Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La protección de acceso saliente del área de trabajo ayuda a proteger los datos mediante el control de las conexiones salientes de los elementos del área de trabajo a los recursos externos. Cuando esta característica está habilitada, Data Science items como Machine Learning Experiments and Machine Learning Models se pueden crear y usar en el área de trabajo.
Anteriormente, los experimentos de aprendizaje automático y los modelos de aprendizaje automático no se podían crear en espacios de trabajo con protección de acceso saliente habilitada. Con esta versión preliminar, estos tipos de elementos ahora se admiten en áreas de trabajo protegidas.
Comprensión de la protección de acceso saliente con Ciencia de Datos
Los experimentos y modelos de aprendizaje automático en Microsoft Fabric no realizan conexiones de red salientes a recursos externos de manera independiente. Por este motivo, no se requieren comprobaciones de acceso de salida adicionales cuando está habilitada la protección de acceso saliente.
El código del cuaderno de trabajo que genera experimentos o modelos de Machine Learning puede acceder a orígenes de datos externos. El acceso saliente para cuadernos se rige por la configuración de protección de acceso saliente de Data Engineering, que controla cómo los cuadernos se conectan a recursos externos al área de trabajo.
Configuración de la protección de acceso saliente para la ciencia de datos
Para configurar la protección de acceso saliente, siga los pasos descritos en Habilitación de la protección de acceso saliente del área de trabajo. No se requiere ninguna configuración adicional para los elementos de ciencia de datos. Una vez habilitada la protección de acceso saliente, los Experimentos de Machine Learning y los Modelos de Machine Learning funcionan en el espacio de trabajo sin necesidad de realizar ninguna configuración adicional.
Los mecanismos de excepción, como los puntos de conexión privados administrados o las reglas de conexión de datos, no se aplican a los elementos de ciencia de datos, ya que estos elementos no inician conexiones salientes a recursos externos.
Tipos de elementos de ciencia de datos admitidos
Estos tipos de elementos de ciencia de datos se soportan con protección de acceso saliente.
- experimentos de Machine Learning
- Modelos de Machine Learning
En las secciones siguientes se explica cómo la protección de acceso saliente afecta a estos elementos en el área de trabajo.
experimentos de Machine Learning
Con la protección de acceso saliente habilitada, puede crear y administrar experimentos de aprendizaje automático en el espacio de trabajo protegido. Los experimentos realizan un seguimiento de las ejecuciones, las métricas y los parámetros de las ejecuciones de cuadernos. El registro de experimentos funciona tanto dentro del mismo área de trabajo como entre áreas de trabajo mediante el registro entre áreas de trabajo. La protección de acceso saliente no restringe esta funcionalidad.
Modelos de Machine Learning
Con la protección de acceso saliente habilitada, puede crear y administrar modelos Machine Learning en el área de trabajo protegida. Los modelos almacenan artefactos de modelos entrenados e información de versión. La creación de modelos y el control de versiones funcionan tanto en la misma área de trabajo como en todas las áreas de trabajo mediante el registro entre áreas de trabajo. La protección de acceso saliente no restringe esta funcionalidad.
Registro entre áreas de trabajo con protección de acceso saliente
Registro entre áreas de trabajo permite registrar experimentos y modelos de MLflow desde un área de trabajo de Fabric a otra, o desde entornos externos a Fabric, como máquinas locales, Azure Databricks y Azure Machine Learning. Esto facilita los flujos de trabajo de MLOps que permiten entrenar en un área de trabajo de desarrollo y desplegar en un área de trabajo de producción, o incorporar activos de ML existentes a Fabric desde plataformas externas.
Cuando la protección de acceso saliente está habilitada en el área de trabajo A, el registro de experimentos y modelos de ML en otro área de trabajo B requiere un punto de conexión privado administrado entre áreas de trabajo del área de trabajo A al área de trabajo B. Para obtener información sobre cómo configurar un punto de conexión privado administrado entre áreas de trabajo, consulte Permitir el acceso saliente a otra área de trabajo del inquilino.
En la tabla siguiente se resume la configuración necesaria para cada escenario de registro entre áreas de trabajo cuando la protección de acceso saliente está habilitada en el área de trabajo A.
| Fuente | Destino | Configuración necesaria en el área de trabajo A | ¿Se pueden registrar experimentos y modelos de aprendizaje automático en el destino? |
|---|---|---|---|
| Cuaderno (área de trabajo A) | Experimento o modelo de ML (área de trabajo A) | Ninguno. El registro dentro del mismo espacio de trabajo funciona sin configuración adicional. | Sí |
| Cuaderno (área de trabajo A) | Experimento de ML/Modelo (área de trabajo B) | Se debe configurar un punto de conexión privado gestionado entre espacios de trabajo desde el espacio de trabajo A al espacio de trabajo B. | Sí |
| Cuaderno (área de trabajo A) | Experimento de ML/Modelo (área de trabajo B) | No hay ningún punto de conexión privado administrado configurado desde el área de trabajo A al área de trabajo B. | No |
| Máquina local, Azure Databricks o Azure Machine Learning | Experimento o modelo de ML (área de trabajo A) | Ninguno. El registro desde fuera de Fabric es una conexión entrante y no se ve afectada por la protección de acceso saliente. | Sí |
Inicia sesión en el mismo espacio de trabajo (espacio de trabajo A a espacio de trabajo A)
Al iniciar sesión en la misma área de trabajo, no es necesario establecer manualmente la MLFLOW_TRACKING_URI variable de entorno; apunta al área de trabajo actual de forma predeterminada. Sin embargo, si establece MLFLOW_TRACKING_URI explícitamente, debe usar la dirección URL del punto de conexión privado, similar a los casos entre espacios de trabajo.
import os
from fabric.analytics.environment.context import FabricContext, InternalContext
context = FabricContext(workspace_id=current_workspace_id, internal_context=InternalContext(is_wspl_enabled=True))
print(context.pbi_shared_host)
# You need to set up and use this private endpoint if your current workspace has OAP enabled
os.environ["MLFLOW_TRACKING_URI"] = f"sds://{context.pbi_shared_host}/v1/workspaces/{current_workspace_id}/mlflow"
Nota:
El comando estándar %pip install requiere acceso saliente a Internet, que está bloqueado en áreas de trabajo habilitadas para OAP. Para instalar el synapseml-mlflow paquete, descárguelo desde un entorno que no sea de OAP, cargue los archivos en lakehouse e instálelo desde la ruta de acceso local. Para obtener pasos detallados, consulte Instalación del paquete en un área de trabajo habilitada para OAP.
Consideraciones y limitaciones
- El acceso externo para el código del cuaderno que genera experimentos o modelos está gobernado por la configuración de protección de acceso externo de Ingeniería de Datos. Asegúrese de que los orígenes de datos del notebook estén configurados correctamente si el área de trabajo tiene habilitada la protección al acceso saliente.
- Para ver otras limitaciones, consulte Descripción general de la protección de acceso saliente del área de trabajo.
Contenido relacionado
- Introducción a la protección de acceso saliente del área de trabajo
- Configuración de la protección de acceso saliente del área de trabajo
- Protección de acceso saliente del área de trabajo para cargas de trabajo de ingeniería de datos
- Administración de modelos de MLflow en áreas de trabajo y plataformas
- Experimento de aprendizaje automático
- Modelo de Machine Learning