleyin.
Güvenlik duvarı ayarları
Azure Depolama Hesabı gibi bazı depolama hizmetleri, söz konusu hizmet örneği için genel uç noktaya uygulanan güvenlik duvarı ayarlarına sahiptir. Bu ayar genellikle genel İnternet'ten belirli IP adreslerinden erişime izin vermenizi/erişimi reddetmenizi sağlar. bu, Azure Machine Learning stüdyosu kullanılırken desteklenmez. Azure Machine Learning SDK'sı veya CLI kullanılırken desteklenir.
İpucu
Azure Güvenlik Duvarı hizmeti kullanılırken Azure Machine Learning stüdyosu desteklenir. Daha fazla bilgi için bkz . Gelen ve giden ağ trafiğini yapılandırma.
İlgili içerik
Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın: