Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A proteção do acesso de saída do espaço de trabalho ajuda a proteger seus dados controlando conexões de saída de itens em seu espaço de trabalho para recursos externos. Quando esse recurso está habilitado, Data Science items como experimentos Machine Learning e modelos de Machine Learning podem ser criados e usados dentro do workspace.
Anteriormente, os experimentos de Machine Learning e os modelos de Machine Learning não podiam ser criados em workspaces com proteção de acesso de saída habilitada. Com essa versão prévia, esses tipos de item agora têm suporte em workspaces protegidos.
Noções básicas sobre a proteção de acesso de saída com a Ciência de Dados
Experimentos de Machine Learning e modelos de Machine Learning no Microsoft Fabric não fazem conexões de rede de saída com recursos externos por conta própria. Por isso, nenhuma verificação de acesso de saída adicional é necessária quando a proteção de acesso de saída está habilitada.
O código do notebook que gera Machine Learning experimentos ou modelos pode acessar fontes de dados externas. O acesso de saída para notebooks é regido pela configuração de proteção de acesso de saída da Engenharia de Dados , que controla como os notebooks se conectam a recursos fora do workspace.
Configurando a proteção de acesso de saída para Ciência de Dados
Para configurar a proteção de acesso de saída, siga as etapas em Habilitar a proteção de acesso de saída do workspace. Nenhuma configuração adicional é necessária para itens de Ciência de Dados. Depois que a proteção de acesso de saída estiver habilitada, os Experimentos de Machine Learning e os Modelos de Machine Learning funcionam dentro do espaço de trabalho sem configuração adicional.
Mecanismos de exceção, como pontos de extremidade privados gerenciados ou regras de conexão de dados, não são aplicáveis a itens de Ciência de Dados, pois esses itens não iniciam conexões de saída com recursos externos.
Tipos de item de Ciência de Dados com suporte
Esses tipos de itens de Ciência de Dados têm suporte com proteção de acesso de saída.
- Experimentos de Machine Learning
- Modelos de Machine Learning
As seções a seguir explicam como a proteção de acesso de saída afeta esses itens no seu espaço de trabalho.
Experimentos de Machine Learning
Com a proteção de acesso de saída habilitada, você pode criar e gerenciar experimentos de Machine Learning no workspace protegido. Os experimentos rastreiam execuções, métricas e parâmetros de execuções de notebook. O registro em log de experimentos funciona tanto dentro do mesmo workspace quanto entre workspaces, utilizando o registro em log entre workspaces. A proteção de acesso de saída não restringe essa funcionalidade.
Modelos de Machine Learning
Com a proteção de acesso de saída habilitada, você pode criar e gerenciar modelos de Machine Learning no espaço de trabalho protegido. Os modelos armazenam artefatos de modelo treinados e informações de versão. A criação e o controle de versão do modelo funcionam tanto no mesmo workspace quanto entre workspaces usando o registro cruzado de logs. A proteção de acesso de saída não restringe essa funcionalidade.
Registro cruzado entre workspaces com proteção de acesso de saída
Cross-workspace logging permite registrar experimentos e modelos do MLflow de um workspace Fabric para outro, ou de ambientes fora do Fabric, como máquinas locais, Azure Databricks e Azure Machine Learning. Isso permite fluxos de trabalho de MLOps em que você treina em uma área de trabalho de desenvolvimento e implanta em uma área de trabalho de produção, ou traz ativos de ML existentes para o Fabric a partir de plataformas externas.
Quando a proteção de acesso de saída está habilitada no Workspace A, registrar experimentos e modelos de ML em um Workspace B diferente requer um ponto de extremidade privado gerenciado entre workspaces do Workspace A para o Workspace B. Para saber como configurar um ponto de extremidade privado gerenciado entre workspaces, consulte Permitir acesso de saída a outro workspace no locatário.
A tabela a seguir resume a configuração necessária para cada cenário de registro entre workspaces quando a proteção de acesso de saída é ativada no Workspace A.
| Fonte | Destino | Configuração necessária no Workspace A | Os experimentos e modelos de ML podem ser registrados no destino? |
|---|---|---|---|
| Caderno (Espaço de Trabalho A) | Experimento/modelo de ML (Workspace A) | Nenhum. O registro de logs no mesmo workspace funciona sem a necessidade de configuração adicional. | Sim |
| Caderno (Espaço de Trabalho A) | Experimento/modelo de ML (Workspace B) | Um ponto de extremidade privado gerenciado entre o Workspace A e o Workspace B deve ser configurado. | Sim |
| Caderno (Espaço de Trabalho A) | Experimento/modelo de ML (Workspace B) | Nenhum endpoint privado gerenciado está configurado do Workspace A para o Workspace B. | No |
| Computador local, Azure Databricks ou Azure Machine Learning | Experimento/modelo de ML (Workspace A) | Nenhum. O registro de log fora do Fabric é uma conexão de entrada e não é afetado pela proteção de acesso de saída. | Sim |
Entrar no mesmo espaço de trabalho (Workspace A para Workspace A)
Ao fazer logon no mesmo workspace, você não precisa definir manualmente a MLFLOW_TRACKING_URI variável de ambiente – ela aponta para o workspace atual por padrão. No entanto, se você definir MLFLOW_TRACKING_URI explicitamente, deverá usar a URL do ponto de extremidade privado, semelhante a cenários entre espaços de trabalho.
import os
from fabric.analytics.environment.context import FabricContext, InternalContext
context = FabricContext(workspace_id=current_workspace_id, internal_context=InternalContext(is_wspl_enabled=True))
print(context.pbi_shared_host)
# You need to set up and use this private endpoint if your current workspace has OAP enabled
os.environ["MLFLOW_TRACKING_URI"] = f"sds://{context.pbi_shared_host}/v1/workspaces/{current_workspace_id}/mlflow"
Observação
O comando padrão %pip install requer acesso à Internet de saída, que é bloqueado em workspaces habilitados para OAP. Para instalar o pacote synapseml-mlflow, baixe-o de um ambiente fora do OAP, carregue os arquivos no lakehouse e instale a partir do caminho local. Para obter etapas detalhadas, consulte Instalar o pacote em um workspace habilitado para OAP.
Considerações e limitações
- O acesso de saída para o código do notebook que gera experimentos ou modelos é regido pela configuração de proteção de acesso de saída da Engenharia de Dados . Certifique-se de que as fontes de dados do seu notebook estejam configuradas corretamente, caso o espaço de trabalho tenha a proteção de acesso de saída ativada.
- Para outras limitações, consulte a visão geral da proteção de acesso de saída do Workspace.
Conteúdo relacionado
- Visão geral da proteção de acesso de saída do espaço de trabalho
- Configurar proteção para acesso externo do espaço de trabalho
- Proteção do acesso de saída do espaço de trabalho para cargas de trabalho em engenharia de dados
- Gerenciar modelos de MLflow entre workspaces e plataformas
- Experimento de machine learning
- Modelo de machine learning