Udostępnij za pośrednictwem

Wdrażanie rozwiązania Microsoft Foundry w całej organizacji

W tym przewodniku opisano kluczowe decyzje dotyczące wdrażania rozwiązania Microsoft Foundry, w tym konfiguracji środowiska, izolacji danych, integracji z innymi usługami Azure, zarządzaniem pojemnością i monitorowaniem. Skorzystaj z tego przewodnika jako punktu wyjścia i dostosuj go do Twoich potrzeb. Aby uzyskać szczegółowe informacje na temat implementacji, zobacz połączone artykuły, aby uzyskać więcej wskazówek.

Wymagania wstępne

Przed rozpoczęciem planowania wdrożenia upewnij się, że masz następujące elementy:

  • Strategia docelowej subskrypcji Azure i grupy zasobów dla środowisk deweloperskich, testowych i produkcyjnych.
  • Microsoft Entra ID grupy (lub równoważne grupy tożsamości) zdefiniowane dla administratorów, menedżerów projektów i użytkowników projektów.
  • Początkowy plan regionu oparty na dostępności modelu i funkcji. Aby uzyskać szczegółowe informacje, zobacz Dostępność funkcji w różnych regionach chmury.
  • Umowa dotycząca wymagań dotyczących zabezpieczeń sieci, szyfrowania i izolacji danych w organizacji.

Lista kontrolna wdrażania wg planu bazowego

Użyj tej listy kontrolnej przed pierwszym wdrożeniem produkcyjnym:

  1. Definiowanie granic środowiska między programowaniem, testowaniem i produkcją.
  2. Przypisz własność dla każdego zasobu i zakresu projektu w usłudze Foundry.
  3. Zdefiniowanie przypisań kontroli dostępu opartej na rolach dla administratorów, menedżerów projektu i użytkowników projektu.
  4. Zdefiniowanie podejścia do sieci dla każdego środowiska (dostępu publicznego, prywatnego punktu końcowego lub hybrydowego).
  5. Zdecyduj, czy klucze zarządzane przez klienta są wymagane przez zasady.
  6. Określenie odpowiedzialności za koszty i monitorowanie dla każdej grupy biznesowej.
  7. Zidentyfikuj wymagane połączenia udostępnione i połączenia w zakresie projektu.

Przykładowa organizacja

Firma Contoso to globalne przedsiębiorstwo eksplorując wdrażanie usługi GenAI w pięciu grupach biznesowych, z których każda ma odrębne potrzeby i dojrzałość techniczną.

Aby przyspieszyć wdrażanie przy zachowaniu nadzoru, dział IT firmy Contoso Enterprise ma na celu umożliwienie modelu z wspólnymi zasobami, w tym siecią i scentralizowanym zarządzaniem danymi, zapewniając zarazem samoobsługowy dostęp do Foundry dla każdego zespołu w zarządzanym, bezpiecznym środowisku do zarządzania ich scenariuszami użycia.

Zagadnienia dotyczące wdrażania

Zasób Foundry definiuje zakres konfigurowania, zabezpieczania i monitorowania środowiska zespołu. Jest ona dostępna w portalu Foundry i za pośrednictwem interfejsów API Azure. Projekty są jak foldery do organizacji pracy w kontekście tego zasobu. Projekty kontrolują również dostęp i uprawnienia do interfejsów API i narzędzi deweloperskich platformy Foundry.

Zrzut ekranu diagramu ukazującego zasób odlewni.

Aby zapewnić spójność, skalowalność i ład w różnych zespołach, należy wziąć pod uwagę następujące praktyki konfiguracji środowiska podczas wdrażania rozwiązania Foundry:

  • Ustanów odrębne środowiska na potrzeby programowania, testowania i produkcji. Użyj oddzielnych grup zasobów lub subskrypcji oraz zasobów usługi Foundry, aby odizolować przepływy pracy, zarządzać access i obsługiwać eksperymentowanie z kontrolowanymi wersjami.

  • Utwórz oddzielny zasób Foundry dla każdej grupy biznesowej. Dopasuj wdrożenia do granic logicznych, takich jak domeny danych lub funkcje biznesowe, aby zapewnić autonomię, ład i śledzenie kosztów.

  • Kojarzenie projektów z przypadkami użycia. Projekty foundry są zaprojektowane tak, aby odzwierciedlać określone przypadki użycia. Są to kontenery do organizowania składników, takich jak agenci lub pliki dla aplikacji. Chociaż dziedziczą one ustawienia zabezpieczeń z zasobu nadrzędnego, mogą również implementować własne kontrole dostępu, integrację danych i inne mechanizmy zarządzania.

Zabezpieczanie środowiska odlewni

Platforma Foundry jest oparta na platformie Azure, dzięki czemu można dostosować mechanizmy kontroli zabezpieczeń zgodnie z potrzebami organizacji. Najważniejsze obszary konfiguracji obejmują:

  • Identity: Używanie Microsoft Entra ID do zarządzania dostępem użytkowników i usług. Usługa Foundry obsługuje tożsamości zarządzane, aby umożliwić bezpieczne uwierzytelnianie bez hasła innym usługom Azure. Tożsamości zarządzane można przypisywać na poziomie zasobu Foundry i opcjonalnie na poziomie projektu dla dokładnej kontroli.  Dowiedz się więcej o tożsamościach zarządzanych.

  • Networking: Wdróż Foundry w sieci wirtualnej, aby odizolować ruch i kontrolować dostęp z użyciem sieciowych grup zabezpieczeń (NSG).  Dowiedz się więcej o zabezpieczeniach sieci.

    W przypadku scenariuszy łączności prywatnej użyj prywatnych punktów końcowych i zweryfikuj stan zatwierdzania dns i punktu końcowego. Aby uzyskać szczegółowe informacje o implementacji i ograniczeniach, sprawdź Jak skonfigurować łącze prywatne dla rozwiązania Foundry.

    Ważna

    Kompleksowa izolacja sieci nie jest w pełni obsługiwana w nowym środowisku portalu Foundry. Dla wdrożeń izolowanych sieciowo skorzystaj ze wskazówek dotyczących klasycznego środowiska, SDK lub wiersza poleceń w Jak skonfigurować łącze prywatne dla rozwiązania Foundry.

  • Customer-Managed Keys (CMK): Azure obsługuje klucze zarządzane przez klienta (CMK) do szyfrowania danych spoczywających. Foundry obsługuje klucz CMK opcjonalnie dla klientów o restrykcyjnych wymaganiach dotyczących zgodności.  Dowiedz się więcej o cmk.

  • Uwierzytelnianie i Autoryzacja: Aplikacja Foundry obsługuje zarówno oparte na kluczach API w celu prostej integracji i Azure RBAC dla szczegółowej kontroli. Klucze interfejsu API mogą uprościć konfigurację, ale nie zapewniają tego samego stopnia szczegółowości opartego na rolach, co Microsoft Entra ID z RBAC. Azure wymusza wyraźną separację między płaszczyzną kontroli (zarządzanie zasobami) a płaszczyzną danych (model i dostęp do danych). Zacznij od ról wbudowanych i zdefiniuj role niestandardowe zgodnie z potrzebami. Dowiedz się więcej o authentication.

  • Szablony: użyj szablonów usługi ARM lub Bicep, aby zautomatyzować bezpieczne wdrożenia. Zapoznaj się z szablonami sample.

  • Zasoby pamięci: Możesz użyć wbudowanych funkcji przechowywania w narzędziu Foundry lub użyć własnych zasobów pamięci. W przypadku usługi agenta wątki i komunikaty mogą być opcjonalnie przechowywane w zasobach zarządzanych przez Ciebie.

Przykład: podejście zabezpieczeń firmy Contoso

Firma Contoso zabezpiecza wdrożenia rozwiązania Foundry, korzystając z prywatnej sieci zarządzanej przez Enterprise IT jako centralną siecią hubu. Każda grupa biznesowa łączy się za pośrednictwem wirtualnej sieci szprychowej. Używają wbudowanej Kontroli Dostępu Opartej na Rolach (RBAC), aby oddzielić dostęp.

  • Administratorzy zarządzają wdrożeniami, połączeniami i zasobami udostępnionymi
  • Kierownicy projektów nadzorują określone projekty
  • Użytkownicy korzystają z narzędzi GenAI

W większości przypadków użycia firma Contoso domyślnie korzysta z szyfrowania zarządzanego przez firmę Microsoft i nie używa Customer-Managed Keys.

Planuj dostęp użytkownika

Efektywne zarządzanie dostępem jest podstawą bezpiecznych i skalowalnych ustawień Foundry.

  • Zdefiniuj wymagane role i obowiązki dostępu

    • Zidentyfikuj, które grupy użytkowników wymagają access do różnych aspektów środowiska foundry.
    • Przypisz wbudowane lub niestandardowe role RBAC Azure na podstawie obowiązków, takich jak:
      • Właściciel konta: zarządzaj konfiguracjami najwyższego poziomu, takimi jak zabezpieczenia i połączenia zasobów udostępnionych.
      • Kierownicy projektów: Zakładaj i zarządzaj projektami na platformie Foundry oraz ich współpracownikami.
      • Użytkownicy projektu: przyczyniają się do istniejących projektów.

    Użyj tego początkowego mapowania roli do zakresu na potrzeby planowania wdrożenia:

    Osoba Rola początkowa Zalecany zakres
    Administratorzy Właściciel lub właściciel konta sztucznej inteligencji Azure Zasób subskrypcji lub usługi Foundry
    Menedżerowie Project Azure AI Project Manager Zasób usługi Foundry
    użytkownicy Project użytkownik sztucznej inteligencji Azure Projekt odlewni

    Dostosuj przypisania na podstawie zasady najmniejszych uprawnień i zasad przedsiębiorstwa.

  • Określ zakres dostępu

    • Wybierz odpowiedni zakres przypisań dostępu:
      • Poziom subskrypcji: najszerszy access, zazwyczaj odpowiedni dla centralnych zespołów IT lub platform lub mniejszych organizacji.
      • Poziom grupy zasobów: przydatne do grupowania powiązanych zasobów z udostępnionymi zasadami dostępu. Na przykład funkcja Azure, która jest zgodna z tym samym cyklem życia aplikacji co środowisko usługi Foundry.
      • Poziom zasobów lub projektu: Idealny do precyzyjnej kontroli, szczególnie w przypadku przetwarzania poufnych danych lub umożliwiania samoobsługi.

  • Dopasowywanie strategii tożsamości

    • W przypadku źródeł danych i narzędzi zintegrowanych z usługą Foundry określ, czy użytkownicy powinni uwierzytelniać się przy użyciu:
      • Tożsamości zarządzane lub klucz interfejsu API: odpowiednie dla usług zautomatyzowanych i udostępnionego dostępu między użytkownikami.
      • Tożsamości użytkowników: preferowane, gdy wymagana jest odpowiedzialność na poziomie użytkownika lub możliwość inspekcji.
    • Użyj grup Microsoft Entra ID, aby uprościć zarządzanie dostępem i zapewnić spójność w różnych środowiskach.

    W przypadku dołączania z najmniejszymi uprawnieniami zacznij od roli Azure AI User dla deweloperów i zarządzanych tożsamości projektów, a następnie dodawaj role z podwyższonym poziomem uprawnień tylko wtedy, gdy jest to wymagane. Aby uzyskać szczegółowe informacje, zobacz Kontrola dostępu oparta na rolach w witrynie Foundry.

Ustanawianie łączności z innymi usługami Azure

Platforma Foundry obsługuje połączenia, które są konfiguracjami wielokrotnego użytku, umożliwiającymi dostęp do składników aplikacji w usługach Azure i niezwiązanych z Azure. Te połączenia działają również jako brokerzy tożsamości, dzięki czemu usługa Foundry może uwierzytelniać się w systemach zewnętrznych przy użyciu tożsamości zarządzanych lub jednostek usługi w imieniu użytkowników projektu.

Utwórz połączenia na poziomie zasobów Foundry dla usług udostępnionych, takich jak Azure Storage lub Key Vault. Określanie zakresu połączeń z konkretnym projektem w przypadku integracji specyficznych dla projektu lub poufnych. Ta elastyczność pozwala zespołom równoważyć ponowne użycie i izolację na podstawie ich potrzeb. Dowiedz się więcej o połączeniach w narzędziu Foundry.

Skonfiguruj uwierzytelnianie połączenia, aby używać udostępnionych tokenów dostępu, takich jak tożsamości zarządzane Microsoft Entra ID lub kluczy API, w celu uproszczonego zarządzania i dołączania, lub tokenów użytkowników za pośrednictwem przekazywania za pomocą Entra ID, co zapewnia większą kontrolę podczas uzyskiwania dostępu do poufnych źródeł danych.

Zrzut ekranu przedstawiający diagram łączności i integracji projektu Foundry z innymi usługami Azure.

Przykład: strategia łączności firmy Contoso

  • Firma Contoso tworzy zasób foundry dla każdej grupy biznesowej, zapewniając, że projekty z podobnymi potrzebami danych współużytkują te same połączone zasoby.
  • Domyślnie połączone zasoby używają udostępnionych tokenów uwierzytelniania i są współużytkowane we wszystkich projektach.
  • Projekty korzystające z obciążeń danych poufnych łączą się ze źródłami danych przy użyciu połączeń o zakresie projektowym i uwierzytelniania przekazywanego Microsoft Entra ID.

Rządzenie

Skuteczny nadzór w rozwiązaniu Foundry zapewnia bezpieczne, zgodne i ekonomiczne operacje w różnych grupach biznesowych.

  • Kontrolowanie dostępu za pomocą Azure Policy Azure Policy wymusza reguły we wszystkich zasobach Azure. W narzędziu Foundry użyj zasad, aby ograniczyć, do których modeli lub rodzin modeli mogą uzyskiwać dostęp określone grupy biznesowe. Example: Grupa Finance & Ryzyko firmy Contoso ma ograniczenia dotyczące korzystania z modeli w wersji zapoznawczej lub niezgodnych przez zastosowanie zasad obowiązujących na poziomie subskrypcji grupy firmowej.
  • Zarządzanie kosztami według grupy biznesowej Wdrażając usługę Foundry dla grupy biznesowej, firma Contoso może niezależnie śledzić koszty i zarządzać nimi. Skorzystaj z kalkulatora cen Azure na potrzeby szacowania wstępnego wdrożenia i usługi Microsoft Cost Management w celu śledzenia bieżących rzeczywistych użycia i trendów. Traktuj koszty platformy Foundry jako jedną część całkowitego kosztu rozwiązania.
  • Usage Tracking with Azure Monitor Azure Monitor udostępnia metryki i pulpity nawigacyjne do śledzenia wzorców użycia, wydajności i kondycji zasobów usługi Foundry.
  • Rejestrowanie z systemem Azure Log Analytics Azure Log Analytics umożliwia głęboką inspekcję dzienników na potrzeby szczegółowych informacji operacyjnych. Na przykład rejestrowanie użycia żądań, użycie tokenów i opóźnienia w celu wspierania audytu i optymalizacji.

Weryfikowanie decyzji dotyczących wdrażania

Po zdefiniowaniu planu wdrożenia zweryfikuj następujące wyniki:

  • Tożsamość i dostęp: Przypisania ról są mapowane na zatwierdzone role i zakresy.
  • Sieć: ścieżka łączności i model izolacji są udokumentowane dla każdego środowiska.
  • Weryfikacja sieci: Stan połączenia prywatnego punktu końcowego to Approved, a DNS rozpoznaje punkty końcowe Foundry na prywatne adresy IP z poziomu sieci wirtualnej.
  • Ochrona danych: metoda szyfrowania (klucze zarządzane przez firmę Microsoft lub klucze zarządzane przez klienta) jest udokumentowana i zatwierdzona.
  • Operacje: Właściciele kosztów i monitorowania są przypisywani dla każdej grupy biznesowej.
  • Weryfikacja operacji: widoki kosztów i pulpity nawigacyjne są definiowane w usłudze Microsoft Cost Management, a monitorowanie jest połączone z usługą Application Insights dla każdego projektu produkcyjnego.
  • Operacje modelu: Strategia wdrażania (standardowa lub aprowizowana) jest udokumentowana dla każdego przypadku użycia.
  • Gotowość regionu: Wymagane modele i usługi są potwierdzane w regionach docelowych przed wdrożeniem.

Konfigurowanie i optymalizowanie wdrożeń modelu

Podczas wdrażania modeli w rozwiązaniu Foundry zespoły mogą wybierać między standardowymi i zarezerwowanymi typami wdrożeń. Wdrożenia standardowe idealnie nadają się do programowania i eksperymentowania, oferując elastyczność i łatwość konfiguracji. Aprowizowanie wdrożeń jest zalecane w scenariuszach produkcyjnych, w których wymagana jest przewidywalna wydajność, kontrola kosztów i przypinanie wersji modelu.

Aby wspierać scenariusze obejmujące wiele regionów i umożliwić dostęp do istniejących wdrożeń modelu, platforma Foundry umożliwia łącza do wdrożeń modelu hostowanych w innych wystąpieniach Foundry lub Azure OpenAI. Dzięki połączeniom zespoły mogą centralizować wdrożenia na potrzeby eksperymentowania, jednocześnie włączając access z projektów rozproszonych. W przypadku obciążeń produkcyjnych rozważ, aby przypadki użycia zarządzały własnymi wdrożeniami, co zapewnia ściślejszą kontrolę nad cyklem życia modelu, wersjonowaniem i strategiami wycofania.

Aby zapobiec nadmiernemu użyciu i zapewnić uczciwą alokację zasobów, możesz zastosować limity tokenów na minutę (TPM) na poziomie wdrożenia. Limity TPM pomagają kontrolować zużycie, chronić przed przypadkowymi skokami i dostosowywać użycie do budżetów projektu lub przydziałów. Rozważ ustawienie konserwatywnych limitów dla współdzielonych wdrożeń i wyższych progów dla krytycznych usług produkcyjnych.

Dowiedz się więcej

  • Last updated on