Architektura Azure AI Studia
AI Studio poskytuje vývojářům AI a datovým vědcům jednotné prostředí, které umožňuje vytvářet, vyhodnocovat a nasazovat modely AI prostřednictvím webového portálu, sady SDK nebo rozhraní příkazového řádku. AI Studio je postavené na možnostech a službách poskytovaných jinými službami Azure.
Prostředky AI Studio nejvyšší úrovně (centrum a projekt) jsou založené na službě Azure Machine Learning. Připojené prostředky, jako jsou Azure OpenAI, služby Azure AI a Azure AI Search, používají centrum a projekt v referenčních informacích, ale sledují vlastní životní cyklus správy prostředků.
- Centrum AI: Centrum je prostředek nejvyšší úrovně v AI Studiu. Poskytovatel prostředků Azure pro centrum je
Microsoft.MachineLearningServices/workspacesa druh prostředku jeHub. Poskytuje následující funkce:- Konfigurace zabezpečení včetně spravované sítě, která zahrnuje projekty a koncové body modelu.
- Výpočetní prostředky pro interaktivní vývoj, vyladění, opensourcové a bezserverové nasazení modelu
- Připojení k dalším službám Azure, jako jsou Azure OpenAI, služby Azure AI a Azure AI Search. Připojení s vymezeným centrem se sdílí s projekty vytvořenými z centra.
- Správa projektu. Centrum může mít více podřízených projektů.
- Přidružený účet úložiště Azure pro ukládání dat a úložiště artefaktů.
- Projekt AI: Projekt je podřízeným zdrojem centra. Poskytovatel prostředků Azure pro projekt je
Microsoft.MachineLearningServices/workspacesa druh prostředku jeProject. Projekt poskytuje následující funkce:- Přístup k vývojovým nástrojům pro vytváření a přizpůsobení aplikací AI
- Opakovaně použitelné komponenty, včetně datových sad, modelů a indexů
- Izolovaný kontejner pro nahrání dat do (v rámci úložiště zděděného z centra)
- Připojení s vymezeným projektem Členové projektu můžou například potřebovat soukromý přístup k datům uloženým v účtu Azure Storage, aniž by museli stejný přístup k jiným projektům.
- Nasazení opensourcového modelu z katalogu a jemně vyladěných koncových bodů modelu
Centrální nastavení a řízení pomocí center
Centra poskytují centrální způsob řízení zabezpečení, připojení a výpočetních prostředků napříč dětskými hřištěmi a projekty. Projekty vytvořené pomocí centra dědí stejná nastavení zabezpečení a sdílený přístup k prostředkům. Týmy můžou vytvářet tolik projektů, kolik je potřeba k uspořádání práce, izolace dat nebo omezení přístupu.
Projekty v obchodní doméně často vyžadují přístup ke stejným prostředkům společnosti, jako jsou vektorové indexy, koncové body modelu nebo úložiště. Jako vedoucí týmu můžete předem nakonfigurovat připojení k těmto prostředkům v rámci centra, aby k nim vývojáři měli přístup z jakéhokoli nového pracovního prostoru projektu bez zpoždění v IT.
Připojení umožňují přístup k objektům v AI Studiu, které se spravují mimo vaše centrum. Například nahraná data do účtu úložiště Azure nebo nasazení modelu u existujícího prostředku Azure OpenAI. Připojení lze sdílet s každým projektem nebo zpřístupnit jednomu konkrétnímu projektu. Připojení se dají nakonfigurovat tak, aby používala přístup založený na klíči nebo předávání Microsoft Entra ID k autorizaci přístupu uživatelům v připojeném prostředku. Jako správce můžete sledovat, auditovat a spravovat připojení v organizaci z jednoho zobrazení v AI Studiu.
Uspořádání podle potřeb vašeho týmu
Počet center a projektů, které potřebujete, závisí na způsobu práce. Pro velký tým s podobnými potřebami přístupu k datům můžete vytvořit jedno centrum. Tato konfigurace maximalizuje nákladovou efektivitu, sdílení prostředků a minimalizuje režijní náklady na nastavení. Například centrum pro všechny projekty související s zákaznickou podporou.
Pokud v rámci strategie LLMOps nebo MLOps vyžadujete izolaci mezi vývojem, testováním a produkčním prostředím, zvažte vytvoření centra pro každé prostředí. V závislosti na připravenosti vašeho řešení pro produkční prostředí se můžete rozhodnout replikovat pracovní prostory projektu v každém prostředí nebo jenom v jednom.
