Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Microsoft Foundry biedt een uitgebreide set hulpprogramma's waarmee ontwikkelteams AI-agents en de modellen en hulpprogramma's die ze gebruiken kunnen bouwen, aanpassen, evalueren en gebruiken.
Dit artikel voorziet IT-operations en beveiligingsteams van details over de Foundry-resource en de onderliggende Azure-servicearchitectuur, haar componenten en de relatie met andere Azure-resourcetypen. Gebruik deze informatie om te helpen bij het aanpassen van uw Foundry-implementatie aan de vereisten van uw organisatie. Zie Foundry Rollout voor meer informatie over het implementeren van Foundry in uw organisatie.
Azure AI-resourcetypen en -aanbieders
Binnen de Azure AI-productfamilie kunt u deze Azure resourceproviders gebruiken die ondersteuning bieden voor gebruikersbehoeften op verschillende lagen in de stack.
| Bronleverancier | Doel | Ondersteunt resourcetypetypen |
|---|---|---|
| Microsoft.CognitiveServices | Biedt ondersteuning voor ontwikkeling van Agentic- en GenAI-toepassingen voor het opstellen en aanpassen van vooraf gemaakte modellen. | Gieterij; Azure OpenAI service; Azure Speech; Azure Vision |
| Microsoft.Search | Ondersteuning voor het ophalen van kennis over uw gegevens | Azure AI Search |
Voor veel scenario's is de Foundry-resource het aanbevolen startpunt. Foundry-resources delen de microsoft.CognitiveServices-providernaamruimte met services zoals Azure OpenAI, Azure Speech, Azure Vision en Azure Language. Deze gedeelde providernaamruimte helpt bij het afstemmen van beheer-API's, access control patronen, netwerken en beleidsgedrag voor gerelateerde AI-resources.
| Hulpmiddeltype | Resourceprovider en -type | Kind | Ondersteunde mogelijkheden |
|---|---|---|---|
| Microsoft Foundry | Microsoft.CognitiveServices/account |
AIServices |
Agents, Evaluaties, Azure OpenAI, Speech, Vision, Language en Content Understanding |
| Gieterijproject | Microsoft.CognitiveServices/account/project |
AIServices |
Subbron van het bovenstaande |
| Azure Spraak in Foundry Tools | Microsoft.CognitiveServices/account |
Speech |
Speech |
| Azure Taal in Foundry Tools | Microsoft.CognitiveServices/account |
Language |
Language |
| Azure Vision in Foundry Tools | Microsoft.CognitiveServices/account |
Vision |
Visie |
Resourcetypen onder dezelfde providernaamruimten delen dezelfde beheer-API's en gebruiken vergelijkbare Azure op rollen gebaseerde Access Control acties, netwerkconfiguraties en aliassen voor Azure Policy configuratie. Als u een upgrade uitvoert van Azure OpenAI naar Foundry, blijven uw bestaande aangepaste Azure-beleid en Azure op rollen gebaseerde Access Control acties van toepassing.
Hoe resources zich verhouden in Foundry
Gebruik dit model bij het plannen van architectuur en toegangsgrenzen.
- Foundry resource: Azure resource op het hoogste niveau, waar u beheerinstellingen beheert, zoals netwerken, beveiliging en modelimplementaties.
- Project: Ontwikkelingsgrens binnen de Foundry-resource waar teams use cases bouwen en evalueren.
- Project assets: Bestanden, agents, evaluaties en gerelateerde artefacten die aan een project zijn toegewezen.
Met deze scheiding kunnen IT-teams gecentraliseerde besturingselementen toepassen op resourceniveau, terwijl ontwikkelteams binnen project grenzen werken.
Beveiligingsgestuurde scheiding van problemen
Foundry dwingt een duidelijke scheiding af tussen beheer- en ontwikkelingsbewerkingen om veilige en schaalbare AI-workloads te garanderen.
Top-Level Resource Governance: Beheerbewerkingen, zoals het configureren van beveiliging, het tot stand brengen van connectiviteit met andere Azure-services en het beheren van implementaties, vallen binnen het bereik van de Foundry-resource op het hoogste niveau. Ontwikkelingsactiviteiten worden geïsoleerd binnen toegewezen project containers, die gebruiksvoorbeelden inkapselen en grenzen bieden voor access control, bestanden, agents en evaluaties.
Role-Based Access Control (RBAC): Azure RBAC-acties weerspiegelen deze scheiding van problemen. Besturingsvlakacties, zoals het maken van implementaties en projecten, verschillen van gegevensvlakacties, zoals het bouwen van agents, het uitvoeren van evaluaties en het uploaden van bestanden. U kunt RBAC-toewijzingen instellen op zowel het hoogste resourceniveau als op het niveau van het afzonderlijke project. Wijs beheerde identiteiten toe aan een van beide bereiken ter ondersteuning van beveiligde automatisering en service-toegang. Zie rolgebaseerde toegangscontrole voor Microsoft Foundry voor meer informatie.
Algemene starterstoewijzingen voor onboarding met minimale bevoegdheden zijn onder andere:
- Azure AI-gebruiker voor elke gebruikersprincipal van ontwikkelaars in het Foundry resourcebereik.
- Azure AI-gebruiker voor elke beheerde projectidentiteit in het resource-scope van Foundry.
Zie Rolgebaseerde toegangscontrole voor Microsoft Foundry voor definities van rollen en richtlijnen voor het plannen van het bereik.
Bewaking en Observeerbaarheid: Azure Monitor-metrieken zijn gesegmenteerd op basis van scope. U kunt metrische beheer- en gebruiksgegevens op het hoogste niveau bekijken, terwijl project specifieke metrische gegevens, zoals evaluatieprestaties of agentactiviteit, zijn afgestemd op de afzonderlijke project containers.
Computing-infrastructuur
Modelhostingarchitectuur wordt geleverd door standaardimplementatie in Foundry-resources. Zie Gegevens, privacy en beveiliging voor gebruik van modellen voor een overzicht van gegevens, privacy en beveiligingsoverwegingen bij de implementatie.
Uitvoering van werkbelasting: Agents, evaluaties en Batch-taken worden uitgevoerd als beheerde container compute, volledig beheerd door Microsoft.
Netwerkintegratie: Voor verbeterde beveiliging en naleving wanneer uw agents verbinding maken met externe systemen, kan containerinjectie het platformnetwerk API's hosten en een subnet in uw netwerk injecteren. Met deze configuratie kunt u de lokale communicatie van de Azure-resources binnen hetzelfde virtuele netwerk mogelijk maken.
Als u end-to-end netwerkisolatie nodig hebt, controleert u de huidige beperkingen vóór de implementatie. In de nieuwe Foundry-portal worden end-to-end isolatiescenario's niet volledig ondersteund. Gebruik de klassieke ervaring, SDK of CLI-richtlijnen voor netwerk-geïsoleerde implementaties. Zie Het configureren van een private link voor Foundry voor meer informatie.
Gegevensopslag
Foundry biedt flexibele en veilige opties voor gegevens storage ter ondersteuning van een breed scala aan AI-workloads.
Beheerde storage voor het uploaden van bestanden: In de standaardinstelling maakt Foundry gebruik van door Microsoft beheerde storage-accounts die logisch zijn gescheiden en directe bestandsuploads ondersteunen voor bepaalde use cases, zoals OpenAI-modellen, assistenten en agents, zonder dat een door de klant opgegeven storage-account is vereist.
Uw eigen storage (optioneel): Gebruikers hebben de optie om hun eigen Azure Storage-accounts te verbinden. Foundry-hulpprogramma's kunnen invoer lezen van en uitvoer schrijven naar deze accounts, afhankelijk van het hulpprogramma en de use-case.
Gebruik je eigen opslag voor het opslaan van de status van de Agent
- In de basisconfiguratie slaat de Agent-service threads, berichten en bestanden op in door Microsoft beheerde multitenant-storage, met logische scheiding.
- Met de standaardinstelling Agent kunt u uw eigen storage gebruiken voor thread- en berichtgegevens. In deze configuratie worden gegevens geïsoleerd door project binnen het storage-account van de klant.
Door de klant beheerde sleutelversleuteling: Standaard gebruiken Azure-services door Microsoft beheerde versleutelingssleutels om gegevens tijdens transport en in rust te versleutelen. Gegevens worden versleuteld en ontsleuteld met FIPS 140-2-compatibele 256-bits AES-versleuteling. Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en access voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.
Voordat u door de klant beheerde sleutels voor Foundry inschakelt, moet u deze vereisten bevestigen:
- Key Vault wordt geïmplementeerd in dezelfde Azure regio als uw Foundry-resource.
- Soft delete en purgebescherming zijn ingeschakeld op Key Vault.
- Beheerde identiteiten hebben de vereiste sleutelmachtigingen, zoals de rol Key Vault Crypto User bij het gebruik van Azure RBAC.
Bring your own Key Vault: Foundry slaat standaard alle api-sleutelgebaseerde verbindingsgeheimen op in een beheerd Azure Key Vault. Voor gebruikers die dit liever zelf beheren, kunnen ze hun key vault verbinden met de Foundry-resource. Eén Azure Key Vault-verbinding beheert alle project en verbindingsgeheimen op resourceniveau. Voor meer informatie, zie hoe een Azure Key Vault-verbinding met Foundry in te stellen.
Wanneer u door de klant beheerde sleutels gebruikt, worden uw gegevens in door Microsoft beheerde infrastructuur versleuteld met behulp van uw sleutels.
Zie door de klant beheerde sleutels voor versleuteling met Foundry voor meer informatie over gegevensversleuteling.
Architectuurbeslissingen valideren
Voordat u gaat implementeren, valideert u het volgende voor uw doelomgeving:
- Controleer of de vereiste modellen en functies beschikbaar zijn in uw implementatieregio's. Zie Beschikbaarheid van functies in cloudregio's voor meer informatie.
- Controleer of roltoewijzingen correct zijn afgestemd op zowel de Foundry-resource als project niveaus. Zie Toegangscontrole op basis van rollen voor Microsoft Foundry voor meer informatie.
- Bevestig de vereisten voor netwerkisolatie en privé-access paden. Zie Het configureren van een private link voor Foundry voor meer informatie.
- Bevestig de vereisten voor versleuteling en geheimbeheer, waaronder door de klant beheerde sleutels en Azure Key Vault-integratie. Zie Customer-beheerde sleutels voor versleuteling met Foundry en hoe u een Azure Key Vault verbinding met Foundry instelt.