Wdrożenie Microsoft Foundry w całej mojej organizacji (wersja klasyczna)

Aktualnie wyświetlane:Wersja - Przełączanie do wersji dla nowego portalu Foundry

Ustrukturyzowany plan wdrażania pomaga uniknąć luk w zabezpieczeniach, przekroczenia kosztów i rozrastania dostępu podczas wdrażania rozwiązania Microsoft Foundry na dużą skalę. W tym przewodniku opisano kluczowe decyzje dotyczące wdrażania rozwiązania Foundry, w tym konfiguracji środowiska, izolacji danych, integracji z innymi usługami Azure, zarządzaniem pojemnością i monitorowaniem. Skorzystaj z tego przewodnika jako punktu wyjścia i dostosuj go do Twoich potrzeb. Aby uzyskać szczegółowe informacje o implementacji, zobacz połączone artykuły.

Wymagania wstępne

Przed rozpoczęciem planowania wdrożenia upewnij się, że masz następujące elementy:

  • Zamierzona strategia subskrypcji Azure i grupy zasobów dla środowisk deweloperskich, testowych i produkcyjnych.
  • Microsoft Entra ID grupy (lub równoważne grupy tożsamości) zdefiniowane dla administratorów, menedżerów projektów i użytkowników projektu.
  • Początkowy plan regionu oparty na dostępności modelu i funkcji. Aby uzyskać szczegółowe informacje, zobacz Dostępność funkcji w różnych regionach chmury.
  • Umowa dotycząca wymagań dotyczących zabezpieczeń sieci, szyfrowania i izolacji danych w organizacji.

Lista kontrolna wdrażania wg planu bazowego

Użyj tej listy kontrolnej przed pierwszym wdrożeniem produkcyjnym:

  1. Definiowanie granic środowiska między programowaniem, testowaniem i produkcją.
  2. Przypisz odpowiedzialność za każdy zasób Foundry i zakres projektu.
  3. Określ funkcje rozwiązania Foundry, których chcesz użyć. Nie wszystkie API funkcji są dostępne w kontekście projektu. Jeśli planujesz przypisanie uprawnień w najniższym zakresie projektu na potrzeby izolacji przypadków użycia, może to nie być obsługiwane w przypadku klasycznych interfejsów API sztucznej inteligencji Azure, takich jak translator. Wymagają one, aby każdy użytkownik miał uprawnienia na poziomie zasobu nadrzędnego usługi Foundry. W takich przypadkach zaleca się segregację według zasobów odlewni.
  4. Zdefiniuj przypisania RBAC dla administratorów, menedżerów projektów i użytkowników projektu.
  5. Definiowanie podejścia do sieci dla każdego środowiska (dostęp publiczny, prywatny punkt końcowy lub hybrydowy).
  6. Zdecyduj, czy klucze zarządzane przez klienta są wymagane przez zasady.
  7. Zdefiniuj odpowiedzialność za koszty i monitorowanie dla każdej grupy biznesowej.
  8. Zidentyfikuj wymagane połączenia udostępnione i połączenia w zakresie projektu.

Przykładowa organizacja

Firma Contoso to globalne przedsiębiorstwo eksplorując wdrażanie usługi GenAI w pięciu grupach biznesowych, z których każda ma odrębne potrzeby i dojrzałość techniczną.

Aby przyspieszyć wdrażanie przy zachowaniu nadzoru, dział IT firmy Contoso Enterprise ma na celu umożliwienie modelu z typowymi zasobami udostępnionymi, w tym siecią i scentralizowanym zarządzaniem danymi, przy jednoczesnym zapewnieniu samoobsługowego dostępu do usługi Foundry dla każdego zespołu w zarządzanym, bezpiecznym środowisku do zarządzania ich przypadkami użycia.

Zagadnienia dotyczące wdrażania

Zasób Foundry definiuje zakres konfigurowania, zabezpieczania i monitorowania środowiska zespołu. Jest ona dostępna w portalu Foundry i za pośrednictwem interfejsów API Azure. Projekty są jak foldery do organizowania Twojej pracy w kontekście tego zasobu. Projekty również kontrolują dostęp i uprawnienia do narzędzi i interfejsów API dla deweloperów usługi Foundry.

Ważne

Projekty zapewniają wstępnie skonfigurowane środowisko piaskownicy zoptymalizowane pod kątem tworzenia agenta i możliwości natywnych dla platformy Foundry. Jednak ponieważ platforma Foundry jest oparta na wielu klasycznych Azure AI services, nie każdy klasyczny interfejs API jest dostępny w kontekście projektu. Zidentyfikuj funkcje, których zespoły planują używać, i sprawdzić, czy obsługują dostęp na poziomie projektu. W przypadku usług takich jak Translator, które wymagają uprawnień na poziomie zasobu nadrzędnego rozwiązania Foundry, rozważ użycie oddzielnych zasobów usługi Foundry na potrzeby izolacji kosztów i kontroli dostępu.

Zrzut ekranu diagramu przedstawiającego zasób Foundry.

Aby zapewnić spójność, skalowalność i ład w różnych zespołach, należy wziąć pod uwagę następujące praktyki konfiguracji środowiska podczas wdrażania rozwiązania Foundry:

  • Ustanów odrębne środowiska na potrzeby programowania, testowania i produkcji. Użyj oddzielnych grup zasobów lub subskrypcji oraz zasobów usługi Foundry, aby odizolować przepływy pracy, zarządzać dostępem i obsługiwać eksperymentowanie z kontrolowanymi wersjami.

  • Utwórz osobny zasób Foundry dla każdej grupy biznesowej. Dopasuj wdrożenia do granic logicznych, takich jak domeny danych lub funkcje biznesowe, aby zapewnić autonomię, ład i śledzenie kosztów. Rozważ również oddzielne zasoby w ramach rozwiązania Foundry, gdy zespoły potrzebują klasycznych interfejsów API sztucznej inteligencji Azure, które nie oferują dostępu na poziomie projektu.

  • Kojarzenie projektów z przypadkami użycia. Projekty foundry reprezentują określone przypadki użycia i udostępniają kontenery do organizowania składników, takich jak agenci lub pliki dla aplikacji. Chociaż dziedziczą one ustawienia zabezpieczeń po swoim zasobie nadrzędnym, mogą również implementować własne mechanizmy kontroli dostępu, integrację danych i inne mechanizmy kontroli ładu. Przed przypisaniem uprawnień w zakresie projektu sprawdź, czy API, których zespół planuje używać, obsługują dostęp na poziomie projektu.

Zabezpieczanie środowiska odlewni

Platforma Foundry jest oparta na platformie Azure, dzięki czemu można dostosować mechanizmy kontroli zabezpieczeń zgodnie z potrzebami organizacji.

Tożsamość

Użyj Microsoft Entra ID do zarządzania dostępem użytkowników i usług. Usługa Foundry obsługuje tożsamości zarządzane, aby umożliwić bezpieczne uwierzytelnianie bez hasła innym usługom Azure. Tożsamości zarządzane można przypisywać na poziomie zasobów usługi Foundry i opcjonalnie na poziomie projektu w celu uzyskania szczegółowej kontroli. Aby uzyskać szczegółowe informacje, zobacz Kontrola dostępu oparta na rolach w rozwiązaniu Foundry.

Sieć

Wdróż usługę Foundry w Virtual Network, aby odizolować ruch i kontrolować dostęp przy użyciu sieciowych grup zabezpieczeń. W przypadku scenariuszy łączności prywatnej użyj prywatnych punktów końcowych i zweryfikuj stan zatwierdzania dns i punktu końcowego. Aby uzyskać szczegółowe informacje o implementacji i ograniczenia, zobacz How to configure a private link for Foundry (Jak skonfigurować link prywatny dla rozwiązania Foundry).

Ważne

Niektóre funkcje, takie jak agenci i oceny, wymagają dodatkowej konfiguracji sieci na potrzeby kompleksowej izolacji. Aby uzyskać szczegółowe informacje o implementacji i bieżące ograniczenia, zobacz How to configure network isolation for Foundry (Jak skonfigurować izolację sieci dla rozwiązania Foundry).

Klucze zarządzane przez klienta

Azure obsługuje klucze zarządzane przez klienta (CMK) do szyfrowania danych w spoczynku. Foundry obsługuje CMK jako opcję dla klientów z rygorystycznymi wymaganiami zgodności. Aby uzyskać szczegółowe informacje, zobacz Klucze zarządzane przez klienta w rozwiązaniu Foundry.

Uwierzytelnianie i autoryzacja

Platforma Foundry obsługuje zarówno dostęp oparty na kluczach API do prostej integracji, jak i Azure RBAC w celu uzyskania precyzyjnej kontroli. Klucze interfejsu API mogą uprościć konfigurację, ale nie zapewniają tego samego stopnia szczegółowości opartego na rolach, co Microsoft Entra ID z RBAC. Azure wymusza wyraźną separację między płaszczyzną kontrolą (operacje zarządzania zasobami, takie jak tworzenie lub konfigurowanie zasobów) oraz płaszczyzna data (operacje środowiska uruchomieniowego, takie jak wywoływanie modeli i uzyskiwanie dostępu do danych). Zacznij od ról wbudowanych i zdefiniuj role niestandardowe zgodnie z potrzebami. Aby uzyskać szczegółowe informacje, zobacz Kontrola dostępu oparta na rolach w rozwiązaniu Foundry.

Szablony

Użyj szablonów usługi ARM lub Bicep, aby zautomatyzować bezpieczne wdrożenia. Zapoznaj się z przykładowymi szablonami infrastruktury.

Magazyn

Możesz użyć wbudowanych funkcji magazynu w rozwiązaniu Foundry lub użyć własnych zasobów magazynu. W przypadku usługi agenta wątki i komunikaty mogą być opcjonalnie przechowywane w zasobach zarządzanych przez Ciebie.

Przykład: podejście zabezpieczeń firmy Contoso

Firma Contoso zabezpiecza wdrożenia rozwiązania Foundry, używając prywatnej sieci zarządzanej przez dział Enterprise IT, który kontroluje centralną sieć węzłów. Każda grupa biznesowa łączy się poprzez sieć wirtualną typu "spoke". Używają wbudowanej kontroli dostępu opartej na rolach (RBAC) w celu oddzielenia dostępu:

  • Administratorzy zarządzają wdrożeniami, połączeniami i zasobami udostępnionymi
  • Menedżerowie projektów Project nadzorują określone projekty.
  • Użytkownicy korzystają z narzędzi GenAI

W większości przypadków użycia firma Contoso domyślnie korzysta z szyfrowania zarządzanego przez Microsoft i nie używa kluczy Customer-Managed.

Planowanie dostępu użytkowników

Skuteczne zarządzanie dostępem jest podstawą bezpiecznej i skalowalnej konfiguracji rozwiązania Foundry.

Definiowanie ról dostępu i obowiązków

Zidentyfikuj, które grupy użytkowników wymagają dostępu do różnych aspektów środowiska foundry. Przypisz wbudowane lub niestandardowe role RBAC w Azure na podstawie takich obowiązków, jak:

  • Właściciel konta: zarządzaj konfiguracjami najwyższego poziomu, takimi jak zabezpieczenia i połączenia zasobów udostępnionych.
  • Menedżerowie projektów: Tworzenie i zarządzanie projektami Foundry oraz ich współautorami.
  • Użytkownicy projektów: współpracuj przy istniejących projektach.

Użyj tego początkowego mapowania roli do zakresu na potrzeby planowania wdrożenia:

Persona Rola początkowa Zalecany zakres
Administratorzy Właściciel lub właściciel konta sztucznej inteligencji Azure Zasób subskrypcji lub usługi Foundry
Menedżerowie Project Kierownik Projektu Azure AI Zasób usługi Foundry
użytkownicy Project użytkownik Azure sztucznej inteligencji Projekt Foundry

Dostosuj przydziały na podstawie wymagań minimalnych uprawnień i polityk przedsiębiorstwa.

Określanie zakresu dostępu

Wybierz odpowiedni zakres przypisań dostępu:

  • Poziom subskrypcji: najszerszy dostęp, zazwyczaj odpowiedni dla centralnych zespołów IT lub zespołów platformy lub mniejszych organizacji.
  • Poziom grupy zasobów: przydatne do grupowania powiązanych zasobów z zasadami dostępu współdzielonego. Na przykład funkcja Azure, która jest zgodna z tym samym cyklem życia aplikacji co środowisko usługi Foundry.
  • Poziom zasobu lub projektu: idealny do precyzyjnej kontroli, szczególnie w przypadku obsługi poufnych danych lub włączania samoobsługi.

Dopasowywanie strategii tożsamości

W przypadku źródeł danych i narzędzi zintegrowanych z usługą Foundry określ, czy użytkownicy powinni uwierzytelniać się przy użyciu:

  • Tożsamości zarządzane lub klucz interfejsu API są odpowiednie do zautomatyzowanych usług i współdzielonego dostępu między użytkownikami.
  • Tożsamości użytkowników: preferowane, gdy wymagana jest odpowiedzialność na poziomie użytkownika lub możliwość inspekcji.

Użyj grup Microsoft Entra ID, aby uprościć zarządzanie dostępem i zapewnić spójność w różnych środowiskach.

W przypadku dołączania z najmniejszymi uprawnieniami zacznij od roli użytkownik Azure AI dla deweloperów i zarządzanych tożsamości projektu, a następnie dodaj role z podwyższonym poziomem uprawnień tylko jeśli jest to wymagane. Aby uzyskać szczegółowe informacje, zobacz Kontrola dostępu oparta na rolach w rozwiązaniu Foundry.

Ustanawianie łączności z innymi usługami Azure

Platforma Foundry obsługuje łączniki które są konfiguracjami wielokrotnego użytku, które umożliwiają dostęp do składników aplikacji w usługach Azure i innych niż Azure. Te połączenia działają również jako brokerzy tożsamości, dzięki czemu usługa Foundry może uwierzytelniać się w systemach zewnętrznych przy użyciu tożsamości zarządzanych lub jednostek usług w imieniu użytkowników projektu.

Utwórz połączenia na poziomie zasobów Foundry dla usług udostępnionych, takich jak Azure Storage lub Key Vault. Określanie zakresu połączeń z określonym projektem w przypadku integracji poufnych lub specyficznych dla projektu. Ta elastyczność pozwala zespołom równoważyć ponowne użycie i izolację na podstawie ich potrzeb. Dowiedz się więcej o połączeniach w narzędziu Foundry.

Skonfiguruj uwierzytelnianie połączenia, aby używać tokenów dostępu współdzielonego, takich jak tożsamości zarządzane przez Microsoft Entra ID lub kluczy API, w celu ułatwienia zarządzania i integracji, lub tokenów użytkowników przekazywanie za pomocą Entra ID, które zapewniają większą kontrolę podczas dostępu do poufnych zasobów danych.

Zrzut ekranu przedstawiający łączność projektu Foundry i integrację z innymi usługami Azure.

Przykład: strategia łączności firmy Contoso

  • Firma Contoso tworzy zasób Foundry dla każdej grupy biznesowej, co zapewnia, że projekty z podobnymi potrzebami danych współużytkują te same połączone zasoby.
  • Domyślnie połączone zasoby używają udostępnionych tokenów uwierzytelniania i są współużytkowane we wszystkich projektach.
  • Projekty korzystające z obciążeń danych poufnych łączą się ze źródłami danych przy użyciu połączeń o zakresie projektu i przekazywanego uwierzytelniania Microsoft Entra ID.

Zarządzanie

Skuteczny nadzór w rozwiązaniu Foundry zapewnia bezpieczne, zgodne i ekonomiczne operacje w różnych grupach biznesowych.

  • Modelowanie kontroli dostępu za pomocą Azure Policy Azure Policy wymusza reguły w zasobach Azure. W narzędziu Foundry użyj zasad, aby ograniczyć, do których modeli lub rodzin modeli mogą uzyskiwać dostęp określone grupy biznesowe. Przykład: grupa Finanse i ryzyko firmy Contoso jest ograniczona do korzystania z modeli w wersji zapoznawczej lub niezgodnych przez zastosowanie zasad na poziomie subskrypcji grupy biznesowej.
  • Zarządzanie kosztami według grupy biznesowej Wdrażając usługę Foundry dla grupy biznesowej, firma Contoso może niezależnie śledzić koszty i zarządzać nimi. Skorzystaj z kalkulatora cen Azure w celu oszacowania wdrożenia wstępnego i Microsoft Cost Management na potrzeby bieżącego rzeczywistego użycia i śledzenia trendów. Traktuj koszty platformy Foundry jako jedną część całkowitego kosztu rozwiązania.
  • Śledzenie użycia za pomocą Azure Monitor Azure Monitor udostępnia metryki i pulpity nawigacyjne do śledzenia wzorców użycia, wydajności i kondycji zasobów usługi Foundry.
  • Szczegółowe rejestrowanie z systemem Azure Log Analytics Azure Log Analytics umożliwia dogłębną inspekcję dzienników w celu uzyskania wnikliwych informacji operacyjnych. Na przykład logowanie żądania, wykorzystanie tokenu i monitorowanie opóźnienia w celu wsparcia inspekcji i optymalizacji.

Weryfikowanie decyzji dotyczących wdrażania

Po zdefiniowaniu planu wdrożenia zweryfikuj następujące wyniki:

  • Tożsamość i dostęp: przypisania ról są mapowane na zatwierdzone osoby i zakresy.
  • Sieć: ścieżka łączności i model izolacji są udokumentowane dla każdego środowiska.
  • Weryfikacja sieci: Status połączenia prywatnego punktu końcowego to Zatwierdzone, a system DNS przekształca punkty końcowe usługi Foundry na prywatne adresy IP z wnętrza sieci wirtualnej.
  • Ochrona danych: Metoda szyfrowania (klucze zarządzane przez Microsoft lub przez klienta) jest udokumentowana i zatwierdzona.
  • Operacje: Właściciele kosztów i monitorowania są przypisywani dla każdej grupy biznesowej.
  • Weryfikacja operacji: widoki kosztów i pulpity nawigacyjne są definiowane w Microsoft Cost Management, a monitorowanie jest połączone z usługą Application Insights dla każdego projektu produkcyjnego.
  • Operacje modelu: Strategia wdrażania (standardowa lub aprowizowana) jest udokumentowana dla każdego przypadku użycia.
  • Gotowość regionu: Wymagane modele i usługi są potwierdzane w regionach docelowych przed wdrożeniem.

Konfigurowanie i optymalizowanie wdrożeń modelu

Podczas wdrażania modeli w rozwiązaniu Foundry zespoły mogą wybierać między standardowymi a przydzielonymi typami wdrożeń. Wdrożenia standardowe idealnie nadają się do programowania i eksperymentowania, oferując elastyczność i łatwość konfiguracji. Aprowizowanie wdrożeń jest zalecane w scenariuszach produkcyjnych, w których wymagana jest przewidywalna wydajność, kontrola kosztów i przypinanie wersji modelu.

Aby obsługiwać scenariusze obejmujące wiele regionów i umożliwić dostęp do istniejących wdrożeń modelu, narzędzie Foundry umożliwia połączenia z wdrożeniami modelu hostowanymi w innych wystąpieniach rozwiązania Foundry lub wystąpieniach Azure OpenAI. Za pomocą połączeń zespoły mogą centralizować wdrożenia na potrzeby eksperymentowania, jednocześnie umożliwiając dostęp z projektów rozproszonych. W przypadku obciążeń produkcyjnych rozważ, aby przypadki użycia zarządzały swoimi wdrożeniami w celu zapewnienia lepszej kontroli nad cyklem życia modelu, kontrolą wersji i strategiami wycofywania zmian.

Aby zapobiec nadmiernemu użyciu i zapewnić uczciwą alokację zasobów, możesz zastosować limity tokenów na minutę (TPM) na poziomie wdrożenia. Limity modułu TPM pomagają kontrolować zużycie, chronić przed przypadkowymi skokami i dostosowywać użycie do budżetów lub przydziałów projektów. Rozważ ustawienie konserwatywnych limitów dla wdrożeń współdzielonych i wyższych progów dla kluczowych usług produkcyjnych.

Uzyskiwanie dostępu do rozszerzonych funkcji za pomocą usługi Azure AI Hub

Chociaż sam zasób usługi Foundry zapewnia dostęp do większości funkcji usługi Foundry, wybrane funkcje są obecnie dostępne tylko w połączeniu z zasobem centrum sztucznej inteligencji Azure obsługiwanym przez Azure Machine Learning. Te możliwości znajdują się niżej w stosie rozwoju sztucznej inteligencji i koncentrują się na personalizacji modelu.

Zasoby centrum wymagają własnych typów projektów, do których można również uzyskać dostęp przy użyciu Machine Learning Studio platformy Azure, zestawu SDK lub interfejsu wiersza polecenia. Aby ułatwić planowanie wdrożenia, zobacz tę tabelę i wybierz typ zasobu, aby zapoznać się z omówieniem obsługiwanych funkcji.

Zasób centrum jest wdrażany równolegle z zasobem usługi Foundry. Zasób centrum jest zależny od zasobów Foundry, aby zapewnić dostęp do wybranych narzędzi i modeli.

Dowiedz się więcej

Następny krok

Tworzenie projektu w narzędziu Foundry

  • Last updated on