Freigeben über

Erstellen und Verwalten eines Azure KI Foundry-Hubs

Hinweis

Die Informationen in diesem Artikel gelten nur für ein Hub-basiertes Projekt und gelten nicht für ein Foundry-Projekt. Sehen Sie Wie kann ich feststellen, welche Art von Projekt ich habe? und Erstellen Sie ein Hub-basiertes Projekt.

Im Azure AI Foundry-Portal stellen Hubs die Umgebung für ein Team für die Zusammenarbeit und Organisation der Arbeit bereit und helfen Mitgliedern der Teamleitung oder IT-Administration, Sicherheitseinstellungen zentral einzurichten und den Verbrauch sowie die Ausgaben zu steuern. Sie können einen Hub über das Azure-Portal erstellen und verwalten, und dann können Ihre Entwickler Projekte über den Hub erstellen.

In diesem Artikel erfahren Sie, wie Sie einen Hub im Azure KI Foundry-Portal mit den Standardeinstellungen erstellen und verwalten, damit Sie schnell loslegen können. Müssen Sie die Sicherheit oder die abhängigen Ressourcen Ihres Hubs anpassen? Verwenden Sie dann das Azure-Portal oder die Vorlagenoptionen.

Tipp

Wenn Sie ein einzelner Entwickler sind und kein Administrator, Entwicklungsleiter oder Teil einer größeren Initiative sind, die einen Hub erfordert, können Sie Projekte direkt im Azure KI Foundry-Portal erstellen,ohne zunächst einen Hub zu erstellen. Weitere Informationen finden Sie unter Erstellen eines Projekts.

Wenn Sie ein Administrator oder Entwicklungsleiter sind und einen Azure KI Foundry-Hub mithilfe einer Vorlage erstellen möchten, lesen Sie die Artikel zur Verwendung von Bicep oder Terraform.

Erstellen eines sicheren Hubs im Azure-Portal

Wenn Ihre Organisation Azure Policy nutzt, richten Sie einen Hub ein, der die Anforderungen Ihrer Organisation erfüllt, anstatt Azure KI Foundry zum Erstellen von Ressourcen zu verwenden.

  1. Suchen Sie im Azure-Portal nach Azure AI Foundry. Wählen Sie im linken Menü AI Hubs und dann +Erstellen und Hub aus.

    Screenshot des Azure AI Foundry-Portals.

  2. Geben Sie Ihren Hubnamen, Ihr Abonnement, Ihre Ressourcengruppe und Standortdetails ein. Für Azure KI Services-Basismodelle wählen Sie eine vorhandene Azure KI Services-Ressource oder erstellen Sie eine neue. Azure KI Services umfassen mehrere API-Endpunkte für Speech, Inhaltssicherheit und Azure OpenAI.

    Screenshot der Option zum Festlegen der grundlegenden Informationen des Hub.

  3. Wählen Sie die Registerkarte Speicher aus, um die Einstellungen für Speicherkonten anzugeben. Geben Sie zum Speichern von Anmeldeinformationen entweder Ihre Azure Key Vault-Instanz an, oder verwenden Sie den von Microsoft verwalteten Anmeldeinformationsspeicher (Vorschau).

    Screenshot: Dialogfeld „Hub erstellen“ mit der Option zum Festlegen von Ressourceninformationen.

  4. Wählen Sie die Registerkarte "Eingehender Zugriff " und " Ausgehender Zugriff " aus, um die Netzwerkisolation einzurichten. Weitere Informationen finden Sie im Artikel zur Netzwerkisolation .

  5. Wählen Sie die Registerkarte Verschlüsselung aus, um die Datenverschlüsselung einzurichten. Standardmäßig werden von Microsoft verwaltete Schlüssel für die Datenverschlüsselung verwendet. Sie können wahlweise Daten mithilfe eines kundenseitig verwalteten Schlüssels verschlüsseln.

    Screenshot: Dialogfeld „Hub erstellen“ mit der Option zum Auswählen des Verschlüsselungstyps

  6. Wählen Sie die Registerkarte Identität aus. Standardmäßig ist die systemzugewiesene Identität aktiviert, aber Sie können zu benutzerzugewiesenen Identität wechseln, wenn im Speicher ein vorhandener Speicher, ein Schlüsseltresor und eine Containerregistrierung ausgewählt sind. Sie können auch auswählen, ob der auf Anmeldeinformationen basierende oder der identitätsbasierte Zugriff für das Speicherkonto verwendet werden soll.

    Screenshot: Dialogfeld „Hub erstellen“ mit der Option zum Auswählen einer verwalteten Identität

    Hinweis

    Wenn Sie Benutzerseitig zugewiesene Identität auswählen, muss Ihre Identität über die Rolle Cognitive Services Contributor verfügen, damit erfolgreich ein neuer Hub erstellt werden kann.

  7. Wählen Sie Bewerten + erstellen>Erstellen aus.

Verwalten Ihres Hubs im Azure-Portal

Verwalten Sie die Zugriffskontrolle

Sie können Benutzer im Verwaltungscenter des Azure KI Foundry-Portals hinzufügen und daraus entfernen. Sowohl der Hub als auch Projekte innerhalb des Hubs verfügen im linken Menü einen Eintrag Benutzer, mit dem Sie Benutzer hinzufügen und entfernen können. Beim Hinzufügen von Benutzern können Sie diesen integrierte Rollen zuweisen.

Screenshot des Benutzerbereichs im Verwaltungscenter eines Hubs

Verwenden Sie die Zugriffssteuerung (IAM) im Azure-Portal für benutzerdefinierte Rollenzuweisungen.

Informationen zum Hinzufügen von Berechtigungen für Benutzer aus dem Azure-Portal finden Sie im Artikel zu Azure-Rollenzuweisungen .

Vernetzung

Hub-Netzwerkeinstellungen können während der Ressourcenerstellung festgelegt oder auf der Registerkarte Netzwerk in der Azure-Portalansicht geändert werden. Beim Erstellen eines neuen Hubs wird ein verwaltetes virtuelles Netzwerk aufgerufen. Dadurch wird die Konfiguration Ihrer Netzwerkisolation mit einem integrierten verwalteten virtuellen Netzwerk optimiert und automatisiert. Die Einstellungen für das verwaltete virtuelle Netzwerk werden auf alle Projekte angewendet, die in einem Hub erstellt wurden.

Wählen Sie bei der Huberstellung einen der folgenden Netzwerkisolationsmodi aus: Öffentlich, Privat mit ausgehendem Internetdatenverkehr und Privat mit genehmigtem ausgehendem Datenverkehr. Um Ihre Ressourcen zu sichern, wählen Sie entweder Privat mit ausgehendem Internetdatenverkehr oder Privat mit genehmigtem ausgehendem Datenverkehr für Ihre Netzwerkanforderungen aus. Für die privaten Isolationsmodi sollte ein privater Endpunkt für den eingehenden Zugriff erstellt werden. Weitere Informationen zur Netzwerkisolation finden Sie unter Verwaltete virtuelle Netzwerkisolation. Eine Anleitung zum Erstellen eines sicheren Hubs finden Sie unter Erstellen eines sicheren Hubs.

Bei der Huberstellung im Azure-Portal ist die Erstellung von zugeordneten Azure KI Services-Instanzen, Speicherkonto, Schlüsseltresor (optional), Application Insights-Instanz (optional) und Containerregistrierung (optional) vorgegeben. Diese Ressourcen finden Sie während der Erstellung auf der Registerkarte Ressourcen.

Um eine Verbindung mit Azure KI-Diensten (Azure OpenAI, Azure KI-Suche und Azure KI Content Safety) oder Speicherkonten im Azure KI Foundry-Portal herzustellen, erstellen Sie einen privaten Endpunkt in Ihrem virtuellen Netzwerk. Stellen Sie sicher, dass das Flag für den Zugriff auf das öffentliche Netzwerk (Public Network Access, PNA) beim Erstellen der privaten Endpunktverbindung deaktiviert ist. Weitere Informationen zu Azure KI Services-Verbindungen finden Sie unter Virtuelle Netzwerke für Azure KI Services. Sie können optional Ihre eigene Azure AI Search verwenden, aber sie erfordert eine Verbindung mit einem privaten Endpunkt aus Ihrem virtuellen Netzwerk.

Verschlüsselung

Projekte, die denselben Hub verwenden, nutzen dieselbe Verschlüsselungskonfiguration. Der Verschlüsselungsmodus kann nur bei der Erstellung eines Hubs zwischen von Microsoft verwalteten Schlüsseln und kundenseitig verwalteten Schlüsseln (CMK) eingestellt werden.

Navigieren Sie in der Azure-Portalansicht zur Registerkarte „Verschlüsselung“, um die Verschlüsselungseinstellungen für Ihren Hub zu finden.

Für Hubs, die den CMK-Verschlüsselungsmodus verwenden, können Sie den Verschlüsselungsschlüssel auf eine neue Schlüsselversion aktualisieren. Dieser Aktualisierungsvorgang ist auf Schlüssel und Schlüsselversionen innerhalb derselben Schlüsseltresor-Instanz wie beim ursprünglichen Schlüssel beschränkt.

Screenshot: Seite „Verschlüsselung“des Hubs im Azure-Portal

Aktualisieren der Azure Application Insights- und Azure-Container Registry

Um benutzerdefinierte Umgebungen für Prompt Flow zu verwenden, müssen Sie eine Azure-Container Registry für Ihren Hub konfigurieren. Um Azure Application Insights für Prompt Flow-Bereitstellungen zu verwenden, ist eine konfigurierte Azure Application Insights-Ressource für Ihren Hub erforderlich. Das Aktualisieren der dem Arbeitsbereich zugeordneten Azure Container Registry- oder Application Insights-Ressourcen kann die Herkunft früherer Aufträge, bereitgestellter Rückschlussendpunkte oder die Möglichkeit unterbrechen, frühere Aufträge in diesem Arbeitsbereich erneut auszuführen. Nach der Zuordnung zu einem Azure AI Foundry-Hub kann die Zuordnung von Azure Container Registry- und Application Insights-Ressourcen nicht mehr aufgehoben (auf NULL festgelegt) werden.

Sie können das Azure-Portal, oder Azure SDK-/CLI-Optionen oder die Infrastructure-as-Code-Vorlagen verwenden, um Azure Application Insights und Azure Container Registry für den Hub zu aktualisieren.

Sie können Ihren Hub während der Erstellung oder Aktualisierung nach der Erstellung für diese Ressourcen konfigurieren.

Um Azure Application Insights aus dem Azure-Portal zu aktualisieren, navigieren Sie im Azure-Portal zu den Eigenschaften für Ihren Hub, und wählen Sie dann Application Insights ändern aus.

Screenshot: Eigenschaftenseite der Hub-Ressource im Azure-Portal

Wählen Sie, wie Anmeldeinformationen gespeichert werden

In einigen Szenarien im Azure KI Foundry-Portal werden die Anmeldeinformationen in Ihrem Namen gespeichert. Dies ist z. B. der Fall, wenn Sie eine Verbindung im Azure AI Foundry-Portal erstellen, um mit einem gespeicherten Kontoschlüssel auf ein Azure Storage-Konto oder mit einem Administratorkennwort auf Azure Container Registry zuzugreifen, oder wenn Sie eine Compute-Instanz mit aktivierten SSH-Schlüsseln erstellen. Beim Auswählen der identitätsbasierten Microsoft Entra ID-Authentifizierung werden mit den Verbindungen keine Anmeldeinformationen gespeichert.

Sie können entscheiden, wo Anmeldeinformationen gespeichert werden:

  • Ihre Azure Key Vault-Instanz: Dazu müssen Sie für jeden Hub Ihre eigene Azure Key Vault-Instanz verwalten und konfigurieren. Dieser Ansatz bietet Ihnen mehr Kontrolle über den Lebenszyklus von Geheimnissen, z. B. durch Festlegen von Ablaufrichtlinien. Sie können auch gespeicherte Geheimnisse für andere Anwendungen in Azure freigeben.

  • Von Microsoft verwalteter Anmeldeinformationsspeicher (Vorschau): Bei diesem Ansatz verwaltet Microsoft eine Azure Key Vault-Instanz in Ihrem Namen für jeden Hub. Es ist keine Ressourcenverwaltung auf Ihrer Seite erforderlich, und der Tresor wird nicht in Ihrem Azure-Abonnement angezeigt. Der Lebenszyklus von Geheimnisdaten entspricht dem Ressourcenlebenszyklus Ihrer Hubs und Projekte. Wenn Sie beispielsweise die Speicherverbindung eines Projekts löschen, wird auch das zugehörige gespeicherte Geheimnis gelöscht.

Nachdem Ihr Hub erstellt wurde, ist es nicht mehr möglich, zwischen Azure Key Vault und der Verwendung eines von Microsoft verwalteten Anmeldeinformationsspeichers zu wechseln.

Löschen eines Azure KI Foundry-Hubs

Um einen Hub aus Azure KI Foundry zu löschen, wählen Sie den Hub und dann Hub löschen im Abschnitt Hubeigenschaften der Seite aus.

Screenshot des Links „Hub löschen“ in den Hubeigenschaften

Hinweis

Sie können den Hub auch über das Azure-Portal löschen.

Beim Löschen eines Hubs werden auch alle zugehörigen Projekte gelöscht. Wenn ein Projekt gelöscht wird, werden auch alle geschachtelten Endpunkte für das Projekt gelöscht. Sie können optionale die verbundenen Ressourcen löschen. Stellen Sie dabei jedoch sicher, dass keine anderen Anwendungen diese Verbindung verwenden. Sie könnte z. B. von einer anderen Azure KI Foundry-Bereitstellung verwendet werden.

Verwandte Inhalte