この記事では、Azure で AI ワークロードを構築するための組織のプロセスの概要を説明します。 この記事では、大規模な AI ワークロードを導入するための主要な設計とプロセスの決定を行う際の推奨事項を紹介します。 リソースの編成と接続に関する AI 固有のガイダンスに焦点を当てています。
AI ワークロードのガバナンス境界を確立する
AI ガバナンスでは、セキュリティで保護され、準拠し、コスト効率の高い運用を確保するために、適切なリソース編成とポリシー管理が必要です。 機密データを保護し、AI リソース アクセスを効果的に制御するには、明確なガバナンス境界を作成する必要があります。 その方法は次のとおりです。
インターネットに接続する AI ワークロードと内部 AI ワークロード用に個別の管理グループを作成します。 管理グループの分離により、外部 ("オンライン") と内部専用 ("企業") AI アプリケーションの間に重要なデータ ガバナンス境界が確立されます。 この分離により、外部ユーザーは、適切なアクセス制御を維持しながら、機密性の高い内部ビジネス データにアクセスできなくなります。 このアプローチは 、Azure ランディング ゾーン管理グループ アーキテクチャの原則に沿っており、ワークロードの種類間でのポリシーの継承をサポートします。
各管理グループに AI 固有のポリシーを適用します。 Azure ランディング ゾーンからのベースライン ポリシーから開始し、Azure AI Foundry、Azure AIサービス、Azure AISearch、Azure Virtual Machines の Azure Policy 定義を追加します。 ポリシーの適用により、プラットフォーム全体で均一な AI ガバナンスが保証され、手動でのコンプライアンス監視が軽減されます。
ワークロード固有のサブスクリプション内に AI リソースをデプロイします。 AI リソースは、プラットフォーム サブスクリプションではなく、ワークロード管理グループからガバナンス ポリシーを継承する必要があります。 この分離により、プラットフォーム チームが制御する開発のボトルネックが回避され、ワークロード チームが適切な自律性で運用できるようになります。 Azure ランディング ゾーン環境のアプリケーション ランディング ゾーン サブスクリプションに AI ワークロードをデプロイします。
AI ワークロードのセキュリティで保護された接続を確立する
AI ネットワークには、ネットワーク インフラストラクチャの設計、セキュリティ対策、AI ワークロードの効率的なデータ転送パターンが含まれます。 ネットワークベースの中断を防ぎ、一貫したパフォーマンスを維持するには、適切なセキュリティ制御と接続オプションを実装する必要があります。 その方法は次のとおりです。
インターネットに接続する AI ワークロードに対して Azure DDoS Protection をアクティブ化します。Azure DDoS Protection は、分散型サービス拒否攻撃が引き起こす潜在的な中断やダウンタイムから AI サービスを保護します。 仮想ネットワーク レベルの DDoS 保護は、インターネットに接続するアプリケーションを対象とするトラフィックの洪水から保護し、攻撃中にサービスの可用性を維持します。
Azure Bastion を使用して AI ワークロードへの運用アクセスをセキュリティで保護します。 ジャンプボックスと Azure Bastion を使用して、AI ワークロードへの運用アクセスをセキュリティで保護し、管理インターフェイスがインターネットに直接公開されないようにします。 この方法では、AI リソースのネットワーク分離を維持しながら、管理タスク用のセキュリティで保護されたゲートウェイが作成されます。
オンプレミスのデータ ソースに適した接続を選択します。 オンプレミスのソースからクラウド環境に大量のデータを転送する組織では、AI ワークロードのパフォーマンス要件をサポートするための高帯域幅接続が必要です。
大量のデータ転送には Azure ExpressRoute を使用します。Azure ExpressRoute は、高いデータ ボリューム、リアルタイム処理、または一貫したパフォーマンスを必要とするワークロードに専用の接続を提供します。 ExpressRoute には、特定のトラフィック フローに対して ExpressRoute ゲートウェイをバイパスすることでデータ パスのパフォーマンスを向上させる FastPath 機能が含まれています。
中程度のデータ転送には Azure VPN Gateway を使用します。Azure VPN Gateway は 、中程度のデータ ボリューム、頻度の低いデータ転送、またはパブリック インターネット アクセスが必要な場合に適しています。 VPN Gateway では、ExpressRoute と比較して、小規模なデータセットに対するセットアップとコスト効率の高い操作が簡単になります。 クロスプレミス接続用のサイト間 VPN や、セキュリティで保護されたデバイス アクセスのためのポイント対サイト VPN など、AI ワークロードに適した トポロジと設計 を使用します。
リージョン間で AI の信頼性を確立する
AI の信頼性には、一貫したパフォーマンスと高可用性を確保するために、戦略的なリージョンの配置と冗長性の計画が必要です。 組織は、信頼性の高い AI サービスを維持するために、モデルのホスティング、データの局所性、ディザスター リカバリーに対処する必要があります。 サービスの中断を回避し、パフォーマンスを最適化するには、リージョンデプロイ戦略を計画する必要があります。 その方法は次のとおりです。
運用環境のワークロード用に複数のリージョンに AI エンドポイントをデプロイします。 運用環境の AI ワークロードでは、冗長性を提供し、高可用性を確保するために、少なくとも 2 つのリージョンでホスティングする必要があります。 複数リージョンのデプロイを使用すると、リージョンの障害発生時にフェールオーバーと復旧を高速化できます。 Azure AI Foundry の Azure OpenAI の場合は、使用可能な容量を持つリージョンに要求を自動的にルーティングする グローバル デプロイ を使用します。 リージョンデプロイの場合は、 AZURE API Management を実装して、AI エンドポイント間で API 要求を負荷分散します。
デプロイ前に、ターゲット リージョンで AI サービスの可用性を確認します。 リージョンによって、さまざまなレベルの AI サービスの可用性と機能のサポートが提供されます。 リージョン別の Azure サービスの可用性を確認して、必要な AI サービスが利用可能であることを確認します。 Azure OpenAI デプロイ モデルには、グローバル標準、グローバル プロビジョニング、リージョン標準、およびリージョン別の可用性パターンを使用したリージョン プロビジョニング オプションが含まれます。
リージョンのクォータ制限と容量要件を評価します。 Azure AI サービスには、大規模なモデルデプロイと推論ワークロードに影響するリージョンサブスクリプションの制限があります。 スケーリング中のサービスの中断を防ぐために、標準クォータを超える容量ニーズが予想される場合は、Azure サポートに事前に問い合わせてください。
取得拡張生成アプリケーションのデータ配置を最適化します。 データ ストレージの場所は、RAG シナリオでのアプリケーションのパフォーマンスに大きく影響します。 同じリージョンに AI モデルを使用してデータを併置すると、待機時間が短縮され、データ取得の効率が向上しますが、リージョン間の構成は特定のビジネス要件に対して引き続き有効です。
ビジネス継続性のために、重要な AI 資産をセカンダリ リージョンにレプリケートします。 ビジネス継続性には、微調整されたモデル、RAG データセット、トレーニング済みモデル、トレーニング データをセカンダリ リージョンにレプリケートする必要があります。 資産レプリケーションを使用すると、停止中の復旧が高速化され、さまざまな障害シナリオでサービスの可用性が維持されます。
AI 基盤を確立する
AI 基盤は、Azure の AI ワークロードをサポートするコア インフラストラクチャとリソース階層を提供します。 これには、ガバナンスと操作のニーズに合った、スケーラブルで安全な環境の設定も含まれます。 強力な AI 基盤により、AI ワークロードの効率的なデプロイと管理が可能になります。 また、将来の成長に備えたセキュリティと柔軟性も確保することができます。
Azure ランディング ゾーンを使用する
Azure ランディング ゾーンは、Azure 環境を準備するための推奨される開始点です。 それは、プラットフォームとアプリケーション リソースのための定義済みセットアップを提供します。 プラットフォームが整ったら、専用のアプリケーション ランディング ゾーンに AI ワークロードをデプロイできます。
組織でワークロードに Azure ランディング ゾーンを使用している場合は、AI を使用するワークロードに引き続き使用します。 AI ワークロードを専用のアプリケーション ランディング ゾーンにデプロイします。 次の図 2 は、AI ワークロードが Azure ランディング ゾーン内でどのように統合されるかを示しています。
図 2. Azure ランディング ゾーンの AI ワークロード。
AI 環境を構築する
Azure ランディング ゾーンを使用しない場合は、この記事のレコメンデーションに従って AI 環境を構築します。 次の図は、ベースライン リソース階層を示しています。 内部 AI ワークロードとインターネットに接続する AI ワークロードをセグメント化します。 内部向けワークロードでは、ポリシーを使用して顧客からのオンライン アクセスを拒否します。 この分離により、内部データが外部ユーザーに公開されないように保護されます。 AI 開発では、ジャンプボックスを使用して AI リソースとデータを管理する必要があります。
図 3. AI ワークロードのベースライン リソース階層。
次のステップ
次の手順では、AI ワークロードを構築して貴社の AI 環境にデプロイします。 次のリンクを使用して、貴社のニーズに合ったアーキテクチャ ガイダンスを見つけてください。 サービスとしてのプラットフォーム (PaaS) アーキテクチャからスタートします。 PaaSは、Microsoft が推奨する AI 導入のアプローチです。