Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Foundry uspořádává úlohy AI prostřednictvím vrstvené architektury: vrcholový zdroj Foundry pro řízení správy, projekty pro izolační vývoj, a propojené Azure služby pro správu úložiště, vyhledávání a utajovaných informací.
Tento článek poskytuje IT provozní a bezpečnostní týmy s podrobnostmi o prostředku Foundry a základní architektuře služeb Azure, jejich komponenty a vztahu k ostatním typům prostředků Azure. Tyto informace vám povedou, jak přizpůsobit nasazení Foundry požadavkům vaší organizace. Další informace o zavedení Foundry ve vaší organizaci najdete v tématu Zavedení Foundry.
Kdy použít tuto architekturu
Zvažte model prostředků Foundry, pokud váš scénář zahrnuje:
- První nastavení: Spouštíte nový projekt AI a chcete jeden prostředek, který spojuje přístup k modelu, hostování agenta a nástroje pro vyhodnocení.
- Přístup více týmů: Několik týmů potřebuje izolované projekty s nasazeními sdíleného modelu a centralizovanými zásadami správného řízení.
- Design řízený souladem: Vaše organizace vyžaduje privátní sítě, šifrování spravované zákazníky nebo rozsah řízení přístupu k Azure na základě rolí na úrovni prostředků i projektů.
: Přecházíte ze samostatného prostředku Azure OpenAI a chcete zachovat stávající zásady a RBAC a přidat funkce agenta a hodnocení.
Pro průzkum s jedním vývojářem se jako výchozí doporučuje zdroj Foundry s jedním projektem. Pokud vaše pracovní úloha vyžaduje pouze dokončování Azure OpenAI, a nikoli hostování nebo vyhodnocení agenta, může být dostatečný nezávislý prostředek Azure OpenAI.
Azure typy a poskytovatelé prostředků AI
V rámci produktové řady Azure AI můžete použít tyto poskytovatele prostředků Azure, kteří podporují potřeby uživatelů v různých vrstvách zásobníku.
| Poskytovatel prostředků | Účel | Podporované služby |
|---|---|---|
| Microsoft. CognitiveServices | Podporuje vývoj aplikací Agentic a GenAI a vytváření a přizpůsobení předem připravených modelů. | Slévárna; Azure OpenAI; Azure Speech v nástrojích Foundry; Azure Language v nástrojích Foundry; Azure Vision v nástrojích Foundry |
| Microsoft.Search | Podporuje načítání znalostí z vašich dat. | Azure AI Vyhledávač |
Pro většinu scénářů vývoje AI, včetně vytváření agentů, nasazení modelu a pracovních postupů vyhodnocení, je doporučeným výchozím bodem prostředek Foundry. Zdroje Foundry sdílejí obor názvů poskytovatele Microsoft.CognitiveServices se službami, jako jsou Azure OpenAI, Speech, Vision a Language. Tento obor názvů sdíleného poskytovatele pomáhá sladit rozhraní API pro správu, vzory řízení přístupu, sítě a chování politik napříč souvisejícími prostředky AI.
Pomocí následující tabulky určete, který typ prostředku odpovídá vaší úloze. Zobrazuje konkrétní typy a funkce prostředků v rámci poskytovatele Microsoft.CognitiveServices:
| Typ prostředku | Poskytovatel prostředků a typ | Druh | Podporované možnosti |
|---|---|---|---|
| Microsoft Foundry | Microsoft.CognitiveServices/accounts |
AIServices |
Agenti, Hodnocení, Azure OpenAI, Speech, Vision, Language a Content Understanding |
| Projekt Foundry | Microsoft.CognitiveServices/accounts/projects |
AIServices |
Podsoubor k výše uvedenému |
| Azure Speech v nástrojích Foundry | Microsoft.CognitiveServices/accounts |
Speech |
Speech |
| Jazyk Azure v nástrojích Foundry | Microsoft.CognitiveServices/accounts |
Language |
Jazyk |
| Azure Vision v nástrojích Foundry | Microsoft.CognitiveServices/accounts |
Vision |
Vize |
Typy prostředků ve stejných oborech názvů poskytovatelů sdílejí stejná rozhraní pro správu API a používají podobné akce Azure Role-Based Access Control (Azure RBAC), síťové konfigurace a aliasy pro konfiguraci Azure Policy. Pokud upgradujete z Azure OpenAI na Foundry, budou platit vaše stávající vlastní zásady Azure a Azure akce RBAC.
Hierarchie prostředků Foundry
Následující diagram znázorňuje prostředek Foundry s nasazením modelu, nastavením zabezpečení, připojeními a dvěma projekty. Připojené služby Azure, jako: Storage, Key Vault a Azure AI Vyhledávač, jsou oddělené prostředky Azure v rámci vlastních hranic správy.
Důležité
Připojené prostředky, jako je Storage, Key Vault a Azure AI Vyhledávač, jsou nezávislé Azure prostředky s vlastními správními hranicemi. Pro tyto prostředky spravujete sítě, zásady přístupu a nastavení dodržování předpisů odděleně od prostředku Foundry.
Tento model použijte při plánování architektury a hranic přístupu:
- Foundry resource: Prostředek nejvyšší úrovně Azure, kde spravujete nastavení správy, jako je síťování, zabezpečení a nasazení modelů.
- Project: Hranice vývoje uvnitř prostředku Foundry, kde týmy sestavují a vyhodnocují případy použití. Projekty umožňují týmům vytvořit prototyp v předkonfigurovaném prostředí a opakovaně nasazovat stávající nasazení modelu a připojení bez opakovaného nastavení IT.
- Projektové prostředky: Soubory, agenti, vyhodnocení a související artefakty vymezené na projekt.
- Připojené prostředky: Azure služby, jako je Storage, Key Vault a Azure AI Vyhledávač, na které prostředky Foundry odkazují prostřednictvím připojení. Tyto prostředky mají samostatné hranice zásad správného řízení, takže zásady jejich sítí a přístupu spravujete nezávisle.
Toto oddělení umožňuje IT týmům používat centralizované ovládací prvky na úrovni zdrojů, zatímco vývojové týmy pracují v rámci hranic na úrovni projektu.
Poznámka
Většina nových rozhraní API je k dispozici v oboru projektu. Některé funkce původně podporované na úrovni účtu prostřednictvím Azure služeb OpenAI, Speech, Vision a Language jsou ale dostupné jenom na úrovni prostředků Foundry, ne v oboru projektu. Například rozhraní Translator API je k dispozici pouze na úrovni prostředku Foundry. Naplánujte strukturu nasazení na základě rozsahů rozhraní API, které vaše úlohy vyžadují.
Oddělení zájmů ze strany bezpečnosti
Foundry vynucuje jasné oddělení mezi operacemi správy a vývoje, aby se zajistily zabezpečené a škálovatelné úlohy AI.
Zásady správného řízení prostředků nejvyšší úrovně
Operace správy prostředků nejvyšší úrovně v rámci Foundry zahrnují konfiguraci zabezpečení, navázání propojení s dalšími službami Azure a správu nasazení. Vyhrazené kontejnery projektů izolují vývojové aktivity a poskytují hranice pro řízení přístupu, soubory, agenty a hodnocení.
Řízení přístupu na základě role
Akce RBAC Azure odrážejí toto oddělení zájmových oblastí. Akce řídicí roviny, například vytváření nasazení a projektů, se liší od akcí roviny dat, jako jsou sestavení agentů, spouštění vyhodnocení a nahrávání souborů. Přiřazení RBAC můžete vymezit jak na úrovni zdroje nejvyšší úrovně, tak na úrovni jednotlivých projektů. Přiřaďte spravované identity v kterémkoli z oborů, aby podporovaly zabezpečenou automatizaci a přístup ke službám. Další informace najdete v tématu Řízení přístupu na základěrole pro Microsoft Foundry.
Mezi běžná počáteční přiřazení pro onboarding s minimálními oprávněními patří:
Foundry User pro každý objekt zabezpečení vývojářského uživatele v oboru prostředků Foundry.
Důležité
Nedávno byly přejmenovány role Foundry RBAC. Foundry User, Foundry Owner, Foundry Account Owner a Foundry Project Manager se dříve nazývaly Uživatel Azure AI, Vlastník Azure AI, Vlastník účtu Azure AI a Správce projektů Azure AI. Během zavádění přejmenování se stále můžou zobrazovat předchozí názvy na některých místech. ID rolí a základní oprávnění se při přejmenování nezmění.
Uživatel Foundry pro každou spravovanou identitu projektu v oboru prostředků Foundry.
Definice rolí a pokyny k plánování rozsahu najdete v tématu Řízení přístupu na základě role pro Microsoft Foundry.
Monitorování a pozorovatelnost
Azure Monitor segmentuje metriky podle rozsahu. Metriky správy a využití můžete zobrazit v prostředku nejvyšší úrovně, zatímco metriky specifické pro projekt, jako je například výkon vyhodnocení nebo aktivita agenta, jsou vymezeny na jednotlivé kontejnery projektů.
Mezi klíčové možnosti monitorování patří:
- Metriky na úrovni prostředků: Spotřeba tokenů, latence modelu, počty požadavků a míra chyb ve všech projektech.
- Metriky na úrovni projektu: Výsledky vyhodnocení spuštění, počty volání agenta a aktivity operace se soubory.
- Diagnostické protokolování: Povolení nastavení diagnostiky pro směrování protokolů do Log Analytics, úložiště nebo služby Event Hubs pro účely analýzy a uchovávání.
Další informace najdete v tématu Azure Monitor overview.
Výpočetní infrastruktura
Foundry spravuje výpočetní infrastrukturu pro hostování modelů, spouštění agentů a dávkové zpracování. Tato část se zabývá typy nasazení, infrastrukturou agenta a vyhodnocením, integrací virtuální sítě, izolací tenantů, ovládacími prvky zabezpečení obsahu a regionální dostupností.
Typy nasazení modelu
Foundry podporuje více typů nasazení pro hostování modelů seskupené podle oboru zpracování dat: globální (mezi oblastmi), zóna dat (v rámci definované hranice) a regionální (jedna oblast). Každý typ vyrovnává latenci, propustnost a umístění zpracování dat odlišně:
| Typ nasazení | Zpracování dat | Fakturace |
|---|---|---|
| Global Standard | Mezi oblastmi, spravované Azurem | Platba za token |
| Globální zajištění | Mezi oblastmi, spravované Azurem | Hodinová rezervovaná kapacita |
| Globální šarže | Mezi oblastmi, spravované Azurem | Ceny tokenů služby Batch |
| Standard datové zóny | V rámci hranice datové zóny | Platba za token |
| Zřízená datová zóna | V rámci hranice datové zóny | Hodinová rezervovaná kapacita |
| Dávka datové zóny | V rámci hranice datové zóny | Ceny tokenů služby Batch |
| Standard | Jedna oblast | Platba za token |
| Poskytnuto regionálně | Jedna oblast | Hodinová rezervovaná kapacita |
| Developer | Libovolná Azure oblast (žádná záruka rezidence dat) | Platba za token (pouze vyhodnocení jemně doladěného modelu; 24hodinová životnost; bez SLA) |
Podrobnosti o tom, jak zvolit správný typ nasazení, najdete v tématu Typy nasazení pro Foundry Models.
Agenti, vyhodnocení a dávkové zpracování
Agenti, hodnocení a dávkové úlohy jsou plně spravovány společností Microsoft. Úlohy agentů běží v infrastruktuře kontejneru platformy, která podporuje integraci virtuální sítě pro scénáře izolované v síti. Vyhodnocení vyvolávají koncové body modelu, porovnávají výstupy s kritérii známkování a ukládají výsledky v rámci oboru projektu. Fronty dávkového zpracování odvozují požadavky na asynchronní spouštění při snížené ceně za tokeny. Výsledky pro všechny tři typy úloh jsou přístupné prostřednictvím portálu nebo sady SDK.
Integrace virtuální sítě
Když se vaši agenti připojují k externím systémům, můžete izolovat síťový provoz pomocí vstřikování kontejneru, kde platforma vloží podsíť do vaší virtuální sítě, což umožňuje místní komunikaci s vašimi Azure prostředky ve stejné virtuální síti.
Foundry podporuje dva síťové modely pro odchozí izolaci:
| Model | Jak to funguje | Kompromis |
|---|---|---|
| Virtuální síť spravovaná zákazníkem (BYO) | Vy poskytnete virtuální síť a vyhrazenou podsíť delegovanou na Microsoft.App/environments. Platforma se vloží do vaší podsítě a umožní místní komunikaci s vašimi privátními Azure prostředky. |
Úplná kontrola konfigurace sítě; vyžaduje vlastní správu sítě. |
| Spravovaná virtuální síť | Foundry spravuje virtuální síť vaším jménem. | Jednodušší nastavení; omezené možnosti přizpůsobení. Podrobnosti najdete v tématu Konfigurace spravované virtuální sítě. |
Poznámka
Některé scénáře izolované v síti vyžadují místo portálu sadu SDK nebo rozhraní příkazového řádku. Například nasazení s privátními koncovými body, které blokují veškerý veřejný přístup, se nedají konfigurovat prostřednictvím uživatelského rozhraní portálu. Podrobnosti najdete v tématu Postup konfigurace privátního propojení pro Foundry.
Izolace nájemce
Pracovní zátěže běží v logicky izolovaných prostředích, která jsou spojena s prostředky Foundry. Kód zákazníka nesdílí kontejnery modulu runtime s jinými tenanty.
Bezpečnost obsahu a mantinely
Foundry integruje ovládací prvky zabezpečení obsahu do modelu a kanálu odvozování agentů. Mantinely definují rizika pro detekci, zásahové body kontroly (vstup uživatele, výstup, volání nástrojů (Preview) a reakce na nástroje (Preview)) a akce odpovědí při zjištění rizika. Filtry obsahu se spouštějí v souladu s požadavky modelu a dají se nakonfigurovat pro každé nasazení. Další informace naleznete v tématu Ochranné mantinely a ovládací prvky přehled a úrovně závažnosti filtrování obsahu.
Regionální dostupnost
Výpočetní funkce se liší podle oblasti Azure. Dostupnost modelu, možnosti typu nasazení a podpora funkcí, jako jsou agenti nebo hodnocení, se můžou v různých oblastech lišit. Před zřízením ověřte, že vaše cílová oblast podporuje požadované funkce. Aktuální dostupnost najdete v tématu Dostupnost funkcí napříč cloudovými oblastmi.
Úložiště dat
Foundry poskytuje flexibilní a zabezpečené možnosti úložiště dat pro podporu široké škály úloh AI.
Spravované úložiště pro nahrání souborů
Ve výchozím nastavení používá Foundry Microsoft spravované účty úložiště, které jsou logicky oddělené a podporují přímé nahrávání souborů pro vybrané případy použití, jako jsou modely OpenAI a agenti, aniž by vyžadoval účet úložiště poskytnuté zákazníkem.
Přineste si vlastní úložiště
Volitelně můžete připojit vlastní účty Azure Storage. Nástroje Foundry, jako jsou vyhodnocení a dávkové zpracování, mohou číst vstupy z těchto účtů a zapisovat do nich výstupy. Podrobnosti o podporovaných scénářích najdete v tématu Používání vlastních prostředků se službou Agent.
Úložiště stavu agenta
- S nastavením basic agenta ukládá služba Agent vlákna, zprávy a soubory ve víceklientském úložišti spravovaném Microsoftem, s logickým oddělením.
- S nastavením agenta standard můžete použít vlastní Azure prostředky pro všechna zákaznická data, včetně souborů, konverzací a úložišť vektorů. V této konfiguraci jsou data izolovaná podle projektu v rámci účtů úložiště.
Šifrování klíče spravovaného zákazníkem
Ve výchozím nastavení Azure služby šifrují neaktivní uložená data a přenášená data pomocí klíčů spravovaných Microsoft se standardem FIPS 140-2 vyhovujícím 256bitovému šifrování AES. Nejsou vyžadovány žádné změny kódu.
Pokud chcete místo toho použít vlastní klíče, před povolením klíčů spravovaných zákazníkem pro Foundry potvrďte tyto požadavky:
- Key Vault se nasadí ve stejné oblasti Azure jako prostředek Foundry.
- V Key Vault je povoleno měkké odstranění a ochrana proti vymazání.
- Spravované identity mají požadovaná oprávnění ke klíči, jako je role Key Vault Crypto User při použití Azure RBAC.
Přinést vlastní Key Vault
Foundry ve výchozím nastavení ukládá všechny tajné kódy připojení založené na klíčích rozhraní API ve spravovaném Azure Key Vault. Pokud dáváte přednost správě tajných kódů sami, připojte trezor klíčů k prostředku Foundry. Jedno připojení k Azure Key Vault spravuje všechna tajemství připojení na úrovni projektu a prostředků. Další informace viz jak nastavit připojení Azure Key Vault s Foundry.
Další informace o šifrování dat najdete v tématu Klíče spravované zákazníkem pro šifrování pomocí Foundry.
Rezidence dat a dodržování předpisů
Foundry ukládá všechny uložené údaje v určené geografické oblasti Azure. Data odvozování (výzvy a dokončení) se zpracovávají podle typu nasazení: globální nasazení mohou být směrována do libovolného regionu Azure, nasazení zóny dat zůstanou v rámci zóny USA nebo EU, a standardní nebo regionální nasazení se zpracovávají v jejich příslušné oblasti nasazení. Podrobnosti najdete v tématu Typy nasazení. Foundry nepodporuje automatické převzetí služeb při selhání mezi oblastmi. Pokud vaše organizace vyžaduje dostupnost ve více oblastech, nasaďte samostatné prostředky Foundry v každé cílové oblasti a spravujte synchronizaci a směrování dat na aplikační vrstvě. Podrobnosti o certifikaci dodržování předpisů najdete v dokumentaci k dodržování předpisů Azure.
Ověření rozhodnutí o architektuře
Před uvedením ověřte pro cílové prostředí následující:
- Ověřte, že jsou požadované modely a funkce dostupné v oblastech nasazení. Podrobnosti najdete v tématu Dostupnost funkcí napříč oblastmi cloudu.
- Zkontrolujte, jestli jsou přiřazení rolí správně vymezená na úrovni zdroje Foundry i projektu. Podrobnosti najdete v tématu Řízení přístupu na základěrole pro Microsoft Foundry.
- Ověřte požadavky na izolaci sítě a cesty privátního přístupu. Podrobnosti najdete v tématu Postup konfigurace privátního propojení pro Foundry.
- Potvrďte požadavky na šifrování a správu tajných kódů, včetně klíčů spravovaných zákazníkem a integrace Azure Key Vault. Podrobnosti najdete v tématu Klíče spravované zákazníkem pro šifrování pomocí Foundry a jak navázat připojení Azure Key Vault k Foundry.
- Zkontrolujte kvóty a limity cílových prostředků, včetně omezení nasazení modelu a omezení rychlosti. Podrobnosti najdete na stránkách Azure OpenAI kvóty a limity a Agent Service limity, kvóty a regiony.
Související obsah
- Nasazení platformy Foundry v rámci mé organizace
- Řízení přístupu na základěrole pro Microsoft Foundry
- Klíče spravované zákazníkem pro šifrování pomocí Foundry
- Konfigurace privátního propojení pro Foundry
- Používání vlastních prostředků se službou Agent
- Azure Monitor - Přehled
- Kvóty a omezení pro Azure OpenAI
- Typy nasazení pro modely Foundry
- Přehled mantinelí a ovládacích prvků
- Dostupnost funkcí napříč oblastmi cloudu