Kurz: Připojení AKS k Azure OpenAI

V tomto kurzu se dozvíte, jak připojit aplikace Azure Kubernetes Service (AKS) k Azure OpenAI pomocí konektoru služby s ověřováním identit úloh. Připojení bez přihlašovacích údajů vytvoříte nasazením ukázkové aplikace Pythonu, která komunikuje s Azure OpenAI.

Provedete následující úkoly:

• Vytvoření clusteru AKS a prostředku Azure OpenAI pomocí modelu GPT-4
• Konfigurace konektoru Service Connector pro navázání připojení k identitě úloh
• Klonování ukázkové aplikace
• Sestavování a nabízení imagí kontejnerů do služby Azure Container Registry
• Nasazení aplikace do AKS a ověření připojení
• Vyčištění prostředků

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• • Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.

    

  • Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

    • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.

    • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.

    • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Docker a kubectl ke správě imagí kontejnerů a prostředků Kubernetes
• Základní znalost kontejnerů a AKS Začněte přípravou aplikace pro AKS.
• Přístupová oprávnění k vytváření prostředků Azure OpenAI a nasazování modelů

Vytvoření prostředků Azure OpenAI a AKS

Tento kurz zahájíte vytvořením několika prostředků Azure.

1. Vytvořte skupinu prostředků pro tento kurz.

   az group create \
       --name MyResourceGroup \
       --location eastus
   

2. Vytvořte cluster AKS pomocí následujícího příkazu nebo pomocí rychlého startu AKS. V tomto kurzu vytvoříme definici připojení služby a podu a nasadíme ukázkovou aplikaci do tohoto clusteru.

   az aks create \
       --resource-group MyResourceGroup \
       --name MyAKSCluster \
       --enable-managed-identity \
       --node-count 1 \
       --generate-ssh-keys
   

3. Připojte se ke clusteru pomocí příkazu az aks get-credentials .

   az aks get-credentials \
       --resource-group MyResourceGroup \
       --name MyAKSCluster
   

4. Pomocí příkazu az cognitiveservices account create vytvořte prostředek Azure OpenAI. Další pokyny najdete v tomto kurzu. Azure OpenAI je cílová služba, ke které se cluster AKS připojí.

   az cognitiveservices account create \
       --resource-group MyResourceGroup \
       --name MyOpenAI \
       --location eastus \
       --kind OpenAI \
       --sku s0 \
       --custom-domain myopenai \
       --subscription <SubscriptionID>
   

5. Nasaďte model pomocí příkazu az cognitiveservices deployment create . Model se používá v ukázkové aplikaci k otestování připojení.

   az cognitiveservices account deployment create \
       --resource-group MyResourceGroup \
       --name MyOpenAI \
       --deployment-name MyModel \
       --model-name gpt-4 \
       --model-version 0613 \
       --model-format OpenAI \
       --sku-name "Standard" \
       --capacity 1
   

6. Vytvořte službu Azure Container Registry (ACR) pro uložení kontejnerizované ukázkové aplikace. Použijte příkaz az acr create nebo si projděte tento kurz.

   az acr create \
       --resource-group MyResourceGroup \
       --name myregistry \
       --sku Standard
   

7. Povolte anonymní vyžádání obsahu pomocí příkazu az acr update , aby cluster AKS mohl využívat image v registru.

   az acr update \
       --resource-group MyResourceGroup \
       --name myregistry \
       --anonymous-pull-enabled
   

8. Pomocí příkazu az identity create nebo podle tohoto kurzu vytvořte spravovanou identitu přiřazenou uživatelem. Po vytvoření připojení se spravovaná identita přiřazená uživatelem použije k povolení identity úloh pro úlohy AKS.

   az identity create \
       --resource-group MyResourceGroup \
       --name MyIdentity
   

Vytvoření připojení služby z AKS k Azure OpenAI

Vytvořte připojení služby mezi clusterem AKS a Azure OpenAI na webu Azure Portal nebo v Azure CLI.

Azure Portal

Pokyny k vytvoření nového připojení najdete v rychlém startu připojení ke službě AKS a vyplňte nastavení, která odkazují na příklady v následující tabulce. Ponechte všechna ostatní nastavení s výchozími hodnotami.

1. Karta Základy:

   Nastavení	Příklad hodnoty	Popis
   Obor názvů Kubernetes	default	Obor názvů Kubernetes.
   Typ služby	Služba OpenAI	Typ cílové služby.
   Název připojení	openai_conn	Použijte název připojení poskytovaný konektorem service connector nebo zvolte vlastní název připojení.
   Předplatné	Moje předplatné	Předplatné Azure obsahující váš prostředek Azure OpenAI.
   OpenAI	MyOpenAI	Cílový prostředek Azure OpenAI, ke kterému se chcete připojit.
   Typ klienta	Python	Programovací jazyk nebo architektura pro konfiguraci připojení.

2. Karta Ověřování:

Nastavení ověřování	Příklad hodnoty	Popis
Typ ověřování	Identita úloh	Metoda ověřování pro připojení aplikace k Azure OpenAI. Pro lepší zabezpečení se doporučuje identita úloh. Alternativní metody zahrnují připojovací řetězec a instanční objekt a vyžadují aspekty správy přihlašovacích údajů.
Předplatné	Moje předplatné	Předplatné, které obsahuje spravovanou identitu přiřazenou uživatelem.
Spravovaná identita přiřazená uživatelem	myidentity	Spravovaná identita přiřazená uživatelem, která umožňuje ověřování identit úloh pro cluster AKS.

Po vytvoření připojení můžete jeho podrobnosti zobrazit v podokně Konektor služby .

Azure CLI

Spuštěním příkazu az aks connection create cognitiveservices v Azure CLI vytvořte připojení služby z AKS k prostředku Azure OpenAI.

az aks connection create cognitiveservices \
   --workload-identity <user-identity-resource-id>

Pokud použijete výše uvedený příkaz, konektor služby vás vyzve k zadání skupiny prostředků AKS, názvu clusteru AKS, cílové skupiny prostředků služby, názvu účtu kognitivní služby a ID prostředku identity přiřazené uživatelem.

Případně můžete zadat úplný příkaz přímo:

az aks connection create cognitiveservices \
   --workload-identity <user-identity-resource-id> \
   --resource-group <aks-cluster-resource-group> \
   --name <aks-cluster-name> \
   --target-resource-group <target-cognitive-services-resource-group> \
   --account <target-cognitive-services-account>

Poznámka:

V tomto kurzu se používá identita úloh pro lepší zabezpečení. Pro vývojové scénáře můžete také použít ověřování připojovacího řetězce tak, že parametr vynecháte --workload-identity a použijete --secret místo toho.

Klonování ukázkové aplikace v Pythonu

1. Naklonujte ukázkové úložiště:

   git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git
   

2. Přejděte do ukázkové složky úložiště pro Azure OpenAI:

   cd serviceconnector-aks-samples/azure-openai-workload-identity
   

3. <MyModel> Zástupný symbol v app.py souboru nahraďte názvem modelu, který jsme nasadili.

Sestavování a nabízení imagí kontejnerů do služby Azure Container Registry

1. Sestavte a nasdílejte image do registru kontejneru pomocí příkazu Az acr build v Azure CLI.

   az acr build --registry myregistry --image sc-demo-openai-identity:latest ./
   

2. Pomocí příkazu az acr repository list zobrazte image v registru kontejneru.

   az acr repository list --name myregistry --output table
   

Nasazení a testování připojení AKS do Azure OpenAI

1. Nahraďte zástupné symboly v pod.yaml souboru ve azure-openai-workload-identity složce.

   • Nahraďte <YourContainerImage> názvem image, kterou jste vytvořili dříve. Příklad: <myregistry>.azurecr.io/<sc-demo-openai-identity>:<latest>.
   • Nahraďte <ServiceAccountCreatedByServiceConnector> názvem účtu služby. Najdete ho na webu Azure Portal v podokně Konektor služby .
   • Nahraďte <SecretCreatedByServiceConnector> názvem tajného kódu. Najdete ho na webu Azure Portal v podokně Konektor služby .

2. Nasaďte pod do clusteru kubectl apply pomocí příkazu, který vytvoří pod pojmenovaný sc-demo-openai-identity ve výchozím oboru názvů clusteru AKS. Pokud není nainstalovaný, nainstalujte kubectl místně příkazem az aks install-cli.

   kubectl apply -f pod.yaml
   

3. Zkontrolujte, jestli nasazení proběhlo úspěšně, a to zobrazením podu s kubectl.

   kubectl get pod/sc-demo-openai-identity
   

4. Zkontrolujte, jestli je připojení navázáno zobrazením protokolů pomocí kubectlpříkazu .

   kubectl logs pod/sc-demo-openai-identity
   

Vyčištění prostředků

Pokud už prostředky vytvořené v tomto kurzu nepotřebujete, vyčistěte je odstraněním skupiny prostředků.

az group delete \
    --resource-group MyResourceGroup

Související obsah

• Připojení ke službám Azure AI
• Připojení ke službě Azure OpenAI pomocí konektoru služby
• Integrace prostředků Azure AI s více službami