Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Plán strukturovaného nasazení vám pomůže vyhnout se mezerám v zabezpečení, překročení nákladů a rozrůstaným přístupům při přijetí Microsoft Foundry ve velkém měřítku. Pomocí této příručky můžete definovat hranice úloh, zvolit topologii prostředků a vytvořit zásady správného řízení pro samoobslužné týmy.
Požadavky
Než začnete plánovat, potvrďte, že máte:
- Porozumění výchozímu uspořádání předplatného Azure a skupin prostředků ve vaší organizaci.
- Vstupy na požadavky vaší organizace na zabezpečení pro sítě, šifrování a izolaci dat.
- Počáteční plán oblasti založený na dostupnosti modelu a funkcí. Podrobnosti najdete v tématu Dostupnost funkcí napříč oblastmi cloudu.
- Smlouva o požadavcích na zabezpečení pro sítě, šifrování a izolaci dat ve vaší organizaci
- Inventář funkcí a rozhraní API Foundry, které vaše týmy plánují používat.
Definování hranic izolace
Začněte s Cloud Adoption Framework rozhodovacími pokyny ke sdílení platformy AI a pak tato rozhodnutí použijte u Foundry:
I když je každá situace jedinečná, pro společnou organizaci doporučujeme následující posloupnost:
- Definujte neopomenutelné hranice sdílení mezi obchodními jednotkami, datovými doménami, vlastnictvím produktů a úrovněmi prostředí.
- Nastavte produkční zásadu tak, aby ve výchozím nastavení vyžadovala izolaci, pokud zdokumentovaná výjimka nepovoluje společné umístění.
- Nastavte zásady pro průzkum tak, aby výchozí možností bylo společné umístění kvůli rychlejšímu experimentování, pokud dodržování předpisů nebo ověření nevyžaduje izolaci.
- Určete odpovědnost pro každou hranici, včetně odpovědnosti za zabezpečení, náklady a reakci na incidenty.
Identifikace požadavků na možnosti a přístup
Před dokončením topologie určete, které funkce a rozhraní API Foundry vyžadují jednotlivé úlohy.
Note
Ne všechna rozhraní API Foundry podporují celou řadu režimů ověřování, úrovní šifrování úložiště a izolaci na úrovni projektu. Některá rozhraní API služby Foundry Tools mohou vyžadovat přiřazení rolí v rozsahu nadřazeného prostředku Foundry.
V případě společně umístěných případů použití, které sdílejí jeden zdroj Foundry, použijte projekty Foundry jako izolované pracovní prostory pro každý případ použití. Týmy, které experimentují s myšlenkou, můžou například vytvořit projekt, který uspořádá koherentní prostředky, aniž by se opakovalo nastavení infrastruktury pro zabezpečení, nasazení modelů a přístup k nástrojům.
Většina novějších rozhraní API foundry orientovaných na agenty podporuje oprávnění oboru projektu. Některá tradiční rozhraní API Foundry Tools (dříve Azure AI Services), například pro převod řeči na text, stále vyžadují přístup v rozsahu nadřazeného prostředku. Naplánujte hranice a RBAC tak, aby byly všechny požadované možnosti dostupné v rámci zamýšleného rozsahu správy přístupu.
| Oblast schopností | Uspořádání podle projektu | izolace RBAC na úrovni projektu | Přineste si vlastní úložiště | Podpora sítí a šifrování | Implikace plánování |
|---|---|---|---|---|---|
| Schopnosti agenta (agenti, odpovědi, vyhodnocení, datové sady, indexy, soubory a prostředky Playgroundu) | Ano | Ano | Ano | Omezené v základním nastavení (spravovaném úložišti). Pro úplné pokrytí použijte "standard". | Vhodné pro segmentaci jednotlivých případů použití ve sdílených prostředích. |
| Vyladění trénování | Ne (pouze výchozí projekt) | Ne | Částečné (pouze vstupy) | Ano | Pokud každý tým potřebuje samostatné jemné doladění, použijte oddělené prostředky Foundry. Doladěná nasazení jsou sdílená a lze je používat napříč projekty v jednom prostředku. |
| Obrázek OpenAI, video, batch | Ne | Ne | Částečná (pouze dávka) | Ano | Použijte nastavení izolované úlohy a v případě potřeby spravovaného úložiště ověřte omezení RBAC v rané fázi. |
| Principy obsahu | Ano | Ne | Ano | Ano | Pokud je vyžadována přísná izolace přístupu podle použití, upřednostněte samostatné prostředky Foundry. |
| Speech | Ano (doladění) | Ne | Ano | Omezené v základním nastavení (spravovaném úložišti). | K úplnému pokrytí šifrování CMK použijte BYO Storage. |
| Jazyk | Ano (doladění) | Ne | Ano | Omezené v základním nastavení (spravovaném úložišti). | K úplnému pokrytí šifrování CMK použijte BYO Storage. |
| Translator | Ne | Ne | Ne | Ano | Pokud je vyžadována izolace, použijte samostatný zdroj Foundry. |
Důležité
Před uvedením potvrďte přesnou kombinaci schopností. Pokud požadované rozhraní API funguje jenom v oboru prostředků Foundry, přiřaďte role v daném oboru nebo izolujte úlohy do samostatných prostředků Foundry.
Zvolte topologii prostředků Foundry
Po definování potřeb hranic a schopností zvolte topologii pro každé prostředí.
| Postup rozhodování | Doporučené nastavení Foundry | Nejlepší přizpůsobení | Hlavní kompromis |
|---|---|---|---|
| Kolokované úlohy | Jeden zdroj Foundry s více projekty (obvykle jeden projekt na případ použití) | Prostředí náročné na experimentování, počáteční prototypy a týmy, které využívají sdílená nasazení a sdílená připojená data nebo nástroje | Sdílený poloměr výbuchu pro produkční incidenty, vyčerpání kvót a chybnou konfiguraci |
| Plně izolované úlohy | Jeden zdroj Foundry na hranici produkční úlohy (často s jedním primárním projektem na úlohu) | Produkční úlohy, které vyžadují striktní provozní omezení, nezávislé řízení přístupu a nezávislé kvóty nebo hranice nákladů | Samoobslužné zprovoznění je obtížnější kvůli většímu množství zdrojů ke správě a vyšší režii při nastavování |
Tip
Pro produkční prostředí zacházíme s izolací jako s výchozím nastavením. Kolokace používejte jako záměrnou výjimku pouze v případě, že jsou sladěné hranice úloh, požadavky na data a přijetí rizika.
Plánování standardních hodnot zabezpečení
Tuto referenční tabulku použijte jako kontrolní seznam pro rozhodování o návrhu zabezpečení.
| Area | Co se rozhodnout | Začíná na |
|---|---|---|
| Identita a přístup | Definujte správce, projektového manažera a osoby uživatelů projektu. Namapujte každou osobu na role s nejnižšími oprávněními a skupiny Microsoft Entra ID. | Řízení přístupu na základě role v Foundry |
| Sítě | Zvolte síťový model pro každé prostředí. Používejte spravovanou virtuální síť pro bezpečnější a přímočarější nastavení. Pro pokročilé požadavky na řízení sítě a vlastní směrování používejte virtuální síť bring-your-own (BYO). Před nasazením do produkce ověřte postup schvalování privátního DNS a koncového bodu. | Konfigurace spravované virtuální sítě, konfigurace privátního propojení pro Foundry a nastavení zabezpečené sítě (BYO virtual network) |
| Ochrana dat a klíče | Rozhodněte se, jestli klíče spravované Microsoft splňují požadavky zásad nebo jestli se vyžadují klíče spravované zákazníkem. | Klíče spravované zákazníkem v Foundry |
| Režim ověřování | Upřednostněte Microsoft Entra ID a RBAC pro lidi a služby. Používejte klíče rozhraní API jenom v případě, že se nevyžaduje členitost role. | Řízení přístupu na základě role v Foundry |
Plánování modelu, oblasti a strategie kapacity
Pro každou úlohu definujte:
- Modelové rodiny a typy nasazení vyžadované případem použití
- Požadavky na zpracování dat (například globální nebo regionální omezení)
- Cíle propustnosti a latence pro interaktivní a dávkové scénáře
- Požadavky na kvótu a zřízenou kapacitu pro stabilní a špičkové zatížení
Použijte tyto odkazy:
Plánování připojení a integrace dat
Pro každou úlohu identifikujte externí závislosti a vzory připojení:
- Zdroje dat a úložiště dat.
- Interní API a podnikové systémy.
- Nástroje SaaS, které nejsou Azure vyžadované agenty nebo toky orchestrace.
- Síťové požadavky, včetně privátních koncových bodů, překladu DNS, kontrolních mechanismů výchozího přenosu dat a toho, jestli se vyžaduje spravovaná síť nebo virtuální síť BYO.
Pomocí příkazu Add connections in Foundry standardizujte nastavení připojení.
Připojení lze vytvářet jak na úrovni nadřazeného prostředku Foundry, tak na úrovni podřízeného projektu, v závislosti na požadovaném rozsahu izolace. Připojení nakonfigurovaná na nadřazené úrovni jsou k dispozici pro všechny projekty.
Plánování automatizace a provozu
Definujte, jak týmy vytvářejí a spravují prostředky konzistentně napříč prostředími.
- Pomocí infrastruktury jako kódu zřiďte základní prostředky a výchozí nastavení zásad.
- Standardizujte kanály nasazení pro projekty, připojení, nasazení modelů a změny konfigurace.
- Definujte postupy vrácení zpět a reakce na incidenty pro změny modelu a zásad.
Pro vzory automatizace a počáteční implementace použijte:
- Quickstart: Nasazení prostředku Microsoft Foundry pomocí souboru Bicep
- Terraform v Azure
- Ukázky konfigurací zabezpečení
Ukázkové šablony zahrnují ucelené vzory pro běžné scénáře zabezpečení, jako jsou privátní sítě, klíče spravované zákazníkem a řízení přístupu na základě role.
Definování samoobslužných mantinelí
Povolit samoobslužnou službu pouze v rámci jasných omezení:
- Definujte, které role můžou vytvářet projekty, nasazovat modely a připojovat externí nástroje.
- Použijte zásady k řízení nasazení modelů a jejich chování za běhu, včetně toho, kteří poskytovatelé modelů a která připojení nástrojů jsou povolena.
- Nastavte kontroly nákladů a rozpočtová upozornění pro sdílená a izolovaná prostředí.
- Vynutit protokolování tras v rámci centralizované observability napříč Microsoft Foundry, Microsoft Copilot Studio a Microsoft 365.
Použijte tyto odkazy:
Přiřazení vlastnictví a zásad správného řízení
Tento krok považujete za přechod ze zřízené infrastruktury na provozní využití vývojářů.
Většina organizací už spravuje přístup prostřednictvím předem vytvořených skupin Microsoft Entra ID. Namapujte tyto skupiny na role Foundry v požadovaném oboru a pak ověřte cesty pro správu i vývojový přístup.
Foundry rozděluje přístup podle:
- Akce RBAC pro řídicí rovinu pro správu prostředků.
- Akce RBAC roviny dat pro vývojové úlohy
Důležité
Role správy, jako je vlastník nebo přispěvatel, nestačí pro všechny vývojové scénáře. Uživatel může například spravovat prostředky, ale přesto potřebuje role pro datovou rovinu, aby mohl chatovat s agentem ve Foundry.
Pokyny k mapování rolí a požadované kombinace rolí najdete v tématu Řízení přístupu na základě role v Foundry.
Po začlenění vašich skupin uživatelů zvažte vytvoření nebo rozšíření řídicích panelů pro správu, které budou sledovat využití platformy Foundry, spolehlivost, původ dat a dodržování předpisů:
- Monitorování napříč flotilami v Foundry
- Integrace Agent 365
- Microsoft Defender for Cloud
- Azure Politika
Ukázkové nasazení platformy
IT organizace ve společnosti Contoso potřebuje podporovat více týmů a současně vyrovnává dvě priority:
- Rychlé inovace, kdy můžou vývojáři pečlivě testovat nejnovější technologie umělé inteligence pomocí neprodukčních dat.
- Plně izolovaná vývojová, testovací a produkční prostředí pro osvědčené scénáře použití, pro které je poskytováno financování pro jejich uvedení do provozu.
Diagram ukazuje, jak Contoso společně umisťuje sdílenou instanci Foundry pro průzkum určenou pro inovace, která je k dispozici všem týmům, má omezenou kapacitu a předem připojená data a nástroje. Ukázkový backlog odráží běžné podnikové funkce, jako je zákaznická podpora, helpdesk zaměstnanců, finanční operace, nákupy a prodej. Historicky pouze několik případů použití postupuje k prověření proveditelnosti nebo zajištění financování pro zavedení vývoje/testování. Z nich do produkce postoupí ještě menší podmnožina. Příklad také ukazuje dva související prodejní případy užití, které během zkoumání a vývoje/testování zůstávají ve stejném prostředí, protože sdílejí stejná data CRM, persony uživatelů a propojené systémy. S tím, jak případy použití dozrávají, jsou týmům přidělována prostředí s postupně silnější izolací, která tam, kde je to potřeba, vyúsťuje až v úplné oddělení na úrovni produkčního prostředí.
Víc se uč
Zabezpečení prostředí Foundry
- Ověřování a RBAC: Řízení přístupu na základě rolí v Foundry
- Sítě: Použití virtuální sítě s Foundry
- Klíče spravované zákazníkem (CMK): Klíče spravované zákazníkem v Foundry
- Příklad infrastruktury: úložiště šablon s ukázkovými šablonami infrastruktury
- Obnovení nebo vymazání odstraněných prostředků Foundry
Navázání připojení s jinými službami Azure
- Přehled připojení: Přidání nového připojení v Foundry