Architektura Microsoft Foundry

Microsoft Foundry uspořádává úlohy AI prostřednictvím vrstvené architektury: vrcholový zdroj Foundry pro řízení správy, projekty pro izolační vývoj, a propojené Azure služby pro správu úložiště, vyhledávání a utajovaných informací.

Tento článek poskytuje IT provozní a bezpečnostní týmy s podrobnostmi o prostředku Foundry a základní architektuře služeb Azure, jejich komponenty a vztahu k ostatním typům prostředků Azure. Tyto informace vám povedou, jak přizpůsobit nasazení Foundry požadavkům vaší organizace. Další informace o zavedení Foundry ve vaší organizaci najdete v tématu Zavedení Foundry.

Kdy použít tuto architekturu

Zvažte model prostředků Foundry, pokud váš scénář zahrnuje:

  • První nastavení: Spouštíte nový projekt AI a chcete jeden prostředek, který spojuje přístup k modelu, hostování agenta a nástroje pro vyhodnocení.
  • Přístup více týmů: Několik týmů potřebuje izolované projekty s nasazeními sdíleného modelu a centralizovanými zásadami správného řízení.
  • Design řízený souladem: Vaše organizace vyžaduje privátní sítě, šifrování spravované zákazníky nebo rozsah řízení přístupu k Azure na základě rolí na úrovni prostředků i projektů.
  • : Přecházíte ze samostatného prostředku Azure OpenAI a chcete zachovat stávající zásady a RBAC a přidat funkce agenta a hodnocení.

Pro průzkum s jedním vývojářem se jako výchozí doporučuje zdroj Foundry s jedním projektem. Pokud vaše pracovní úloha vyžaduje pouze dokončování Azure OpenAI, a nikoli hostování nebo vyhodnocení agenta, může být dostatečný nezávislý prostředek Azure OpenAI.

Azure typy a poskytovatelé prostředků AI

V rámci produktové řady Azure AI můžete použít tyto poskytovatele prostředků Azure, kteří podporují potřeby uživatelů v různých vrstvách zásobníku.

Poskytovatel prostředků Účel Podporované služby
Microsoft. CognitiveServices Podporuje vývoj aplikací Agentic a GenAI a vytváření a přizpůsobení předem připravených modelů. Slévárna; Azure OpenAI; Azure Speech v nástrojích Foundry; Azure Language v nástrojích Foundry; Azure Vision v nástrojích Foundry
Microsoft.Search Podporuje načítání znalostí z vašich dat. Azure AI Vyhledávač

Pro většinu scénářů vývoje AI, včetně vytváření agentů, nasazení modelu a pracovních postupů vyhodnocení, je doporučeným výchozím bodem prostředek Foundry. Zdroje Foundry sdílejí obor názvů poskytovatele Microsoft.CognitiveServices se službami, jako jsou Azure OpenAI, Speech, Vision a Language. Tento obor názvů sdíleného poskytovatele pomáhá sladit rozhraní API pro správu, vzory řízení přístupu, sítě a chování politik napříč souvisejícími prostředky AI.

Pomocí následující tabulky určete, který typ prostředku odpovídá vaší úloze. Zobrazuje konkrétní typy a funkce prostředků v rámci poskytovatele Microsoft.CognitiveServices:

Typ prostředku Poskytovatel prostředků a typ Druh Podporované možnosti
Microsoft Foundry Microsoft.CognitiveServices/accounts AIServices Agenti, Hodnocení, Azure OpenAI, Speech, Vision, Language a Content Understanding
Projekt Foundry Microsoft.CognitiveServices/accounts/projects AIServices Podsoubor k výše uvedenému
Azure Speech v nástrojích Foundry Microsoft.CognitiveServices/accounts Speech Speech
Jazyk Azure v nástrojích Foundry Microsoft.CognitiveServices/accounts Language Jazyk
Azure Vision v nástrojích Foundry Microsoft.CognitiveServices/accounts Vision Vize

Typy prostředků ve stejných oborech názvů poskytovatelů sdílejí stejná rozhraní pro správu API a používají podobné akce Azure Role-Based Access Control (Azure RBAC), síťové konfigurace a aliasy pro konfiguraci Azure Policy. Pokud upgradujete z Azure OpenAI na Foundry, budou platit vaše stávající vlastní zásady Azure a Azure akce RBAC.

Hierarchie prostředků Foundry

Následující diagram znázorňuje prostředek Foundry s nasazením modelu, nastavením zabezpečení, připojeními a dvěma projekty. Připojené služby Azure, jako: Storage, Key Vault a Azure AI Vyhledávač, jsou oddělené prostředky Azure v rámci vlastních hranic správy.

