Udostępnij za pośrednictwem


Architektura rozwiązania Azure AI Foundry

Uwaga / Notatka

Informacje zawarte w tym artykule są specyficzne dla projektu opartego na centrum i nie dotyczą projektu Foundry. Zobacz Jak sprawdzić, jaki typ projektu mam? i Utwórz projekt oparty na centrum.

Usługa Azure AI Foundry zapewnia ujednolicone środowisko dla deweloperów sztucznej inteligencji i analityków danych w celu tworzenia, oceniania i wdrażania modeli sztucznej inteligencji za pośrednictwem portalu internetowego, zestawu SDK lub interfejsu wiersza polecenia. Usługa Azure AI Foundry jest oparta na możliwościach i usługach udostępnianych przez inne usługi platformy Azure.

Diagram architektury wysokiego poziomu rozwiązania Azure AI Foundry.

Na najwyższym poziomie usługa Azure AI Foundry zapewnia dostęp do następujących zasobów:

  • Azure OpenAI: zapewnia dostęp do najnowszych modeli OpenAI. Możesz tworzyć bezpieczne wdrożenia, wypróbować place zabaw, dostroić modele, filtry zawartości i zadania wsadowe. Dostawca zasobów usługi Azure OpenAI to Microsoft.CognitiveServices/account i rodzaj zasobu to OpenAI. Możesz również nawiązać połączenie z Azure OpenAI, używając pewnego rodzaju AIServices, który obejmuje także inne usługi Azure AI.

    W przypadku korzystania z portalu Azure AI Foundry możesz bezpośrednio pracować z usługą Azure OpenAI bez projektu usługi Azure Studio. Możesz też użyć usługi Azure OpenAI za pośrednictwem projektu.

    Aby uzyskać więcej informacji, odwiedź witrynę Azure OpenAI w portalu Azure AI Foundry.

  • Centrum zarządzania: Centrum zarządzania usprawnia koordynowanie ładu i zarządzanie usługami Azure AI Foundry, takimi jak centra, projekty, połączone zasoby i wdrożenia.

    Aby uzyskać więcej informacji, odwiedź stronę Centrum zarządzania.

  • Centrum rozwiązania Azure AI Foundry: centrum to zasób najwyższego poziomu w portalu usługi Azure AI Foundry i jest oparty na usłudze Azure Machine Learning Service. Dostawca zasobów platformy Azure dla centrum to Microsoft.MachineLearningServices/workspaces, a rodzaj zasobu to Hub. Udostępnia ona następujące funkcje:

    • Konfiguracja zabezpieczeń, w tym sieć zarządzana obejmująca projekty i punkty końcowe modelu.
    • Zasoby obliczeniowe do interaktywnego programowania, dostrajania, open source i bezserwerowego wdrażania interfejsu API dla modeli.
    • Połączenia z innymi usługami platformy Azure, takimi jak Azure OpenAI, Azure AI Services i Azure AI Search. Połączenia w zakresie centrum są współużytkowane z projektami utworzonymi z poziomu centrum.
    • Zarządzanie projektami. Centrum może mieć wiele projektów podrzędnych.
    • Skojarzone konto usługi Azure Storage na potrzeby przekazywania danych i przechowywania artefaktów.

    Aby uzyskać więcej informacji, odwiedź stronę Hubs and projects overview (Centrum i projekty — omówienie).

  • Projekt Azure AI Foundry: projekt jest zasobem podrzędnym węzła głównego. Dostawca zasobów platformy Azure dla projektu to Microsoft.MachineLearningServices/workspaces, a rodzaj zasobu to Project. Projekt udostępnia następujące funkcje:

    • Dostęp do narzędzi programistycznych do tworzenia i dostosowywania aplikacji sztucznej inteligencji.
    • Składniki wielokrotnego użytku, w tym zestawy danych, modele i indeksy.
    • Izolowany kontener do przesyłania danych (w magazynie pochodzącym z centrum).
    • Połączenia w zakresie projektu. Na przykład członkowie projektu mogą potrzebować prywatnego dostępu do danych przechowywanych na koncie usługi Azure Storage bez udzielania tego samego dostępu do innych projektów.
    • Wdrożenia modelu typu open source z wykazu i dostosowanych punktów końcowych modelu.

    Diagram relacji między usługami Azure AI Foundry.

    Aby uzyskać więcej informacji, odwiedź stronę Hubs and projects overview (Centrum i projekty — omówienie).

  • Połączenia: centra i projekty usługi Azure AI Foundry używają połączeń w celu uzyskania dostępu do zasobów udostępnianych przez inne usługi. Na przykład dane na koncie usługi Azure Storage, usłudze Azure OpenAI lub innych usługach azure AI.

    Aby uzyskać więcej informacji, odwiedź stronę How to add a new connection in Azure AI Foundry portal (Jak dodać nowe połączenie w portalu usługi Azure AI Foundry).

Typy zasobów i dostawcy platformy Azure

Usługa Azure AI Foundry jest oparta na dostawcy zasobów usługi Azure Machine Learning i ma zależność od kilku innych usług platformy Azure. Dostawcy zasobów dla tych usług muszą być zarejestrowani w ramach subskrypcji platformy Azure. W poniższej tabeli wymieniono typy zasobów, dostawcę i rodzaj:

Typ zasobu Dostawca zasobów Rodzaj
Centrum usługi Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Projekt rozwiązania Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Azure AI Foundry lub
Azure AI OpenAI Service
Microsoft.CognitiveServices/account AIServices
OpenAI

Podczas tworzenia nowego centrum wymagany jest zestaw zależnych zasobów platformy Azure do przechowywania danych, uzyskiwania dostępu do modeli i udostępniania zasobów obliczeniowych na potrzeby dostosowywania sztucznej inteligencji. W poniższej tabeli wymieniono zależne zasoby platformy Azure i ich dostawców zasobów:

Wskazówka

Jeśli nie określisz zasobu zależnego podczas tworzenia huba, a jest to wymagana zależność, Azure AI Foundry utworzy zasób za Ciebie.

Zależny zasób platformy Azure Dostawca zasobów Opcjonalnie Uwaga / Notatka
Azure AI Foundry Microsoft.CognitiveServices/accounts Zapewnia dostęp do modeli i innych podstawowych interfejsów API rozwiązania Foundry.
Konto usługi Azure Storage Microsoft.Storage/storageAccounts Przechowuje elementy związane z Twoimi projektami, takie jak przepływy i oceny. W przypadku izolacji danych kontenery magazynu są oznaczone identyfikatorem GUID projektu i warunkowo zabezpieczone przy użyciu Azure ABAC dla tożsamości projektu.
Azure Key Vault Microsoft.KeyVault/vaults Przechowuje tajne informacje, takie jak łańcuchy połączeń dla połączeń z zasobami. W przypadku izolacji danych tajemnice nie mogą być pobierane między projektami za pomocą API.
Azure Container Registry (Rejestr Kontenerów Azure) Microsoft.ContainerRegistry/registries Przechowuje obrazy Docker utworzone podczas korzystania z niestandardowego środowiska uruchomieniowego dla przepływu poleceń. W przypadku izolacji danych obrazy Docker są prefiksowane identyfikatorem GUID projektu.
Azure Application Insights i
Obszar roboczy usługi Log Analytics
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Używany jako magazyn dzienników, gdy wybierzesz rejestrowanie na poziomie aplikacji dla wdrożonych przepływów monitów.
Azure AI Search Microsoft.Search/searchServices Udostępnia możliwości wyszukiwania dla projektów.

Aby uzyskać informacje na temat rejestrowania dostawców zasobów, zobacz Rejestrowanie dostawcy zasobów platformy Azure.

Zasoby hostowane przez firmę Microsoft

Podczas gdy większość zasobów używanych przez usługę Azure AI Foundry mieszka w ramach subskrypcji platformy Azure, niektóre zasoby znajdują się w subskrypcji platformy Azure zarządzanej przez firmę Microsoft. Koszt tych zasobów zarządzanych jest wyświetlany na rachunku Azure jako pozycja w ramach dostawcy zasobów Azure Machine Learning. Następujące zasoby znajdują się w subskrypcji platformy Azure zarządzanej przez firmę Microsoft i nie są wyświetlane w subskrypcji platformy Azure:

  • Zarządzane zasoby obliczeniowe: udostępniane przez zasoby usługi Azure Batch w subskrypcji firmy Microsoft.

  • Zarządzana sieć wirtualna: udostępniane przez zasoby usługi Azure Virtual Network w subskrypcji firmy Microsoft. Jeśli reguły FQDN są włączone, do subskrypcji zostanie dodana usługa Azure Firewall (standard) i opłata zostanie naliczona. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzanej sieci wirtualnej dla usługi Azure AI Foundry.

  • Przechowywanie metadanych: zapewniane przez zasoby usługi Azure Storage w subskrypcji firmy Microsoft.

    Uwaga / Notatka

    Jeśli używasz kluczy zarządzanych przez klienta, zasoby magazynu metadanych są tworzone w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta.

Zarządzane zasoby obliczeniowe i zarządzane sieci wirtualne istnieją w subskrypcji firmy Microsoft, ale zarządzasz nimi. Na przykład można kontrolować, które rozmiary maszyn wirtualnych są używane dla zasobów obliczeniowych i które reguły ruchu wychodzącego są skonfigurowane dla zarządzanej sieci wirtualnej.

