Azure AI Studio-architectuur
AI Studio biedt een uniforme ervaring voor AI-ontwikkelaars en gegevenswetenschappers voor het bouwen, evalueren en implementeren van AI-modellen via een webportal, SDK of CLI. AI Studio is gebaseerd op mogelijkheden en services die worden geleverd door andere Azure-services.
De AI Studio-resources op het hoogste niveau (hub en project) zijn gebaseerd op Azure Machine Learning. Verbonden resources, zoals Azure OpenAI, Azure AI-services en Azure AI Search, worden gebruikt door de hub en het project ter referentie, maar volgen hun eigen levenscyclus voor resourcebeheer.
- AI-hub: De hub is de resource op het hoogste niveau in AI Studio. De Azure-resourceprovider voor een hub is
Microsoft.MachineLearningServices/workspacesen het type resource isHub. Het biedt de volgende functies:- Beveiligingsconfiguratie inclusief een beheerd netwerk dat projecten en modeleindpunten omvat.
- Rekenresources voor interactieve ontwikkeling, finetuning, open source en serverloze modelimplementaties.
- Verbindingen met andere Azure-services, zoals Azure OpenAI, Azure AI-services en Azure AI Search. Hub-scoped verbindingen worden gedeeld met projecten die zijn gemaakt op basis van de hub.
- Projectbeheer. Een hub kan meerdere onderliggende projecten hebben.
- Een gekoppeld Azure-opslagaccount voor het uploaden van gegevens en opslag van artefacten.
- AI-project: Een project is een onderliggende resource van de hub. De Azure-resourceprovider voor een project is
Microsoft.MachineLearningServices/workspaces, en het type resource isProject. Het project biedt de volgende functies:- Toegang tot ontwikkelhulpprogramma's voor het bouwen en aanpassen van AI-toepassingen.
- Herbruikbare onderdelen, waaronder gegevenssets, modellen en indexen.
- Een geïsoleerde container voor het uploaden van gegevens naar (binnen de opslag die is overgenomen van de hub).
- Verbindingen met projectbereik. Projectleden hebben bijvoorbeeld privétoegang nodig tot gegevens die zijn opgeslagen in een Azure Storage-account zonder dat ze dezelfde toegang hebben tot andere projecten.
- Opensource-modelimplementaties van catalogus- en verfijnde modeleindpunten.
Centraal instellen en beheren met behulp van hubs
Hubs bieden een centrale manier voor een team om beveiligings-, connectiviteits- en rekenresources in speeltuinen en projecten te beheren. Projecten die zijn gemaakt met behulp van een hub nemen dezelfde beveiligingsinstellingen en gedeelde resourcetoegang over. Teams kan zoveel projecten maken als nodig is om werk te organiseren, gegevens te isoleren en/of de toegang te beperken.
Projecten in een bedrijfsdomein hebben vaak toegang nodig tot dezelfde bedrijfsresources, zoals vectorindexen, modeleindpunten of opslagplaatsen. Als teamleider kunt u de connectiviteit met deze resources in een hub vooraf configureren, zodat ontwikkelaars deze zonder vertraging kunnen openen vanuit elke nieuwe projectwerkruimte.
Met verbindingen hebt u toegang tot objecten in AI Studio die buiten uw hub worden beheerd. Bijvoorbeeld geüploade gegevens in een Azure-opslagaccount of modelimplementaties op een bestaande Azure OpenAI-resource. Een verbinding kan worden gedeeld met elk project of toegankelijk gemaakt voor één specifiek project. Verbindingen kunnen worden geconfigureerd voor het gebruik van toegang op basis van sleutels of microsoft Entra ID-passthrough om toegang te verlenen aan gebruikers in de verbonden resource. Als beheerder kunt u verbindingen in de hele organisatie bijhouden, controleren en beheren vanuit één weergave in AI Studio.
Organiseren voor de behoeften van uw team
Het aantal hubs en projecten dat u nodig hebt, is afhankelijk van uw manier van werken. U kunt één hub maken voor een groot team met vergelijkbare gegevenstoegangsbehoeften. Deze configuratie maximaliseert de kostenefficiëntie, het delen van resources en minimaliseert de overhead van de installatie. Bijvoorbeeld een hub voor alle projecten met betrekking tot klantondersteuning.
Als u isolatie tussen dev, test en productie nodig hebt als onderdeel van uw LLMOps- of MLOps-strategie, kunt u een hub maken voor elke omgeving. Afhankelijk van de gereedheid van uw oplossing voor productie, kunt u besluiten om uw projectwerkruimten in elke omgeving of slechts in één omgeving te repliceren.
Azure-resourcetypen en -providers
Azure AI Studio is gebaseerd op de Azure Machine Learning-resourceprovider en is afhankelijk van verschillende andere Azure-services. De resourceproviders voor deze services moeten zijn geregistreerd in uw Azure-abonnement. De volgende tabel bevat de resourcetypen, provider en soort:
| Brontype | Resourceprovider | Soort |
|---|---|---|
| Azure AI Studio-hub | Microsoft.MachineLearningServices/workspace |
hub |
| Azure AI Studio-project | Microsoft.MachineLearningServices/workspace |
project |
| Azure AI-services of Azure AI OpenAI-service |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
Wanneer u een nieuwe hub maakt, is een set afhankelijke Azure-resources vereist voor het opslaan van gegevens, het verkrijgen van toegang tot modellen en het leveren van rekenresources voor AI-aanpassing. De volgende tabel bevat de afhankelijke Azure-resources en hun resourceproviders:
Tip
Als u geen afhankelijke resource opgeeft bij het maken van een hub en dit een vereiste afhankelijkheid is, maakt AI Studio de resource voor u.
| Afhankelijke Azure-resource | Resourceprovider | Optioneel | Notitie |
|---|---|---|---|
| Azure AI Search | Microsoft.Search/searchServices |
✔ | Biedt zoekmogelijkheden voor uw projecten. |
| Azure Storage-account | Microsoft.Storage/storageAccounts |
Slaat artefacten op voor uw projecten, zoals stromen en evaluaties. Voor gegevensisolatie worden opslagcontainers voorafgegaan door de project-GUID en voorwaardelijk beveiligd met behulp van Azure ABAC voor de projectidentiteit. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
Slaat geheimen op, zoals verbindingsreeks s voor uw resourceverbindingen. Voor gegevensisolatie kunnen geheimen niet worden opgehaald voor projecten via API's. | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Slaat docker-installatiekopieën op die zijn gemaakt bij het gebruik van aangepaste runtime voor promptstroom. Voor gegevensisolatie worden docker-installatiekopieën voorafgegaan door de project-GUID. |
| Azure-toepassing Insights & Log Analytics-werkruimte |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Wordt gebruikt als logboekopslag wanneer u zich aanmeldt voor logboekregistratie op toepassingsniveau voor de geïmplementeerde promptstromen. |
Door Microsoft gehoste resources
Hoewel de meeste resources die door Azure AI Studio worden gebruikt, live zijn in uw Azure-abonnement, bevinden sommige resources zich in een Azure-abonnement dat wordt beheerd door Microsoft. De kosten voor deze beheerde resources worden weergegeven op uw Azure-factuur als regelitem onder de Azure Machine Learning-resourceprovider. De volgende resources bevinden zich in het door Microsoft beheerde Azure-abonnement en worden niet weergegeven in uw Azure-abonnement:
Beheerde rekenresources: geleverd door Azure Batch-resources in het Microsoft-abonnement.
Beheerd virtueel netwerk: geleverd door Azure Virtual Network-resources in het Microsoft-abonnement. Als FQDN-regels zijn ingeschakeld, wordt er een Azure Firewall (standaard) toegevoegd en in rekening gebracht voor uw abonnement. Zie Een beheerd virtueel netwerk configureren voor Azure AI Studio voor meer informatie.
Metagegevensopslag: geleverd door Azure Storage-resources in het Microsoft-abonnement.
Notitie
Als u door de klant beheerde sleutels gebruikt, worden de resources voor metagegevensopslag gemaakt in uw abonnement. Zie Door de klant beheerde sleutels voor meer informatie.
Beheerde rekenresources en beheerde virtuele netwerken bestaan in het Microsoft-abonnement, maar u beheert ze. U bepaalt bijvoorbeeld welke VM-grootten worden gebruikt voor rekenresources en welke uitgaande regels zijn geconfigureerd voor het beheerde virtuele netwerk.
Beheerde rekenresources vereisen ook beheer van beveiligingsproblemen. Het beheer van beveiligingsproblemen is een gedeelde verantwoordelijkheid van u en Microsoft. Zie beheer van beveiligingsproblemen voor meer informatie.
Proxy voor op rollen gebaseerd toegangsbeheer en besturingsvlak
Azure AI-services, waaronder Azure OpenAI, bieden besturingsvlakeindpunten voor bewerkingen zoals modelimplementaties. Deze eindpunten worden beveiligd met behulp van een afzonderlijke RBAC-configuratie (op rollen gebaseerd toegangsbeheer) van Azure dan de configuratie die wordt gebruikt voor een hub.
Om de complexiteit van Azure RBAC-beheer te verminderen, biedt AI Studio een besturingsvlakproxy waarmee u bewerkingen kunt uitvoeren op verbonden Azure AI-services en Azure OpenAI-resources. Voor het uitvoeren van bewerkingen op deze resources via de besturingsvlakproxy zijn alleen Azure RBAC-machtigingen voor de hub vereist. De Azure AI Studio-service voert vervolgens de aanroep uit naar de Azure AI-services of het Azure OpenAI-besturingsvlakeindpunt namens u.
Zie Op rollen gebaseerd toegangsbeheer in Azure AI Studio voor meer informatie.
Toegangsbeheer op basis van kenmerken
Elke hub die u maakt, heeft een standaardopslagaccount. Elk onderliggend project van de hub neemt het opslagaccount van de hub over. Het opslagaccount wordt gebruikt voor het opslaan van gegevens en artefacten.
Voor het beveiligen van het gedeelde opslagaccount maakt Azure AI Studio gebruik van zowel Azure RBAC als op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC). Azure ABAC is een beveiligingsmodel dat toegangsbeheer definieert op basis van kenmerken die zijn gekoppeld aan de gebruiker, resource en omgeving. Elk project heeft:
- Een service-principal waaraan de rol Inzender voor opslagblobgegevens is toegewezen voor het opslagaccount.
- Een unieke id (werkruimte-id).
- Een set containers in het opslagaccount. Elke container heeft een voorvoegsel dat overeenkomt met de werkruimte-id-waarde voor het project.
De roltoewijzing voor de service-principal van elk project heeft een voorwaarde waarmee alleen de service-principal toegang heeft tot containers met de overeenkomende voorvoegselwaarde. Deze voorwaarde zorgt ervoor dat elk project alleen toegang heeft tot zijn eigen containers.
Notitie
Voor gegevensversleuteling in het opslagaccount is het bereik de volledige opslag en niet per container. Alle containers worden dus versleuteld met dezelfde sleutel (geleverd door Microsoft of door de klant).
Zie Wat is toegangsbeheer op basis van Azure-kenmerken voor meer informatie over toegangsbeheer op basis van Azure.
Containers in het opslagaccount
Het standaardopslagaccount voor een hub heeft de volgende containers. Deze containers worden voor elk project gemaakt en het {workspace-id} voorvoegsel komt overeen met de unieke id voor het project. Projecten openen een container met behulp van een verbinding.
Tip
Als u de id voor uw project wilt vinden, gaat u naar het project in Azure Portal. Vouw Instellingen uit en selecteer Vervolgens Eigenschappen. De werkruimte-id wordt weergegeven.
| Containernaam | Verbindingsnaam | Beschrijving |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Opslag voor assets, zoals metrische gegevens, modellen en onderdelen. |
{workspace-ID}-blobstore |
workspaceblobstore | Opslag voor het uploaden van gegevens, momentopnamen van taakcode en pijplijngegevenscache. |
{workspace-ID}-code |
N.v.t. | Opslag voor notebooks, rekeninstanties en promptstroom. |
{workspace-ID}-file |
N.v.t. | Alternatieve container voor het uploaden van gegevens. |
Versleuteling
Azure AI Studio maakt gebruik van versleuteling om data-at-rest en in transit te beveiligen. Standaard worden door Microsoft beheerde sleutels gebruikt voor versleuteling. U kunt echter uw eigen versleutelingssleutels gebruiken. Zie Door de klant beheerde sleutels voor meer informatie.
Virtueel netwerk
Een hub kan worden geconfigureerd voor het gebruik van een beheerd virtueel netwerk. Het beheerde virtuele netwerk beveiligt de communicatie tussen de hub, projecten en beheerde resources, zoals berekeningen. Als uw afhankelijkheidsservices (Azure Storage, Key Vault en Container Registry) openbare toegang hebben uitgeschakeld, wordt er een privé-eindpunt voor elke afhankelijkheidsservice gemaakt om de communicatie tussen de hub en het project en de afhankelijkheidsservice te beveiligen.
Notitie
Als u een virtueel netwerk wilt gebruiken om de communicatie tussen uw clients en de hub of het project te beveiligen, moet u een virtueel Azure-netwerk gebruiken dat u maakt en beheert. Bijvoorbeeld een virtueel Azure-netwerk dat gebruikmaakt van een VPN- of ExpressRoute-verbinding met uw on-premises netwerk.
Zie Een beheerd virtueel netwerk configureren voor Azure AI Studio voor meer informatie over het configureren van een beheerd virtueel netwerk.
Azure Monitor
Azure Monitor en Azure Log Analytics bieden bewaking en logboekregistratie voor de onderliggende resources die worden gebruikt door Azure AI Studio. Aangezien Azure AI Studio is gebouwd op Azure Machine Learning, Azure OpenAI, Azure AI-services en Azure AI Search, gebruikt u de volgende artikelen voor meer informatie over het bewaken van de services:
| Bron | Controle en logboekregistratie |
|---|---|
| Azure AI Studio-hub en -project | Azure Machine Learning bewaken |
| Azure OpenAI | Azure OpenAI bewaken |
| Azure AI-services | Azure AI bewaken (training) |
| Azure AI Search | Azure AI Search bewaken |
Prijs en quotum
Gebruik de volgende artikelen voor meer informatie over prijzen en quota:
Volgende stappen
Maak een hub met een van de volgende methoden:
- Azure AI Studio: maak een hub om aan de slag te gaan.
- Azure Portal: Maak een hub met uw eigen netwerk.
- Bicep-sjabloon.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor