Documentazione dell'infrastruttura Oracle Cloud

Configurazione manuale di una tenancy di Data Science

In questa esercitazione è possibile impostare la tenancy per Data Science e testarla creando una sessione notebook.

Questa esercitazione è rivolta agli utenti amministratori perché dispongono delle autorizzazioni di accesso necessarie.

In questa esercitazione:

1. Creazione di un gruppo di utenti di data scientist.

2. Creazione di un compartimento per il proprio lavoro.

3. (Facoltativo) Creazione di una VCN e di una subnet.

4. Creazione dei criteri.

5. Creazione di un gruppo dinamico con i criteri.

6. Creazione di una sessione notebook.

Informazioni preliminari

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Un account a pagamento Oracle Cloud Infrastructure (OCI) o un nuovo account con le promozioni di Oracle Cloud. Vedi Richiedi e gestisci le promozioni gratuite su Oracle Cloud.

  • Privilegio di amministratore per l'account OCI.

  • Almeno un utente nella tenancy che desidera accedere al servizio Data Science. Questo utente deve essere creato in IAM.

1. Creazione di un gruppo di utenti di data scientist

Creare un gruppo di utenti in cui i data scientist possano lavorare.

  1. Aprire un browser supportato e immettere l'URL della console: 
    https://cloud.oracle.com
  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Accedi con il tuo nome utente e password.
  4. Aprire il menu di navigazione e selezionare Identità e sicurezza. In identità fare clic su Domini.

    Viene visualizzata una lista dei domini nella tenancy.

  5. Selezionare il nome del dominio in cui si desidera lavorare.
  6. Per creare un gruppo, attenersi alla procedura descritta in Creazione di un gruppo.
  7. Assegnare un nome al nuovo gruppo data-scientists e immettere una descrizione.
  8. Per aggiungere un utente al gruppo creato, attenersi alla procedura descritta in Aggiunta di utenti a un gruppo.
  9. Ripetere l'aggiunta di tutti gli utenti di data scientist al gruppo di data scientist.

2. Creazione di un compartimento per il lavoro

Crea un compartimento per le tue risorse di data science.

  1. Attenersi alla procedura descritta in Creazione di un compartimento per creare un compartimento.
  2. Assegnare un nome al nuovo compartimento data-science-work e immettere una descrizione.
  3. Verificare che il compartimento venga visualizzato nella lista dei compartimenti.

3 (Facoltativo) Creazione di una VCN e di una subnet

Questo passo è facoltativo. Quando si crea una sessione notebook al Passo 6. Creazione di una sessione notebook: è possibile scegliere di creare una rete predefinita con l'impostazione appropriata per le sessioni notebook.

Importante

È possibile saltare la creazione di una rete e impostare subnet e gateway se si seleziona la rete predefinita durante la creazione di un notebook. Se la rete predefinita è configurata in un notebook, non è possibile modificarla durante la riattivazione del notebook.

Questa sezione mostra agli utenti che richiedono l'accesso alle proprie VCN, come creare una VCN e, in seguito, come selezionare la subnet consigliata per le sessioni notebook. Ad esempio, se si sta eseguendo l'esercitazione Programmazione delle esecuzioni dei job di Data Science, è possibile creare questa rete e utilizzarla sia per la sessione notebook in Data Science che per l'area di lavoro nel servizio Data Integration.

  1. Attenersi alla procedura descritta in Creazione di una VCN per creare una VCN.
  2. Immettere datascience-vcn per il nome della VCN.
  3. Selezionare il compartimento data-science-work. Questo compartimento ospita la VCN creata in questa sezione. Poiché questo nuovo compartimento viene visualizzato nella lista dei compartimenti, è necessario del tempo, aggiornare la pagina finché non viene visualizzata.
  4. Per Configura VCN e subnet, mantenere le impostazioni predefinite riportate di seguito.
    • Blocco CIDR VCN: 10.0.0.0/16
    • Blocco CIDR della subnet pubblica: 10.0.0.0/24
    • Blocco CIDR della subnet privata: 10.0.1.0/24
    • Usa nomi host DNS in questa VCN: selezionata

    Quando si crea una sessione notebook, si utilizza questa VCN e la relativa subnet privata, Private Subnet-datascience-vcn.

  5. Selezionare Visualizza rete cloud virtuale per rivedere la VCN e le subnet.
Nota

Per l'accesso in uscita alla rete Internet pubblica, si consiglia di utilizzare una subnet privata con un instradamento a un gateway NAT. Un gateway NAT consente alle istanze di una subnet privata di accedere a Internet. La VCN creata in questo passo crea una subnet privata con accesso in uscita a Internet tramite il gateway NAT della VCN.

4. Creazione dei criteri

Prima di avviare le sessioni notebook, è necessario configurare i criteri di Data Science.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, fare clic su Criteri.
  2. Selezionare Crea criterio.
  3. Immettere data-science-policy per il nome.
  4. Immettere il criterio per utenti e servizi di data science come Descrizione.
  5. Selezionare il compartimento data-science-work.
  6. Selezionare Mostra editor manuale.
  7. Immettere le seguenti cinque istruzioni dei criteri nel campo Costruzione guidata criteri: 
    allow service datascience to use virtual-network-family in compartment data-science-work
allow group data-scientists to manage data-science-family in compartment data-science-work
allow group data-scientists to use virtual-network-family in compartment data-science-work 
allow group data-scientists to manage buckets in compartment data-science-work 
allow group data-scientists to manage objects in compartment data-science-work
  8. Selezionare Crea per creare il criterio.

Spiegazione delle politiche:

  • Per consentire al servizio Data Science di collegare la VCN alla sessione notebook e di instradare il traffico in uscita dall'ambiente notebook, aggiungere:

    allow service datascience to use virtual-network-family in compartment data-science-work

  • Per consentire al gruppo data-scientists di eseguire operazioni su tutte le risorse di Data Science nel compartimento data-science-work (progetti, sessioni notebook, modelli, distribuzioni di modelli, richieste di lavoro, job ed esecuzioni di job), aggiungere:

    allow group data-scientists to manage data-science-family in compartment data-science-work

  • Per consentire ai data scientist di utilizzare la VCN, è stato creato e collegato alla sessione notebook, aggiungere:

    allow group data-scientists to use virtual-network-family in compartment data-science-work

  • Per consentire ai data scientist di creare e gestire i bucket, ad esempio l'aggiunta di artifact e ambienti Conda ai bucket, aggiungere:

    allow group data-scientists to manage buckets in compartment data-science-work
allow group data-scientists to manage objects in compartment data-science-work
Suggerimento

Invece di specificare quali risorse gestire, ad esempio bucket, oggetti o famiglia di reti virtuali, per consentire ai data scientist di accedere ai diritti amministrativi del proprio compartimento, in cui gestire tutte le risorse dei servizi OCI, sostituire i cinque criteri precedenti con i due criteri seguenti: 
allow group data-scientists to manage all-resources in compartment data-science-work
allow service datascience to use virtual-network-family in compartment data-science-work

5. Creazione di un gruppo dinamico con i criteri

Crea un gruppo dinamico per le risorse di Data Science e consenti a questo gruppo dinamico di accedere ad altre risorse OCI, come lo storage degli oggetti e il log.

Per concedere l'autorizzazione alle risorse OCI per accedere ad altre risorse OCI, in primo luogo, è necessario aggiungere le risorse a un gruppo dinamico anziché a un gruppo di utenti. Quindi si scrivono i criteri per consentire al gruppo dinamico di accedere alle risorse specificate. In questo caso, il gruppo dinamico dispone di tre risorse di Data Science: sessioni di notebook, distribuzioni di modelli e esecuzione di job.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità fare clic su Compartimenti.
  2. Selezionare il compartimento data-science-work.
  3. Per l'attributo OCID, fare clic su Copia per salvare l'intero OCID nel blocco note.
  4. Nel trail che visualizza la pagina corrente, fare clic su Compartimenti per tornare alla lista dei compartimenti.
  5. Per creare un gruppo dinamico, attenersi alla procedura descritta in Creazione di un gruppo dinamico.
  6. Immettere quanto riportato di seguito.
    • Nome: data-science-dynamic-group
    • Descrizione: gruppo dinamico Data Science
  7. Nella sezione Regole di corrispondenza selezionare Corrispondenza con le regole definite di seguito.
  8. Immettere le tre regole di corrispondenza riportate di seguito. Sostituire <compartment-ocid> con l'OCID del compartimento copiato.
    Regola 1:
    ALL {resource.type='datasciencenotebooksession', resource.compartment.id='<compartment-ocid>'}

    La regola di corrispondenza precedente indica che tutte le sessioni del registro note create nel compartimento sono membri di data-science-dynamic-group.

    Fare clic su Regola aggiuntiva e aggiungere la regola seguente:

    Regola 2:

    ALL {resource.type='datasciencemodeldeployment', resource.compartment.id='<compartment-ocid>'}

    La regola di corrispondenza precedente indica che tutte le distribuzioni di modelli create nel compartimento sono membri di data-science-dynamic-group.

    Fare clic su Regola aggiuntiva e aggiungere la regola seguente:

    Regola 3:

    ALL {resource.type='datasciencejobrun', resource.compartment.id='<compartment-ocid>'}

    La regola di corrispondenza precedente indica che tutte le esecuzioni di job create nel compartimento sono membri di data-science-dynamic-group.

  9. Selezionare Crea.

    Successivamente, scrivere i criteri per consentire alle risorse di questo gruppo dinamico di accedere ad altri servizi OCI.

  10. Nel trail che visualizza la pagina corrente, fare clic su Identità.
  11. Seleziona criteri.
  12. Selezionare Crea criterio.
  13. Immettere quanto riportato di seguito.
    • Nome: data-science-dynamic-group-policy
    • Descrizione: criterio per il gruppo dinamico Data Science
  14. Al posto del compartimento data-science-work, selezionare il compartimento più in alto, ovvero la tenancy in uso.
    Importante

    La creazione del criterio non riesce se non si utilizza la tenancy.
  15. Selezionare Mostra editor manuale.
  16. Immettere le seguenti istruzioni dei criteri nel campo Costruzione guidata criteri: 
    allow dynamic-group data-science-dynamic-group to manage data-science-family in compartment data-science-work
allow dynamic-group data-science-dynamic-group to manage dataflow-family in compartment data-science-work
allow dynamic-group data-science-dynamic-group to read compartments in tenancy
allow dynamic-group data-science-dynamic-group to read users in tenancy
allow dynamic-group data-science-dynamic-group to use log-content in compartment data-science-work
allow dynamic-group data-science-dynamic-group to use log-groups in compartment data-science-work
allow dynamic-group data-science-dynamic-group to manage object-family in compartment data-science-work
  17. Selezionare Crea per creare il criterio.

È possibile utilizzare questo gruppo dinamico per concedere alle sessioni notebook e alle distribuzioni dei modelli presenti nel compartimento data-science-work l'accesso ad altre risorse OCI nella tenancy.

Spiegazione delle politiche:

  • Per consentire alle sessioni notebook di eseguire operazioni CRUD sulle voci del catalogo modelli, dei progetti e delle risorse delle sessioni notebook, aggiungere:

    allow dynamic-group data-science-dynamic-group to manage data-science-family in compartment data-science-work

  • Per consentire alle sessioni notebook di eseguire operazioni CRUD sulle applicazioni e sulle esecuzioni di Data Flow, aggiungere:

    allow dynamic-group data-science-dynamic-group to manage dataflow-family in compartment data-science-work

  • Per consentire alle sessioni notebook di elencare e leggere i compartimenti e i nomi utente presenti nella tenancy, aggiungere:

    allow dynamic-group data-science-dynamic-group to read compartments in tenancy
allow dynamic-group data-science-dynamic-group to read users in tenancy

  • Per consentire alle distribuzioni dei modelli di emettere log nel servizio di log, aggiungere:

    allow dynamic-group data-science-dynamic-group to use log-content in compartment data-science-work

  • Per consentire le esecuzioni dei job per creare log e registrare i dettagli di esecuzione dei job nel servizio di log, aggiungere:

    allow dynamic-group data-science-dynamic-group to use log-groups in compartment data-science-work

  • Per consentire alle sessioni notebook e alle distribuzioni dei modelli di leggere e scrivere file nei bucket di storage degli oggetti, nel compartimento data-science-work aggiungere:

    allow dynamic-group data-science-dynamic-group to manage object-family in compartment data-science-work
Suggerimento

  • Il criterio precedente consente alle distribuzioni di modelli di accedere a qualsiasi bucket nel compartimento data-science-work.
  • Per concedere alle distribuzioni di modelli l'accesso in lettura a bucket specifici esterni al compartimento data-science-work, specificare i nomi dei bucket e i relativi compartimenti nel criterio.
  • Esempio: per consentire alle distribuzioni dei modelli di accedere agli ambienti Conda pubblicati dal bucket published-conda-env e agli artifact dei modelli dal bucket model-artifacts, aggiungere:
    allow dynamic-group data-science-dynamic-group to read objects in compartment <another-compartment> where ANY {target.bucket.name='published-conda-envs', target.bucket.name='model-artifacts'}
  • Se le istruzioni dei criteri menzionano la tenancy o includono compartimenti esterni al compartimento data-science-work, nella finestra di dialogo Crea criterio, per l'opzione Compartimento selezionare <your-tenancy> (root). In questo modo, oltre al compartimento, il criterio può includere regole per altri compartimenti nella tenancy.

6. Creazione di una sessione notebook

Infine, creare una sessione notebook e testarne l'accesso alla rete Internet pubblica.

  1. Aprire il menu di navigazione e selezionare Analytics & AI. In Machine Learning, selezionare Data Science.
  2. Selezionare Crea progetto.
  3. Selezionare il compartimento data-science-work.
  4. (Facoltativo) Immettere Progetto iniziale per il nome.
  5. (Facoltativo) Immettere il primo progetto per la descrizione.
  6. Selezionare Crea.
  7. Selezionare Crea sessione notebook.
  8. Per Compartimento, selezionare data-science-work.
  9. (Facoltativo) Immettere my-first-notebook-session per il nome.
  10. Per la forma di computazione, fare clic su Seleziona.
  11. Scegliere le opzioni seguenti:
    • Tipo di istanza: virtual machine
    • Serie Shape: Intel
    • Nome forma: VM.Standard3. Flexfield
  12. Per VM.Standard3. Flex, mantenere le allocazioni predefinite:
    • Numero di OCPU: 1
    • Quantità di memoria (GB): 16
  13. Selezionare Seleziona forma.
  14. Per Dimensione storage a blocchi, immettere 100 GB da collegare alla virtual machine.
  15. Selezionare Networking personalizzato e selezionare la VCN e la subnet datascience-vcn subnet-datascience-vcn private per instradare il traffico in uscita dalla sessione notebook.
    Anziché Networking personalizzato, è possibile scegliere l'opzione Networking predefinito che crea automaticamente la rete. Con Networking predefinito, è possibile saltare il Passo 3. Creazione di una VCN e di una subnet sezione di questa esercitazione. Questa esercitazione mostra la rete personalizzata per gli utenti con impostazioni personalizzate, in modo che possano visualizzare i passi.
  16. Selezionare Visualizza la pagina dei dettagli quando si fa clic su Crea.
  17. Selezionare Crea per creare la prima sessione notebook.

    La creazione della sessione notebook richiede alcuni minuti. Quando lo stato della sessione notebook viene impostato su Attivo, è possibile aprire la sessione notebook.

  18. Selezionare Apri.
  19. Immettere le credenziali Oracle Cloud Infrastructure per accedere all'interfaccia utente JupyterLab.
  20. Se non si dispone di una scheda denominata Launcher, selezionare File, quindi Nuovo programma di avvio.
  21. Nel programma di avvio, in Altro, selezionare l'icona Terminale per avviare una nuova sessione terminale.
  22. Per eseguire un test semplice, verificare di poter accedere alla rete Internet pubblica dalla sessione notebook eseguendo questo comando: 
    wget --spider https://www.oracle.com

    Dovresti vedere una risposta simile a:

    (base) bash-4.2$ wget --spider https://www.oracle.com
Spider mode enabled. Check if remote file exists.
--<date>--  https://www.oracle.com/
Resolving www.oracle.com (www.oracle.com)... 
Connecting to www.oracle.com (www.oracle.com)... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Remote file exists and could contain further links,
but recursion is disabled -- not retrieving.

    HTTP request sent, awaiting response... 200 OK indica un test riuscito e si dispone dell'accesso a Internet pubblico nella sessione notebook.