Azure AI 스튜디오 아키텍처
AI 스튜디오는 AI 개발자와 데이터 과학자가 웹 포털, SDK 또는 CLI를 통해 AI 모델을 빌드, 평가, 배포할 수 있는 통합된 환경을 제공합니다. AI 스튜디오는 다른 Azure 서비스에서 제공하는 기능과 서비스를 기반으로 합니다.
최상위 AI 스튜디오 리소스(허브 및 프로젝트)는 Azure Machine Learning을 기반으로 합니다. Azure OpenAI, Azure AI 서비스 및 Azure AI 검색과 같은 연결된 리소스는 허브 및 프로젝트에서 참조로 사용되지만 자체 리소스 관리 수명 주기를 따릅니다.
- AI 스튜디오 허브: AI 허브는 AI 스튜디오의 최상위 리소스입니다. 허브의 Azure 리소스 공급자는
Microsoft.MachineLearningServices/workspaces이고, 리소스 종류는Hub입니다. 다음과 같은 기능을 제공합니다.- 프로젝트와 모델 엔드포인트에 걸쳐 있는 관리 네트워크를 포함한 보안 구성입니다.
- 대화형 개발, 미세 조정, 오픈 소스 및 서버리스 모델 배포를 위한 컴퓨팅 리소스입니다.
- Azure OpenAI, Azure AI 서비스, Azure AI 검색 등 다른 Azure 서비스에 대한 연결입니다. 허브 범위 연결은 허브에서 만들어진 프로젝트와 공유됩니다.
- 프로젝트 관리. AI 허브에는 여러 자식 프로젝트가 있을 수 있습니다.
- 데이터 업로드 및 아티팩트 저장소를 위한 연결된 Azure Storage 계정입니다.
- AI 스튜디오 프로젝트: 프로젝트는 허브의 자식 리소스입니다. 프로젝트의 Azure 리소스 공급자는
Microsoft.MachineLearningServices/workspaces이고, 리소스 종류는Project입니다. 프로젝트는 다음 기능을 제공합니다.- AI 애플리케이션을 빌드하고 사용자 지정하기 위한 개발 도구에 액세스합니다.
- 데이터 세트, 모델, 인덱스를 포함한 재사용 가능한 구성 요소입니다.
- 허브에서 상속된 스토리지 내에서 데이터를 업로드할 격리된 컨테이너입니다.
- 프로젝트 범위 연결. 예를 들어, 프로젝트 멤버는 다른 프로젝트에 동일한 액세스 권한을 부여하지 않고 Azure Storage 계정에 저장된 데이터에 대한 프라이빗 액세스가 필요할 수 있습니다.
- 카탈로그 및 미세 조정된 모델 엔드포인트에서 오픈 소스 모델 배포.
허브를 사용하여 중앙에서 설정 및 관리
허브는 팀이 플레이그라운드와 프로젝트 전체에서 보안, 연결 및 컴퓨팅 리소스를 관리할 수 있는 중앙 방법을 제공합니다. 허브를 사용하여 만들어진 프로젝트는 동일한 보안 설정 및 공유 리소스 액세스를 상속합니다. 팀에서 작업을 구성하고, 데이터를 격리하고, 액세스를 제한하는 데 필요한 만큼 많은 프로젝트를 만들 수 있습니다.
비즈니스 도메인의 프로젝트에서는 벡터 인덱스, 모델 엔드포인트 또는 리포지토리와 같은 동일한 회사 리소스에 대한 액세스가 필요한 경우가 많습니다. 팀 리더로서 허브 내에서 이러한 리소스와의 연결을 미리 구성할 수 있으므로 개발자는 IT에 대한 지체 없이 새로운 프로젝트 작업 영역에서 해당 리소스에 액세스할 수 있습니다.
연결을 사용하면 허브 외부에서 관리되는 AI 스튜디오의 개체에 액세스할 수 있습니다. 예를 들어, Azure Storage 계정에 데이터를 업로드하거나 기존 Azure OpenAI 리소스에 모델 배포를 수행합니다. 연결은 모든 프로젝트와 공유되거나 하나의 특정 프로젝트에 액세스할 수 있습니다. 키 기반 액세스 또는 Microsoft Entra ID 통과를 사용하여 연결된 리소스에 대한 사용자 액세스 권한을 부여하도록 연결을 구성할 수 있습니다. 관리자는 AI 스튜디오의 단일 보기에서 조직 전체의 연결을 추적, 감사, 관리할 수 있습니다.
팀의 필요에 맞게 구성
필요한 허브와 프로젝트 수는 작업 방식에 따라 다릅니다. 비슷한 데이터 액세스 요구 사항이 있는 대규모 팀을 위한 단일 허브를 만들 수 있습니다. 이 구성은 비용 효율성과 리소스 공유를 최대화하고 설정 오버헤드를 최소화합니다. 예를 들어, 고객 지원과 관련된 모든 프로젝트의 허브입니다.
LLMOps 또는 MLOps 전략의 일부로 개발, 테스트, 프로덕션 간의 격리가 필요한 경우 각 환경에 대한 허브를 만드는 것이 좋습니다. 프로덕션을 위한 솔루션의 준비 상태에 따라 프로젝트 작업 영역을 각 환경 또는 하나의 환경에 복제하기로 결정할 수 있습니다.
Azure 리소스 종류 및 공급자
Azure AI 스튜디오는 Azure Machine Learning 리소스 공급자를 기반으로 하며 여러 다른 Azure 서비스에 종속됩니다. 이러한 서비스에 대한 리소스 공급자는 Azure 구독에 등록되어야 합니다. 다음 표에는 리소스 종류, 공급자, 형식이 나열되어 있습니다.
| 리소스 종류 | 리소스 공급자 | 종류 |
|---|---|---|
| Azure AI 스튜디오 허브 | Microsoft.MachineLearningServices/workspace |
hub |
| Azure AI 스튜디오 프로젝트 | Microsoft.MachineLearningServices/workspace |
project |
| Azure AI 서비스 ‘또는’ Azure AI OpenAI Service |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
새 허브를 만들 때 데이터를 저장하고, 모델에 액세스하고, AI 사용자 지정을 위한 컴퓨팅 리소스를 제공하려면 종속 Azure 리소스 집합이 필요합니다. 다음 표에는 종속 Azure 리소스 및 해당 리소스 공급자가 나와 있습니다.
팁
허브를 만들 때 종속 리소스를 제공하지 않고 필수 종속성인 경우 AI 스튜디오가 리소스를 만듭니다.
| 종속 Azure 리소스 | 리소스 공급자 | 선택 사항 | 참고 항목 |
|---|---|---|---|
| Azure AI 검색 | Microsoft.Search/searchServices |
✔ | 프로젝트 검색 기능을 제공합니다. |
| Azure Storage 계정 | Microsoft.Storage/storageAccounts |
흐름 및 평가와 같은 프로젝트의 아티팩트를 저장합니다. 데이터 격리의 경우 스토리지 컨테이너는 프로젝트 GUID를 사용하여 접두사가 지정되고 프로젝트 ID에 Azure ABAC를 사용하여 조건부로 보호됩니다. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
리소스 연결에 대한 연결 문자열과 같은 비밀을 저장합니다. 데이터 격리의 경우 API를 통해 프로젝트에서 비밀을 검색할 수 없습니다. | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | 프롬프트 흐름에 사용자 지정 런타임을 사용할 때 만든 Docker 이미지를 저장합니다. 데이터 격리의 경우 Docker 이미지는 프로젝트 GUID를 사용하여 접두사로 지정됩니다. |
| Azure Application Insights 및 Log Analytics 작업 영역 |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | 배포된 프롬프트 흐름에 대한 애플리케이션 수준 로깅을 옵트인할 때 로그 스토리지로 사용됩니다. |
리소스 공급자 등록에 대한 자세한 내용은 Azure 리소스 공급자 등록을 참조하세요.
Microsoft 호스팅 리소스
Azure AI Studio에서 사용하는 대부분의 리소스는 Azure 구독에 있지만 일부 리소스는 Microsoft에서 관리하는 Azure 구독에 있습니다. 이러한 관리되는 리소스에 대한 비용은 Azure 청구서에 Azure Machine Learning 리소스 공급자 아래 품목으로 표시됩니다. 다음 리소스는 Microsoft 관리 Azure 구독에 있으며 Azure 구독에는 표시되지 않습니다.
관리되는 컴퓨팅 리소스: Microsoft 구독의 Azure Batch 리소스에서 제공됩니다.
관리되는 가상 네트워크: Microsoft 구독의 Azure Virtual Network 리소스에서 제공됩니다. FQDN 규칙을 사용하면 Azure Firewall(표준)이 추가되고 구독에 요금이 청구됩니다. 자세한 내용은 Azure AI 스튜디오의 관리되는 가상 네트워크 구성을 참조하세요.
메타데이터 스토리지: Microsoft 구독의 Azure Storage 리소스에서 제공됩니다.
참고 항목
고객 관리형 키를 사용하는 경우 메타데이터 스토리지 리소스가 구독에 만들어집니다. 자세한 내용은 고객 관리형 키를 참조하세요.
관리 컴퓨팅 리소스와 관리되는 가상 네트워크는 Microsoft 구독에 존재하지만 사용자가 관리합니다. 예를 들어, 컴퓨팅 리소스에 사용되는 VM 크기와 관리되는 가상 네트워크에 대해 구성되는 아웃바운드 규칙을 제어합니다.
관리 컴퓨팅 리소스에도 취약성 관리가 필요합니다. 취약성 관리는 사용자와 Microsoft 간의 공동 책임입니다. 자세한 내용은 취약성 관리를 참조하세요.
역할 기반 액세스 제어 및 컨트롤 플레인 프록시
Azure OpenAI를 포함한 Azure AI 서비스는 모델 배포 나열과 같은 작업을 위한 컨트롤 플레인 엔드포인트를 제공합니다. 이러한 엔드포인트는 허브에 사용되는 것과는 다른 별도의 Azure RBAC(역할 기반 액세스 제어) 구성을 사용하여 보호됩니다.
Azure RBAC 관리의 복잡성을 줄이기 위해 AI 스튜디오는 연결된 Azure AI 서비스 및 Azure OpenAI 리소스에 대한 작업을 수행할 수 있는 컨트롤 플레인 프록시를 제공합니다. 컨트롤 플레인 프록시를 통해 이러한 리소스에 대한 작업을 수행하려면 허브에 대한 Azure RBAC 권한만 있으면 됩니다. 그런 다음, Azure AI 스튜디오 서비스는 사용자 대신 Azure AI 서비스 또는 Azure OpenAI 컨트롤 플레인 엔드포인트에 대한 호출을 수행합니다.
자세한 내용은 Azure AI 스튜디오의 역할 기반 액세스 제어를 참조하세요.
특성 기반 액세스 제어
만드는 각 허브에는 기본 스토리지 계정이 있습니다. 허브의 각 자식 프로젝트는 허브의 스토리지 계정을 상속합니다. 스토리지 계정은 데이터와 아티팩트를 저장하는 데 사용됩니다.
공유 스토리지 계정을 보호하기 위해 Azure AI Studio는 Azure RBAC와 Azure ABAC(Azure 특성 기반 액세스 제어)를 모두 사용합니다. Azure ABAC는 사용자, 리소스 및 환경과 관련된 특성을 기반으로 액세스 제어를 정의하는 보안 모델입니다. 각 프로젝트에는 다음이 포함됩니다.
- 스토리지 계정에 대한 Storage Blob 데이터 기여자 역할이 할당된 서비스 주체입니다.
- 고유 ID(작업 영역 ID)입니다.
- 스토리지 계정의 컨테이너 집합입니다. 각 컨테이너에는 프로젝트의 작업 영역 ID 값에 해당하는 접두사가 있습니다.
각 프로젝트의 서비스 주체에 대한 역할 할당에는 일치하는 접두사 값이 있는 컨테이너에 대한 서비스 주체 액세스만 허용하는 조건이 있습니다. 이 조건은 각 프로젝트가 자체 컨테이너에만 액세스할 수 있도록 보장합니다.
참고 항목
스토리지 계정의 데이터 암호화의 경우 범위는 컨테이너별이 아닌 전체 스토리지입니다. 따라서 모든 컨테이너는 동일한 키(Microsoft 또는 고객이 제공함)를 사용하여 암호화됩니다.
Azure 액세스 기반 제어에 대한 자세한 내용은 Azure 특성 기반 액세스 제어란?을 참조하세요.
스토리지 계정의 컨테이너
허브의 기본 스토리지 계정에는 다음과 같은 컨테이너가 있습니다. 이러한 컨테이너는 각 프로젝트에 대해 만들어지며 {workspace-id} 접두사는 프로젝트의 고유 ID와 일치합니다. 프로젝트는 연결을 사용하여 컨테이너에 액세스합니다.
팁
프로젝트의 ID를 찾으려면 Azure Portal에서 프로젝트로 이동합니다. 설정을 확장한 다음 속성을 선택합니다. 작업 영역 ID가 표시됩니다.
| 컨테이너 이름 | 연결 이름 | 설명 |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | 메트릭, 모델, 구성 요소 등의 자산을 위한 스토리지입니다. |
{workspace-ID}-blobstore |
workspaceblobstore | 데이터 업로드, 작업 코드 스냅샷 및 파이프라인 데이터 캐시를 위한 스토리지입니다. |
{workspace-ID}-code |
해당 없음 | Notebooks, 컴퓨팅 인스턴스, 프롬프트 흐름을 위한 스토리지입니다. |
{workspace-ID}-file |
해당 없음 | 데이터 업로드를 위한 대체 컨테이너입니다. |
암호화
Azure AI 스튜디오는 암호화를 사용하여 미사용 데이터와 전송 중 데이터를 보호합니다. 기본적으로 Microsoft 관리형 키는 암호화에 사용됩니다. 그러나 자체 암호화 키를 사용할 수 있습니다. 자세한 내용은 고객 관리형 키를 참조하세요.
가상 네트워크
관리되는 가상 네트워크를 사용하도록 허브를 구성할 수 있습니다. 관리되는 가상 네트워크는 허브, 프로젝트 및 컴퓨팅 등 관리되는 리소스 간의 통신을 보호합니다. 종속성 서비스(Azure Storage, Key Vault, Container Registry)에 공용 액세스가 사용하지 않도록 설정된 경우 허브 및 프로젝트와 종속성 서비스 간의 통신을 보호하기 위해 각 종속성 서비스에 대한 프라이빗 엔드포인트가 만들어집니다.
참고 항목
가상 네트워크를 사용하여 클라이언트와 허브 또는 프로젝트 간의 통신을 보호하려는 경우 만들고 관리하는 Azure Virtual Network를 사용해야 합니다. VPN 또는 ExpressRoute 연결을 사용하여 온-프레미스 네트워크에 연결하는 Azure Virtual Network가 그 예입니다.
관리되는 가상 네트워크 구성 방법에 대한 자세한 내용은 Azure AI 스튜디오의 관리되는 가상 네트워크 구성을 참조하세요.
Azure Monitor
Azure Monitor와 Azure Log Analytics는 Azure AI 스튜디오가 사용하는 기본 리소스에 대한 모니터링 및 로깅을 제공합니다. Azure AI 스튜디오는 Azure Machine Learning, Azure OpenAI, Azure AI 서비스, Azure AI 검색을 기반으로 하므로 다음 문서를 사용하여 서비스를 모니터링하는 방법을 알아봅니다.
| 리소스 | 모니터링 및 로깅 |
|---|---|
| Azure AI 스튜디오 허브 및 프로젝트 | Azure Machine Learning 모니터링 |
| Azure OpenAI | Azure OpenAI 모니터링 |
| Azure AI 서비스 | Azure AI 모니터링(학습) |
| Azure AI 검색 | Azure AI 검색 모니터링 |
가격 및 할당량
가격 및 할당량에 대한 자세한 내용은 다음 문서를 사용하세요.
다음 단계
다음 방법 중 하나를 사용하여 허브를 만듭니다.
- Azure AI 스튜디오: 시작하기 위한 허브를 만듭니다.
- Azure Portal: 사용자의 네트워킹으로 허브를 만듭니다.
- Bicep 템플릿