Diagram zobrazující hierarchii prostředků Foundry s hranicí zásad správného řízení obsahující nasazení modelu, nastavení zabezpečení, připojení a dva projekty. Připojené prostředky, jako je Storage, Key Vault a Azure AI Vyhledávač, se zobrazují jako samostatné hranice zásad správného řízení.

Důležité

Připojené prostředky, jako je Storage, Key Vault a Azure AI Vyhledávač, jsou nezávislé Azure prostředky s vlastními správními hranicemi. Pro tyto prostředky spravujete sítě, zásady přístupu a nastavení dodržování předpisů odděleně od prostředku Foundry.

Tento model použijte při plánování architektury a hranic přístupu:

  • Foundry resource: Prostředek nejvyšší úrovně Azure, kde spravujete nastavení správy, jako je síťování, zabezpečení a nasazení modelů.
  • Project: Hranice vývoje uvnitř prostředku Foundry, kde týmy sestavují a vyhodnocují případy použití. Projekty umožňují týmům vytvořit prototyp v předkonfigurovaném prostředí a opakovaně nasazovat stávající nasazení modelu a připojení bez opakovaného nastavení IT.
  • Projektové prostředky: Soubory, agenti, vyhodnocení a související artefakty vymezené na projekt.
  • Připojené prostředky: Azure služby, jako je Storage, Key Vault a Azure AI Vyhledávač, na které prostředky Foundry odkazují prostřednictvím připojení. Tyto prostředky mají samostatné hranice zásad správného řízení, takže zásady jejich sítí a přístupu spravujete nezávisle.

Toto oddělení umožňuje IT týmům používat centralizované ovládací prvky na úrovni zdrojů, zatímco vývojové týmy pracují v rámci hranic na úrovni projektu.

Poznámka

Většina nových rozhraní API je k dispozici v oboru projektu. Některé funkce původně podporované na úrovni účtu prostřednictvím Azure služeb OpenAI, Speech, Vision a Language jsou ale dostupné jenom na úrovni prostředků Foundry, ne v oboru projektu. Například rozhraní Translator API je k dispozici pouze na úrovni prostředku Foundry. Naplánujte strukturu nasazení na základě rozsahů rozhraní API, které vaše úlohy vyžadují.

Oddělení zájmů ze strany bezpečnosti

Foundry vynucuje jasné oddělení mezi operacemi správy a vývoje, aby se zajistily zabezpečené a škálovatelné úlohy AI.

Zásady správného řízení prostředků nejvyšší úrovně

Operace správy prostředků nejvyšší úrovně v rámci Foundry zahrnují konfiguraci zabezpečení, navázání propojení s dalšími službami Azure a správu nasazení. Vyhrazené kontejnery projektů izolují vývojové aktivity a poskytují hranice pro řízení přístupu, soubory, agenty a hodnocení.

Řízení přístupu na základě role

Akce RBAC Azure odrážejí toto oddělení zájmových oblastí. Akce řídicí roviny, například vytváření nasazení a projektů, se liší od akcí roviny dat, jako jsou sestavení agentů, spouštění vyhodnocení a nahrávání souborů. Přiřazení RBAC můžete vymezit jak na úrovni zdroje nejvyšší úrovně, tak na úrovni jednotlivých projektů. Přiřaďte spravované identity v kterémkoli z oborů, aby podporovaly zabezpečenou automatizaci a přístup ke službám. Další informace najdete v tématu Řízení přístupu na základěrole pro Microsoft Foundry.

Mezi běžná počáteční přiřazení pro onboarding s minimálními oprávněními patří:

  • Foundry User pro každý objekt zabezpečení vývojářského uživatele v oboru prostředků Foundry.

    Důležité

    Nedávno byly přejmenovány role Foundry RBAC. Foundry User, Foundry Owner, Foundry Account Owner a Foundry Project Manager se dříve nazývaly Uživatel Azure AI, Vlastník Azure AI, Vlastník účtu Azure AI a Správce projektů Azure AI. Během zavádění přejmenování se stále můžou zobrazovat předchozí názvy na některých místech. ID rolí a základní oprávnění se při přejmenování nezmění.

  • Uživatel Foundry pro každou spravovanou identitu projektu v oboru prostředků Foundry.

Definice rolí a pokyny k plánování rozsahu najdete v tématu Řízení přístupu na základě role pro Microsoft Foundry.

Monitorování a pozorovatelnost

Azure Monitor segmentuje metriky podle rozsahu. Metriky správy a využití můžete zobrazit v prostředku nejvyšší úrovně, zatímco metriky specifické pro projekt, jako je například výkon vyhodnocení nebo aktivita agenta, jsou vymezeny na jednotlivé kontejnery projektů.

Mezi klíčové možnosti monitorování patří:

  • Metriky na úrovni prostředků: Spotřeba tokenů, latence modelu, počty požadavků a míra chyb ve všech projektech.
  • Metriky na úrovni projektu: Výsledky vyhodnocení spuštění, počty volání agenta a aktivity operace se soubory.
  • Diagnostické protokolování: Povolení nastavení diagnostiky pro směrování protokolů do Log Analytics, úložiště nebo služby Event Hubs pro účely analýzy a uchovávání.

Další informace najdete v tématu Azure Monitor overview.

Výpočetní infrastruktura

Foundry spravuje výpočetní infrastrukturu pro hostování modelů, spouštění agentů a dávkové zpracování. Tato část se zabývá typy nasazení, infrastrukturou agenta a vyhodnocením, integrací virtuální sítě, izolací tenantů, ovládacími prvky zabezpečení obsahu a regionální dostupností.

Typy nasazení modelu

Foundry podporuje více typů nasazení pro hostování modelů seskupené podle oboru zpracování dat: globální (mezi oblastmi), zóna dat (v rámci definované hranice) a regionální (jedna oblast). Každý typ vyrovnává latenci, propustnost a umístění zpracování dat odlišně:

Typ nasazení Zpracování dat Fakturace
Global Standard Mezi oblastmi, spravované Azurem Platba za token
Globální zajištění Mezi oblastmi, spravované Azurem Hodinová rezervovaná kapacita
Globální šarže Mezi oblastmi, spravované Azurem Ceny tokenů služby Batch
Standard datové zóny V rámci hranice datové zóny Platba za token
Zřízená datová zóna V rámci hranice datové zóny Hodinová rezervovaná kapacita
Dávka datové zóny V rámci hranice datové zóny Ceny tokenů služby Batch
Standard Jedna oblast Platba za token
Poskytnuto regionálně Jedna oblast Hodinová rezervovaná kapacita
Developer Libovolná Azure oblast (žádná záruka rezidence dat) Platba za token (pouze vyhodnocení jemně doladěného modelu; 24hodinová životnost; bez SLA)

Podrobnosti o tom, jak zvolit správný typ nasazení, najdete v tématu Typy nasazení pro Foundry Models.

Agenti, vyhodnocení a dávkové zpracování

Agenti, hodnocení a dávkové úlohy jsou plně spravovány společností Microsoft. Úlohy agentů běží v infrastruktuře kontejneru platformy, která podporuje integraci virtuální sítě pro scénáře izolované v síti. Vyhodnocení vyvolávají koncové body modelu, porovnávají výstupy s kritérii známkování a ukládají výsledky v rámci oboru projektu. Fronty dávkového zpracování odvozují požadavky na asynchronní spouštění při snížené ceně za tokeny. Výsledky pro všechny tři typy úloh jsou přístupné prostřednictvím portálu nebo sady SDK.

Integrace virtuální sítě

Když se vaši agenti připojují k externím systémům, můžete izolovat síťový provoz pomocí vstřikování kontejneru, kde platforma vloží podsíť do vaší virtuální sítě, což umožňuje místní komunikaci s vašimi Azure prostředky ve stejné virtuální síti.

Foundry podporuje dva síťové modely pro odchozí izolaci:

Model Jak to funguje Kompromis
Virtuální síť spravovaná zákazníkem (BYO) Vy poskytnete virtuální síť a vyhrazenou podsíť delegovanou na Microsoft.App/environments. Platforma se vloží do vaší podsítě a umožní místní komunikaci s vašimi privátními Azure prostředky. Úplná kontrola konfigurace sítě; vyžaduje vlastní správu sítě.
Spravovaná virtuální síť Foundry spravuje virtuální síť vaším jménem. Jednodušší nastavení; omezené možnosti přizpůsobení. Podrobnosti najdete v tématu Konfigurace spravované virtuální sítě.

Poznámka

Některé scénáře izolované v síti vyžadují místo portálu sadu SDK nebo rozhraní příkazového řádku. Například nasazení s privátními koncovými body, které blokují veškerý veřejný přístup, se nedají konfigurovat prostřednictvím uživatelského rozhraní portálu. Podrobnosti najdete v tématu Postup konfigurace privátního propojení pro Foundry.

Izolace nájemce

Pracovní zátěže běží v logicky izolovaných prostředích, která jsou spojena s prostředky Foundry. Kód zákazníka nesdílí kontejnery modulu runtime s jinými tenanty.

Bezpečnost obsahu a mantinely

Foundry integruje ovládací prvky zabezpečení obsahu do modelu a kanálu odvozování agentů. Mantinely definují rizika pro detekci, zásahové body kontroly (vstup uživatele, výstup, volání nástrojů (Preview) a reakce na nástroje (Preview)) a akce odpovědí při zjištění rizika. Filtry obsahu se spouštějí v souladu s požadavky modelu a dají se nakonfigurovat pro každé nasazení. Další informace naleznete v tématu Ochranné mantinely a ovládací prvky přehled a úrovně závažnosti filtrování obsahu.

Regionální dostupnost

Výpočetní funkce se liší podle oblasti Azure. Dostupnost modelu, možnosti typu nasazení a podpora funkcí, jako jsou agenti nebo hodnocení, se můžou v různých oblastech lišit. Před zřízením ověřte, že vaše cílová oblast podporuje požadované funkce. Aktuální dostupnost najdete v tématu Dostupnost funkcí napříč cloudovými oblastmi.

Úložiště dat

Foundry poskytuje flexibilní a zabezpečené možnosti úložiště dat pro podporu široké škály úloh AI.

Spravované úložiště pro nahrání souborů

Ve výchozím nastavení používá Foundry Microsoft spravované účty úložiště, které jsou logicky oddělené a podporují přímé nahrávání souborů pro vybrané případy použití, jako jsou modely OpenAI a agenti, aniž by vyžadoval účet úložiště poskytnuté zákazníkem.

Přineste si vlastní úložiště

Volitelně můžete připojit vlastní účty Azure Storage. Nástroje Foundry, jako jsou vyhodnocení a dávkové zpracování, mohou číst vstupy z těchto účtů a zapisovat do nich výstupy. Podrobnosti o podporovaných scénářích najdete v tématu Používání vlastních prostředků se službou Agent.

Úložiště stavu agenta

  • S nastavením basic agenta ukládá služba Agent vlákna, zprávy a soubory ve víceklientském úložišti spravovaném Microsoftem, s logickým oddělením.
  • S nastavením agenta standard můžete použít vlastní Azure prostředky pro všechna zákaznická data, včetně souborů, konverzací a úložišť vektorů. V této konfiguraci jsou data izolovaná podle projektu v rámci účtů úložiště.

Šifrování klíče spravovaného zákazníkem

Ve výchozím nastavení Azure služby šifrují neaktivní uložená data a přenášená data pomocí klíčů spravovaných Microsoft se standardem FIPS 140-2 vyhovujícím 256bitovému šifrování AES. Nejsou vyžadovány žádné změny kódu.

Pokud chcete místo toho použít vlastní klíče, před povolením klíčů spravovaných zákazníkem pro Foundry potvrďte tyto požadavky:

  • Key Vault se nasadí ve stejné oblasti Azure jako prostředek Foundry.
  • V Key Vault je povoleno měkké odstranění a ochrana proti vymazání.
  • Spravované identity mají požadovaná oprávnění ke klíči, jako je role Key Vault Crypto User při použití Azure RBAC.

Přinést vlastní Key Vault

Foundry ve výchozím nastavení ukládá všechny tajné kódy připojení založené na klíčích rozhraní API ve spravovaném Azure Key Vault. Pokud dáváte přednost správě tajných kódů sami, připojte trezor klíčů k prostředku Foundry. Jedno připojení k Azure Key Vault spravuje všechna tajemství připojení na úrovni projektu a prostředků. Další informace viz jak nastavit připojení Azure Key Vault s Foundry.

Další informace o šifrování dat najdete v tématu Klíče spravované zákazníkem pro šifrování pomocí Foundry.

Rezidence dat a dodržování předpisů

Foundry ukládá všechny uložené údaje v určené geografické oblasti Azure. Data odvozování (výzvy a dokončení) se zpracovávají podle typu nasazení: globální nasazení mohou být směrována do libovolného regionu Azure, nasazení zóny dat zůstanou v rámci zóny USA nebo EU, a standardní nebo regionální nasazení se zpracovávají v jejich příslušné oblasti nasazení. Podrobnosti najdete v tématu Typy nasazení. Foundry nepodporuje automatické převzetí služeb při selhání mezi oblastmi. Pokud vaše organizace vyžaduje dostupnost ve více oblastech, nasaďte samostatné prostředky Foundry v každé cílové oblasti a spravujte synchronizaci a směrování dat na aplikační vrstvě. Podrobnosti o certifikaci dodržování předpisů najdete v dokumentaci k dodržování předpisů Azure.

Ověření rozhodnutí o architektuře

Před uvedením ověřte pro cílové prostředí následující: