Tutorial: Conexión de AKS a Azure OpenAI

En este tutorial, se muestra cómo conectar las aplicaciones de Azure Kubernetes Service (AKS) a Azure OpenAI mediante Service Connector con la autenticación de identidad de carga de trabajo. Para establecer conexiones sin credenciales, implemente una aplicación de Python de ejemplo que se comunique con Azure OpenAI.

Deberá completar las siguientes tareas:

Creación de un clúster de AKS y un recurso de Azure OpenAI con el modelo GPT-4
Configuración de Service Connector para establecer la conexión con la identidad de carga de trabajo
Clonar una aplicación de ejemplo
Compilación e inserción de imágenes de contenedor en Azure Container Registry
Implementación de la aplicación en AKS y comprobación de la conexión
Limpieza de recursos

Requisitos previos

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
- Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.
- Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para obtener más información, consulte Ejecución de la CLI de Azure en un contenedor de Docker.
  - Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.
  - En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para obtener más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.
  - Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
Docker y kubectl para administrar la imagen de contenedor y los recursos de Kubernetes.
Conocimientos básicos sobre los contenedores y AKS. Empiece por preparar una aplicación para AKS.
Permisos de acceso para crear recursos de Azure OpenAI e implementar modelos.

Creación de recursos de Azure OpenAI y AKS

Para iniciar este tutorial, cree varios recursos de Azure.

Cree un grupo de recursos para este tutorial.

az group create \
    --name MyResourceGroup \
    --location eastus

Cree un clúster de AKS con el comando siguiente o consulte el inicio rápido de AKS. En este tutorial, creamos la conexión de servicio y la definición de pod e implementamos la aplicación de ejemplo en este clúster.
```
az aks create \
    --resource-group MyResourceGroup \
    --name MyAKSCluster \
    --enable-managed-identity \
    --node-count 1 \
    --generate-ssh-keys
```

Conéctese al clúster mediante el comando az aks get-credentials.

az aks get-credentials \
    --resource-group MyResourceGroup \
    --name MyAKSCluster

Cree un recurso de Azure OpenAI mediante el comando az cognitiveservices account create. Si lo desea, consulte este tutorial para obtener más instrucciones. Azure OpenAI es el servicio de destino al que se conectará el clúster de AKS.
```
az cognitiveservices account create \
    --resource-group MyResourceGroup \
    --name MyOpenAI \
    --location eastus \
    --kind OpenAI \
    --sku s0 \
    --custom-domain myopenai \
    --subscription <SubscriptionID>
```

Implemente un modelo con el comando az cognitiveservices deployment create. El modelo se usa en la aplicación de ejemplo para probar la conexión.

az cognitiveservices account deployment create \
    --resource-group MyResourceGroup \
    --name MyOpenAI \
    --deployment-name MyModel \
    --model-name gpt-4 \
    --model-version 0613 \
    --model-format OpenAI \
    --sku-name "Standard" \
    --capacity 1

Cree una instancia de Azure Container Registry (ACR) para almacenar la aplicación de ejemplo en contenedor. Use el comando az acr create o consulte este tutorial.
```
az acr create \
    --resource-group MyResourceGroup \
    --name myregistry \
    --sku Standard
```
Habilite la extracción anónima mediante el comando az acr update para que el clúster de AKS pueda consumir las imágenes en el registro.
```
az acr update \
    --resource-group MyResourceGroup \
    --name myregistry \
    --anonymous-pull-enabled
```
Cree una identidad administrada asignada por el usuario con el comando az identity create o consulte este tutorial. Cuando se crea la conexión, la identidad administrada asignada por el usuario se usa para habilitar la identidad de carga de trabajo para las cargas de trabajo de AKS.
```
az identity create \
    --resource-group MyResourceGroup \
    --name MyIdentity
```

Creación de una conexión de servicio desde AKS a Azure OpenAI

Cree una conexión de servicio entre un clúster de AKS y Azure OpenAI en Azure Portal o la CLI de Azure.

Portal
CLI de Azure

Consulte el inicio rápido de conexión del servicio AKS para obtener instrucciones para crear una nueva conexión y rellenar la configuración que hace referencia a los ejemplos de la tabla siguiente. Deje todas las demás opciones de configuración con sus valores predeterminados.

Pestaña Aspectos básicos:

Configuración	Valor de ejemplo	Descripción
Espacio de nombres de Kubernetes	valor predeterminado	Espacio de nombres de Kubernetes.
Tipo de servicio	Servicio OpenAI	El tipo de servicio de destino.
Nombre de la conexión	openai_conn	Use el nombre de conexión proporcionado por Service Connector o elija su propio nombre de conexión.
Suscripción	Mi suscripción	La suscripción de Azure que contiene el recurso de Azure OpenAI.
OpenAI	MyOpenAI	El recurso Azure OpenAI de destino al que quiere conectarse.
Tipo de cliente	Python	Lenguaje de programación o marco para la configuración de conexión.

Pestaña Autenticación:

Configuración de autenticación	Valor de ejemplo	Descripción
Tipo de autenticación	Identidad de carga de trabajo	Método de autenticación para conectar la aplicación a Azure OpenAI. Se recomienda la identidad de la carga de trabajo para mejorar la seguridad. Los métodos alternativos incluyen la cadena de conexión y la entidad de servicio, y requieren consideraciones de administración de credenciales.
Suscripción	Mi suscripción	La suscripción que contiene la identidad administrada asignada por el usuario.
Identidad administrada asignada por el usuario	myidentity	Identidad administrada asignada por el usuario que habilita la autenticación de identidad de carga de trabajo para el clúster de AKS.

Cuando se crea la conexión, puede ver sus detalles en el panel Conector de servicio.

Cree una conexión de servicio desde AKS al recurso de Azure OpenAI mediante la ejecución del comando az aks connection create cognitiveservices en la CLI de Azure.

az aks connection create cognitiveservices \
   --workload-identity <user-identity-resource-id>

Al usar el comando anterior, el conector de servicio le pedirá que especifique el grupo de recursos de AKS, el nombre del clúster de AKS, el grupo de recursos de servicio de destino, el nombre de la cuenta de Cognitive Service y el identificador de recurso de identidad asignado por el usuario paso a paso.

De manera alternativa, puede proporcionar el comando completo directamente:

az aks connection create cognitiveservices \
   --workload-identity <user-identity-resource-id> \
   --resource-group <aks-cluster-resource-group> \
   --name <aks-cluster-name> \
   --target-resource-group <target-cognitive-services-resource-group> \
   --account <target-cognitive-services-account>

Nota:

En este tutorial, se usa la identidad de carga de trabajo para mejorar la seguridad. Para escenarios de desarrollo, también puede usar la autenticación de cadena de conexión si omite el parámetro --workload-identity y usa --secret en su lugar.

Clonación de la aplicación de ejemplo de Python

Clone el repositorio de ejemplo:

git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git

Vaya a la carpeta de ejemplo del repositorio para Azure OpenAI:

cd serviceconnector-aks-samples/azure-openai-workload-identity

Reemplace el marcador de posición <MyModel> en el archivo app.py por el nombre del modelo implementado.

Compilación e inserción de imágenes de contenedor en Azure Container Registry

Compile e inserte las imágenes en el registro de contenedor mediante el comando az acr build de la CLI de Azure.
```
az acr build --registry myregistry --image sc-demo-openai-identity:latest ./
```
Vea las imágenes del registro de contenedor mediante el comando az acr repository list.
```
az acr repository list --name myregistry --output table
```

Implementación y prueba de AKS en la conexión de Azure OpenAI

Reemplace los marcadores de posición del archivo pod.yaml de la carpeta azure-openai-workload-identity.
- Reemplace <YourContainerImage> por el nombre de la imagen que compilamos anteriormente. Por ejemplo, <myregistry>.azurecr.io/<sc-demo-openai-identity>:<latest>.
- Reemplace <ServiceAccountCreatedByServiceConnector> por el nombre de la cuenta de servicio. Puede encontrarse en Azure Portal, en el panel Conector de servicio.
- Reemplace <SecretCreatedByServiceConnector> por el nombre del secreto. Puede encontrarse en Azure Portal, en el panel Conector de servicio.
Implemente el pod en el clúster con el comando kubectl apply, que crea un pod denominado sc-demo-openai-identity en el espacio de nombres predeterminado del clúster de AKS. Instale kubectl localmente mediante el comando az aks install-cli si no está instalado.
```
kubectl apply -f pod.yaml
```
Compruebe si la implementación se realizó correctamente mediante la visualización del pod con kubectl.
```
kubectl get pod/sc-demo-openai-identity
```
Compruebe que la conexión se establezca mediante la visualización de los registros con kubectl.
```
kubectl logs pod/sc-demo-openai-identity
```

Limpieza de recursos

Si ya no necesita los recursos creados en este tutorial, límpielos eliminando el grupo de recursos.

az group delete \
    --resource-group MyResourceGroup

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-10-03