Documentação do Oracle Cloud Infrastructure

Configurando Manualmente uma Tenancy do Serviço Data Science

Neste tutorial, você configura sua tenancy para o serviço Data Science e a testa criando uma sessão de notebook.

Este tutorial é direcionado aos usuários administradores porque eles recebem as permissões de acesso necessárias.

Neste tutorial, você estará:

1. Criando um Grupo de Usuários Cientistas de Dados.

2. Criando um Compartimento para o Seu Trabalho.

3. (Opcional) Criando uma VCN e uma Sub-rede.

4. Criando Políticas.

5. Criando um Grupo Dinâmico com Políticas.

6. Criando uma Sessão de Notebook.

Antes de Começar

Para executar este tutorial, você precisa do seguinte:

  • Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma nova conta com promoções do Oracle Cloud. Consulte Solicitar e Gerenciar Promoções do Oracle Cloud Grátis

  • Privilégio de administrador para a conta do OCI.

  • Pelo menos um usuário da sua tenancy que deseja acessar o serviço Data Science. Esse usuário deve ser criado no serviço IAM .

1. Criando um Grupo de Usuários Cientistas de Dados

Crie um grupo de usuários no qual os cientistas de dados trabalhem.

  1. Abra um browser suportado e digite o URL da Console: 
    https://cloud.oracle.com
  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Acesse o sistema com seu nome de usuário e senha.
  4. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, clique em Domínios.

    Uma lista dos domínios em sua tenancy é exibida.

  5. Selecione o nome do domínio no qual você deseja trabalhar.
  6. Siga as etapas em Criando um Grupo para criar um grupo.
  7. Dê ao novo grupo o nome data-scientists e digite uma descrição.
  8. Siga as etapas em Adicionando Usuários a um Grupo para adicionar um usuário ao grupo criado.
  9. Repita a adição de todos os usuários de cientistas de dados ao grupo de cientistas de dados.

2. Criando um Compartimento para o Seu Trabalho

Crie um compartimento para os recursos de ciência de dados.

  1. Siga as etapas em Criando um Compartimento para criar um compartimento.
  2. Atribua o nome data-science-work ao novo compartimento e informe uma descrição.
  3. Confirme se o compartimento aparece na lista de compartimentos.

3 (Opcional) Criando uma VCN e uma Sub-rede

Esta etapa é opcional. Quando você cria uma sessão de notebook na Etapa 6. Criando uma Sessão de Notebook, você pode optar por criar uma rede padrão com a configuração adequada para sessões de notebook.

Importante

Você poderá ignorar a criação de uma rede e a configuração de sub-redes e gateways se selecionar a rede padrão ao criar um notebook. Se a rede padrão estiver configurada em um notebook, você não poderá alterá-la ao reativar o notebook.

Esta seção mostra aos usuários que exigem acesso às suas VCNs, como criar uma VCN e posterior, como selecionar a sub-rede recomendada para sessões de notebook. Por exemplo, se você estiver executando o tutorial Programando Execuções de Jobs do Serviço Data Science, crie essa rede e use-a para a sessão de notebook no Data Science e para o espaço de trabalho no serviço Data Integration.

  1. Siga as etapas em Criando uma VCN para criar uma VCN.
  2. Digite datascience-vcn para o Nome da VCN.
  3. Selecione o compartimento data-cience-work. Este compartimento hospeda a VCN que você cria nesta seção. Leva tempo para que esse novo compartimento apareça na lista de compartimentos; portanto, atualize a página até que ela apareça.
  4. Para Configurar VCN e Sub-redes, mantenha os padrões:
    • Bloco CIDR de VCN: 10.0.0.0/16
    • Bloco CIDR da Sub-rede Pública: 10.0.0.0/24
    • Bloco CIDR da Sub-rede Privada: 10.0.1.0/24
    • Usar nomes de host de DNS nesta VCN: selecionados

    Você usa essa VCN e sua sub-rede privada, Private Subnet-datascience-vcn ao criar uma sessão de notebook.

  5. Selecione Exibir Rede Virtual na Nuvem para verificar a VCN e as sub-redes.
Observação

Para acesso de saída à internet pública, recomendamos que você use uma sub-rede privada com uma rota para um Gateway NAT. Um gateway NAT fornece instâncias em um acesso de sub-rede privada à Internet. A VCN que você cria nesta etapa cria uma sub-rede privada com acesso de saída à internet por meio do Gateway NAT da VCN.

4. Criando Políticas

Antes de os usuários iniciarem suas sessões de notebook, configure as políticas do serviço Data Science.

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, clique em Políticas.
  2. Selecione Criar Política.
  3. Informe data-science-policy para o Nome.
  4. Informe Política para usuários e serviços de ciência de dados como Descrição.
  5. Selecione o compartimento data-science-work.
  6. Selecione Mostrar editor manual.
  7. Digite as cinco instruções de política a seguir no campo Criador de Política: 
    allow service datascience to use virtual-network-family in compartment data-science-work
allow group data-scientists to manage data-science-family in compartment data-science-work
allow group data-scientists to use virtual-network-family in compartment data-science-work 
allow group data-scientists to manage buckets in compartment data-science-work 
allow group data-scientists to manage objects in compartment data-science-work
  8. Selecione Criar para criar sua política.

Explicação das políticas:

  • Para permitir que o serviço Data Science anexe a VCN à sessão de notebook e roteie o tráfego de saída do ambiente de notebook, adicione:

    allow service datascience to use virtual-network-family in compartment data-science-work

  • Para permitir que o grupo data-scientists execute operações em todos os recursos do serviço Data Science no compartimento data-science-work (projetos, sessões de notebook, modelos, implantações de modelo, solicitações de serviço, jobs e execuções de jobs), adicione:

    allow group data-scientists to manage data-science-family in compartment data-science-work

  • Para permitir que esses cientistas de dados usem a VCN que você criou e a anexem às suas sessões de notebook, adicione:

    allow group data-scientists to use virtual-network-family in compartment data-science-work

  • Para permitir que esses cientistas de dados possam criar e gerenciar buckets, como adicionar artefatos e ambientes conda a buckets, adicione:

    allow group data-scientists to manage buckets in compartment data-science-work
allow group data-scientists to manage objects in compartment data-science-work
Dica

Em vez de especificar quais recursos gerenciar, como buckets, objetos ou família de redes virtuais, para permitir aos cientistas de dados direitos administrativos ao compartimento, no qual eles podem gerenciar todos os recursos dos serviços do OCI, substitua as cinco políticas anteriores pelas duas políticas a seguir: 
allow group data-scientists to manage all-resources in compartment data-science-work
allow service datascience to use virtual-network-family in compartment data-science-work

5. Criando um Grupo Dinâmico com Políticas

Crie um grupo dinâmico para os recursos do serviço Data Science e permita que esse grupo dinâmico acesse outros recursos do OCI, como Armazenamento de Objetos e Registro em Log.

Para conceder permissão aos recursos do OCI para que acessem outros recursos do OCI, primeiro, adicione os recursos a um grupo dinâmico em vez de adicioná-los a um grupo de usuários. Em seguida, grave políticas para permitir que o grupo dinâmico acesse recursos especificados. Aqui, o grupo dinâmico tem três recursos do serviço Data Science: sessões de notebook, implantações de modelo e execuções de jobs.

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, clique em Compartimentos.
  2. Selecione o compartimento data-science-work.
  3. Para o atributo OCID, clique em Copy para salvar o OCID inteiro no bloco de notas.
  4. Na trilha que exibe a página atual, clique em Compartimentos para retornar à lista de compartimentos.
  5. Siga as etapas em Criando um Grupo Dinâmico para criar um grupo dinâmico.
  6. Informe o seguinte:
    • Nome: data-science-dynamic-group
    • Descrição: Grupo dinâmico de Ciência de Dados
  7. Na seção Regras de Correspondência, selecione Corresponder a quaisquer regras definidas abaixo.
  8. Informe as três regras de correspondência a seguir. Substitua <compartment-ocid> pelo OCID do compartimento que você copiou.
    Regra 1: 
    ALL {resource.type='datasciencenotebooksession', resource.compartment.id='<compartment-ocid>'}

    A regra de correspondência anterior significa que todas as sessões de notebook criadas no compartimento são membros do grupo data-science-dynamic-group.

    Clique em Regra Adicional e adicione a seguinte regra:

    Regra 2: 

    ALL {resource.type='datasciencemodeldeployment', resource.compartment.id='<compartment-ocid>'}

    A regra de correspondência anterior significa que todas as implantações de modelo criadas no compartimento são membros do data-science-dynamic-group.

    Clique em Regra Adicional e adicione a seguinte regra:

    Regra 3: 

    ALL {resource.type='datasciencejobrun', resource.compartment.id='<compartment-ocid>'}

    A regra de correspondência anterior significa que todas as execuções de jobs criadas no compartimento são membros do data-science-dynamic-group.

  9. Selecione Criar.

    Em seguida, grave políticas para permitir que os recursos desse grupo dinâmico acessem outros serviços do OCI.

  10. Na trilha que exibe a página atual, clique em Identidade.
  11. Selecione Políticas.
  12. Selecione Criar Política.
  13. Informe o seguinte:
    • Nome: data-science-dynamic-group-policy
    • Descrição: Política para o grupo dinâmico Ciência de Dados.
  14. Em vez do compartimento data-science-work, selecione o compartimento mais alto, que é o tenancy.
    Importante

    Sua política falhará se você não usar a tenancy.
  15. Selecione Mostrar editor manual.
  16. Digite as instruções de política a seguir no campo Criador de Política: 
    allow dynamic-group data-science-dynamic-group to manage data-science-family in compartment data-science-work
allow dynamic-group data-science-dynamic-group to manage dataflow-family in compartment data-science-work
allow dynamic-group data-science-dynamic-group to read compartments in tenancy
allow dynamic-group data-science-dynamic-group to read users in tenancy
allow dynamic-group data-science-dynamic-group to use log-content in compartment data-science-work
allow dynamic-group data-science-dynamic-group to use log-groups in compartment data-science-work
allow dynamic-group data-science-dynamic-group to manage object-family in compartment data-science-work
  17. Selecione Criar para criar a política.

Você pode usar esse grupo dinâmico para fornecer às sessões de notebook e às implantações de modelo que estão no compartimento data-science-work acesso a outros recursos do OCI na tenancy.

Explicação das políticas:

  • Para permitir que as sessões de notebook executem operações CRUD em entradas no catálogo de modelos, projetos e recursos de sessão de notebook, adicione:

    allow dynamic-group data-science-dynamic-group to manage data-science-family in compartment data-science-work

  • Para permitir que sessões de notebook executem operações CRUD em aplicativos e execuções do serviço Data Flow, adicione:

    allow dynamic-group data-science-dynamic-group to manage dataflow-family in compartment data-science-work

  • Para permitir que sessões de notebook listar e ler compartimentos e nomes de usuário que estão na tenancy, adicione:

    allow dynamic-group data-science-dynamic-group to read compartments in tenancy
allow dynamic-group data-science-dynamic-group to read users in tenancy

  • Para permitir que implantações de modelo emitam logs para o serviço Logging, adicione:

    allow dynamic-group data-science-dynamic-group to use log-content in compartment data-science-work

  • Para permitir que execuções de jobs crie logs e registre os detalhes da execução de job no serviço Logging, adicione:

    allow dynamic-group data-science-dynamic-group to use log-groups in compartment data-science-work

  • Para permitir que sessões de notebook e implantações de modelo possam ler e gravar arquivos em buckets de armazenamento de objetos, no compartimento data-science-work, adicione:

    allow dynamic-group data-science-dynamic-group to manage object-family in compartment data-science-work
Dica

  • A política anterior permite que implantações de modelo acessem qualquer bucket no compartimento data-science-work.
  • Para conceder às implantações de modelo acesso de leitura a buckets específicos fora do compartimento data-science-work, especifique os nomes dos bucket e os compartimentos deles na sua política.
  • Exemplo: Para permitir que implantações do modelo acessem ambientes conda publicados do bucket published-conda-env e artefatos do modelo do bucket model-artifacts , adicione:
    allow dynamic-group data-science-dynamic-group to read objects in compartment <another-compartment> where ANY {target.bucket.name='published-conda-envs', target.bucket.name='model-artifacts'}
  • Se suas instruções de política mencionarem tenancy ou incluírem compartimentos fora do compartimento data-science-work, na caixa de diálogo Criar Política, para a opção Compartimento, selecione <your-tenancy> (root) . Dessa forma, além do seu compartimento, a política pode incluir regras para outros compartimentos na tenancy.

6. Criando uma Sessão de Notebook

Por último, crie uma sessão de notebook e teste o acesso à Internet pública.

  1. Abra o menu de navegação e selecione Análise e IA. Em Machine Learning, selecione Data Science.
  2. Selecione Criar Projeto.
  3. Selecione o compartimento data-science.
  4. (Opcional) Digite Projeto Inicial para o Nome.
  5. (Opcional) Digite meu primeiro projeto para a Descrição.
  6. Selecione Criar.
  7. SelecioneCriar sessão de notebook.
  8. Para Compartimento, selecione data-science-work.
  9. (Opcional) Digite my-first-notebook-session para o Nome.
  10. Para Forma de computação, clique em Selecionar.
  11. Escolha as seguintes opções:
    • Tipo de Instância: Máquina virtual
    • Série de Formas: Intel
    • Nome da Forma: VM.Standard3. Flex
  12. Para VM.Standard3. Flex, mantenha as alocações padrão:
    • Número de OCPUs: 1
    • Volume de memória (GB): 16
  13. Selecione Selecionar forma.
  14. Para Tamanho do armazenamento em bloco, digite 100 GBs para anexar à sua máquina virtual.
  15. Selecione Rede personalizada e selecione a VCN datascience-vcn e a sub-rede Private Subnet-datascience-vcn para rotear o tráfego de saída da sessão de notebook.
    Em vez de Rede personalizada, você pode escolher a opção Rede padrão que cria a rede para você. Com a rede padrão, você pode ignorar a Etapa 3. Criando uma seção de VCN e Sub-rede deste tutorial. Este tutorial mostra a rede personalizada para usuários com configurações personalizadas, para que eles possam ver as etapas.
  16. SelecioneExibir página de detalhe ao clicar em criar.
  17. Selecione Criar para criar sua primeira sessão de notebook.

    A criação da sessão de notebook leva alguns minutos. Quando o status da sessão de notebook for Ativo, você poderá abrir a sessão de notebook.

  18. Selecione Abrir.
  19. Informe suas credenciais do Oracle Cloud Infrastructure para acessar a IU do JupyterLab.
  20. Se não houver uma guia chamada Launcher, selecione File e New Launcher.
  21. No Iniciador, em Outros, selecione o ícone Terminal para iniciar uma nova sessão de terminal.
  22. Para executar um teste simples, verifique se você pode acessar a internet pública na sua sessão de notebook executando este comando: 
    wget --spider https://www.oracle.com

    Você deverá ver uma resposta semelhante a:

    (base) bash-4.2$ wget --spider https://www.oracle.com
Spider mode enabled. Check if remote file exists.
--<date>--  https://www.oracle.com/
Resolving www.oracle.com (www.oracle.com)... 
Connecting to www.oracle.com (www.oracle.com)... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Remote file exists and could contain further links,
but recursion is disabled -- not retrieving.

    A mensagem HTTP request sent, awaiting response... 200 OK indica um teste bem-sucedido e você tem acesso à Internet pública na sua sessão de notebook.