Architektura usługi Azure AI Studio
Usługa AI Studio zapewnia ujednolicone środowisko dla deweloperów sztucznej inteligencji i analityków danych w celu tworzenia, oceniania i wdrażania modeli sztucznej inteligencji za pośrednictwem portalu internetowego, zestawu SDK lub interfejsu wiersza polecenia. Program AI Studio jest oparty na możliwościach i usługach udostępnianych przez inne usługi platformy Azure.
Zasoby programu AI Studio najwyższego poziomu (centrum i projekt) są oparte na usłudze Azure Machine Learning. Połączone zasoby, takie jak Azure OpenAI, usługi Azure AI i Azure AI Search, są używane przez centrum i projekt w dokumentacji, ale są zgodne z cyklem życia zarządzania zasobami.
- Centrum AI Studio: centrum jest zasobem najwyższego poziomu w programie AI Studio. Dostawca zasobów platformy Azure dla centrum to
Microsoft.MachineLearningServices/workspaces
, a rodzaj zasobu toHub
. Udostępnia ona następujące funkcje:- Konfiguracja zabezpieczeń, w tym sieć zarządzana obejmująca projekty i punkty końcowe modelu.
- Zasoby obliczeniowe do interaktywnego programowania, dostrajania, open source i bezserwerowych wdrożeń modeli.
- Połączenia z innymi usługami platformy Azure, takimi jak Azure OpenAI, Azure AI Services i Azure AI Search. Połączenia o zakresie centrum są współużytkowane z projektami utworzonymi na podstawie centrum.
- Zarządzanie projektami. Centrum może mieć wiele projektów podrzędnych.
- Skojarzone konto usługi Azure Storage na potrzeby przekazywania danych i przechowywania artefaktów.
- Projekt AI Studio: projekt jest zasobem podrzędnym centrum. Dostawca zasobów platformy Azure dla projektu to
Microsoft.MachineLearningServices/workspaces
, a rodzaj zasobu toProject
. Projekt udostępnia następujące funkcje:- Dostęp do narzędzi programistycznych do tworzenia i dostosowywania aplikacji sztucznej inteligencji.
- Składniki wielokrotnego użytku, w tym zestawy danych, modele i indeksy.
- Izolowany kontener do przekazywania danych (w magazynie dziedziczony z koncentratora).
- Połączenia w zakresie projektu. Na przykład członkowie projektu mogą potrzebować prywatnego dostępu do danych przechowywanych na koncie usługi Azure Storage bez udzielania tego samego dostępu do innych projektów.
- Wdrożenia modelu typu open source z wykazu i dostosowanych punktów końcowych modelu.
Centralne konfigurowanie i zarządzanie przy użyciu centrów
Centra zapewniają centralny sposób, aby zespół zarządzał zasobami zabezpieczeń, łączności i obliczeń na placach zabaw i projektach. Projekty tworzone przy użyciu centrum dziedziczą te same ustawienia zabezpieczeń i dostęp do zasobów udostępnionych. Zespoły mogą tworzyć jak najwięcej projektów w razie potrzeby w celu organizowania pracy, izolowania danych i/lub ograniczania dostępu.
Często projekty w domenie biznesowej wymagają dostępu do tych samych zasobów firmy, takich jak indeksy wektorowe, punkty końcowe modelu lub repozytoria. Jako lider zespołu możesz wstępnie skonfigurować łączność z tymi zasobami w centrum, aby deweloperzy mogli uzyskiwać do nich dostęp z dowolnego nowego obszaru roboczego projektu bez opóźnień w it.
Połączenia umożliwiają dostęp do obiektów w programie AI Studio zarządzanych poza centrum. Na przykład przekazane dane na koncie usługi Azure Storage lub wdrożenia modelu w istniejącym zasobie usługi Azure OpenAI. Połączenie może być współużytkowane dla każdego projektu lub udostępnione jednemu konkretnemu projektowi. Połączenia można skonfigurować do używania dostępu opartego na kluczach lub przekazywania identyfikatora entra firmy Microsoft w celu autoryzowania dostępu do użytkowników w połączonym zasobie. Jako administrator możesz śledzić połączenia, przeprowadzać inspekcję i zarządzać nimi w całej organizacji z jednego widoku w programie AI Studio.
Organizowanie pod kątem potrzeb twojego zespołu
Liczba potrzebnych centrów i projektów zależy od sposobu pracy. Możesz utworzyć pojedyncze centrum dla dużego zespołu z podobnymi potrzebami dotyczącymi dostępu do danych. Ta konfiguracja maksymalizuje efektywność kosztową, udostępnianie zasobów i minimalizuje obciążenie związane z konfiguracją. Na przykład centrum dla wszystkich projektów związanych z pomocą techniczną klienta.
Jeśli potrzebujesz izolacji między tworzeniem, testowaniem i produkcją w ramach strategii LLMOps lub MLOps, rozważ utworzenie centrum dla każdego środowiska. W zależności od gotowości rozwiązania do produkcji możesz zdecydować się na replikowanie obszarów roboczych projektu w każdym środowisku lub tylko w jednym.
Typy zasobów i dostawcy platformy Azure
Usługa Azure AI Studio jest oparta na dostawcy zasobów usługi Azure Machine Learning i jest zależna od kilku innych usług platformy Azure. Dostawcy zasobów dla tych usług muszą być zarejestrowani w ramach subskrypcji platformy Azure. W poniższej tabeli wymieniono typy zasobów, dostawcę i rodzaj:
Typ zasobu | Dostawca zasobów | Rodzaj |
---|---|---|
Centrum azure AI Studio | Microsoft.MachineLearningServices/workspace |
hub |
Projekt usługi Azure AI Studio | Microsoft.MachineLearningServices/workspace |
project |
Usługi Azure AI lub Azure AI OpenAI Service |
Microsoft.CognitiveServices/account |
AIServices OpenAI |
Podczas tworzenia nowego centrum wymagany jest zestaw zależnych zasobów platformy Azure do przechowywania danych, uzyskiwania dostępu do modeli i udostępniania zasobów obliczeniowych na potrzeby dostosowywania sztucznej inteligencji. W poniższej tabeli wymieniono zależne zasoby platformy Azure i ich dostawców zasobów:
Napiwek
Jeśli nie podasz zasobu zależnego podczas tworzenia centrum i jest to wymagana zależność, program AI Studio utworzy zasób.
Zależny zasób platformy Azure | Dostawca zasobów | Opcjonalnie | Uwaga |
---|---|---|---|
Wyszukiwanie AI platformy Azure | Microsoft.Search/searchServices |
✔ | Udostępnia możliwości wyszukiwania dla projektów. |
Konto usługi Azure Storage | Microsoft.Storage/storageAccounts |
Przechowuje artefakty dla projektów, takich jak przepływy i oceny. W przypadku izolacji danych kontenery magazynu są poprzedzone prefiksem przy użyciu identyfikatora GUID projektu i są warunkowo zabezpieczone przy użyciu usługi Azure ABAC dla tożsamości projektu. | |
Azure Key Vault | Microsoft.KeyVault/vaults |
Przechowuje wpisy tajne, takie jak parametry połączenia dla połączeń zasobów. W przypadku izolacji danych wpisy tajne nie mogą być pobierane między projektami za pośrednictwem interfejsów API. | |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Przechowuje obrazy platformy Docker utworzone podczas korzystania z niestandardowego środowiska uruchomieniowego na potrzeby przepływu monitów. W przypadku izolacji danych obrazy platformy Docker są poprzedzone prefiksem przy użyciu identyfikatora GUID projektu. |
aplikacja systemu Azure Szczegółowe informacje i Obszar roboczy usługi Log Analytics |
Microsoft.Insights/components Microsoft.OperationalInsights/workspaces |
✔ | Używany jako magazyn dzienników w przypadku wybrania rejestrowania na poziomie aplikacji dla wdrożonych przepływów monitów. |
Aby uzyskać informacje na temat rejestrowania dostawców zasobów, zobacz Rejestrowanie dostawcy zasobów platformy Azure.
Zasoby hostowane przez firmę Microsoft
Podczas gdy większość zasobów używanych przez program Azure AI Studio mieszka w ramach subskrypcji platformy Azure, niektóre zasoby znajdują się w subskrypcji platformy Azure zarządzanej przez firmę Microsoft. Koszt tych zasobów zarządzanych jest wyświetlany na rachunku za platformę Azure jako element wiersza w ramach dostawcy zasobów usługi Azure Machine Learning. Następujące zasoby znajdują się w subskrypcji platformy Azure zarządzanej przez firmę Microsoft i nie są wyświetlane w subskrypcji platformy Azure:
Zarządzane zasoby obliczeniowe: udostępniane przez zasoby usługi Azure Batch w subskrypcji firmy Microsoft.
Zarządzana sieć wirtualna: udostępniane przez zasoby usługi Azure Virtual Network w subskrypcji firmy Microsoft. Jeśli reguły nazw FQDN są włączone, do subskrypcji zostanie dodana usługa Azure Firewall (standardowa) i zostanie naliczona opłata. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzanej sieci wirtualnej dla programu Azure AI Studio.
Magazyn metadanych: udostępniane przez zasoby usługi Azure Storage w subskrypcji firmy Microsoft.
Uwaga
Jeśli używasz kluczy zarządzanych przez klienta, zasoby magazynu metadanych są tworzone w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta.
Zarządzane zasoby obliczeniowe i zarządzane sieci wirtualne istnieją w subskrypcji firmy Microsoft, ale zarządzasz nimi. Na przykład można kontrolować, które rozmiary maszyn wirtualnych są używane dla zasobów obliczeniowych i które reguły ruchu wychodzącego są skonfigurowane dla zarządzanej sieci wirtualnej.
Zarządzane zasoby obliczeniowe wymagają również zarządzanie lukami w zabezpieczeniach. Odpowiedzialność za zarządzanie lukami w zabezpieczeniach leży zarówno po stronie użytkownika, jak i firmy Microsoft. Aby uzyskać więcej informacji, zobacz zarządzanie lukami w zabezpieczeniach.
Serwer proxy kontroli dostępu i płaszczyzny sterowania opartej na rolach
Usługi azure AI, w tym Azure OpenAI, zapewniają punkty końcowe płaszczyzny sterowania dla operacji, takich jak wyświetlanie listy wdrożeń modelu. Te punkty końcowe są zabezpieczone przy użyciu oddzielnej konfiguracji kontroli dostępu opartej na rolach (RBAC) platformy Azure niż konfiguracja używana dla koncentratora.
Aby zmniejszyć złożoność zarządzania kontrolą dostępu opartą na rolach platformy Azure, program AI Studio udostępnia serwer proxy płaszczyzny sterowania, który umożliwia wykonywanie operacji na połączonych usługach AI platformy Azure i zasobach usługi Azure OpenAI. Wykonywanie operacji na tych zasobach za pośrednictwem serwera proxy płaszczyzny sterowania wymaga tylko uprawnień RBAC platformy Azure w centrum. Następnie usługa Azure AI Studio wykonuje wywołanie usług azure AI lub punktu końcowego płaszczyzny sterowania platformy Azure OpenAI w Twoim imieniu.
Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach w usłudze Azure AI Studio.
Kontrola dostępu oparta na atrybutach
Każde utworzone centrum ma domyślne konto magazynu. Każdy projekt podrzędny centrum dziedziczy konto magazynu centrum. Konto magazynu służy do przechowywania danych i artefaktów.
Aby zabezpieczyć konto magazynu udostępnionego, usługa Azure AI Studio używa kontroli dostępu opartej na atrybutach platformy Azure i kontroli dostępu opartej na atrybutach platformy Azure (Azure ABAC). Azure ABAC to model zabezpieczeń, który definiuje kontrolę dostępu na podstawie atrybutów skojarzonych z użytkownikiem, zasobem i środowiskiem. Każdy projekt ma:
- Jednostka usługi, która ma przypisaną rolę Współautor danych obiektu blob usługi Storage na koncie magazynu.
- Unikatowy identyfikator (identyfikator obszaru roboczego).
- Zestaw kontenerów na koncie magazynu. Każdy kontener ma prefiks odpowiadający wartości identyfikatora obszaru roboczego dla projektu.
Przypisanie roli dla jednostki usługi każdego projektu ma warunek, który zezwala tylko jednostce usługi na dostęp do kontenerów z pasującą wartością prefiksu. Ten warunek gwarantuje, że każdy projekt będzie mógł uzyskiwać dostęp tylko do własnych kontenerów.
Uwaga
W przypadku szyfrowania danych na koncie magazynu zakresem jest cały magazyn, a nie dla kontenera. Dlatego wszystkie kontenery są szyfrowane przy użyciu tego samego klucza (dostarczonego przez firmę Microsoft lub przez klienta).
Aby uzyskać więcej informacji na temat kontroli dostępu opartej na dostępie na platformie Azure, zobacz Co to jest kontrola dostępu oparta na atrybutach platformy Azure.
Kontenery na koncie magazynu
Domyślne konto magazynu dla centrum ma następujące kontenery. Te kontenery są tworzone dla każdego projektu, a {workspace-id}
prefiks jest zgodny z unikatowym identyfikatorem projektu. Projekty uzyskują dostęp do kontenera przy użyciu połączenia.
Napiwek
Aby znaleźć identyfikator projektu, przejdź do projektu w witrynie Azure Portal. Rozwiń węzeł Ustawienia , a następnie wybierz pozycję Właściwości. Zostanie wyświetlony identyfikator obszaru roboczego.
Nazwa kontenera | Nazwa połączenia | opis |
---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Magazyn dla zasobów, takich jak metryki, modele i składniki. |
{workspace-ID}-blobstore |
workspaceblobstore | Magazyn na potrzeby przekazywania danych, migawek kodu zadania i pamięci podręcznej danych potoku. |
{workspace-ID}-code |
NA | Magazyn dla notesów, wystąpień obliczeniowych i przepływu monitów. |
{workspace-ID}-file |
NA | Alternatywny kontener do przekazywania danych. |
Szyfrowanie
Usługa Azure AI Studio używa szyfrowania do ochrony danych magazynowanych i przesyłanych. Domyślnie klucze zarządzane przez firmę Microsoft są używane do szyfrowania. Można jednak użyć własnych kluczy szyfrowania. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta.
Sieć wirtualna
Koncentrator można skonfigurować do korzystania z zarządzanej sieci wirtualnej. Zarządzana sieć wirtualna zabezpiecza komunikację między centrum, projektami i zasobami zarządzanymi, takimi jak obliczenia. Jeśli usługi zależności (Azure Storage, Key Vault i Container Registry) mają wyłączony dostęp publiczny, zostanie utworzony prywatny punkt końcowy dla każdej usługi zależności w celu zabezpieczenia komunikacji między centrum i projektem a usługą zależności.
Uwaga
Jeśli chcesz używać sieci wirtualnej do zabezpieczania komunikacji między klientami a centrum lub projektem, musisz użyć sieci wirtualnej platformy Azure utworzonej i zarządzanej. Na przykład sieć wirtualna platformy Azure korzystająca z sieci VPN lub usługi ExpressRoute z siecią lokalną.
Aby uzyskać więcej informacji na temat konfigurowania zarządzanej sieci wirtualnej, zobacz Konfigurowanie zarządzanej sieci wirtualnej dla usługi Azure AI Studio.
Azure Monitor
Usługi Azure Monitor i Azure Log Analytics zapewniają monitorowanie i rejestrowanie bazowych zasobów używanych przez usługę Azure AI Studio. Ponieważ usługa Azure AI Studio jest oparta na usłudze Azure Machine Learning, Azure OpenAI, usługach Azure AI i Azure AI Search, skorzystaj z następujących artykułów, aby dowiedzieć się, jak monitorować usługi:
Zasób | Monitorowanie i rejestrowanie |
---|---|
Centrum i projekt usługi Azure AI Studio | Monitorowanie usługi Azure Machine Learning |
Azure OpenAI | Monitorowanie usługi Azure OpenAI |
Usługi platformy Azure AI | Monitorowanie sztucznej inteligencji platformy Azure (trenowanie) |
Wyszukiwanie AI platformy Azure | Monitorowanie usługi Azure AI Search |
Cena i limit przydziału
Aby uzyskać więcej informacji na temat ceny i limitu przydziału, skorzystaj z następujących artykułów:
Następne kroki
Utwórz koncentrator przy użyciu jednej z następujących metod:
- Azure AI Studio: tworzenie centrum na potrzeby rozpoczynania pracy.
- Witryna Azure Portal: tworzenie centrum z własną siecią.
- Szablon Bicep.