Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Foundry bietet eine umfassende Reihe von Tools, mit denen Entwicklungsteams KI-Agents und die verwendeten Modelle und Tools erstellen, anpassen, bewerten und betreiben können.
Dieser Artikel bietet IT-Operations- und Sicherheitsteams Details zur Foundry-Ressource und der zugrunde liegenden Azure-Dienstarchitektur, seine Komponenten und ihre Beziehung zu anderen Azure-Ressourcentypen. Verwenden Sie diese Informationen, um zu erfahren, wie Sie Ihre Foundry-Bereitstellung an die Anforderungen Ihrer Organisation anpassen . Weitere Informationen zum Rollout von Foundry in Ihrer Organisation finden Sie unter Foundry Rollout.
Azure KI-Ressourcentypen und -anbieter
Innerhalb der Azure KI-Produktfamilie können Sie diese Azure-Ressourcenanbieter verwenden, die benutzeranforderungen auf verschiedenen Ebenen im Stapel unterstützen.
| Ressourcenanbieter | Zweck | Unterstützt Ressourcentyparten |
|---|---|---|
| Microsoft.CognitiveServices | Unterstützt Agentic- und GenAI-Anwendungsentwicklung beim Verfassen und Anpassen vordefinierter Modelle. | Foundry; Azure OpenAI Service; Azure Speech; Azure Vision |
| Microsoft.Search | Unterstützung des Wissensabrufs aus Ihren Daten | Azure AI Search |
Für viele Szenarien ist die Foundry-Ressource der empfohlene Ausgangspunkt. Foundry-Ressourcen teilen den Microsoft.CognitiveServices-Anbieternamespace mit Diensten wie Azure OpenAI, Azure Sprache, Azure Vision und Azure Language. Dieser Namespace für gemeinsame Anbieter hilft beim Ausrichten von Verwaltungs-APIs, Zugriffskontrollmustern, Netzwerken und Richtlinienverhalten in Bezug auf verwandte KI-Ressourcen.
| Ressourcentyp | Ressourcenanbieter und Typ | Kind | Unterstützte Funktionen |
|---|---|---|---|
| Microsoft Foundry | Microsoft.CognitiveServices/account |
AIServices |
Agents, Bewertungen, Azure OpenAI, Sprache, Vision, Spracherkennung und Inhaltsverständnis |
| Projekt einer Gießerei | Microsoft.CognitiveServices/account/project |
AIServices |
Unterressource zur obigen Ressource |
| Azure Speech in Foundry Tools | Microsoft.CognitiveServices/account |
Speech |
Speech |
| Azure Sprachdienste in Foundry Tools | Microsoft.CognitiveServices/account |
Language |
Language |
| Azure Vision in Foundry-Werkzeugen | Microsoft.CognitiveServices/account |
Vision |
Sehvermögen |
Ressourcentypen unter denselben Anbieternamespaces verwenden dieselben Verwaltungs-APIs und verwenden ähnliche Azure Rollenbasierte Access ControlAktionen, Netzwerkkonfigurationen und Aliase für Azure Policy Konfiguration. Wenn Sie ein Upgrade von Azure OpenAI auf Foundry durchführen, werden Ihre vorhandenen benutzerdefinierten Azure-Richtlinien und Azure Rollenbasierten Access Control Aktionen weiterhin angewendet.
Wie Ressourcen in Foundry zusammenhängen
Verwenden Sie dieses Modell beim Planen der Architektur und Zugriffsgrenzen.
- Foundry-Ressource: Eine Azure-Ressource auf oberster Ebene, in der Sie Einstellungen zur Verwaltung wie Netzwerke, Sicherheit und Modellbereitstellungen verwalten.
- Project: Entwicklungsgrenze innerhalb der Foundry-Ressource, in der Teams Anwendungsfälle erstellen und auswerten.
- Projekt-Ressourcen: Dateien, Agenten, Auswertungen und zugehörige Artefakte in einem Projekt.
Durch diese Trennung können IT-Teams zentrale Steuerelemente auf Ressourcenebene anwenden, während Entwicklungsteams innerhalb von Projektgrenzen arbeiten.
Sicherheitsgesteuerte Trennung von Bedenken
Gießerei erzwingt eine klare Trennung zwischen Management- und Entwicklungsvorgängen, um sichere und skalierbare KI-Workloads sicherzustellen.
Top-Level Resource Governance: Verwaltungsvorgänge, z. B. das Konfigurieren von Sicherheit, das Einrichten der Verbindung mit anderen Azure-Diensten und die Verwaltung von Bereitstellungen, sind auf die Ressource "Foundry" der obersten Ebene ausgerichtet. Entwicklungsaktivitäten sind innerhalb dedizierter Projekt-Container isoliert, die Anwendungsfälle kapseln und Grenzen für die Zugangskontrolle, Dateien, Agenten und Auswertungen bereitstellen.
Role-Based Access Control (RBAC): Azure RBAC-Aktionen spiegeln diese Trennung von Bedenken wider. Steuerungsebenenaktionen, z. B. das Erstellen von Bereitstellungen und Projekten, unterscheiden sich von Datenebenenaktionen, z. B. beim Erstellen von Agents, beim Ausführen von Auswertungen und beim Hochladen von Dateien. Sie können RBAC-Zuordnungen sowohl auf der Ressourcenebene oberster Ebene als auch auf einzelner Projektebene festlegen. Zuweisung von verwalteten Identitäten in beiden Bereichen zur Unterstützung von sicherer Automatisierung und Service-Zugriff. Weitere Informationen finden Sie unter Rollenbasierte Zugriffskontrolle für Microsoft Foundry.
Typische Anfangsaufgaben für geringste Privilegien-Onboarding umfassen:
- Azure AI-Benutzer für jeden Entwickler-Benutzerprinzipal im Foundry-Ressourcenbereich.
- Azure AI User für jede vom Projekt verwaltete Identität im Kontext der Foundry-Ressource.
Rollendefinitionen und Anleitungen zur Bereichsplanung finden Sie unter Rollenbasierte Zugriffskontrolle für Microsoft Foundry.
Monitoring und Observability: Azure Monitormetriken werden nach Bereich segmentiert. Sie können Management- und Nutzungsmetriken auf der obersten Ebene anzeigen; während projekt-spezifische Metriken, wie z. B. Auswertungsleistung oder Agentaktivität, auf die einzelnen Projekt-Container beschränkt sind.
Computinginfrastruktur
Die Modellhostingarchitektur wird durch die Standardbereitstellung in Foundry-Ressourcen ermöglicht. Eine Übersicht über Datenschutz- und Sicherheitsaspekte bei der Bereitstellung finden Sie unter "Daten", "Datenschutz" und "Sicherheit für die Verwendung von Modellen".
Ausführung von Workloads: Agents, Auswertungen und Batchaufträge werden als verwaltetes Container-Computing ausgeführt und vollständig von Microsoft verwaltet werden.
Netzwerkintegration: Um die Sicherheit und Compliance zu erhöhen, wenn Ihre Agents eine Verbindung mit externen Systemen herstellen, ermöglicht die Containereinfügung das Plattformnetzwerk, APIs zu hosten und ein Subnetz in Ihr Netzwerk einzufügen. Diese Einrichtung ermöglicht die lokale Kommunikation Ihrer Azure Ressourcen innerhalb derselben virtual network.
Wenn Sie end-to-End-Netzwerkisolation benötigen, überprüfen Sie die aktuellen Einschränkungen vor dem Rollout. In der neuen Umgebung des Foundry-Portals werden End-to-End-Isolationsszenarien nicht vollständig unterstützt. Verwenden Sie die klassische Oberfläche, das SDK oder die CLI-Anleitung für netzwerkisolte Bereitstellungen. Ausführliche Informationen finden Sie unter How to configure a private link for Foundry.
Datenspeicherung
Foundry bietet flexible und sichere Datenspeicheroptionen zur Unterstützung einer Vielzahl von KI-Workloads.
Managed storage für den Dateiupload: Im Standardsetup verwendet Foundry von Microsoft verwaltete storage-Konten, die logisch getrennt sind und direkte Dateiuploads für ausgewählte Anwendungsfälle unterstützen, z. B. OpenAI-Modelle, Assistenten und Agents, ohne dass ein vom Kunden bereitgestelltes storage Konto erforderlich ist.
Bring your own Storage (optional): Benutzer können optional ihre eigenen Azure Storage-Konten verbinden. Foundry-Tools können Eingaben aus diesen Konten lesen und Ausgaben auf diese Konten schreiben, je nach dem jeweiligen Tool und Anwendungsfall.
Verwenden Sie Ihren eigenen Speicher für die Speicherung des Agentenzustands:
- In der grundlegenden Konfiguration speichert der Agentdienst Threads, Nachrichten und Dateien in von Microsoft verwaltetem mehrinstanzenfähigem Speicher mit logischer Trennung.
- Mit dem Agent-Standardsetup können Sie eigenen Speicher für Thread- und Nachrichtendaten bereitstellen. In dieser Konfiguration werden Daten nach Projekt innerhalb des Speicherkontos des Kunden isoliert.
Customer-managed key encryption: Standardmäßig verwenden Azure Dienste von Microsoft verwaltete Verschlüsselungsschlüssel zum Verschlüsseln von Daten während der Übertragung und im Ruhezustand. Daten werden mit FIPS 140-2-kompatibler 256-Bit-AES-Verschlüsselung verschlüsselt und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass Verschlüsselung und access für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.
Bevor Sie vom Kunden verwaltete Schlüssel für Foundry aktivieren, bestätigen Sie die folgenden Voraussetzungen:
- Key Vault wird in derselben Azure Region wie Ihre Foundry-Ressource bereitgestellt.
- Der Soft-Löschschutz und der Schutz vor unwiderruflichem Löschen sind auf dem Key Vault aktiviert.
- Verwaltete Identitäten verfügen über erforderliche Schlüsselberechtigungen, z. B. die Rolle Key Vault Crypto User bei Verwendung Azure RBAC.
Verwenden Sie Ihren eigenen Key Vault: Standardmäßig speichert Foundry alle API-Schlüssel-basierten Verbindungsgeheimnisse in einem verwalteten Azure Key Vault. Benutzer, die dies lieber selbst verwalten möchten, können ihren Schlüsseltresor mit der Foundry-Ressource verbinden. Eine Azure Key Vault Verbindung verwaltet alle geheimen Verbindungsschlüssel auf project- und Ressourcenebene. Weitere Informationen finden Sie unter how to set up an Azure Key Vault connection to Foundry.
Wenn Sie vom Kunden verwaltete Schlüssel verwenden, werden Ihre Daten in der von Microsoft verwalteten Infrastruktur mit Ihren Schlüsseln verschlüsselt.
Weitere Informationen zur Datenverschlüsselung finden Sie unter vom Kunden verwalteten Schlüssel für die Verschlüsselung mit Foundry.
Überprüfen von Architekturentscheidungen
Überprüfen Sie vor dem Rollout Folgendes für Ihre Zielumgebung:
- Vergewissern Sie sich, dass erforderliche Modelle und Features in Ihren Bereitstellungsregionen verfügbar sind. Ausführliche Informationen finden Sie unter Featureverfügbarkeit in Cloudregionen.
- Vergewissern Sie sich, dass Rollenzuweisungen sowohl auf der Gießereiressource als auch auf Projektebene korrekt definiert sind. Ausführliche Informationen finden Sie unter Rollenbasierte Zugriffskontrolle für Microsoft Foundry.
- Überprüfen Sie die Anforderungen an die Netzwerkisolation und die privaten Zugriffspfade. Ausführliche Informationen finden Sie unter How to configure a private link for Foundry.
- Bestätigen Sie die Anforderungen an verschlüsselungs- und geheime Verwaltung, einschließlich vom Kunden verwalteter Schlüssel und Azure Key Vault Integration. Ausführliche Informationen finden Sie unter Kundengesteuerte Schlüssel für die Verschlüsselung mit Foundry und wie man eine Azure Key Vault-Verbindung zu Foundry einrichtet.