Sdílet prostřednictvím

Jak bezpečně integrovat Azure Machine Learning a Azure Synapse

  • Článek

V tomto článku se dozvíte, jak bezpečně integrovat se službou Azure Machine Learning ze služby Azure Synapse. Tato integrace umožňuje používat Službu Azure Machine Learning z poznámkových bloků v pracovním prostoru Azure Synapse. Komunikace mezi těmito dvěma pracovními prostory je zabezpečená pomocí služby Azure Virtual Network.

Požadavky

  • Předplatné Azure.

  • Pracovní prostor Azure Machine Learning s připojením privátního koncového bodu k virtuální síti. Následující služby závislostí pracovního prostoru musí mít také připojení privátního koncového bodu k virtuální síti:

    • Účet služby Azure Storage

      Tip

      Pro účet úložiště existují tři samostatné privátní koncové body; jeden pro objekt blob, soubor a dfs.

    • Azure Key Vault

    • Azure Container Registry

    Rychlým a snadným způsobem, jak tuto konfiguraci sestavit, je použít šablonu Bicep nebo šablonu Terraformu.

  • Pracovní prostor Azure Synapse ve spravované virtuální síti s využitím spravovaného privátního koncového bodu. Další informace najdete v tématu Spravovaná virtuální síť Azure Synapse Analytics.

    Upozorňující

    Integrace služby Azure Machine Learning se v pracovních prostorech Synapse s ochranou exfiltrace dat v současné době nepodporuje. Při konfiguraci pracovního prostoru Azure Synapse nepovolujte ochranu před exfiltrací dat. Další informace najdete v tématu Spravovaná virtuální síť Azure Synapse Analytics.

    Poznámka:

    Kroky v tomto článku předpokládají následující předpoklady:

    • Pracovní prostor Azure Synapse je v jiné skupině prostředků než pracovní prostor Azure Machine Learning.
    • Pracovní prostor Azure Synapse používá spravovanou virtuální síť. Spravovaná virtuální síť zabezpečuje připojení mezi Azure Synapse a Azure Machine Learning. Neomezuje přístup k pracovnímu prostoru Azure Synapse. K pracovnímu prostoru se dostanete přes veřejný internet.

Principy síťové komunikace

V této konfiguraci azure Synapse používá spravovaný privátní koncový bod a virtuální síť. Spravovaná virtuální síť a privátní koncový bod zabezpečuje interní komunikaci ze služby Azure Synapse do služby Azure Machine Learning omezením síťového provozu do virtuální sítě. Neomezuje komunikaci mezi vaším klientem a pracovním prostorem Azure Synapse.

Azure Machine Learning neposkytuje spravované privátní koncové body ani virtuální sítě a místo toho používá privátní koncový bod a virtuální síť spravovanou uživatelem. V této konfiguraci je interní komunikace i komunikace klienta/služby omezena na virtuální síť. Pokud byste například chtěli přímo přistupovat k studio Azure Machine Learning mimo virtuální síť, použili byste jednu z následujících možností:

  • Vytvořte virtuální počítač Azure uvnitř virtuální sítě a pomocí služby Azure Bastion se k němu připojte. Pak se z virtuálního počítače připojte ke službě Azure Machine Learning.
  • Vytvořte bránu VPN nebo pomocí ExpressRoute připojte klienty k virtuální síti.

Vzhledem k tomu, že je pracovní prostor Azure Synapse veřejně přístupný, můžete se k němu připojit, aniž byste museli vytvářet věci, jako je brána VPN. Pracovní prostor Synapse se bezpečně připojí ke službě Azure Machine Learning přes virtuální síť. Azure Machine Learning a jeho prostředky jsou zabezpečené ve virtuální síti.

Když přidáváte zdroje dat, můžete je také zabezpečit za virtuální sítí. Například zabezpečené připojení k účtu azure Storage nebo Data Lake Store Gen2 prostřednictvím virtuální sítě.

Další informace najdete v následujících článcích:

Konfigurace Azure Synapse

Důležité

Před provedením těchto kroků potřebujete pracovní prostor Azure Synapse, který je nakonfigurovaný tak, aby používal spravovanou virtuální síť. Další informace najdete v tématu Spravovaná virtuální síť Azure Synapse Analytics.

  1. V nástroji Azure Synapse Studio vytvořte novou propojenou službu Azure Machine Learning.

  2. Po vytvoření a publikování propojené služby vyberte Spravovat, Spravované privátní koncové body a pak + Nové v Nástroji Azure Synapse Studio.

    Snímek obrazovky s dialogovým oknem spravovaných privátních koncových bodů

  3. Na stránce Nový spravovaný privátní koncový bod vyhledejte Azure Machine Learning a vyberte dlaždici.

    Snímek obrazovky s výběrem služby Azure Machine Learning

  4. Po zobrazení výzvy k výběru pracovního prostoru Azure Machine Learning použijte předplatné Azure a pracovní prostor Azure Machine Learning, který jste přidali dříve jako propojenou službu. Vyberte Vytvořit a vytvořte koncový bod.

    Snímek obrazovky s dialogovým oknem nového privátního koncového bodu

  5. Koncový bod bude uvedený jako zřizování , dokud se nevytvořil. Po vytvoření se ve sloupci Schválení zobrazí stav Čeká na vyřízení. Koncový bod schválíte v části Konfigurace služby Azure Machine Learning .

    Poznámka:

    Na následujícím snímku obrazovky se vytvořil spravovaný privátní koncový bod pro Azure Data Lake Storage Gen2 přidružený k tomuto pracovnímu prostoru Synapse. Informace o tom, jak vytvořit Azure Data Lake Storage Gen2 a povolit pro něj privátní koncový bod, najdete v tématu Zřízení a zabezpečení propojené služby pomocí spravované virtuální sítě.

    Snímek obrazovky se seznamem spravovaných privátních koncových bodů

Vytvoření fondu Sparku

K ověření, že integrace mezi Azure Synapse a Azure Machine Learning funguje, použijete fond Apache Spark. Informace o vytvoření fondu Sparku najdete v tématu Vytvoření fondu Sparku.

Konfigurace služby Azure Machine Learning

  1. Na webu Azure Portal vyberte pracovní prostor Služby Azure Machine Learning a pak vyberte Sítě.

  2. Vyberte privátní koncové body a pak vyberte koncový bod, který jste vytvořili v předchozích krocích. Měl by mít stav čekající na vyřízení. Výběrem možnosti Schválit schválíte připojení koncového bodu.

    Snímek obrazovky se schválením privátního koncového bodu

  3. Na levé straně stránky vyberte Řízení přístupu (IAM). Vyberte + Přidat a pak vyberte Přiřazení role.

    Snímek obrazovky s přiřazením role

  4. Vyberte role privilegovaného správce, Přispěvatel a pak vyberte Další.

    Snímek obrazovky s výběrem přispěvatele

  5. Vyberte Uživatele, skupinu nebo instanční objekt a pak + Vyberte členy. Zadejte název dříve vytvořené identity, vyberte ji a pak použijte tlačítko Vybrat .

    Snímek obrazovky s přiřazením role

  6. Vyberte Zkontrolovat a přiřadit, ověřte informace a pak vyberte tlačítko Zkontrolovat a přiřadit .

    Tip

    Aktualizace mezipaměti přihlašovacích údajů může trvat několik minut, než pracovní prostor Služby Azure Machine Learning aktualizuje mezipaměť přihlašovacích údajů. Dokud se neaktualizuje, může dojít k chybám při pokusu o přístup k pracovnímu prostoru Azure Machine Learning ze služby Synapse.

Ověření připojení

  1. V nástroji Azure Synapse Studio vyberte Vývoj a pak + Poznámkový blok.

    Snímek obrazovky s přidáním poznámkového bloku

  2. V poli Připojit k vyberte fond Apache Spark pro váš pracovní prostor Azure Synapse a do první buňky zadejte následující kód:

    from notebookutils.mssparkutils import azureML

# getWorkspace() takes the linked service name,
# not the Azure Machine Learning workspace name.
ws = azureML.getWorkspace("AzureMLService1")

print(ws.name)

    Důležité

    Tento fragment kódu se připojí k propojenému pracovnímu prostoru pomocí sady SDK v1 a pak vytiskne informace o pracovním prostoru. V tištěném výstupu je zobrazená hodnota název pracovního prostoru Služby Azure Machine Learning, nikoli název propojené služby, který se použil při getWorkspace() volání. Další informace o použití objektu ws naleznete v referenční dokumentaci třídy pracovního prostoru .

Další kroky