Delen via

Azure Machine Learning en Azure Synapse veilig integreren

  • Artikel

In dit artikel leert u hoe u veilig integreert met Azure Machine Learning vanuit Azure Synapse. Met deze integratie kunt u Azure Machine Learning gebruiken vanuit notebooks in uw Azure Synapse-werkruimte. Communicatie tussen de twee werkruimten wordt beveiligd met behulp van een virtueel Azure-netwerk.

Vereisten

  • Een Azure-abonnement.

  • Een Azure Machine Learning-werkruimte met een privé-eindpuntverbinding met een virtueel netwerk. De volgende services voor werkruimteafhankelijkheid moeten ook een privé-eindpuntverbinding met het virtuele netwerk hebben:

    • Azure-opslagaccount

      Tip

      Voor het opslagaccount zijn er drie afzonderlijke privé-eindpunten; één voor blob, bestand en dfs.

    • Azure Key Vault

    • Azure Container Registry

    Een snelle en eenvoudige manier om deze configuratie te bouwen is door een Bicep-sjabloon of Terraform-sjabloon te gebruiken.

  • Een Azure Synapse-werkruimte in een beheerd virtueel netwerk met behulp van een beheerd privé-eindpunt. Zie Azure Synapse Analytics Managed Virtual Network voor meer informatie.

    Waarschuwing

    De Integratie van Azure Machine Learning wordt momenteel niet ondersteund in Synapse-werkruimten met beveiliging tegen gegevensexfiltratie. Schakel tijdens het configureren van uw Azure Synapse-werkruimte geen gegevensexfiltratiebeveiliging in. Zie Azure Synapse Analytics Managed Virtual Network voor meer informatie.

    Notitie

    De stappen in dit artikel maken de volgende veronderstellingen:

    • De Azure Synapse-werkruimte bevindt zich in een andere resourcegroep dan de Azure Machine Learning-werkruimte.
    • De Azure Synapse-werkruimte maakt gebruik van een beheerd virtueel netwerk. Het beheerde virtuele netwerk beveiligt de connectiviteit tussen Azure Synapse en Azure Machine Learning. De toegang tot de Azure Synapse-werkruimte wordt niet beperkt. U opent de werkruimte via het openbare internet.

Inzicht in de netwerkcommunicatie

In deze configuratie maakt Azure Synapse gebruik van een beheerd privé-eindpunt en een virtueel netwerk. Het beheerde virtuele netwerk en het privé-eindpunt beveiligen de interne communicatie van Azure Synapse naar Azure Machine Learning door netwerkverkeer naar het virtuele netwerk te beperken. De communicatie tussen uw client en de Azure Synapse-werkruimte wordt niet beperkt.

Azure Machine Learning biedt geen beheerde privé-eindpunten of virtuele netwerken en maakt in plaats daarvan gebruik van een door de gebruiker beheerd privé-eindpunt en virtueel netwerk. In deze configuratie is zowel interne communicatie als client-/servicecommunicatie beperkt tot het virtuele netwerk. Als u bijvoorbeeld rechtstreeks toegang wilt krijgen tot de Azure Machine Learning-studio van buiten het virtuele netwerk, gebruikt u een van de volgende opties:

  • Maak een virtuele Azure-machine in het virtuele netwerk en gebruik Azure Bastion om er verbinding mee te maken. Maak vervolgens verbinding met Azure Machine Learning vanaf de VIRTUELE machine.
  • Maak een VPN-gateway of gebruik ExpressRoute om clients te verbinden met het virtuele netwerk.

Omdat de Azure Synapse-werkruimte openbaar toegankelijk is, kunt u er verbinding mee maken zonder dat u zaken zoals een VPN-gateway hoeft te maken. De Synapse-werkruimte maakt veilig verbinding met Azure Machine Learning via het virtuele netwerk. Azure Machine Learning en de bijbehorende resources worden beveiligd binnen het virtuele netwerk.

Wanneer u gegevensbronnen toevoegt, kunt u deze ook beveiligen achter het virtuele netwerk. U kunt bijvoorbeeld veilig verbinding maken met een Azure Storage-account of Data Lake Store Gen 2 via het virtuele netwerk.

Raadpleeg voor meer informatie de volgende artikelen:

Azure Synapse configureren

Belangrijk

Voordat u deze stappen uitvoert, hebt u een Azure Synapse-werkruimte nodig die is geconfigureerd voor het gebruik van een beheerd virtueel netwerk. Zie Azure Synapse Analytics Managed Virtual Network voor meer informatie.

  1. Maak vanuit Azure Synapse Studio een nieuwe gekoppelde Azure Machine Learning-service.

  2. Nadat u de gekoppelde service hebt gemaakt en gepubliceerd, selecteert u Beheren, Beheerde privé-eindpunten en vervolgens + Nieuw in Azure Synapse Studio.

    Schermopname van het dialoogvenster beheerde privé-eindpunten.

  3. Zoek op de pagina Nieuw beheerd privé-eindpunt naar Azure Machine Learning en selecteer de tegel.

    Schermopname van het selecteren van Azure Machine Learning.

  4. Wanneer u wordt gevraagd om de Azure Machine Learning-werkruimte te selecteren, gebruikt u het Azure-abonnement en de Azure Machine Learning-werkruimte die u eerder hebt toegevoegd als een gekoppelde service. Selecteer Maken om het eindpunt te maken.

    Schermopname van het dialoogvenster nieuw privé-eindpunt.

  5. Het eindpunt wordt weergegeven als Inrichting totdat het is gemaakt. Zodra de kolom Goedkeuring is gemaakt, wordt de status In behandeling weergegeven. U keurt het eindpunt goed in de sectie Azure Machine Learning configureren.

    Notitie

    In de volgende schermopname is een beheerd privé-eindpunt gemaakt voor de Azure Data Lake Storage Gen 2 die is gekoppeld aan deze Synapse-werkruimte. Zie Een gekoppelde service inrichten en beveiligen met managed VNet voor informatie over het maken van een Azure Data Lake Storage Gen 2 en het inschakelen van een privé-eindpunt.

    Schermopname van de lijst met beheerde privé-eindpunten.

Een Spark-pool maken

Als u wilt controleren of de integratie tussen Azure Synapse en Azure Machine Learning werkt, gebruikt u een Apache Spark-pool. Zie Een Spark-pool maken voor meer informatie over het maken van een pool.

Azure Machine Learning configureren

  1. Selecteer in Azure Portal uw Azure Machine Learning-werkruimte en selecteer vervolgens Netwerken.

  2. Selecteer Privé-eindpunten en selecteer vervolgens het eindpunt dat u in de vorige stappen hebt gemaakt. De status moet in behandeling zijn. Selecteer Goedkeuren om de eindpuntverbinding goed te keuren.

    Schermopname van de goedkeuring van het privé-eindpunt.

  3. Selecteer toegangsbeheer (IAM) aan de linkerkant van de pagina. Selecteer + Toevoegen en selecteer vervolgens Roltoewijzing.

    Schermopname van de roltoewijzing.

  4. Selecteer Bevoorrechte beheerdersrollen, Inzender en selecteer vervolgens Volgende.

    Schermopname van het selecteren van inzender.

  5. Selecteer Gebruiker, groep of service-principal en vervolgens + Leden selecteren. Voer de naam in van de identiteit die u eerder hebt gemaakt, selecteer deze en gebruik vervolgens de knop Selecteren .

    Schermopname van het toewijzen van de rol.

  6. Selecteer Beoordelen en toewijzen, controleer de gegevens en selecteer vervolgens de knop Beoordelen en toewijzen .

    Tip

    Het kan enkele minuten duren voordat de Azure Machine Learning-werkruimte de cache met referenties heeft bijgewerkt. Totdat deze is bijgewerkt, kunnen er fouten optreden bij het openen van de Azure Machine Learning-werkruimte vanuit Synapse.

Connectiviteit verifiëren

  1. Selecteer Ontwikkelen in Azure Synapse Studio en vervolgens + Notebook.

    Schermopname van het toevoegen van een notitieblok.

  2. Selecteer in het veld Koppelen aan de Apache Spark-pool voor uw Azure Synapse-werkruimte de volgende code in de eerste cel:

    from notebookutils.mssparkutils import azureML

# getWorkspace() takes the linked service name,
# not the Azure Machine Learning workspace name.
ws = azureML.getWorkspace("AzureMLService1")

print(ws.name)

    Belangrijk

    Dit codefragment maakt verbinding met de gekoppelde werkruimte met behulp van SDK v1 en drukt de werkruimtegegevens af. In de afgedrukte uitvoer is de weergegeven waarde de naam van de Azure Machine Learning-werkruimte, niet de naam van de gekoppelde service die in de getWorkspace() aanroep is gebruikt. Zie de verwijzing naar de werkruimteklasse voor meer informatie over het gebruik van het ws object.

Volgende stappen