Zarządzane zasoby obliczeniowe wymagają również zarządzanie lukami w zabezpieczeniach. Odpowiedzialność za zarządzanie lukami w zabezpieczeniach leży zarówno po stronie użytkownika, jak i firmy Microsoft. Aby uzyskać więcej informacji, zobacz zarządzanie lukami w zabezpieczeniach.

Centralne konfigurowanie i zarządzanie przy użyciu centrów

Centra zapewniają centralny sposób, aby zespół zarządzał zasobami zabezpieczeń, łączności i obliczeń na placach zabaw i projektach. Projekty tworzone za pomocą centrum dziedziczą takie same ustawienia zabezpieczeń i dostęp do zasobów udostępnionych. Zespoły mogą tworzyć jak najwięcej projektów w razie potrzeby w celu organizowania pracy, izolowania danych i/lub ograniczania dostępu.

Często projekty w domenie biznesowej wymagają dostępu do tych samych zasobów firmy, takich jak indeksy wektorowe, punkty końcowe modelu lub repozytoria. Jako lider zespołu możesz wstępnie skonfigurować łączność z tymi zasobami w centrum, aby deweloperzy mogli uzyskiwać do nich dostęp z dowolnego nowego obszaru roboczego projektu bez opóźnień w it.

Połączenia umożliwiają dostęp do obiektów w rozwiązaniu Azure AI Foundry zarządzanych poza centrum. Na przykład przekazane dane na koncie usługi Azure Storage lub wdrożenia modelu w istniejącym zasobie usługi Azure OpenAI. Połączenie może być współużytkowane dla każdego projektu lub udostępnione jednemu konkretnemu projektowi. Połączenia można skonfigurować do używania dostępu opartego na kluczach lub funkcji Microsoft Entra ID passthrough w celu autoryzowania dostępu użytkowników do połączonego zasobu. Jako administrator możesz śledzić, przeprowadzać inspekcję i zarządzać połączeniami w całej organizacji z jednego widoku w usłudze Azure AI Foundry.

Zrzut ekranu usługi Azure AI Foundry przedstawiający widok inspekcji wszystkich połączonych zasobów w centrum i jego projektach.

Organizowanie pod kątem potrzeb twojego zespołu

Liczba potrzebnych centrów i projektów zależy od sposobu pracy. Możesz utworzyć pojedyncze centrum dla dużego zespołu z podobnymi potrzebami dotyczącymi dostępu do danych. Ta konfiguracja maksymalizuje efektywność kosztową, udostępnianie zasobów i minimalizuje obciążenie związane z konfiguracją. Na przykład centrum dla wszystkich projektów związanych z pomocą techniczną klienta.

Jeśli potrzebujesz izolacji między tworzeniem, testowaniem i produkcją w ramach strategii LLMOps lub MLOps, rozważ utworzenie centrum dla każdego środowiska. W zależności od gotowości rozwiązania do produkcji możesz zdecydować się na replikowanie obszarów roboczych projektu w każdym środowisku lub tylko w jednym.

Serwer proxy kontroli dostępu i płaszczyzny sterowania opartej na rolach

Usługi azure AI, w tym Azure OpenAI, zapewniają punkty końcowe płaszczyzny sterowania dla operacji, takich jak wyświetlanie listy wdrożeń modelu. Te punkty końcowe są zabezpieczone przy użyciu oddzielnej konfiguracji kontroli dostępu opartej na rolach (RBAC) platformy Azure niż konfiguracja używana dla koncentratora.

Aby zmniejszyć złożoność zarządzania rolami w platformie Azure RBAC, usługa Azure AI Foundry udostępnia proxy płaszczyzny kontrolnej, które umożliwia wykonywanie operacji na połączonych usługach Azure AI oraz zasobach Azure OpenAI. Operacje na tych zasobach za pośrednictwem proxy płaszczyzny kontrolnej wymagają tylko uprawnień RBAC platformy Azure w centralnym węźle. Następnie usługa Azure AI Foundry wykonuje wywołanie do usług Azure AI lub do punktu końcowego płaszczyzny sterowania Azure OpenAI w Twoim imieniu.

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach w portalu usługi Azure AI Foundry.

Kontrola dostępu oparta na atrybutach

Każde utworzone centrum ma domyślne konto przechowywania. Każdy projekt podrzędny centrum dziedziczy konto magazynowe centrum. Konto magazynowe służy do przechowywania danych i artefaktów.

Aby zabezpieczyć udostępnione konto magazynowe, usługa Azure AI Foundry używa zarówno kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), jak i kontroli dostępu opartej na atrybutach platformy Azure (Azure ABAC). Azure ABAC to model zabezpieczeń, który definiuje kontrolę dostępu na podstawie atrybutów skojarzonych z użytkownikiem, zasobem i środowiskiem. Każdy projekt ma:

  • Główna usługa, która ma przypisaną rolę Współautora danych blob dla usługi Storage na koncie magazynowym.
  • Unikatowy identyfikator (identyfikator obszaru roboczego).
  • Zestaw kontenerów na koncie magazynu. Każdy kontener ma prefiks odpowiadający wartości identyfikatora obszaru roboczego dla projektu.

