Azure KI Studio-Architektur
KI Studio bietet KI-Entwicklern und wissenschaftlichen Fachkräften für Daten eine einheitliche Umgebung für die Erstellung, Auswertung und Bereitstellung von KI-Modellen per Webportal, SDK oder CLI. KI Studio basiert auf Funktionen und Diensten, die von anderen Azure-Diensten bereitgestellt werden.
Die KI Studio-Ressourcen der obersten Ebene (Hub und Projekte) basieren auf Azure Machine Learning. Verbundene Ressourcen wie Azure OpenAI, Azure KI Services und die Azure KI-Suche werden vom Hub und dem Projekt als Referenz verwendet, folgen aber ihrem eigenen Lebenszyklus der Ressourcenverwaltung.
- KI Studio-Hub: Der Hub ist die Ressource der obersten Ebene in KI Studio. Der Azure-Ressourcenanbieter für einen Hub ist
Microsoft.MachineLearningServices/workspaces, und es handelt sich um eine Ressource vom TypHub. Er zeichnet sich durch Folgendes aus:- Sicherheitskonfiguration einschließlich eines verwalteten Netzwerks, das sich über Projekte und Modellendpunkte erstreckt.
- Computeressourcen für die interaktive Entwicklung, die Optimierung sowie die Bereitstellung von Open-Source-Modellen und serverlosen Modellen
- Verbindungen zu anderen Azure Services wie Azure OpenAI, Azure KI Services und der Azure KI-Suche. Verbindungen im Hub-Bereich werden für Projekte freigegeben, die über den Hub erstellt wurden.
- Projektverwaltung. Ein Hub kann über mehrere untergeordnete Projekte verfügen.
- Ein zugehöriges Azure-Speicherkonto zum Hochladen von Daten und Speichern von Artefakten.
- KI Studio-Projekt: Ein Projekt ist eine untergeordnete Ressource des Hubs. Der Azure-Ressourcenanbieter für ein Projekt ist
Microsoft.MachineLearningServices/workspaces, und es handelt sich um eine Ressource vom TypProject. Das Projekt bietet folgende Features:- Zugriff auf Entwicklungstools zum Erstellen und Anpassen von KI-Anwendungen.
- Wiederverwendbare Komponenten wie Datasets, Modelle und Indizes.
- Ein isolierter Container, in den Daten hochgeladen werden (innerhalb des vom Hub geerbten Speichers).
- Auf das Projekt ausgerichtete Verbindungen. Zum Beispiel könnten Projektmitglieder privaten Zugriff auf Daten benötigen, die in einem Azure Storage-Konto gespeichert sind, ohne anderen Projekten denselben Zugriff zu gewähren.
- Open Source-Modellimplementierungen aus dem Katalog und optimierte Modellendpunkte
Zentrale Einrichtung und Verwaltung über Hubs
Hubs bieten eine zentrale Möglichkeit für ein Team, Sicherheit, Konnektivität und Rechenressourcen über Playgrounds und Projekte hinweg zu verwalten. Projekte, die mithilfe eines Hubs erstellt werden, erhalten dieselben Sicherheitseinstellungen und den freigegebenen Ressourcenzugriff. Teams können so viele Projekte wie nötig erstellen, um Arbeit zu organisieren, Daten zu isolieren und/oder den Zugriff zu beschränken.
Häufig benötigen Projekte in einer Geschäftsdomäne Zugriff auf dieselben Unternehmensressourcen wie Vektorindizes, Modellendpunkte oder Repositorys. Als Teamleiter können Sie die Konnektivität mit diesen Ressourcen innerhalb eines Hubs vorkonfigurieren, sodass Entwickler von jedem neuen Projektarbeitsbereich aus ohne Verzögerung durch die IT auf diese Ressourcen zugreifen können.
Mit Connections können Sie auf Objekte in KI Studio zugreifen, die außerhalb Ihres Hubs verwaltet werden. Zum Beispiel hochgeladene Daten auf einem Azure-Speicherkonto oder Modellbereitstellungen auf einer bestehenden Azure OpenAI-Ressource. Eine Verbindung kann für jedes Projekt freigegeben oder für ein bestimmtes Projekt zugänglich gemacht werden. Verbindungen können für die Verwendung des schlüsselbasierten Zugriffs oder Passthrough von Microsoft Entra ID konfiguriert werden, um den Zugriff für Benutzer in der verbundenen Ressource zu autorisieren. Als Admin können Sie Verbindungen im gesamten Unternehmen von einer einzigen Ansicht in KI Studio aus verfolgen, prüfen und verwalten.
Organisieren der Anforderungen Ihres Teams
Die Anzahl der benötigten Hubs und Projekte hängt von Ihrer Arbeitsweise ab. Möglicherweise erstellen Sie einen einzelnen Hub für ein großes Team mit ähnlichen Datenzugriffsanforderungen. Diese Konfiguration maximiert die Kosteneffizienz, die Ressourcenfreigabe und minimiert den Einrichtungsaufwand. Beispielsweise ein Hub für alle Projekte im Zusammenhang mit dem Kundensupport.
Wenn Sie im Rahmen Ihrer LLMOps- oder MLOps-Strategie eine Isolation zwischen Entwicklung, Tests und Produktion benötigen, sollten Sie einen Hub für jede Umgebung erstellen. Je nach Bereitschaft Ihrer Lösung für die Produktion können Sie sich dazu entscheiden, Ihre Projektarbeitsbereiche in jeder Umgebung oder nur in einer Umgebung replizieren.
Azure-Ressourcentypen und -anbieter
Azure KI Studio basiert auf dem Azure Machine Learning-Ressourcenanbieter und ist von mehreren anderen Azure-Diensten abhängig. Die Ressourcenanbieter für diese Dienste müssen in Ihrem Azure-Abonnement registriert sein. In der folgenden Tabelle sind die Ressourcentypen, Anbieter und Arten aufgeführt:
| Ressourcentyp | Ressourcenanbieter | Variante |
|---|---|---|
| Azure KI Studio-Hub | Microsoft.MachineLearningServices/workspace |
hub |
| Azure KI Studio-Projekt | Microsoft.MachineLearningServices/workspace |
project |
| Azure KI Services oder Azure KI OpenAI Service |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
Wenn Sie einen neuen Hub erstellen, ist eine Reihe von abhängigen Azure-Ressourcen erforderlich, um Daten zu speichern, Zugriff auf Modelle zu erhalten und Computeressourcen für die KI-Anpassung bereitzustellen. In der folgenden Tabelle werden die abhängigen Azure-Ressourcen und die zugehörigen Ressourcenanbieter aufgeführt:
Tipp
Wenn Sie beim Erstellen eines Hubs keine abhängige Ressource bereitstellen und es sich um eine erforderliche Abhängigkeit handelt, wird die Ressource von KI Studio für Sie erstellt.
| Abhängige Azure-Ressource | Ressourcenanbieter | Optional | Hinweis |
|---|---|---|---|
| Azure KI Cognitive Search | Microsoft.Search/searchServices |
✔ | Stellt Suchfunktionen für Ihre Projekte bereit. |
| Azure Storage-Konto | Microsoft.Storage/storageAccounts |
Speichert Artefakte für Ihre Projekte wie Flüsse und Auswertungen. Für die Datenisolation werden Speichercontainer mit der Projekt-GUID vorangestellt und mit Azure ABAC für die Projektidentität bedingt gesichert. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
Speichert Geheimnisse wie Verbindungszeichenfolgen für Ihre Ressourcenverbindungen. Bei der Datenisolation können Geheimnisse nicht projektübergreifend über APIs abgerufen werden. | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Speichert Docker-Images, die bei Verwendung der benutzerdefinierten Laufzeit für den Prompt Flow erstellt werden. Für die Datenisolation werden Docker-Images mit der Projekt-GUID vorangestellt. |
| Azure Application Insights und Log Analytics-Arbeitsbereich |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Wird als Protokollspeicher verwendet, wenn Sie sich für die Protokollierung auf Anwendungsebene für Ihre bereitgestellten Prompt Flows entscheiden. |
Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Registrieren des Ressourcenanbieters.
Von Microsoft gehostete Ressourcen
Die meisten von Azure KI Studio verwendeten Ressourcen befinden sich zwar in Ihrem Azure-Abonnement, einige Ressourcen befinden sich jedoch in einem von Microsoft verwalteten Azure-Abonnement. Die Kosten für diese verwalteten Ressourcen erscheinen auf Ihrer Azure-Rechnung als Einzelposten unter dem Azure Machine Learning-Ressourcenanbieter. Die folgenden Ressourcen befinden sich im von Microsoft verwalteten Azure-Abonnement und werden nicht in Ihrem Azure-Abonnement angezeigt:
Verwaltete Computeressourcen: Bereitgestellt von Azure Batch-Ressourcen im Microsoft-Abonnement
Verwaltetes virtuelles Netzwerk: Bereitgestellt von Azure Virtual Network-Ressourcen im Microsoft-Abonnement Wenn FQDN-Regeln aktiviert werden, wird eine Azure Firewall-Instanz (Standard) hinzugefügt und für Ihr Abonnement in Rechnung gestellt. Weitere Informationen finden Sie unter Konfigurieren eines verwalteten Netzwerks für Azure KI.
Metadatenspeicher: Bereitgestellt von Azure Storage-Ressourcen im Microsoft-Abonnement.
Hinweis
Bei Verwendung kundenseitig verwalteter Schlüssel werden die Metadatenspeicherressourcen in Ihrem Abonnement erstellt. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel.
Verwaltete Computeressourcen und verwaltete virtuelle Netzwerke sind zwar im Microsoft-Abonnement vorhanden, aber Sie verwalten sie. Sie steuern beispielsweise, welche VM-Größen für Computeressourcen verwendet und welche Ausgangsregeln für das verwaltete virtuelle Netzwerk konfiguriert werden.
Verwaltete Computeressourcen erfordern auch die Verwaltung von Sicherheitsrisiken. Die Verwaltung von Sicherheitsrisiken ist eine gemeinsame Verantwortung zwischen Ihnen und Microsoft. Weitere Informationen finden Sie unter Sicherheitsrisikoverwaltung für Azure KI Studio.
Rollenbasierte Zugriffssteuerung und Steuerungsebenenproxy
Azure KI Services einschließlich Azure OpenAI bieten Steuerungsebenen-Endpunkte für Vorgänge wie das Auflisten von Modellimplementierungen. Die für den Schutz dieser Endpunkte verwendete Konfiguration der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure unterscheidet sich von der Konfiguration, die für einen Hub verwendet wurde.
Zur Vereinfachung der Azure RBAC-Verwaltung bietet KI Studio einen Steuerungsebenenproxy, der die Ausführung von Vorgängen für verbundene Azure KI Services- und Azure OpenAI-Ressourcen ermöglicht. Um Vorgänge für diese Ressourcen über den Steuerungsebenenproxy ausführen zu können, werden lediglich Azure RBAC-Berechtigungen für den Hub benötigt. Der Azure KI Studio-Dienst führt dann den Aufruf des Azure KI Services- oder Azure OpenAI-Steuerungsebenen-Endpunkts in Ihrem Namen aus.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung in Azure KI Studio.
Attributbasierte Zugriffssteuerung
Jeder von Ihnen erstellte Hub enthält ein Standardspeicherkonto. Jedes untergeordnete Projekt des Hubs erbt das Speicherkonto des Hubs. Das Speicherkonto wird zum Speichern von Daten und Artefakten verwendet.
Um das freigegebene Speicherkonto zu schützen, verwendet Azure KI Studio sowohl Azure RBAC als auch Azure ABAC (Azure Attribute-Based Access Control, attributbasierte Zugriffssteuerung in Azure). Azure ABAC ist ein Sicherheitsmodell, das die Zugriffssteuerung basierend auf Attributen definiert, die dem Benutzer, der Ressource und der Umgebung zugeordnet sind. Jedes Projekt verfügt über Folgendes:
- Einen Dienstprinzipal, dem die Rolle „Mitwirkender an Speicherblobdaten“ für das Speicherkonto zugewiesen ist
- Eine eindeutige ID (Arbeitsbereichs-ID)
- Verschiedene Container im Speicherkonto. Jeder Container weist ein Präfix auf, das dem Arbeitsbereichs-ID-Wert für das Projekt entspricht.
Die Rollenzuweisung für den Dienstprinzipal der einzelnen Projekte hat eine Bedingung, die dem Dienstprinzipal nur den Zugriff auf Container mit dem entsprechenden Präfixwert erlaubt. Diese Bedingung stellt sicher, dass jedes Projekt nur auf seine eigenen Container zugreifen kann.
Hinweis
Bei der Datenverschlüsselung im Speicherkonto gilt der Bereich für den gesamten Speicher und nicht pro Container. Daher werden alle Container mit demselben Schlüssel verschlüsselt (entweder von Microsoft oder vom Kunden bereitgestellt).
Weitere Informationen zur Zugriffssteuerung in Azure finden Sie unter Was ist die attributbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.
Container im Speicherkonto
Das Standardspeicherkonto für einen Hub verfügt über die folgenden Container. Diese Container werden für jedes Projekt erstellt, und das Präfix {workspace-id} entspricht der eindeutigen ID für das Projekt. Projekte greifen mithilfe einer Verbindung auf einen Container zu.
Tipp
Um die ID für Ihr Projekt zu suchen, wechseln Sie im Azure-Portal zum Projekt. Erweitern Sie Einstellungen, und wählen Sie Eigenschaften aus. Die Arbeitsbereich-ID wird angezeigt.
| Containername | Verbindungsname | Beschreibung |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Speicher für Ressourcen wie Metriken, Modelle und Komponenten. |
{workspace-ID}-blobstore |
workspaceblobstore | Speicher für Datenupload, Auftragscode-Momentaufnahmen und Pipelinedatencache. |
{workspace-ID}-code |
Nicht verfügbar | Speicher für Notebooks, Compute-Instanzen und prompt flow. |
{workspace-ID}-file |
Nicht verfügbar | Alternativer Container für den Datenupload. |
Verschlüsselung
Azure KI Studio nutzt Verschlüsselung, um sowohl ruhende Daten als auch Daten während der Übertragung zu schützen. Standardmäßig werden von Microsoft verwaltete Schlüssel für die Verschlüsselung verwendet. Sie können jedoch Ihre eigenen Verschlüsselungsschlüssel verwenden. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel.
Virtuelles Netzwerk
Ein Hub kann für die Verwendung eines verwalteten virtuellen Netzwerks konfiguriert werden. Das verwaltete virtuelle Netzwerk schützt die Kommunikation zwischen Hub, Projekten und verwalteten Ressourcen (beispielsweise Computeressourcen). Wenn der öffentliche Zugriff für Ihre Abhängigkeitsdienste (Azure Storage, Key Vault und Container Registry) deaktiviert ist, wird für jeden Abhängigkeitsdienst ein privater Endpunkt erstellt, um die Kommunikation zwischen Hub und Projekt und Abhängigkeitsdienst zu schützen.
Hinweis
Wenn Sie ein virtuelles Netzwerk verwenden möchten, um die Kommunikation zwischen Ihren Clients und dem Hub oder dem Projekt zu schützen, müssen Sie ein virtuelles Azure-Netzwerk verwenden, das Sie selbst erstellen und verwalten. beispielsweise ein virtuelles Azure-Netzwerk, das eine VPN-/ExpressRoute-Verbindung mit Ihrem lokalen Netzwerk verwendet.
Weitere Informationen zum Konfigurieren eines verwalteten virtuellen Netzwerks finden Sie unter Konfigurieren eines verwalteten Netzwerks für Azure KI.
Azure Monitor
Azure Monitor und Azure Log Analytics bieten Überwachungs- und Protokollierungsfunktionen für die zugrunde liegenden Ressourcen, die von Azure KI Studio verwendet werden. Azure KI Studio basiert auf Azure Machine Learning, Azure OpenAI, Azure KI Services und Azure KI-Suche. Informationen zur Überwachung dieser Dienste finden Sie in den folgenden Artikeln:
| Resource | Überwachung und Protokollierung |
|---|---|
| Azure KI Studio-Hub und -Projekte | Überwachen von Azure Machine Learning |
| Azure OpenAI | Überwachen von Azure OpenAI Service |
| Azure KI Services | Überwachen von Azure KI Services |
| Azure KI Search | Überwachen von Azure AI Search |
Preis und Kontingent
Weitere Preis- und Kontingentinformationen finden Sie in den folgenden Artikeln:
Nächste Schritte
Verwenden Sie zum Erstellen eines Hubs eine der folgenden Methoden:
- Azure KI Studio: Erstellen Sie einen Hub für die ersten Schritte.
- Azure-Portal: Erstellen Sie einen Hub mit Ihrem eigenen Netzwerk.
- Bicep-Vorlage