Typy prostředků a poskytovatelé Azure
Azure AI Studio je postavené na poskytovateli prostředků Azure Machine Learning a využívá závislost na několika dalších službách Azure. Poskytovatelé prostředků pro tyto služby musí být zaregistrovaní ve vašem předplatném Azure. Následující tabulka uvádí typy prostředků, poskytovatele a druh:
| Typ prostředku | Poskytovatel prostředků | Kind |
|---|---|---|
| Centrum Azure AI Studio | Microsoft.MachineLearningServices/workspace |
hub |
| Projekt Azure AI Studio | Microsoft.MachineLearningServices/workspace |
project |
| Služby Azure AI nebo Služba Azure AI OpenAI |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
Při vytváření nového centra se k ukládání dat vyžaduje sada závislých prostředků Azure, získání přístupu k modelům a poskytnutí výpočetních prostředků pro přizpůsobení AI. Následující tabulka uvádí závislé prostředky Azure a jejich poskytovatele prostředků:
Tip
Pokud při vytváření centra nezadáte závislý prostředek a jedná se o požadovanou závislost, AI Studio za vás prostředek vytvoří.
| Závislý prostředek Azure | Poskytovatel prostředků | Volitelné | Poznámka: |
|---|---|---|---|
| Azure AI Vyhledávač | Microsoft.Search/searchServices |
✔ | Poskytuje možnosti vyhledávání pro vaše projekty. |
| Účet služby Azure Storage | Microsoft.Storage/storageAccounts |
Ukládá artefakty pro vaše projekty, jako jsou toky a vyhodnocení. Pro izolaci dat jsou kontejnery úložiště předpony pomocí guid projektu a podmíněně zabezpečené pomocí Azure ABAC pro identitu projektu. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
Ukládá tajné kódy, jako jsou připojovací řetězec pro připojení prostředků. V případě izolace dat se tajné kódy nedají načítat napříč projekty prostřednictvím rozhraní API. | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Ukládá image Dockeru vytvořené při použití vlastního modulu runtime pro tok výzvy. V případě izolace dat jsou image Dockeru předponou pomocí identifikátoru GUID projektu. |
| Aplikace Azure lication Insights & Pracovní prostor Log Analytics |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Používá se jako úložiště protokolů, když se rozhodnete pro protokolování na úrovni aplikace pro nasazené toky výzvy. |
Informace o registraci poskytovatelů prostředků najdete v tématu Registrace poskytovatele prostředků Azure.
Prostředky hostované Microsoftem
Většina prostředků používaných službou Azure AI Studio se nachází ve vašem předplatném Azure, ale některé prostředky jsou v předplatném Azure spravovaném Microsoftem. Náklady na tyto spravované prostředky se zobrazují na faktuře Za Azure jako řádková položka v rámci poskytovatele prostředků Azure Machine Learning. Následující prostředky jsou v předplatném Azure spravovaném Microsoftem a nezobrazují se ve vašem předplatném Azure:
Spravované výpočetní prostředky: Poskytuje prostředky Azure Batch v předplatném Microsoftu.
Spravovaná virtuální síť: Poskytuje prostředky služby Azure Virtual Network v předplatném Microsoftu. Pokud jsou povolená pravidla plně kvalifikovaného názvu domény, přidá se brána Azure Firewall (standard) a bude se vám účtovat poplatky za vaše předplatné. Další informace najdete v tématu Konfigurace spravované virtuální sítě pro Azure AI Studio.
Úložiště metadat: Poskytuje prostředky Azure Storage v předplatném Microsoftu.
Poznámka:
Pokud používáte klíče spravované zákazníkem, prostředky úložiště metadat se vytvoří ve vašem předplatném. Další informace najdete v tématu Klíče spravované zákazníkem.
Spravované výpočetní prostředky a spravované virtuální sítě existují v předplatném Microsoftu, ale spravujete je. Můžete například určit, které velikosti virtuálních počítačů se používají pro výpočetní prostředky a která pravidla odchozích přenosů se konfigurují pro spravovanou virtuální síť.
Spravované výpočetní prostředky také vyžadují správa ohrožení zabezpečení. Správa ohrožení zabezpečení je sdílená odpovědnost mezi vámi a Microsoftem. Další informace najdete v tématu správa ohrožení zabezpečení.
Řízení přístupu na základě role a proxy roviny řízení
Služby Azure AI, včetně Azure OpenAI, poskytují koncové body roviny řízení pro operace, jako je výpis nasazení modelu. Tyto koncové body jsou zabezpečené pomocí samostatné konfigurace řízení přístupu na základě role v Azure (RBAC), než je konfigurace používaná pro centrum.
Aby se snížila složitost správy Azure RBAC, AI Studio poskytuje proxy řídicí roviny, která umožňuje provádět operace s připojenými službami Azure AI a prostředky Azure OpenAI. Provádění operací s těmito prostředky prostřednictvím proxy řídicí roviny vyžaduje pouze oprávnění Azure RBAC v centru. Služba Azure AI Studio pak provede volání služeb Azure AI nebo koncového bodu řídicí roviny Azure OpenAI vaším jménem.
Další informace najdete v tématu Řízení přístupu na základě role v Azure AI Studiu.
Řízení přístupu na základě atributů
Každé vytvořené centrum má výchozí účet úložiště. Každý podřízený projekt centra dědí účet úložiště centra. Účet úložiště slouží k ukládání dat a artefaktů.
K zabezpečení sdíleného účtu úložiště používá Azure AI Studio řízení přístupu na základě atributů Azure (Azure ABAC). Azure ABAC je model zabezpečení, který definuje řízení přístupu na základě atributů přidružených k uživateli, prostředku a prostředí. Každý projekt má:
- Instanční objekt, který má přiřazenou roli Přispěvatel dat objektů blob úložiště v účtu úložiště.
- Jedinečné ID (ID pracovního prostoru).
- Sada kontejnerů v účtu úložiště. Každý kontejner má předponu, která odpovídá hodnotě ID pracovního prostoru projektu.
Přiřazení role pro instanční objekt každého projektu má podmínku, která povoluje přístup instančního objektu pouze ke kontejnerům s odpovídající hodnotou předpony. Tato podmínka zajišťuje, aby každý projekt mohl přistupovat pouze k vlastním kontejnerům.
Poznámka:
Pro šifrování dat v účtu úložiště je obor celé úložiště, nikoli pro jednotlivé kontejnery. Všechny kontejnery se proto šifrují pomocí stejného klíče (od Microsoftu nebo zákazníka).
Další informace o řízení přístupu na základě přístupu v Azure najdete v tématu Co je řízení přístupu na základě atributů Azure.
Kontejnery v účtu úložiště
Výchozí účet úložiště pro centrum má následující kontejnery. Tyto kontejnery se vytvoří pro každý projekt a {workspace-id} předpona odpovídá jedinečnému ID projektu. Projekty přistupují k kontejneru pomocí připojení.
Tip
Pokud chcete najít ID projektu, přejděte na projekt na webu Azure Portal. Rozbalte nastavení a pak vyberte Vlastnosti. Zobrazí se ID pracovního prostoru.
| Název kontejneru | Název připojení | Popis |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Úložiště pro prostředky, jako jsou metriky, modely a komponenty. |
{workspace-ID}-blobstore |
workspaceblobstore | Úložiště pro nahrávání dat, snímky kódu úlohy a mezipaměť dat kanálu |
{workspace-ID}-code |
NA | Úložiště pro poznámkové bloky, výpočetní instance a tok výzvy |
{workspace-ID}-file |
NA | Alternativní kontejner pro nahrání dat |
Šifrování
Azure AI Studio používá šifrování k ochraně neaktivních uložených a přenášených dat. Ve výchozím nastavení se klíče spravované Microsoftem používají k šifrování. Můžete ale použít vlastní šifrovací klíče. Další informace najdete v tématu Klíče spravované zákazníkem.
Virtuální síť
Centrum je možné nakonfigurovat tak, aby používalo spravovanou virtuální síť. Spravovaná virtuální síť zabezpečuje komunikaci mezi centrem, projekty a spravovanými prostředky, jako jsou výpočty. Pokud vaše služby závislostí (Azure Storage, Key Vault a Container Registry) mají zakázaný veřejný přístup, vytvoří se privátní koncový bod pro každou službu závislostí pro zabezpečení komunikace mezi centrem a projektem a službou závislostí.
Poznámka:
Pokud chcete k zabezpečení komunikace mezi klienty a centrem nebo projektem použít virtuální síť, musíte použít virtuální síť Azure, kterou vytvoříte a spravujete. Například virtuální síť Azure, která používá připojení VPN nebo ExpressRoute k vaší místní síti.
Další informace o konfiguraci spravované virtuální sítě najdete v tématu Konfigurace spravované virtuální sítě pro Azure AI Studio.
Azure Monitor
Azure Monitor a Azure Log Analytics poskytují monitorování a protokolování základních prostředků používaných nástrojem Azure AI Studio. Vzhledem k tomu, že azure AI Studio je postavené na Azure Machine Learning, Azure OpenAI, službách Azure AI a Azure AI Search, naučte se monitorovat služby pomocí následujících článků:
| Prostředek | Monitorování a protokolování |
|---|---|
| Centrum a projekt Azure AI Studio | Monitorování služby Azure Machine Learning |
| Azure OpenAI | Monitorování Azure OpenAI |
| Služby Azure AI | Monitorování Azure AI (školení) |
| Azure AI Vyhledávač | Monitorování služby Azure AI Search |
Cena a kvóta
Další informace o cenách a kvótách najdete v následujících článcích:
Další kroky
Vytvořte centrum pomocí jedné z následujících metod:
- Azure AI Studio: Vytvoření centra pro začátek
- Azure Portal: Vytvořte centrum s vlastními sítěmi.
- Šablona Bicep
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro