ポータルで Azure Machine Learning Hub ワークスペースを管理する

この記事では Azure portal を使用して、Azure Machine Learning 用に Azure Machine Learning ハブ ワークスペースを作成、表示、削除します。

ヒント

Azure Machine Learning ハブ ワークスペースと Azure AI Foundry ハブは同じものです。 Azure AI Foundry では、複数の Azure AI リソースをまとめて、統合されたエクスペリエンスを提供します。 Azure Machine Learning はそれらのリソースの 1 つであり、Azure AI Foundry ハブおよびプロジェクトの両方のワークスペースを提供します。 ハブおよびプロジェクトのワークスペースは、Azure Machine Learning スタジオと Azure AI Foundry の両方から使用できます。

ニーズに変化が生じたり自動化の要件が増えたりしたときに、CLI、Azure PowerShell、または Visual Studio Code 拡張機能を使用して、ワークスペースを管理することができます。

前提条件

• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。 無料版または有料版の Azure Machine Learning を今すぐお試しください。

制限事項

• 新しいワークスペースを作成する場合は、ワークスペースに必要なサービスを自動的に作成するか、既存のサービスを使用することができます。 ワークスペースとは異なる Azure サブスクリプション の既存のサービスを使用する場合は、それらのサービスを含むサブスクリプションに Azure Machine Learning 名前空間を登録する必要があります。 たとえば、サブスクリプション B 内のストレージ アカウントを使用するワークスペースをサブスクリプション A 内に作成する場合、そのワークスペースでそのストレージ アカウントを使用する前に、Azure Machine Learning 名前空間をサブスクリプション B 内に登録する必要があります。

  Azure Machine Learning のリソース プロバイダーは、Microsoft.MachineLearningServices です。 それが登録済みかどうか確認する方法、またはそれを登録する方法については、「Azure リソース プロバイダーと種類」をご覧ください。

  重要

  この情報が当てはまるのは、ワークスペースの作成時に指定される Azure ストレージ アカウント、Azure Container Registry、Azure Key Vault、Application Insights の各リソースだけです。

• オンライン エンドポイントを使用したネットワーク分離の場合、ワークスペースとは異なるリソース グループからワークスペースに関連付けられたリソース (Azure Container Registry (ACR)、ストレージ アカウント、Key Vault、Application Insights) を使用できます。 ただし、これらのリソースはワークスペースと同じサブスクリプションとテナントに属している必要があります。 ワークスペースのマネージド仮想ネットワークを使用したマネージド オンライン エンドポイントのセキュリティ保護に適用される制限の詳細については、「マネージド オンライン エンドポイントを使用したネットワークの分離」を参照してください。

• 既定では、ワークスペースを作成すると Azure Container Registry (ACR) も作成されます。 現在、ACR ではリソース グループ名での Unicode 文字がサポートされていないため、これらの文字を回避するリソース グループを使用します。

• Azure Machine Learning では、ワークスペースの既定のストレージ アカウントの階層型名前空間 (Azure Data Lake Storage Gen2 機能) はサポートされていません。

ヒント

Azure Application Insights インスタンスは、ワークスペースの作成時に作成されます。 必要に応じて、クラスターの作成後に Application Insights インスタンスを削除できます。 それを削除すると、ワークスペースから収集される情報が限定され、問題のトラブルシューティングがより困難になる場合があります。 ワークスペースによって作成された Application Insights インスタンスを削除する場合、それを再作成する唯一の方法は、そのワークスペースを削除して再作成することです。

Application Insights インスタンスの使用について詳しくは、Machine Learning Web サービス エンドポイントからのデータの監視と収集に関する記事をご覧ください。

ハブを作成する

Azure portal からハブを作成するには、次の手順を実行します。

1. Azure portal で、Azure AI Foundry を検索し、[+ 新しい Azure AI] を選択して新しいリソースを作成します。

2. AI ハブの名前、サブスクリプション、リソース グループ、および場所の詳細を入力します。

3. 詳細設定については、[次へ: リソース] を選択して、リソース、ネットワーク、暗号化、ID、タグを指定します。

   

4. 既存の Azure AI サービス リソースを選択するか、新しく作成します。 新しい Azure AI サービスには、Speech、Content Safety、Azure OpenAI 用の複数の API エンドポイントが含まれています。 既存の Azure OpenAI リソースを持ち込むこともできます。 必要に応じて、既存の [ストレージ アカウント]、[キー コンテナー]、[Container Registry]、[Application Insights] を選択して、Azure AI Foundry を使用する際に生成された成果物をホストします。

   ヒント

   Azure Machine Learning スタジオでのみ作業する予定の場合は、Azure AI サービスの選択をスキップできます。 Azure AI サービスは Azure AI Foundry に必須であり、プロンプト フロー内で使用する目的で事前に構築された AI モデルへのアクセスを提供します。

   

5. ネットワークの分離を設定します。 ネットワークの分離に関する詳細をご覧ください。 セキュリティで保護された Azure AI ハブを作成するチュートリアルについては、セキュリティで保護された Azure AI ハブを作成するを参照してください。

   

6. データの暗号化を設定します。 Microsoft マネージド キーまたはカスタマー マネージド キーのいずれかを使用できます。

   

7. 既定では、ユーザー割り当て ID が有効になっていますが、[リソース] で既存のストレージ、キー コンテナー、コンテナー レジストリが選択されている場合は、ユーザー割り当て ID に切り替えることができます。

   

   Note

   ユーザー割り当て ID を選択し、Azure AI サービスも選択した場合、新しい Azure AI ハブを正常に作成するには、その ID に Cognitive Services Contributor ロールが必要です。

8. タグの追加。

   

9. [確認と作成] を選択します

Azure portal からハブを管理する

アクセスの制御の管理

Azure portal 内の [アクセス制御 (IAM)] からロールの割り当てを管理します。 ハブのロールベースのアクセス制御の詳細は、リンク先を確認してください。

ユーザーにアクセス許可を付加するには、次のようにします。

1. [+ 追加] を選択して、ハブにユーザーを追加します。

2. 割り当てるロールを選択します。

   

3. ロールを付与するメンバーを選択します。

   

4. レビューと割り当て。 ユーザーにアクセス許可が適用されるまで最大 1 時間かかる場合があります。

ネットワーク

ハブのネットワーク設定は、リソースの作成時に設定する、または Azure portal ビュー内の [ネットワーク] タブ内で変更することができます。 新しいハブを作成すると、マネージド仮想ネットワークが呼び出されます。 これにより、組み込みのマネージド仮想ネットワークを使用して、ネットワークの分離構成が合理化および自動化されます。 マネージド仮想ネットワークの設定は、ハブ内に作成されたすべてのプロジェクト ワークスペースに適用されます。

ハブの作成時に、次のネットワークの分離モードから選択します: パブリック、インターネット送信で非公開、承認済み送信で非公開。 リソースのセキュリティを保護するために、ネットワークのニーズに応じて、インターネット送信で非公開または承認済み送信で非公開のいずれかを選択してください。 プライベート分離モードでは、受信アクセス用にプライベート エンドポイントを作成する必要があります。 ネットワークの分離に関する詳細については、マネージド仮想ネットワーク分離に関する記事をご覧ください。 セキュリティで保護されたハブを作成するには、セキュリティで保護された Azure AI ハブを作成するを参照してください。

Azure portal 内でハブを作成すると、関連する Azure AI サービス、Storage アカウント、Key Vault、Application Insights、Container Registry が作成されます。 これらのリソースは、作成時に [リソース] タブに表示されます。

Azure AI サービス (Azure OpenAI、Azure AI Search、Azure AI Content Safety) や Azure AI Foundry ポータルのストレージ アカウントに接続するには、仮想ネットワーク内にプライベート エンドポイントを作成します。 プライベート エンドポイント接続の作成時に、公衆ネットワーク アクセス (PNA) フラグが無効になっていることを確認します。 Azure AI サービス接続の詳細については、「Azure AI サービスと仮想ネットワーク」を参照してください。 必要に応じて、BYO (独自のものを使用する) 検索ができますが、この場合、仮想ネットワークからのプライベート エンドポイント接続が必要になります。

暗号化

同じハブを使用するプロジェクトは、暗号化の構成を共有します。 暗号化モードは、ハブの作成時にのみ、Microsoft マネージド キーとカスタマー マネージド キーのどちらかを設定できます。

Azure portal ビューから [暗号化] タブに移動して、ハブの暗号化の設定を確認します。 カスタマー マネージド キーを暗号化モードに使用するハブの場合は、その暗号化キーを新しいキー バージョンに更新できます。 この更新操作は、元のキーと同じ Key Vault インスタンス内のキーとキー バージョンに限定されます。

Azure Application Insights と Azure Container Registry を更新する

プロンプト フローにカスタム環境を使用するには、AI ハブ用に Azure Container Registry を構成する必要があります。 プロンプト フローのデプロイに Azure Application Insights を使用するには、AI ハブに構成された Azure Application Insights リソースが必要です。

作成中または作成後の更新時に、これらのリソースのハブを構成できます。 Azure portal から Azure Application Insights を更新するには、Azure portal 内でハブの [プロパティ] に移動し、[Application Insights を変更する] を選択します。 また、Azure SDK/CLI オプションまたはコードとしてのインフラストラクチャ テンプレートを使用して、AI Hub の Azure Application Insights と Azure Container Registry の両方を更新することもできます。

次のステップ

ワークスペース ハブを作成したら、Azure Machine Learning スタジオ、Azure AI Foundry、Azure SDK、またはオートメーション テンプレートを使用してプロジェクトを作成できます。