在门户中管理 Azure 机器学习中心工作区

本文介绍如何使用 Azure 门户创建、查看和删除 Azure 机器学习Azure 机器学习中心工作区

提示

Azure 机器学习中心工作区和 Azure AI Studio 中心是一回事。 Azure AI Studio 将多个 Azure AI 资源汇集在一起,以提供一站式的体验。 Azure 机器学习是其中一个资源,同时提供 Azure AI Studio 中心和项目工作区。 Azure 机器学习工作室和 Azure AI Studio 中都可以使用中心和项目工作区。

随着需求的变化或自动化要求的增加,可以通过 CLIAzure PowerShellVisual Studio Code 扩展来管理工作区。

先决条件

  • Azure 订阅。 如果没有 Azure 订阅,可在开始前创建一个试用帐户。 立即试用免费版或付费版的 Azure 机器学习。

限制

  • 创建新的工作区时,可以自动创建工作区所需的服务或使用现有的服务。 如果要使用来自不同于工作区所在的 Azure 订阅的现有服务,则必须在包含这些服务的订阅中注册 Azure 机器学习命名空间。 例如,在订阅 A 中创建一个使用订阅 B 中的存储帐户的工作区时,必须在订阅 B 中注册 Azure 机器学习命名空间,然后该工作区才能使用该存储帐户。

    Azure 机器学习的资源提供程序是 Microsoft.MachineLearningServices。 有关如何查看是否已注册或需要注册命名空间,请参阅《Azure 资源提供程序和类型》

    重要

    此信息仅适用于工作区创建期间提供的资源:Azure 存储帐户、Azure 容器注册表、Azure Key Vault 和 Application Insights。

  • 对于通过联机终结点进行的网络隔离,你可以使用其他资源组(而非你的工作区中的资源组)中的工作区关联资源(Azure 容器注册表 (ACR)、存储帐户、Key Vault 和 Application Insights)。 但这些资源必须属于与工作区相同的订阅和租户。 若要了解适用于使用工作区的托管虚拟网络保护托管联机终结点的限制,请参阅使用托管联机终结点进行网络隔离

  • 默认情况下,创建工作区时还会创建 Azure 容器注册表 (ACR)。 由于 ACR 当前不支持在资源组名称中使用 unicode 字符,因此请使用一个会避免使用这些字符的资源组。

  • 对于工作区的默认存储帐户,Azure 机器学习不支持分层命名空间(Azure Data Lake Storage Gen2 功能)。

提示

创建工作区时,将创建一个 Azure Application Insights 实例。 如果需要,可以在创建群集后删除 Application Insights 实例。 删除它会限制从工作区收集的信息,并且故障排除可能会更加困难。 如果删除工作区创建的 Application Insights 实例,则重新创建它的唯一方法是删除并重新创建工作区

若要详细了解如何使用此 Application Insights 实例,请参阅从机器学习 Web 服务终结点监视和收集数据

创建中心

请在 Azure 门户中使用以下步骤创建中心:

  1. 在 Azure 门户中,搜索 Azure AI Studio,并通过选择“+ 新建 Azure AI”创建新的资源

  2. 输入 AI 中心名称、订阅、资源组和位置详细信息。

  3. 对于高级设置,请选择“下一步: 资源”以指定资源、网络、加密、标识和标记

    设置 Azure AI 中心基本信息的选项的屏幕截图。

  4. 选择现有的 Azure AI 服务资源或创建新资源。 新的 Azure AI 服务包括适用于语音、内容安全的多个 API 终结点。 还可以引入现有的 Azure OpenAI 资源。 (可选)选择现有存储帐户、密钥保管库、**容器注册表和应用程序见解,以托管使用 AI Studio 时生成的项目

    提示

    如果计划仅在 Azure 机器学习工作室中工作,则可以跳过选择 Azure AI 服务的步骤。 Azure AI Studio 则需要 Azure AI 服务,并将提供对预生成的 AI 模型的访问权限,以便在提示流中使用这些模型。

    “创建 Azure AI 中心资源”的屏幕截图,其中包含用于设置资源信息的选项。

  5. 设置网络隔离。

    “创建 Azure AI 中心资源”的屏幕截图,其中包含用于设置网络隔离信息的选项。

  6. 设置数据加密。 可以使用 Azure 托管密钥,也可以启用客户管理的密钥。

    “创建 Azure AI 中心资源”的屏幕截图,其中包含用于选择加密类型的选项。

  7. 默认情况下,“系统分配的标识”处于启用状态,但如果在资源中选择了现有的存储、密钥保管库和容器注册表,则可以切换到“用户分配的标识”

    “创建 Azure AI 中心资源”的屏幕截图,其中包含用于选择托管标识的选项。

    注意

    如果选择“用户分配的标识”,并且还选择了一个 Azure AI 服务,则标识需要具有 Cognitive Services Contributor 角色才能成功创建新的 Azure AI 中心。

  8. 添加标记。

    “创建 Azure AI 中心资源”的屏幕截图,其中包含用于添加标记的选项。

  9. 选择“查看 + 创建”

从 Azure 门户管理中心

管理访问控制

从 Azure 门户中的“访问控制(IAM)”管理角色分配

添加授予用户权限:

  1. 选择“+ 添加”以将用户添加到中心

  2. 选择要分配的角色

    用于在 Azure AI 中心的 Azure 门户视图中添加角色的页面的屏幕截图。

  3. 选择要授予角色的成员

    用于在 Azure AI 中心的 Azure 门户视图中添加成员的页面的屏幕截图。

  4. 审阅 + 分配。 可能需要长达一小时才能将权限应用于用户。

网络

可在创建资源期间设置中心网络设置,也可在 Azure 门户视图中的“网络”选项卡中更改该设置。 创建新的中心会调用托管虚拟网络。 这可使用内置的托管虚拟网络简化并自动执行网络隔离配置。 托管虚拟网络设置将应用于在中心内创建的所有项目工作区。

在创建中心时,在以下网络隔离模式中进行选择:“公共”、“Internet 出站专用”和“已批准出站专用”。 若要保护资源,请选择“Internet 出站专用”或“已批准的出站专用”,以满足网络需求。 对于专用隔离模式,应创建专用终结点进行入站访问。

在 Azure 门户中创建中心时,会创建关联的 Azure AI 服务、存储帐户、密钥保管库、应用程序见解和容器注册表。 创建期间,可以在“资源”选项卡上找到这些资源。

要连接到 Azure AI 服务(Azure AI 搜索和 Azure AI 内容安全)或 Azure AI Studio 中的存储帐户,请在虚拟网络中创建专用终结点。 确保在创建专用终结点连接时已禁用公用网络访问 (PNA) 标志。 有关 Azure AI 服务连接的详细信息,请参阅 Azure AI 服务和虚拟网络。 可以选择自带 (BYO) 搜索,但这需要虚拟网络中的专用终结点连接。

加密

使用相同中心的项目共享其加密配置。 只能在 Azure 托管密钥与客户管理的密钥之间创建中心时设置加密模式。

在 Azure 门户视图中,导航到“加密”选项卡,找到中心的加密设置。 对于使用“客户管理的密钥”加密模式的中心,可以将加密密钥更新为新的密钥版本。 此更新操作仅限于与原始密钥相同的密钥保管库实例中的密钥和密钥版本。

Azure 门户中 Azure AI 中心的“加密”页面的屏幕截图。

更新 Azure Application Insights 和 Azure 容器注册表

要对提示流使用自定义环境,需要为 AI 中心配置 Azure 容器注册表。 要使用 Azure Application Insights 部署提示流,AI 中心需要已配置的 Azure Application Insights 资源。

可在创建期间或创建后更新期间为这些资源配置中心。 要从 Azure 门户更新 Azure Application Insights,请在 Azure 门户中导航到中心的“属性”,然后选择“更改 Application Insights”。 还可以使用 Azure SDK/CLI 选项或基础结构即代码模板来更新 AI 中心的 Azure Application Insights 和 Azure 容器注册表。

Azure 门户中 Azure AI 资源的“属性”页的屏幕截图。

后续步骤

拥有工作区中心后,可以使用 Azure 机器学习工作室Azure SDK使用自动化模板创建项目。