Administración de áreas de trabajo de Azure Machine Learning usando la extensión de la CLI de Azure v1

SE APLICA A: Extensión de ML de la CLI de Azure v1

Importante

Algunos de los comandos de la CLI de Azure de este artículo usan la extensión azure-cli-ml o v1 para Azure Machine Learning. La compatibilidad con la extensión v1 finalizará el 30 de septiembre de 2025. La extensión v1 se podrá instalar y usar hasta esa fecha.

Se recomienda pasar a la extensión ml, o v2, antes del 30 de septiembre de 2025. Para más información sobre la extensión v2, consulte Extensión de la CLI de Azure ML y SDK de Python v2.

En este artículo obtendrá información sobre cómo crear y administrar áreas de trabajo de Azure Machine Learning usando la CLI de Azure. La CLI de Azure proporciona comandos para administrar recursos de Azure y está diseñada para ayudarle a trabajar rápidamente con la plataforma, con especial énfasis en la automatización. La extensión de aprendizaje automático de la CLI proporciona comandos para trabajar con recursos de Azure Machine Learning.

Requisitos previos

• Una suscripción de Azure. Si no tiene una ya, pruebe la versión gratuita o de pago de Azure Machine Learning.

• Para usar los comandos de la CLI de este documento desde su entorno local, necesita la CLI de Azure.

  Si usa el Azure Cloud Shell, la CLI es accesible a través del explorador y reside en la nube.

Limitaciones

• Al crear una nueva área de trabajo, puede crear automáticamente los servicios necesarios para esa área de trabajo o usar los servicios ya existentes. Si quiere usar los servicios ya existentes de una suscripción de Azure diferente al área de trabajo, debe registrar el espacio de nombres de Azure Machine Learning en la suscripción que contiene esos servicios. Por ejemplo, si crea un área de trabajo en la suscripción A que usa una cuenta de almacenamiento en la suscripción B, el espacio de nombres de Azure Machine Learning debe estar registrado en la suscripción B antes de que el área de trabajo pueda usar la cuenta de almacenamiento.

  El proveedor de recursos para Azure Machine Learning es Microsoft.MachineLearningService. Para obtener información sobre cómo ver si está registrado o registrarlo, consulte Tipos y proveedores de recursos de Azure.

  Importante

  Esta información solo se aplica a los recursos proporcionados durante la creación del área de trabajo para cuentas de Azure Storage, Azure Container Registry, Azure Key Vault y Application Insights.

Sugerencia

Se crea una instancia de Azure Application Insights al crear el área de trabajo. Si quiere, puede eliminar la instancia de Application Insights después de la creación del clúster. Si la elimina, se limita la información que se recopila del área de trabajo y la solución de problemas puede volverse más difícil. Si elimina la instancia de Application Insights que crea el área de trabajo, la única forma de volver a crearla es eliminar y volver a crear el área de trabajo.

Para obtener más información sobre el uso de la instancia de Application Insights, consulte Supervisión y recopilación de datos de los puntos de conexión del servicio web ML.

Comunicaciones seguras de la CLI

Algunos de los CLI de Azure comandos se comunican con Azure Resource Manager a través de Internet. Esta comunicación se protege mediante HTTPS/TLS 1.2.

Con la Azure Machine Learning de la CLI 1.0 (azure-cli-ml), solo algunos de los comandos se comunican con Azure Resource Manager. En concreto, los comandos que crean, actualizan, eliminan, enumeran o muestran recursos de Azure. Las operaciones como el envío de un trabajo de entrenamiento se comunican directamente con el área de trabajo de Azure Machine Learning. Si su área de trabajo está protegida con un punto de conexión privado, es suficiente para proteger los comandos proporcionados por la azure-cli-mlextensión.

Conexión de la CLI a una suscripción de Azure

Importante

Puede omitir esta sección si usa Azure Cloud Shell. Cloud Shell se autentica automáticamente mediante la cuenta con la que inicia sesión en su suscripción a Azure.

Hay varias maneras de autenticarse en la suscripción a Azure desde la CLI. La manera más simple consiste en autenticarse interactivamente a través de un explorador. Para autenticarse de forma interactiva, abra una línea de comandos o un terminal y use el siguiente comando:

az login

Si la CLI puede abrir el explorador predeterminado, lo hará y cargará una página de inicio de sesión. De lo contrario, tendrá que abrir un explorador y seguir las instrucciones de la línea de comandos. Las instrucciones implican navegar a https://aka.ms/devicelogin y escribir un código de autorización.

Sugerencia

Después de iniciar sesión, verá una lista de suscripciones asociadas con la cuenta de Azure. La información de suscripción con isDefault: true es la suscripción actualmente activada para los comandos de la CLI de Azure. Esta suscripción debe ser la misma que la que contiene el área de trabajo de Azure Machine Learning. Puede buscar la información de suscripción en la página de información general del área de trabajo en Azure Portal.

Para seleccionar otra suscripción para utilizar los comandos de la CLI de Azure, ejecute el comando az account set -s <subscription> y especifique el nombre o id. de la suscripción a la que quiere cambiar. Para más información sobre la selección de suscripción, consulte Uso de varias suscripciones de Azure.

Para obtener otros métodos de autenticación, consulte Inicio de sesión con la CLI de Azure.

Crear un grupo de recursos

El área de trabajo de Azure Machine Learning debe crearse dentro de un grupo de recursos. Puede usar un grupo de recursos existente o crear uno nuevo. Utilice el comando siguiente para crear un nuevo grupo de recursos. Reemplace <resource-group-name> por el nombre que va a usar para este grupo de recursos. Reemplace <location> por la región de Azure que va a usar para este grupo de recursos:

Nota

Debe seleccionar una región en la que Azure Machine Learning esté disponible. Para obtener más información, consulte los Productos disponibles por región.

az group create --name <resource-group-name> --location <location>

La respuesta de este comando será similar al siguiente código JSON. Puede usar los valores de salida para buscar los recursos creados o analizarlos como entrada de pasos posteriores de la CLI a efectos de automatización.

{
  "id": "/subscriptions/<subscription-GUID>/resourceGroups/<resourcegroupname>",
  "location": "<location>",
  "managedBy": null,
  "name": "<resource-group-name>",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": null
}

Para obtener más información sobre cómo trabajar con grupos de recursos, consulte az group.

Crear un área de trabajo

Al implementar un área de trabajo de Azure Machine Learning, se requieren otros servicios como recursos asociados dependientes. Cuando se usa la CLI para crear el área de trabajo, esta puede crear recursos asociados en su nombre o adjuntar otros existentes.

Importante

Al adjuntar su propia cuenta de almacenamiento, asegúrese de que cumple los siguientes criterios:

• La cuenta de almacenamiento no es una cuenta prémium (Premium_LRS y Premium_GRS)
• Las funcionalidades Azure Blob y Azure File están habilitadas
• El espacio de nombres jerárquico (ADLS Gen 2) está deshabilitado. Estos requisitos son solo para la cuenta de almacenamiento predeterminada utilizada por el área de trabajo.

Al adjuntar un registro de contenedor de Azure, debe tener habilitada la cuenta de administrador para que se pueda usar con un área de trabajo de Azure Machine Learning.

Creación de recursos

Para crear una nueva área de trabajo en la que los servicios se creen automáticamente, use el siguiente comando:

az ml workspace create -w <workspace-name> -g <resource-group-name>

Incorporación de recursos existentes

Para crear un área de trabajo que use recursos existentes, debe proporcionar el Id. de cada recurso. Para obtener este Id., acceda a la pestaña "Propiedades" de cada recurso en Azure Portal o ejecute los siguientes comandos usando la CLI de Azure.

• Cuenta de Azure Storage: az storage account show --name <storage-account-name> --query "id"
• Azure Application Insights: az monitor app-insights component show --app <application-insight-name> -g <resource-group-name> --query "id"
• Azure Key Vault: az keyvault show --name <key-vault-name> --query "ID"
• Azure Container Registry: az acr show --name <acr-name> -g <resource-group-name> --query "id"

El Id. de recurso devuelto tiene el formato siguiente: "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/<provider>/<subresource>/<resource-name>".

Una vez que tenga los id. de los recursos que desea usar con el área de trabajo, use el comando base az workspace create -w <workspace-name> -g <resource-group-name> y agregue los parámetros y los id. de los recursos existentes. Por ejemplo, el siguiente comando crea un área de trabajo que usa un registro de contenedor existente:

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --container-registry "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerRegistry/registries/<acr-name>"

Importante

Al adjuntar recursos existentes, no es necesario que los especifique todos. Puede especificar uno o varios. Por ejemplo, puede especificar una cuenta de almacenamiento existente y el área de trabajo creará los demás recursos.

La salida de este comando de creación de áreas de trabajo es similar al siguiente código JSON. Puede usar los valores de salida para buscar los recursos creados o analizarlos como entrada de pasos posteriores de la CLI.

{
  "applicationInsights": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.insights/components/<application-insight-name>",
  "containerRegistry": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.containerregistry/registries/<acr-name>",
  "creationTime": "2019-08-30T20:24:19.6984254+00:00",
  "description": "",
  "friendlyName": "<workspace-name>",
  "id": "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>",
  "identityPrincipalId": "<GUID>",
  "identityTenantId": "<GUID>",
  "identityType": "SystemAssigned",
  "keyVault": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.keyvault/vaults/<key-vault-name>",
  "location": "<location>",
  "name": "<workspace-name>",
  "resourceGroup": "<resource-group-name>",
  "storageAccount": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.storage/storageaccounts/<storage-account-name>",
  "type": "Microsoft.MachineLearningServices/workspaces",
  "workspaceid": "<GUID>"
}

Configuraciones avanzadas

Configuración de un área de trabajo para conectividad de red privada

En función de su caso de uso y de sus requisitos organizativos, puede optar por configurar Azure Machine Learning usando conectividad de red privada. Puede usar la CLI de Azure para implementar un área de trabajo y un punto de conexión de vínculo privado para el recurso del área de trabajo. Para obtener más información sobre el uso de un punto de conexión privado y una red virtual con el área de trabajo, vea Información general sobre la privacidad y el aislamiento de la red virtual. En el caso de configuraciones de recursos complejas, consulte también opciones de implementación basadas en plantillas, incluido Azure Resource Manager.

Si quiere restringir el acceso al área de trabajo a una red virtual, puede usar los siguientes parámetros como parte del comando az ml workspace create o usar los comandos az ml workspace private-endpoint.

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --pe-name "<pe name>"
                       --pe-auto-approval "<pe-autoapproval>"
                       --pe-resource-group "<pe name>"
                       --pe-vnet-name "<pe name>"
                       --pe-subnet-name "<pe name>"

• --pe-name: nombre del punto de conexión privado creado.
• --pe-auto-approval: indica si las conexiones de punto de conexión privado al área de trabajo se deben aprobar automáticamente.
• --pe-resource-group: grupo de recursos en el que se va a crear el punto de conexión privado. Debe ser el mismo grupo que contiene la red virtual.
• --pe-vnet-name: red virtual existente en la que se va a crear el punto de conexión privado.
• --pe-subnet-name: nombre de la subred en la que se va a crear el punto de conexión privado. El valor predeterminado es default.

Para más información sobre cómo usar estos comandos, consulte las páginas de referencia de la CLI.

Clave administrada por el cliente y área de trabajo de alto impacto de negocio

De manera predeterminada, los metadatos del área de trabajo se almacenan en una instancia de Azure Cosmos DB que Microsoft mantiene. Estos datos se cifran con claves administradas por Microsoft. En lugar de usar la clave administrada por Microsoft, puede proporcionar su propia clave. Al hacerlo, se crea un conjunto adicional de recursos en la suscripción de Azure para almacenar los datos.

Para obtener más información sobre los recursos que se crean al aportar su propia clave para el cifrado, consulte Cifrado de datos con Azure Machine Learning.

Use el parámetro --cmk-keyvault para especificar el almacén de Azure Key Vault que contiene la clave y --resource-cmk-uri para especificar el id. y el uri del recurso de la clave en el almacén.

Para limitar los datos que Microsoft recopila sobre su área de trabajo, puede especificar además el parámetro --hbi-workspace.

az ml workspace create -w <workspace-name>
                       -g <resource-group-name>
                       --cmk-keyvault "<cmk keyvault name>"
                       --resource-cmk-uri "<resource cmk uri>"
                       --hbi-workspace

Nota

Autorice Aplicación de Machine Learning (en "Administración de identidades y acceso") con permisos de colaborador en la suscripción, para administrar los recursos adicionales de cifrado de datos.

Nota

Azure Cosmos DB no se usa para almacenar información como el rendimiento del modelo, la información registrada por los experimentos ni la información registrada desde las implementaciones del modelo. Para obtener más información sobre la supervisión de estos elementos, vea la sección Supervisión y registro del artículo de arquitectura y conceptos.

Importante

La selección de un alto impacto de negocio solo puede realizarse al crear un área de trabajo. Este valor no se puede cambiar tras la creación del área de trabajo.

Para obtener más información sobre las claves administradas por el cliente y el área de trabajo de alto impacto de negocio, vea Seguridad Enterprise para Azure Machine Learning.

Uso de la CLI para administrar áreas de trabajo

Obtención de la información del área de trabajo

Para obtener información sobre un área de trabajo, use el siguiente comando:

az ml workspace show -w <workspace-name> -g <resource-group-name>

Actualización de un área de trabajo

Use el comando siguiente para actualizar un área de trabajo:

az ml workspace update -n <workspace-name> -g <resource-group-name>

Sincronización de claves para recursos dependientes

Si cambia las claves de acceso de uno de los recursos que usa el área de trabajo, esta tarda aproximadamente una hora en sincronizarse con las nuevas claves. Para forzar la sincronización inmediata del área de trabajo con las nuevas claves, use el siguiente comando:

az ml workspace sync-keys -w <workspace-name> -g <resource-group-name>

Para obtener más información sobre los cambios de clave, consulte Regeneración de las claves de la cuenta de almacenamiento.

Eliminar un área de trabajo

Advertencia

Si la eliminación temporal está habilitada para el área de trabajo, se puede recuperar después de la eliminación. Si la eliminación temporal no está habilitada o selecciona la opción para eliminar permanentemente el área de trabajo, no se puede recuperar. Para más información, consulte Recuperación de un área de trabajo eliminada.

Use el siguiente comando para eliminar un área de trabajo cuando ya no es necesaria:

az ml workspace delete -w <workspace-name> -g <resource-group-name>

Importante

La eliminación de un área de trabajo no elimina la instancia de Application Insights, la cuenta de almacenamiento, el almacén de claves ni el registro de contenedor que usa el área de trabajo.

También puede eliminar el grupo de recursos; al hacerlo, se elimina el área de trabajo y todos los demás recursos de Azure en el grupo de recursos. Para eliminar el grupo de recursos, use el siguiente comando:

az group delete -g <resource-group-name>

Sugerencia

El comportamiento predeterminado de Azure Machine Learning es eliminar temporalmente el área de trabajo. Esto significa que el área de trabajo no se elimina inmediatamente, sino que se marca para su eliminación. Para más información, consulte Eliminación temporal.

Solución de problemas

Errores del proveedor de recursos

Al crear un área de trabajo de Azure Machine Learning o un recurso usado por el área de trabajo, puede recibir un mensaje de error similar a los siguientes:

• No registered resource provider found for location {location}
• The subscription is not registered to use namespace {resource-provider-namespace}

Muchos proveedores de recursos se registran automáticamente, aunque no todos. Si recibe este mensaje, debe registrar el proveedor mencionado.

En la tabla siguiente se muestra una lista de los proveedores de recursos requeridos por Azure Machine Learning:

Proveedor de recursos	Por qué se necesita
Microsoft.MachineLearningServices	Creación del área de trabajo de Azure Machine Learning.
Microsoft.Storage	La cuenta de Azure Storage se usa como el almacenamiento predeterminado del área de trabajo.
Microsoft.ContainerRegistry	Azure Container Registry usa el área de trabajo para crear imágenes de Docker.
Microsoft.KeyVault	El área de trabajo usa Azure Key Vault para almacenar secretos.
Microsoft.Notebooks	Cuadernos integrados en la instancia de proceso de Azure Machine Learning.
Microsoft.ContainerService	Si planea implementar modelos entrenados en Azure Kubernetes Services.

Si planea usar una clave administrada por el cliente con Azure Machine Learning, se deben registrar estos proveedores de servicios:

Proveedor de recursos	Por qué se necesita
Microsoft.DocumentDB	Instancia de Azure Cosmos DB que registra los metadatos del área de trabajo.
Microsoft.Search	Azure Search proporciona funcionalidades de indexación para el área de trabajo.

Si planea usar una red virtual administrada con Azure Machine Learning, el proveedor de recursos de Microsoft.Network debe registrarse. El área de trabajo usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Registro del proveedor de recursos.

Movimiento del área de trabajo

Advertencia

No se admite mover el área de trabajo de Azure Machine Learning a otra suscripción ni mover la suscripción propietaria a un nuevo inquilino. Si lo hace, pueden producirse errores.

Eliminación de la instancia de Azure Container Registry

El área de trabajo de Azure Machine Learning usa Azure Container Registry (ACR) para algunas operaciones. La primera vez que se necesite una instancia de ACR, se creará automáticamente.

Advertencia

Una vez que se crea un Azure Container Registry para un área de trabajo, no lo elimine. Si lo hace, se interrumpe el área de trabajo de Azure Machine Learning.

Pasos siguientes

Para más información sobre la extensión de la CLI de Azure para aprendizaje automático, consulte la documentación de az ml (v1).

Para comprobar si hay problemas con el área de trabajo, vea Uso de diagnósticos del área de trabajo.

Para obtener información sobre cómo mover un área de trabajo a una nueva suscripción de Azure, consulte Traslado de un área de trabajo.

Para obtener información sobre cómo mantener Azure Machine Learning actualizado con las actualizaciones de seguridad más recientes, consulte Administración de vulnerabilidades.