Come creare e gestire un hub di Azure AI Foundry

Annotazioni

Le informazioni contenute in questo articolo sono specifiche di un progetto basato su hub e non si applicano a un progetto Foundry. Vedere Come si conosce il tipo di progetto disponibile? e Creare un progetto basato su hub.

Nel portale di Azure AI Foundry gli hub forniscono l'ambiente per consentire a un team di collaborare e organizzare il lavoro e aiutarvi come responsabile del team o amministratore IT a configurare centralmente le impostazioni di sicurezza e gestire l'utilizzo e la spesa. È possibile creare e gestire un hub dal portale di Azure e quindi gli sviluppatori possono creare progetti dall'hub.

Questo articolo illustra come creare e gestire un hub nel portale di Azure AI Foundry con le impostazioni predefinite per iniziare rapidamente. È necessario personalizzare la sicurezza o le risorse dipendenti dell'hub? Usare quindi il portale di Azure o le opzioni del modello.

Suggerimento

Se si è un singolo sviluppatore e non un amministratore, un responsabile di sviluppo o una parte di un impegno più ampio che richiede un hub, è possibile creare un progetto direttamente dal portale di Azure AI Foundry senza prima creare un hub. Per ulteriori informazioni, vedere Creare un progetto.

Se si è un amministratore o un responsabile di sviluppo e si vuole creare l'hub di Azure AI Foundry usando un modello, vedere gli articoli sull'uso di Bicep o Terraform.

Creare un hub sicuro nel portale di Azure

Se l'organizzazione usa Criteri di Azure, configurare un hub che soddisfi i requisiti dell'organizzazione anziché usare Azure AI Foundry per la creazione di risorse.

1. Nel portale di Azure cercare Azure AI Foundry. Nel menu a sinistra selezionare Hub di intelligenza artificiale e quindi + Crea e hub.

   

2. Immettere i dettagli relativi al nome, alla sottoscrizione, al gruppo di risorse e alla posizione dell'hub. Per i modelli di base dei servizi di Azure AI, selezionare una risorsa dei servizi di Azure AI esistente o crearne una nuova. I nuovi Servizi di Azure AI includono più endpoint API per la voce, la sicurezza dei contenuti e per OpenAI di Azure.

   

3. Selezionare la scheda Archiviazione per specificare le impostazioni dell'account di archiviazione. Per l'archiviazione delle credenziali, specificare Azure Key Vault o usare l'archivio delle credenziali gestite da Microsoft (anteprima).

   

4. Selezionare la scheda Accesso in ingresso e Accesso in uscita per configurare l'isolamento di rete. Per altre informazioni, vedere l'articolo isolamento di rete .

5. Selezionare la scheda Crittografia per configurare la crittografia dei dati. Per impostazione predefinita, le chiavi gestite da Microsoft vengono usate per crittografare i dati. È possibile selezionare Crittografa i dati usando una chiave gestita dal cliente.

   

6. Selezionare la scheda Identità. Per impostazione predefinita, l'identità assegnata dal sistema è abilitata, ma è possibile passare all'identità assegnata dall'utente se in Archiviazione sono selezionati la risorsa di archiviazione, l'insieme di credenziali delle chiavi e il registro contenitori esistenti. È anche possibile scegliere se usare l'accesso basato sulle credenziali o basato su identità all'account di archiviazione.

   

   Annotazioni

   Se selezioni Identità assegnata dall'utente, la tua identità deve avere il ruolo Cognitive Services Contributor per creare con successo un nuovo hub.

7. Selezionare Rivedi e crea>Crea.

Gestire il controllo di accesso

È possibile aggiungere e rimuovere utenti dal centro di gestione del portale di Azure AI Foundry . Sia l'hub che i progetti all'interno dell'hub hanno una voce Utenti nel menu a sinistra che consente di aggiungere e rimuovere utenti. Quando si aggiungono utenti, è possibile assegnarli ruoli predefiniti.

Per le assegnazioni di ruolo personalizzate, usare Controllo di accesso (IAM) all'interno del portale di Azure.

Per aggiungere autorizzazioni per gli utenti dal portale di Azure, vedere l'articolo Assegnazioni di ruolo di Azure .

Gestire l'hub dal portale di Azure AI Foundry

Rete

Le impostazioni di networking dell'hub possono essere configurate durante la creazione delle risorse o modificate nella scheda Networking nella vista del portale di Azure. La creazione di un nuovo hub richiama una rete virtuale gestita. Ciò semplifica e automatizza la configurazione dell'isolamento rete con una rete virtuale gestita predefinita. Le impostazioni della rete virtuale gestita vengono applicate a tutti i progetti creati all'interno di un hub.

Al momento della creazione dell'hub, scegliere una delle modalità di isolamento rete: Pubblico, Privato con Internet in uscita e Privato con traffico in uscita approvato. Per proteggere la risorsa, selezionare Privato con Internet in uscita o Privato con traffico in uscita approvato in base alle esigenze di rete. Per le modalità di isolamento privato, è necessario creare un endpoint privato per l'accesso in ingresso. Per altre informazioni sull'isolamento rete, vedere Isolamento rete virtuale gestita. Per creare un hub sicuro, vedere Creare un hub sicuro.

Al momento della creazione dell'hub nel portale di Azure, viene fornita la creazione di Servizi di Azure AI associati, account di archiviazione, insieme di credenziali delle chiavi (facoltativo), Application Insights (facoltativo) e registro Contenitori (facoltativo). Queste risorse sono disponibili nella scheda Risorse durante la creazione.

Per connettersi ai servizi di intelligenza artificiale di Azure (Azure OpenAI, Ricerca di intelligenza artificiale di Azure e Azure AI Content Safety) o agli account di archiviazione nel portale di Azure AI Foundry, creare un endpoint privato nella rete virtuale. Verificare che il flag PNA (Public Network Access) sia disabilitato durante la creazione della connessione all'endpoint privato. Per altre informazioni sulle connessioni ai servizi di intelligenza artificiale di Azure, vedere Reti virtuali per i servizi di intelligenza artificiale di Azure. È facoltativo portare il proprio sistema di Ricerca Intelligenza Artificiale di Azure, ma richiede una connessione a un endpoint privato dalla rete virtuale.

Crittografia

I progetti che usano lo stesso hub condividono la configurazione della crittografia. La modalità di crittografia può essere impostata solo al momento della creazione dell'hub tra chiavi gestite da Microsoft e chiavi gestite dal cliente (CMK).

Dalla vista del portale di Azure, passare alla scheda della crittografia per trovare le impostazioni di crittografia per l'hub.

Per gli hub che usano la modalità di crittografia CMK, è possibile aggiornare la chiave di crittografia a una nuova versione della chiave. Questa operazione di aggiornamento è vincolata alle chiavi e alle versioni delle chiavi all'interno della stessa istanza di Key Vault della chiave originale.

Aggiornare Azure Application Insights e il Registro Azure Container

Per usare ambienti personalizzati per prompt flow, è necessario configurare un Registro Azure Container per l'hub. Per usare Azure Application Insights per le distribuzioni prompt flow, è necessaria una risorsa di Azure Application Insights configurata per l'hub. L'aggiornamento del Registro Azure Container collegato all'area di lavoro o delle risorse di Application Insights potrebbe interrompere la derivazione dei processi precedenti, gli endpoint di inferenza distribuiti o la possibilità di rieseguire processi precedenti nell'area di lavoro. Dopo l'associazione a un hub di Azure AI Foundry, non è possibile annullare l'associazione delle risorse di Registro Azure Container e Application Insights (impostata su Null).

Inoltre, è possibile usare il portale di Azure, le opzioni SDK/interfaccia della riga di comando di Azure o i modelli di infrastruttura come codice per aggiornare Azure Application Insights e Registro Azure Container per l'hub.

Portale di Azure

È possibile configurare l'hub per queste risorse durante la creazione o durante l'aggiornamento dopo la creazione.

Per aggiornare Azure Application Insights dal portale di Azure, passare alle Proprietà dell'hub nel portale di Azure, quindi selezionareModifica Application Insights.

Python SDK

from azure.ai.ml.entities import Hub

my_app_insights = "{APPLICATION_INSIGHTS_ARM_ID}"
my_container_registry = "{CONTAINER_REGISTRY_ARM_ID}"

# construct a basic hub
my_hub = Hub(name="myexamplehub", 
             location="East US", 
             application_insights=my_app_insights,
             container_registry=my_container_registry)

# update_dependent_resources is used to give consent to update the workspace dependent resources.
created_hub = ml_client.workspaces.begin_update(workspace=my_hub, update_dependent_resources=True).result()

Interfaccia della riga di comando di Azure

Vedere la documentazione relativa ai flag per az ml workspace update

az ml workspace update -n "myexamplehub" -g "{MY_RESOURCE_GROUP}" -a "APPLICATION_INSIGHTS_ARM_ID" -u

Scegliere la modalità di archiviazione delle credenziali

Selezionare gli scenari nel portale di Azure AI Foundry per archiviare le credenziali per conto dell'utente. Ad esempio, quando si crea una connessione nel portale di Azure AI Foundry per accedere a un account di Archiviazione di Azure con chiave dell'account archiviata, oppure si accede all'Azure Container Registry con la password di amministratore, o quando si crea un'istanza di calcolo con chiavi SSH abilitate. Nessuna credenziale viene archiviata con le connessioni quando si sceglie l'autenticazione basata sull'identità di Microsoft Entra ID.

È possibile scegliere dove vengono archiviate le credenziali:

• Azure Key Vault: è necessario gestire un'istanza di Azure Key Vault personalizzata e configurarla per ogni hub. Offre un controllo maggiore sul ciclo di vita dei segreti, ad esempio per impostare i criteri di scadenza. È anche possibile condividere segreti archiviati con altre applicazioni in Azure.

• Archivio credenziali gestite da Microsoft (anteprima): in questa variante Microsoft gestisce un'istanza di Azure Key Vault per conto dell'hub. Non è necessaria alcuna gestione delle risorse da parte tua e il vault non viene mostrato nella tua sottoscrizione di Azure. Il ciclo di vita dei dati segreti segue il ciclo di vita delle risorse degli hub e dei progetti. Ad esempio, quando viene eliminata la connessione di archiviazione di un progetto, viene eliminato anche il segreto archiviato.

Dopo aver creato l'hub, non è possibile passare dal tuo Azure Key Vault all'archivio delle credenziali gestito da Microsoft.

Eliminare un hub di Azure AI Foundry

Per eliminare un hub da Azure AI Foundry, selezionare l'hub e quindi selezionare Elimina hub nella sezione Proprietà hub della pagina.

Annotazioni

È anche possibile eliminare l'hub dal portale di Azure.

L'eliminazione di un hub elimina tutti i progetti associati. Quando un progetto viene eliminato, vengono eliminati anche tutti gli endpoint annidati per il progetto. Facoltativamente, è possibile eliminare le risorse connesse; Tuttavia, assicurarsi che nessun'altra applicazione usi questa connessione. Ad esempio, un'altra distribuzione di Azure AI Foundry potrebbe usarla.

Contenuti correlati

• Creare un progetto
• Altre informazioni su Azure AI Foundry
• Ulteriori informazioni sugli hub