Jak bezpiecznie zintegrować usługę Azure Machine Learning i usługę Azure Synapse

Artykuł
09/02/2024

Z tego artykułu dowiesz się, jak bezpiecznie zintegrować się z usługą Azure Machine Learning z poziomu usługi Azure Synapse. Ta integracja umożliwia korzystanie z usługi Azure Machine Learning z notesów w obszarze roboczym usługi Azure Synapse. Komunikacja między dwoma obszarami roboczymi jest zabezpieczona przy użyciu usługi Azure Virtual Network.

Wymagania wstępne

Subskrypcja platformy Azure.
Obszar roboczy usługi Azure Machine Learning z prywatnym połączeniem punktu końcowego z siecią wirtualną. Następujące usługi zależności obszaru roboczego muszą również mieć połączenie prywatnego punktu końcowego z siecią wirtualną:
- Konto magazynu platformy Azure
  
  Napiwek
  
  W przypadku konta magazynu istnieją trzy oddzielne prywatne punkty końcowe; każdy dla obiektów blob, plików i dfs.
- Azure Key Vault
- Azure Container Registry
Szybkim i łatwym sposobem kompilowania tej konfiguracji jest użycie szablonu Bicep lub szablonu narzędzia Terraform.
Obszar roboczy usługi Azure Synapse w zarządzanej sieci wirtualnej przy użyciu zarządzanego prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna usługi Azure Synapse Analytics.

Ostrzeżenie

Integracja usługi Azure Machine Learning nie jest obecnie obsługiwana w obszarach roboczych usługi Synapse z ochroną eksfiltracji danych. Podczas konfigurowania obszaru roboczego usługi Azure Synapse nie należy włączać ochrony przed eksfiltracją danych. Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna usługi Azure Synapse Analytics.
Uwaga

Kroki opisane w tym artykule obejmują następujące założenia:
- Obszar roboczy usługi Azure Synapse znajduje się w innej grupie zasobów niż obszar roboczy usługi Azure Machine Learning.
- Obszar roboczy usługi Azure Synapse używa zarządzanej sieci wirtualnej. Zarządzana sieć wirtualna zabezpiecza łączność między usługą Azure Synapse i usługą Azure Machine Learning. Nie ogranicza dostępu do obszaru roboczego usługi Azure Synapse. Dostęp do obszaru roboczego będziesz uzyskiwać za pośrednictwem publicznego Internetu.

Informacje o komunikacji sieciowej

W tej konfiguracji usługa Azure Synapse używa zarządzanego prywatnego punktu końcowego i sieci wirtualnej. Zarządzana sieć wirtualna i prywatny punkt końcowy zabezpiecza komunikację wewnętrzną z usługi Azure Synapse do usługi Azure Machine Learning, ograniczając ruch sieciowy do sieci wirtualnej. Nie ogranicza komunikacji między klientem a obszarem roboczym usługi Azure Synapse.

Usługa Azure Machine Learning nie udostępnia zarządzanych prywatnych punktów końcowych ani sieci wirtualnych, a zamiast tego używa zarządzanego przez użytkownika prywatnego punktu końcowego i sieci wirtualnej. W tej konfiguracji komunikacja wewnętrzna i klient/usługa jest ograniczona do sieci wirtualnej. Jeśli na przykład chcesz uzyskać bezpośredni dostęp do usługi Azure Machine Learning Studio spoza sieci wirtualnej, użyj jednej z następujących opcji:

Utwórz maszynę wirtualną platformy Azure w sieci wirtualnej i użyj usługi Azure Bastion, aby nawiązać z nią połączenie. Następnie nawiąż połączenie z usługą Azure Machine Learning z maszyny wirtualnej.
Utwórz bramę sieci VPN lub użyj usługi ExpressRoute, aby połączyć klientów z siecią wirtualną.

Ponieważ obszar roboczy usługi Azure Synapse jest publicznie dostępny, możesz nawiązać z nim połączenie bez konieczności tworzenia elementów takich jak brama sieci VPN. Obszar roboczy usługi Synapse bezpiecznie łączy się z usługą Azure Machine Learning za pośrednictwem sieci wirtualnej. Usługa Azure Machine Learning i jej zasoby są zabezpieczone w sieci wirtualnej.

Podczas dodawania źródeł danych można również zabezpieczyć te za siecią wirtualną. Na przykład bezpieczne łączenie się z kontem usługi Azure Storage lub usługą Data Lake Store Gen 2 za pośrednictwem sieci wirtualnej.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Konfigurowanie usługi Azure Synapse

Ważne

Przed wykonaniem tych kroków potrzebny jest obszar roboczy usługi Azure Synapse skonfigurowany do korzystania z zarządzanej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna usługi Azure Synapse Analytics.

W usłudze Azure Synapse Studio utwórz nową połączoną usługę Azure Machine Learning.
Po utworzeniu i opublikowaniu połączonej usługi wybierz pozycję Zarządzaj, Zarządzane prywatne punkty końcowe, a następnie pozycję + Nowe w usłudze Azure Synapse Studio.
Na stronie Nowy zarządzany prywatny punkt końcowy wyszukaj pozycję Azure Machine Learning i wybierz kafelek.
Po wyświetleniu monitu o wybranie obszaru roboczego usługi Azure Machine Learning użyj subskrypcji platformy Azure i obszaru roboczego usługi Azure Machine Learning, który został wcześniej dodany jako połączona usługa. Wybierz pozycję Utwórz , aby utworzyć punkt końcowy.
Punkt końcowy zostanie wyświetlony jako Aprowizowanie do momentu jego utworzenia. Po utworzeniu kolumna Zatwierdzenie wyświetli stan Oczekujące. Zatwierdź punkt końcowy w sekcji Konfigurowanie usługi Azure Machine Learning .

Uwaga

Na poniższym zrzucie ekranu utworzono zarządzany prywatny punkt końcowy dla usługi Azure Data Lake Storage Gen 2 skojarzonej z tym obszarem roboczym usługi Synapse. Aby uzyskać informacje na temat tworzenia usługi Azure Data Lake Storage Gen 2 i włączania prywatnego punktu końcowego, zobacz Aprowizuj i zabezpieczaj połączoną usługę za pomocą zarządzanej sieci wirtualnej.

Tworzenie puli zadań platformy Spark

Aby sprawdzić, czy integracja między usługą Azure Synapse i usługą Azure Machine Learning działa, użyjesz puli platformy Apache Spark. Aby uzyskać informacje na temat tworzenia, zobacz Tworzenie puli platformy Spark.

Konfigurowanie usługi Azure Machine Learning

W witrynie Azure Portal wybierz obszar roboczy usługi Azure Machine Learning, a następnie wybierz pozycję Sieć.
Wybierz pozycję Prywatne punkty końcowe, a następnie wybierz punkt końcowy utworzony w poprzednich krokach. Powinien mieć stan oczekujące. Wybierz pozycję Zatwierdź , aby zatwierdzić połączenie punktu końcowego.
Po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). Wybierz pozycję + Dodaj, a następnie wybierz pozycję Przypisanie roli.
Wybierz pozycję Role administratora uprzywilejowanego, Współautor, a następnie wybierz pozycję Dalej.
Wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie pozycję + Wybierz członków. Wprowadź nazwę utworzonej wcześniej tożsamości, wybierz ją, a następnie użyj przycisku Wybierz .
Wybierz pozycję Przejrzyj i przypisz, zweryfikuj informacje, a następnie wybierz przycisk Przejrzyj i przypisz .

Napiwek

Zaktualizowanie pamięci podręcznej poświadczeń w obszarze roboczym usługi Azure Machine Learning może potrwać kilka minut. Dopóki nie zostanie zaktualizowana, podczas próby uzyskania dostępu do obszaru roboczego usługi Azure Machine Learning z usługi Synapse mogą wystąpić błędy.

Weryfikowanie łączności

W programie Azure Synapse Studio wybierz pozycję Programowanie, a następnie pozycję + Notes.
W polu Dołącz do wybierz pulę Platformy Apache Spark dla obszaru roboczego usługi Azure Synapse i wprowadź następujący kod w pierwszej komórce:
```
from notebookutils.mssparkutils import azureML

# getWorkspace() takes the linked service name,
# not the Azure Machine Learning workspace name.
ws = azureML.getWorkspace("AzureMLService1")

print(ws.name)
```
Ważne

Ten fragment kodu łączy się z połączonym obszarem roboczym przy użyciu zestawu SDK w wersji 1, a następnie wyświetla informacje o obszarze roboczym. W drukowanych danych wyjściowych wyświetlana wartość to nazwa obszaru roboczego usługi Azure Machine Learning, a nie nazwa połączonej usługi, która została użyta w wywołaniu getWorkspace() . Aby uzyskać więcej informacji na temat korzystania z ws obiektu, zobacz odwołanie do klasy Workspace .

Następne kroki

Szybki start: tworzenie nowej połączonej usługi Azure Machine Learning w usłudze Synapse.
Łączenie obszarów roboczych usługi Azure Synapse Analytics i Azure Machine Learning.

Udostępnij za pośrednictwem