Przypisanie roli dla głównego przedstawiciela usługi w każdym projekcie ma warunek, który umożliwia dostęp wyłącznie do kontenerów o pasującej wartości prefiksu. Ten warunek gwarantuje, że każdy projekt będzie mógł uzyskiwać dostęp tylko do własnych kontenerów.

Uwaga / Notatka

W przypadku szyfrowania danych na koncie magazynu, zakres obejmuje cały magazyn, a nie poszczególne kontenery. Dlatego wszystkie kontenery są szyfrowane przy użyciu tego samego klucza (dostarczonego przez firmę Microsoft lub przez klienta).

Aby uzyskać więcej informacji na temat kontroli dostępu opartej na dostępie na platformie Azure, zobacz Co to jest kontrola dostępu oparta na atrybutach platformy Azure.

Kontenery w koncie magazynowym

Domyślne konto magazynu dla centrum ma następujące kontenery. Te kontenery są tworzone dla każdego projektu, a {workspace-id} prefiks jest zgodny z unikatowym identyfikatorem projektu. Projekty uzyskują dostęp do kontenera przy użyciu połączenia.

Wskazówka

Aby znaleźć identyfikator projektu, przejdź do projektu w witrynie Azure Portal. Rozwiń węzeł Ustawienia , a następnie wybierz pozycję Właściwości. Zostanie wyświetlony identyfikator obszaru roboczego.

Nazwa kontenera Nazwa połączenia Opis
{workspace-ID}-azureml magazyn artefaktów przestrzeni roboczej Przechowywanie zasobów, takich jak metryki, modele i składniki.
{workspace-ID}-blobstore workspaceblobstore Magazyn na potrzeby przekazywania danych, migawek kodu zadania i pamięci podręcznej danych potoku.
{workspace-ID}-code NIE Magazyn dla notesów, wystąpień obliczeniowych i przepływu monitów.
{workspace-ID}-file NIE Alternatywny kontener do przekazywania danych.

Szyfrowanie

Usługa Azure AI Foundry używa szyfrowania do ochrony danych magazynowanych i przesyłanych. Domyślnie klucze zarządzane przez firmę Microsoft są używane do szyfrowania. Można jednak użyć własnych kluczy szyfrowania. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta.

Sieć wirtualna

Koncentrator można skonfigurować do korzystania z zarządzanej sieci wirtualnej. Zarządzana sieć wirtualna zabezpiecza komunikację między centrum, projektami i zasobami zarządzanymi, takimi jak obliczenia. Jeśli usługi zależności (Azure Storage, Key Vault i Container Registry) mają wyłączony dostęp publiczny, zostanie utworzony prywatny punkt końcowy dla każdej usługi zależności w celu zabezpieczenia komunikacji między centrum i projektem a usługą zależności.

Uwaga / Notatka

Jeśli chcesz używać sieci wirtualnej do zabezpieczania komunikacji między klientami a centrum lub projektem, musisz użyć sieci wirtualnej platformy Azure utworzonej i zarządzanej. Na przykład sieć wirtualna platformy Azure, która korzysta z połączenia VPN lub ExpressRoute do sieci lokalnej.

Aby uzyskać więcej informacji na temat konfigurowania zarządzanej sieci wirtualnej, zobacz Konfigurowanie zarządzanej sieci wirtualnej dla usługi Azure AI Foundry.

Azure Monitor

Usługi Azure Monitor i Azure Log Analytics zapewniają monitorowanie i rejestrowanie bazowych zasobów używanych przez usługę Azure AI Foundry. Ponieważ usługa Azure AI Foundry jest oparta na usłudze Azure Machine Learning, Azure OpenAI, usługach Azure AI i Azure AI Search, skorzystaj z następujących artykułów, aby dowiedzieć się, jak monitorować usługi:

Zasób Monitorowanie i rejestrowanie
Centrum i projekt rozwiązania Azure AI Foundry Monitorowanie usługi Azure Machine Learning
Azure OpenAI Monitorowanie usługi Azure OpenAI
Usługi sztucznej inteligencji platformy Azure Monitorowanie sztucznej inteligencji platformy Azure (trenowanie)
Azure AI Search Monitorowanie usługi Azure AI Search

Cena i limit przydziału

Aby uzyskać więcej informacji na temat ceny i limitu przydziału, skorzystaj z następujących artykułów:

Dalsze kroki

Utwórz koncentrator przy użyciu jednej z następujących metod: