Gerenciar espaços de trabalho do Azure Machine Learning usando a extensão da CLI do Azure v1
APLICA-SE A:
Azure CLI ml extension v1
Importante
Alguns dos comandos da CLI do Azure neste artigo usam a extensão , ou v1, para o azure-cli-mlAzure Machine Learning. O suporte para a extensão v1 terminará em 30 de setembro de 2025. Você poderá instalar e usar a extensão v1 até essa data.
Recomendamos que você faça a transição para a mlextensão , ou v2, antes de 30 de setembro de 2025. Para obter mais informações sobre a extensão v2, consulte Extensão CLI do Azure ML e Python SDK v2.
Neste artigo, você aprenderá a criar e gerenciar espaços de trabalho do Azure Machine Learning usando a CLI do Azure. A CLI do Azure fornece comandos para gerenciar recursos do Azure e foi projetada para que você trabalhe rapidamente com o Azure, com ênfase na automação. A extensão de aprendizado de máquina para a CLI fornece comandos para trabalhar com recursos do Azure Machine Learning.
Pré-requisitos
Uma subscrição do Azure. Se não tiver uma, experimente a versão gratuita ou paga do Azure Machine Learning.
Para usar os comandos da CLI neste documento a partir do seu ambiente local, você precisa da CLI do Azure.
Se você usar o Azure Cloud Shell, a CLI será acessada por meio do navegador e permanecerá na nuvem.
Limitações
Ao criar um novo espaço de trabalho, você pode criar automaticamente os serviços necessários para o espaço de trabalho ou usar serviços existentes. Se você quiser usar serviços existentes de uma assinatura do Azure diferente do espaço de trabalho, deverá registrar o namespace do Azure Machine Learning na assinatura que contém esses serviços. Por exemplo, se você criar um espaço de trabalho na assinatura A que usa uma conta de armazenamento na assinatura B, o namespace do Azure Machine Learning deverá ser registrado na assinatura B antes que o espaço de trabalho possa usar a conta de armazenamento.
O provedor de recursos para o Azure Machine Learning é Microsoft.MachineLearningServices. Para obter informações sobre como ver se está registado ou registado, consulte Fornecedores e tipos de recursos do Azure.
Importante
Essas informações se aplicam somente aos recursos fornecidos durante a criação do espaço de trabalho: Contas de Armazenamento do Azure, Registro de Contêiner do Azure, Cofre da Chave do Azure e Application Insights.
Gorjeta
Uma instância do Azure Application Insights é criada quando você cria o espaço de trabalho. Você pode excluir a instância do Application Insights após a criação do cluster, se desejar. Excluí-lo limita as informações coletadas do espaço de trabalho e pode dificultar a solução de problemas. Se você excluir a instância do Application Insights criada pelo espaço de trabalho, a única maneira de recriá-la é excluir e recriar o espaço de trabalho.
Para obter mais informações sobre como usar a instância do Application Insights, consulte Monitorar e coletar dados de pontos de extremidade de serviço Web do Machine Learning.
Comunicações CLI seguras
Alguns dos comandos da CLI do Azure comunicam com o Azure Resource Manager através da Internet. Esta comunicação é protegida usando HTTPS/TLS 1.2.
Com a extensão v1 da CLI do Azure Machine Learning (azure-cli-ml), apenas alguns dos comandos se comunicam com o Gerenciador de Recursos do Azure. Especificamente, comandos que criam, atualizam, excluem, listam ou mostram recursos do Azure. Operações como o envio de um trabalho de treinamento se comunicam diretamente com o espaço de trabalho do Azure Machine Learning. Se o seu espaço de trabalho estiver protegido com um ponto de extremidade privado, isso será suficiente para proteger os azure-cli-ml comandos fornecidos pela extensão.
Conectar a CLI à sua assinatura do Azure
Importante
Se você estiver usando o Azure Cloud Shell, poderá ignorar esta seção. O shell de nuvem autentica você automaticamente usando a conta que você faz logon em sua assinatura do Azure.
Há várias maneiras de autenticar sua assinatura do Azure a partir da CLI. O mais simples é autenticar interativamente usando um navegador. Para autenticar interativamente, abra uma linha de comando ou terminal e use o seguinte comando:
az login
Se a CLI conseguir abrir o seu browser predefinido, executa essa ação e carrega uma página de início de sessão. Caso contrário, você precisa abrir um navegador e seguir as instruções na linha de comando. As instruções envolvem navegar e https://aka.ms/devicelogin inserir um código de autorização.
Gorjeta
Depois de entrar, você verá uma lista de assinaturas associadas à sua conta do Azure. As informações de assinatura com isDefault: true são a assinatura atualmente ativada para comandos da CLI do Azure. Essa assinatura deve ser a mesma que contém seu espaço de trabalho do Azure Machine Learning. Você pode encontrar as informações de assinatura na página de visão geral do seu espaço de trabalho no portal do Azure.
Para selecionar outra assinatura para usar para comandos da CLI do Azure, execute o az account set -s <subscription> comando e especifique o nome ou ID da assinatura para a qual alternar. Para obter mais informações sobre a seleção de assinaturas, consulte Usar várias assinaturas do Azure.
Para outros métodos de autenticação, consulte Entrar com a CLI do Azure.
Criar um grupo de recursos
O espaço de trabalho do Azure Machine Learning deve ser criado dentro de um grupo de recursos. Pode utilizar um grupo de recursos existente ou criar um novo. Para criar um novo grupo de recursos, use o seguinte comando. Substitua <resource-group-name> pelo nome a ser usado para este grupo de recursos. Substitua <location> pela região do Azure a ser usada para este grupo de recursos:
Nota
Você deve selecionar uma região onde o Azure Machine Learning está disponível. Para obter informações, consulte Produtos disponíveis por região.
az group create --name <resource-group-name> --location <location>
A resposta deste comando é semelhante ao seguinte JSON. Você pode usar os valores de saída para localizar os recursos criados ou analisá-los como entrada para etapas subsequentes da CLI para automação.
{
"id": "/subscriptions/<subscription-GUID>/resourceGroups/<resourcegroupname>",
"location": "<location>",
"managedBy": null,
"name": "<resource-group-name>",
"properties": {
"provisioningState": "Succeeded"
},
"tags": null,
"type": null
}
Para obter mais informações sobre como trabalhar com grupos de recursos, consulte az group.
Criar uma área de trabalho
Quando você implanta um espaço de trabalho do Azure Machine Learning, vários outros serviços são necessários como recursos associados dependentes. Quando você usa a CLI para criar o espaço de trabalho, a CLI pode criar novos recursos associados em seu nome ou você pode anexar recursos existentes.
Importante
Ao anexar sua própria conta de armazenamento, verifique se ela atende aos seguintes critérios:
- A conta de armazenamento não é uma conta premium (Premium_LRS e Premium_GRS)
- Recursos de Blob do Azure e Arquivo do Azure habilitados
- Namespace hierárquico (ADLS Gen 2) está desativado Esses requisitos são apenas para a conta de armazenamento padrão usada pelo espaço de trabalho.
Ao anexar o registro de contêiner do Azure, você deve ter a conta de administrador habilitada antes que ela possa ser usada com um espaço de trabalho do Azure Machine Learning.
Para criar um novo espaço de trabalho onde os serviços são criados automaticamente, use o seguinte comando:
az ml workspace create -w <workspace-name> -g <resource-group-name>
Importante
Ao anexar recursos existentes, não é necessário especificar todos. Você pode especificar um ou mais. Por exemplo, você pode especificar uma conta de armazenamento existente e o espaço de trabalho criará os outros recursos.
A saída do comando de criação do espaço de trabalho é semelhante ao seguinte JSON. Você pode usar os valores de saída para localizar os recursos criados ou analisá-los como entrada para as etapas subsequentes da CLI.
{
"applicationInsights": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.insights/components/<application-insight-name>",
"containerRegistry": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.containerregistry/registries/<acr-name>",
"creationTime": "2019-08-30T20:24:19.6984254+00:00",
"description": "",
"friendlyName": "<workspace-name>",
"id": "/subscriptions/<service-GUID>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>",
"identityPrincipalId": "<GUID>",
"identityTenantId": "<GUID>",
"identityType": "SystemAssigned",
"keyVault": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.keyvault/vaults/<key-vault-name>",
"location": "<location>",
"name": "<workspace-name>",
"resourceGroup": "<resource-group-name>",
"storageAccount": "/subscriptions/<service-GUID>/resourcegroups/<resource-group-name>/providers/microsoft.storage/storageaccounts/<storage-account-name>",
"type": "Microsoft.MachineLearningServices/workspaces",
"workspaceid": "<GUID>"
}
Configurações avançadas
Configurar espaço de trabalho para conectividade de rede privada
Dependendo do seu caso de uso e dos requisitos organizacionais, você pode optar por configurar o Azure Machine Learning usando a conectividade de rede privada. Você pode usar a CLI do Azure para implantar um espaço de trabalho e um ponto de extremidade de link privado para o recurso de espaço de trabalho. Para obter mais informações sobre como usar um ponto de extremidade privado e uma rede virtual (VNet) com seu espaço de trabalho, consulte Visão geral sobre isolamento e privacidade de rede virtual. Para configurações de recursos complexos, consulte também as opções de implantação baseadas em modelo, incluindo o Azure Resource Manager.
Se quiser restringir o acesso do espaço de trabalho a uma rede virtual, você pode usar os seguintes parâmetros como parte do az ml workspace create comando ou usar os az ml workspace private-endpoint comandos.
az ml workspace create -w <workspace-name>
-g <resource-group-name>
--pe-name "<pe name>"
--pe-auto-approval "<pe-autoapproval>"
--pe-resource-group "<pe name>"
--pe-vnet-name "<pe name>"
--pe-subnet-name "<pe name>"
--pe-name: O nome do ponto de extremidade privado que é criado.--pe-auto-approval: Se as conexões de ponto de extremidade privado com o espaço de trabalho devem ser aprovadas automaticamente.--pe-resource-group: O grupo de recursos no qual criar o ponto de extremidade privado. Deve ser o mesmo grupo que contém a rede virtual.--pe-vnet-name: A rede virtual existente para criar o ponto de extremidade privado.--pe-subnet-name: O nome da sub-rede na qual criar o ponto de extremidade privado. O valor predefinido édefault.
Para obter mais informações sobre como usar esses comandos, consulte as páginas de referência da CLI.
Espaço de trabalho de chave gerenciada pelo cliente e alto impacto nos negócios
Por padrão, os metadados do espaço de trabalho são armazenados em uma instância do Azure Cosmos DB mantida pela Microsoft. Esses dados são criptografados usando chaves gerenciadas pela Microsoft. Em vez de usar a chave gerenciada pela Microsoft, você também pode fornecer sua própria chave. Isso cria um conjunto extra de recursos em sua assinatura do Azure para armazenar seus dados.
Para saber mais sobre os recursos que são criados quando você traz sua própria chave para criptografia, consulte Criptografia de dados com o Azure Machine Learning.
Use o --cmk-keyvault parâmetro para especificar o Cofre da Chave do Azure que contém a chave e --resource-cmk-uri para especificar a ID do recurso e o uri da chave dentro do cofre.
Para limitar os dados que a Microsoft coleta em seu espaço de trabalho, você também pode especificar o --hbi-workspace parâmetro.
az ml workspace create -w <workspace-name>
-g <resource-group-name>
--cmk-keyvault "<cmk keyvault name>"
--resource-cmk-uri "<resource cmk uri>"
--hbi-workspace
Nota
Autorize o Aplicativo de Aprendizado de Máquina (em Gerenciamento de Identidade e Acesso) com permissões de colaborador em sua assinatura para gerenciar os recursos adicionais de criptografia de dados.
Nota
O Azure Cosmos DB não é usado para armazenar informações como desempenho do modelo, informações registradas por experimentos ou informações registradas de suas implantações de modelo. Para obter mais informações sobre como monitorar esses itens, consulte a seção Monitoramento e registro em log do artigo arquitetura e conceitos.
Importante
A seleção de alto impacto nos negócios só pode ser feita ao criar um espaço de trabalho. Não é possível alterar essa configuração após a criação do espaço de trabalho.
Para obter mais informações sobre chaves gerenciadas pelo cliente e espaço de trabalho de alto impacto nos negócios, consulte Segurança corporativa para o Azure Machine Learning.
Usando a CLI para gerenciar espaços de trabalho
Obter informações sobre o espaço de trabalho
Para obter informações sobre um espaço de trabalho, use o seguinte comando:
az ml workspace show -w <workspace-name> -g <resource-group-name>
Atualizar um espaço de trabalho
Para atualizar um espaço de trabalho, use o seguinte comando:
az ml workspace update -n <workspace-name> -g <resource-group-name>
Sincronizar chaves para recursos dependentes
Se você alterar as chaves de acesso de um dos recursos usados pelo espaço de trabalho, levará cerca de uma hora para que o espaço de trabalho seja sincronizado com a nova chave. Para forçar o espaço de trabalho a sincronizar as novas chaves imediatamente, use o seguinte comando:
az ml workspace sync-keys -w <workspace-name> -g <resource-group-name>
Para obter mais informações sobre como alterar chaves, consulte Regenerar chaves de acesso de armazenamento.
Eliminar uma área de trabalho
Aviso
Se a exclusão suave estiver habilitada para o espaço de trabalho, ela poderá ser recuperada após a exclusão. Se a exclusão suave não estiver habilitada ou se você selecionar a opção para excluir permanentemente o espaço de trabalho, ele não poderá ser recuperado. Para obter mais informações, consulte Recuperar um espaço de trabalho excluído.
Para excluir um espaço de trabalho depois que ele não for mais necessário, use o seguinte comando:
az ml workspace delete -w <workspace-name> -g <resource-group-name>
Importante
A exclusão de um espaço de trabalho não exclui o insight do aplicativo, a conta de armazenamento, o cofre de chaves ou o registro de contêiner usados pelo espaço de trabalho.
Você também pode excluir o grupo de recursos, que exclui o espaço de trabalho e todos os outros recursos do Azure no grupo de recursos. Para excluir o grupo de recursos, use o seguinte comando:
az group delete -g <resource-group-name>
Gorjeta
O comportamento padrão do Aprendizado de Máquina do Azure é excluir suavemente o espaço de trabalho. Isso significa que o espaço de trabalho não é excluído imediatamente, mas é marcado para exclusão. Para obter mais informações, consulte Exclusão suave.
Resolução de Problemas
Erros do provedor de recursos
Ao criar um espaço de trabalho do Azure Machine Learning ou um recurso usado pelo espaço de trabalho, você pode receber um erro semelhante às seguintes mensagens:
No registered resource provider found for location {location}The subscription is not registered to use namespace {resource-provider-namespace}
A maioria dos provedores de recursos são registrados automaticamente, mas não todos. Se receber esta mensagem, terá de registar o fornecedor mencionado.
A tabela a seguir contém uma lista dos provedores de recursos exigidos pelo Azure Machine Learning:
| Fornecedor de recursos | Por que motivo é necessária |
|---|---|
| Microsoft.MachineLearningServices | Criando o espaço de trabalho do Azure Machine Learning. |
| Microsoft.Armazenamento | A Conta de Armazenamento do Azure é usada como o armazenamento padrão para o espaço de trabalho. |
| Microsoft.ContainerRegistry | O Registro de Contêiner do Azure é usado pelo espaço de trabalho para criar imagens do Docker. |
| Microsoft.KeyVault | O Azure Key Vault é usado pelo espaço de trabalho para armazenar segredos. |
| Microsoft.Notebooks | Blocos de anotações integrados na instância de computação do Azure Machine Learning. |
| Microsoft.ContainerService | Se você planeja implantar modelos treinados nos Serviços Kubernetes do Azure. |
Se você planeja usar uma chave gerenciada pelo cliente com o Azure Machine Learning, os seguintes provedores de serviços devem ser registrados:
| Fornecedor de recursos | Por que motivo é necessária |
|---|---|
| Microsoft.Banco de Dados de Documentos | Instância do Azure CosmosDB que registra metadados para o espaço de trabalho. |
| Microsoft.Pesquisa | O Azure Search fornece recursos de indexação para o espaço de trabalho. |
Se você planeja usar uma rede virtual gerenciada com o Azure Machine Learning, o provedor de recursos Microsoft.Network deve ser registrado. Este fornecedor de recursos é utilizado pelo espaço de trabalho ao criar endpoints privados para a rede virtual gerida.
Para obter informações sobre como registrar provedores de recursos, consulte Resolver erros para registro de provedor de recursos.
Movendo o espaço de trabalho
Aviso
Não há suporte para mover seu espaço de trabalho do Azure Machine Learning para uma assinatura diferente ou mover a assinatura proprietária para um novo locatário. Isso pode causar erros.
Excluindo o Registro de Contêiner do Azure
O espaço de trabalho do Azure Machine Learning usa o Azure Container Registry (ACR) para algumas operações. Ele criará automaticamente uma instância ACR quando precisar de uma pela primeira vez.
Aviso
Depois que um Registro de Contêiner do Azure for criado para um espaço de trabalho, não o exclua. Isso quebra seu espaço de trabalho do Azure Machine Learning.
Próximos passos
Para obter mais informações sobre a extensão da CLI do Azure para aprendizado de máquina, consulte a documentação az ml (v1).
Para verificar se há problemas com seu espaço de trabalho, consulte Como usar o diagnóstico do espaço de trabalho.
Para saber como mover um espaço de trabalho para uma nova assinatura do Azure, consulte Como mover um espaço de trabalho.
Para obter informações sobre como manter seu Aprendizado de Máquina do Azure atualizado com as atualizações de segurança mais recentes, consulte Gerenciamento de vulnerabilidades.