Visão geral das configurações de IA e de LLM no Microsoft Cloud for Sovereignty (versão preliminar)
Importante
Este é um recurso em versão preliminar. Estas informações estão relacionadas a um recurso de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, das informações aqui fornecidas.
As organizações do setor público podem aproveitar as mais recentes inovações de IA na nuvem pública, enquanto gerenciam seus dados de acordo com suas políticas locais e requisitos regulatórios com a ajuda do Microsoft Cloud for Sovereignty.
O Microsoft Cloud for Sovereignty oferece agilidade e flexibilidade, recursos avançados de segurança cibernética e acesso às mais recentes inovações, como o OpenAI do Azure, para acelerar a transformação digital e a prestação de serviços públicos essenciais. Ele permite que os clientes criem e transformem digitalmente cargas de trabalho no Microsoft Cloud, enquanto ajuda a atender aos seus requisitos de conformidade, segurança e políticas específicos.
O Serviço OpenAI do Azure fornece acesso aos poderosos modelos de linguagem do OpenAI, incluindo GPT-4, GPT-3.5 (ChatGPT), Codex e séries de modelos de incorporação. Esses modelos de linguagem fundamentais são pré-treinados em grandes quantidades de dados para realizar tarefas, como geração de conteúdo, resumo, pesquisa semântica e tradução de linguagem natural em código. Você pode usar o Serviço OpenAI do Azure para ter acesso aos modelos pré-treinados e compilar aplicativos habilitados para IA mais rapidamente e com o mínimo de esforço, ao mesmo tempo em que usa o Microsoft Cloud for Sovereignty para impor requisitos de conformidade, segurança e política com controles soberanos e arquitetura de nuvem em escala empresarial.
Benefícios
Você pode usar serviços OpenAI do Azure nos dados para:
Aumentar a produtividade do funcionário reduzindo o tempo de que ele precisa para encontrar informações críticas na base de conhecimento coletiva da organização.
Aumentar a satisfação dos membros simplificando a regulamentação complexa ou os requisitos do programa.
Exemplo de caso de uso
Os casos de uso soberanos são melhor implementados com base na Zona de Destino Soberana (SLZ). A SLZ consiste em uma hierarquia do grupo de gerenciamento e recursos de plataforma em comum que facilitam a rede, o registro em log e as identidades de serviço gerenciado. O diagrama a seguir mostra a arquitetura de referência das configurações de IA soberana e LLM.
O grupo de gerenciamento raiz de uma SLZ é normalmente chamado de zona de destino, ou zona de destino de escala empresarial. As assinaturas individuais que residem em um dos grupos de gerenciamento filho abaixo do pai são geralmente chamadas de zonas de destino do aplicativo ou zonas de destino da carga de trabalho. As cargas de trabalho do aplicativo podem ser implantadas em um ambiente de SLZ em uma das quatro zonas de destino padrão:
Corp (corporativa) – cargas de trabalho não confidenciais e não voltadas para a Internet
Online – cargas de trabalho não confidenciais e voltadas para a Internet
Corp confidencial – cargas de trabalho confidenciais não voltadas para a Internet (permite que somente recursos de computação confidenciais sejam usados)
Confidencial online – cargas de trabalho confidenciais voltadas para a Internet (permite que somente recursos de computação confidenciais sejam usados)
A principal diferença entre os grupos de gerenciamento Corp e Online é a maneira como eles processam pontos de extremidade públicos. O ambiente Online permite o uso de pontos de extremidade públicos, e o ambiente Corp não. Saiba mais sobre a arquitetura da SLZ.
Em um ambiente de SLZ, você deve implantar soluções baseadas em LLM como cargas de trabalho dedicadas nas próprias assinaturas dentro da hierarquia do grupo de gerenciamento Corp ou Online.
Recomendamos o uso do ambiente Corp como o padrão seguro para implementar aplicativos baseados em RAG LLM, como copilotos para uso interno da organização. Você precisa do ExpressRoute ou de conexões baseadas em VPN para ter acesso a APIs front-end ou interfaces de usuário que se conectam aos serviços de IA do Azure e oferecem capacidades de LLM aos usuários finais ou aos consumidores.
Para oferecer aplicativos de LLM ou baseados em RAG ao público, use zonas de destino de carga de trabalho na hierarquia do grupo de gerenciamento Online. No entanto, você deve ter acesso a todos os serviços necessários para implementação por meio dos pontos de extremidade privados de maneira segura na rede virtual. Só ofereça a API ou o aplicativo web front-end por meio de um ponto de extremidade público para os usuários finais ou os consumidores.
Neste caso, você deve proteger o ponto de extremidade público com um Firewall de Aplicativo Web. Você também deve aplicar e configurar o DDoS indicado e outros serviços de segurança. Dependendo das preferências, essa configuração pode acontecer de maneira centralizada na rede virtual do hub ou descentralizada na rede virtual da carga de trabalho.
Se precisar integrar dados das zonas de destino confidenciais a cargas de trabalho baseadas em LLM, você deverá executar os processos de transformação que processam e armazenam os dados em serviços como os serviços de IA do Azure, como a Pesquisa de IA do Azure ou o OpenAI do Azure, dentro de uma zona de destino confidencial. Além disso, esses processos devem filtrar e gerenciar ativamente os dados para evitar o envio de dados confidenciais que devem ser criptografados em uso para serviços e cargas de trabalho não confidenciais. Você deve implementar essa filtragem na lógica de negócios personalizada caso a caso.
Se você precisar ingerir, transformar e consumir dados por cargas de trabalho baseadas em LLM, será recomendável implantar uma zona de destino de dados alinhada com os domínios de dados. Uma zona de destino de dados tem várias camadas que permitem agilidade para as integrações de dados do serviço e os produtos de dados que ela contém.
Você pode implantar uma nova zona de destino de dados com um conjunto padrão de serviços que permite que a zona de destino de dados comece a ingerir e analisar dados. Você pode conectar a zona de destino de dados à zona de destino de dados LLM e a todas as outras zonas de destino de dados com o emparelhamento de rede virtual. Esse mecanismo permite a você compartilhar dados de maneira segura por meio da rede interna do Azure, ao mesmo tempo em que obtém menos latência e mais taxa de transferência do que passando pelo hub.
Algumas implementações podem exigir o uso de dados confidenciais que requerem criptografia em uso, disponível com a computação confidencial. Nesse cenário, você pode executar soluções de dados baseadas em máquina virtual em zonas de destino no grupo de gerenciamento confidencial. Pode não ser possível executar alguns serviços de dados PaaS em máquinas virtuais confidenciais.