Delen via

Implementatie van Microsoft Foundry in mijn organisatie

Deze handleiding bevat een overzicht van belangrijke beslissingen voor het implementeren van Microsoft Foundry, waaronder het instellen van de omgeving, gegevensisolatie, integratie met andere Azure-services, capaciteitsbeheer en bewaking. Gebruik deze handleiding als uitgangspunt en pas deze aan uw behoeften aan. Zie de gekoppelde artikelen voor verdere richtlijnen voor meer informatie over de implementatie.

Vereiste voorwaarden

Voordat u begint met de implementatieplanning, controleert u of u het volgende hebt:

  • Een strategie voor een doelgerichte Azure-abonnement en resourcegroep voor ontwikkel-, test- en productieomgevingen.
  • Microsoft Entra ID groepen (of gelijkwaardige identiteitsgroepen) die zijn gedefinieerd voor beheerders, project managers en project gebruikers.
  • Een eerste regioplan op basis van de beschikbaarheid van modellen en functies. Zie Beschikbaarheid van functies in cloudregio's voor meer informatie.
  • Overeenkomst over beveiligingsvereisten voor netwerken, versleuteling en gegevensisolatie in uw organisatie.

Controlelijst voor basislijnuitrol

Gebruik deze controlelijst vóór uw eerste productie-implementatie:

  1. Definieer omgevingsgrenzen voor ontwikkeling, testen en productie.
  2. Wijs eigenaarschap toe voor elke Foundry-resource en projectomvang.
  3. Definieer RBAC-toewijzingen voor beheerders, project managers en project gebruikers.
  4. Definieer de netwerkbenadering voor elke omgeving (openbare access, privé-eindpunt of hybride).
  5. Bepaal of door de klant beheerde sleutels vereist zijn voor beleid.
  6. Definieer voor elke bedrijfsgroep de kosten en verantwoordelijkheid voor monitoring.
  7. Identificeer vereiste gedeelde verbindingen en projectgerichte verbindingen.

Voorbeeldorganisatie

Contoso is een wereldwijde onderneming die genAI-acceptatie verkent in vijf bedrijfsgroepen, elk met verschillende behoeften en technische volwassenheid.

Om de adoptie te versnellen terwijl het toezicht behouden blijft, streeft Contoso Enterprise IT ernaar om een model mogelijk te maken met gemeenschappelijke resources, waaronder netwerken en gecentraliseerd databeheer, terwijl elk team zelfbedienings-toegang tot Foundry krijgt binnen een beheerde, veilige omgeving om hun gebruiksscenario's te beheren.

Overwegingen bij de implementatie

De Foundry-resource definieert het bereik voor het configureren, beveiligen en bewaken van de omgeving van uw team. Deze is beschikbaar in de Foundry-portal en via Azure API's. Projecten zijn vergelijkbaar met mappen om uw werk in deze resourcecontext te organiseren. Projecten beheren ook access en machtigingen voor Foundry-ontwikkelaars-API's en hulpprogramma's.

Schermopname van een diagram met Foundry-resource.

Houd rekening met de volgende procedures voor het instellen van omgevingen bij het implementeren van Foundry om consistentie, schaalbaarheid en governance in teams te garanderen:

  • Stel afzonderlijke omgevingen in voor ontwikkeling, testen en productie. Gebruik afzonderlijke resourcegroepen of abonnementen en Foundry-resources om werkstromen te isoleren, access te beheren en experimenten met gecontroleerde releases te ondersteunen.

  • Maak een afzonderlijke Foundry-resource voor elke bedrijfsgroep. Lijn implementaties uit met logische grenzen, zoals gegevensdomeinen of bedrijfsfuncties om autonomie, governance en kosten bij te houden.

  • Projecten koppelen aan use cases. Foundry-projecten zijn ontworpen om specifieke use cases te vertegenwoordigen. Het zijn containers voor het organiseren van onderdelen, zoals agents of bestanden voor een toepassing. Hoewel ze beveiligingsinstellingen overnemen van hun bovenliggende resource, kunnen ze ook hun eigen toegangscontroles, gegevensintegratie en andere governance controles implementeren.

De Foundry-omgeving beveiligen

Foundry is gebouwd op het Azure platform, zodat u beveiligingscontroles kunt aanpassen aan de behoeften van uw organisatie. Belangrijke configuratiegebieden zijn:

  • Identity: gebruik Microsoft Entra ID om gebruikers- en service-access te beheren. Foundry ondersteunt beheerde identiteiten om veilige, wachtwoordloze verificatie toe te staan aan andere Azure-services. U kunt beheerde identiteiten toewijzen op het Foundry-bronniveau en eventueel op het projectniveau voor gedetailleerde controle.  Meer informatie over beheerde identiteiten.

  • Networking: Implementeer Foundry in een Virtual Network om verkeer te isoleren en toegang te controleren met behulp van Network Security Groups (NSGs).  Meer informatie over netwerkbeveiliging.

    Voor privéconnectiviteitsscenario's gebruikt u privé-eindpunten en valideert u de goedkeuringsstatus van DNS en eindpunt. Zie Hoe u een private link voor Foundry configureert voor implementatiedetails en beperkingen.

    Belangrijk

    End-to-end-netwerkisolatie wordt niet volledig ondersteund in de nieuwe Foundry-portalervaring. Gebruik voor netwerk-geïsoleerde implementaties de richtlijnen voor de klassieke interface, SDK of CLI in Hoe u een private link configureert voor Foundry.

  • Customer-Managed Keys (CMK): Azure ondersteunt CMK voor het versleutelen van data in rust. Foundry ondersteunt CMK optioneel voor klanten met strikte nalevingsbehoeften.  Meer informatie over CMK.

  • Authentication and Authorization: Foundry ondersteunt zowel API-sleutelgebaseerde access voor eenvoudige integratie en Azure RBAC voor gedetailleerd beheer. API-sleutels kunnen de installatie vereenvoudigen, maar ze bieden niet dezelfde granulariteit op basis van rollen als Microsoft Entra ID met RBAC. Azure dwingt een duidelijke scheiding af tussen het beheervlak (resourcebeheer) en het gegevensvlak (model en gegevens access). Begin met ingebouwde rollen en definieer indien nodig aangepaste rollen. Meer informatie over authentication.

  • Sjablonen: GEBRUIK ARM-sjablonen of Bicep om beveiligde implementaties te automatiseren. Verken de voorbeeldsjablonen.

  • Storage resource: u kunt ervoor kiezen om ingebouwde storage mogelijkheden in Foundry te gebruiken of uw eigen storage resources te gebruiken. Voor de agentservice kunnen threads en berichten eventueel worden opgeslagen in resources die door u worden beheerd.

Voorbeeld: De beveiligingsbenadering van Contoso

Contoso beveiligt de Foundry-implementaties met behulp van privénetwerken met ENTERPRISE IT die een centraal hubnetwerk beheren. Elke bedrijfsgroep maakt verbinding via een spoke-virtueel netwerk. Ze gebruiken ingebouwde rolgebaseerde toegangscontrole (RBAC) om toegang te scheiden.

  • Beheerders beheren implementaties, verbindingen en gedeelde resources
  • Project Managers toezicht houden op specifieke projecten
  • Gebruikers communiceren met GenAI-hulpprogramma's

Voor de meeste gebruiksscenario's is Contoso standaard afhankelijk van door Microsoft beheerde versleuteling en wordt geen gebruikgemaakt van Customer-Managed Sleutels.

Toegang voor gebruikers plannen

Effectief access beheer is fundamenteel voor een veilige en schaalbare Foundry-installatie.

  • Definieer vereiste toegangsrollen en verantwoordelijkheden

    • Bepaal welke gebruikersgroepen access nodig hebben voor verschillende aspecten van de Foundry-omgeving.
    • Ingebouwde of aangepaste Azure RBAC-rollen toewijzen op basis van verantwoordelijkheden zoals:
      • Accounteigenaar: beheer configuraties op het hoogste niveau, zoals beveiliging en gedeelde resourceverbindingen.
      • Projectmanagers: Het maken en beheren van Foundry-projecten en hun bijdragers.
      • Project Gebruikers: bijdragen aan bestaande projecten.

    Gebruik deze basisschema voor rol-naar-bereik toewijzing voor uitrolplanning:

    Personage Starters-rol Aanbevolen bereik
    Beheerders Eigenaar of Azure AI-accounteigenaar Abonnements- of Gieterij-resource
    Project managers Azure AI Project Manager Gieterijbron
    Project gebruikers AI-gebruiker Azure Gieterijproject

    Pas toewijzingen aan op basis van vereisten voor minimale bevoegdheden en ondernemingsbeleid.

  • Bepaal de toegangsreikwijdte

    • Kies het juiste bereik voor toegangstoewijzingen:
      • Abonnementsniveau: breedste access, meestal geschikt voor centrale IT- of platformteams of kleinere organisaties.
      • Niveau van resourcegroep: handig voor het groeperen van gerelateerde resources met beleid voor gedeelde access. Bijvoorbeeld een Azure-functie die dezelfde toepassingslevenscyclus volgt als uw Foundry-omgeving.
      • Resource- of project niveau: ideaal voor fijnmazige controle, met name bij het omgaan met gevoelige gegevens of het inschakelen van selfservice.

  • Identiteitsstrategie afstemmen

    • Voor gegevensbronnen en hulpprogramma's die zijn geïntegreerd met Foundry, bepaalt u of gebruikers zich moeten verifiëren met behulp van:
      • Beheerde identiteiten of API-sleutel: geschikt voor geautomatiseerde services en gedeelde access tussen gebruikers.
      • Gebruikersidentiteiten: voorkeur wanneer verantwoording op gebruikersniveau of controlebaarheid vereist is.
    • Gebruik Microsoft Entra ID groepen om access beheer te vereenvoudigen en consistentie tussen omgevingen te garanderen.

    Voor onboarding met minimale bevoegdheden begint u met de rol Azure AI-gebruiker voor ontwikkelaars en project beheerde identiteiten en voegt u alleen verhoogde rollen toe indien nodig. Zie rolgebaseerde toegangscontrole in Foundry voor details.

Connectiviteit met andere Azure-services tot stand brengen

Foundry ondersteunt connections, dit zijn herbruikbare configuraties waarmee toegang tot toepassingsonderdelen op Azure- en niet-Azure-services mogelijk wordt gemaakt. Deze verbindingen fungeren ook als identiteitsmakelaars, waardoor Foundry zichzelf kan authenticeren bij externe systemen door beheerde identiteiten of service-principals te gebruiken namens projectgebruikers.

Maak verbindingen op het resourceniveau Foundry voor gedeelde services, zoals Azure Storage of Key Vault. Bereikverbindingen met een specifiek project voor gevoelige of project-specifieke integraties. Dankzij deze flexibiliteit kunnen teams hergebruik en isolatie verdelen op basis van hun behoeften. Meer informatie over verbindingen in Foundry.

Configureer verbindingsverificatie om gebruik te maken van gedeelde toegangstokens, zoals Microsoft Entra ID beheerde identiteiten of API-sleutels, voor een vereenvoudigd beheer en onboarding, of gebruikers-tokens via Entra ID passthrough, die meer controle bieden bij het openen van gevoelige gegevensbronnen.

Schermafbeelding van een diagram met Foundry project connectiviteit en integratie met andere Azure services.

Voorbeeld: De connectiviteitsstrategie van Contoso

  • Contoso maakt een Foundry-resource voor elke bedrijfsgroep, zodat projecten met vergelijkbare gegevens dezelfde verbonden resources delen.
  • Verbonden resources maken standaard gebruik van gedeelde verificatietokens en worden gedeeld in alle projecten.
  • Projecten die gebruikmaken van workloads voor gevoelige gegevens maken verbinding met gegevensbronnen met projectgerelateerde verbindingen en Microsoft Entra ID passthrough-authenticatie.

Bestuur

Effectieve governance in Foundry zorgt voor veilige, compatibele en kostenefficiënte activiteiten binnen bedrijfsgroepen.

  • Model Access Control met Azure Policy Azure Policy dwingt regels af voor Azure resources. In Foundry kun je beleidsregels gebruiken om te beperken tot welke modellen of modelfamilies specifieke bedrijfsgroepen toegang hebben. Example: Contoso's Finance & Risico groep wordt beperkt tot het gebruik van preview- of niet-compatibele modellen door een beleid toe te passen op abonnementsniveau van de bedrijfsgroep.
  • Kostenbeheer per bedrijfsgroep Door Foundry per bedrijfsgroep te implementeren, kan Contoso onafhankelijk van elkaar kosten bijhouden en beheren. Gebruik de Azure prijscalculator voor schattingen van vooraf implementeren en Microsoft Cost Management voor doorlopend werkelijk gebruik en trendtracking. Behandel Foundry-kosten als één onderdeel van de totale oplossingskosten.
  • Gebruik bijhouden met Azure Monitor Azure Monitor biedt metrische gegevens en dashboards voor het bijhouden van gebruikspatronen, prestaties en status van Foundry-resources.
  • Gedetailleerde logboekregistratie met Azure Log Analytics Azure Log Analytics maakt een grondige inspectie van logboeken mogelijk voor operationele inzichten. Bijvoorbeeld gebruik van logboekaanvragen, tokengebruik en latentie ter ondersteuning van controle en optimalisatie.

Implementatiebeslissingen valideren

Nadat u uw implementatieplan hebt gedefinieerd, valideert u de volgende resultaten:

  • Identiteit en toegang: Roltoewijzingen betreffen goedgekeurde persona's en bereik.
  • Netwerken: Connectiviteitspad en isolatiemodel worden gedocumenteerd voor elke omgeving.
  • Netwerkverificatie: de verbindingsstatus van privé-eindpunten is Toegeveerd en DNS zet Foundry-eindpunten om naar privé-IP-adressen vanuit de virtual network.
  • Gegevensbescherming: versleutelingsbenadering (door Microsoft beheerde sleutels of door de klant beheerde sleutels) wordt gedocumenteerd en goedgekeurd.
  • Bewerkingen: Kosten- en bewakingseigenaren worden per bedrijfsgroep toegewezen.
  • Verificatie van bewerkingen: kostenweergaven en dashboards worden gedefinieerd in Microsoft Cost Management en bewaking is verbonden met Application Insights voor elke productie-project.
  • Modelbewerkingen: Implementatiestrategie (standaard of ingericht) wordt per use-case gedocumenteerd.
  • Gereedheid voor regio's: vereiste modellen en services worden bevestigd in doelregio's vóór de implementatie.

Modelimplementaties configureren en optimaliseren

Bij het implementeren van modellen in Foundry kunnen teams kiezen tussen standaard- en ingerichte implementatietypen. Standaardimplementaties zijn ideaal voor ontwikkeling en experimenten, wat flexibiliteit en gebruiksgemak biedt. Ingerichte implementaties worden aanbevolen voor productiescenario's waarbij voorspelbare prestaties, kostenbeheer en het vastmaken van modelversies vereist zijn.

nl-NL: Om scenario's tussen regio's te ondersteunen en u toegang te geven tot bestaande modelimplementaties, staat Foundry verbindingen toe met modelimplementaties die worden gehost in andere exemplaren van Foundry of Azure OpenAI. Door verbindingen te gebruiken, kunnen teams implementaties voor experimenten centraliseren terwijl ze nog steeds access van gedistribueerde projecten inschakelen. Voor productieworkloads kunt u use cases gebruiken om hun eigen implementaties te beheren om een strakkere controle over de levenscyclus van modellen, versiebeheer en terugdraaistrategieën te garanderen.

Als u overmatig gebruik wilt voorkomen en evenredige resourcetoewijzing wilt garanderen, kunt u TPM-limieten (Tokens per minuut) toepassen op implementatieniveau. TPM-limieten helpen het verbruik te beheren, te beschermen tegen onbedoelde pieken en het gebruik af te stemmen op project budgetten of quota. Overweeg om conservatieve limieten in te stellen voor gedeelde implementaties en hogere drempelwaarden voor kritieke productieservices.

Meer informatie

  • Last updated on