Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Observação
As informações neste artigo são específicas de um projeto baseado em hub e não se aplicam a um projeto do Foundry. Consulte Como sei que tipo de projeto tenho? e Criar um projeto baseado em hub.
O Azure AI Foundry fornece uma experiência unificada para desenvolvedores de IA e cientistas de dados criarem, avaliarem e implantarem modelos de IA por meio de um portal da Web, SDK ou CLI. O Azure AI Foundry baseia-se em capacidades e serviços fornecidos por outros serviços do Azure.
No nível superior, o Azure AI Foundry fornece acesso aos seguintes recursos:
Azure OpenAI: Fornece acesso aos modelos OpenAI mais recentes. Você pode criar implantações seguras, experimentar playgrounds, ajustar modelos, filtros de conteúdo e trabalhos em lote. O provedor de recursos do Azure OpenAI é
Microsoft.CognitiveServices/accounte o tipo de recurso éOpenAI. Você também pode se conectar aoAIServicesusando um tipo de , que também inclui outros serviços de IA do Azure.Ao usar o portal do Azure AI Foundry, você pode trabalhar diretamente com o Azure OpenAI sem um projeto do Azure Studio. Ou você pode usar o Azure OpenAI por meio de um projeto.
Para obter mais informações, visite Azure OpenAI no portal do Azure AI Foundry.
Centro de gerenciamento: o centro de gerenciamento simplifica a governança e o gerenciamento dos serviços do Azure AI Foundry, como hubs, projetos, recursos conectados e implantações.
Para obter mais informações, visite Centro de gerenciamento.
Hub do Azure AI Foundry: o hub é o recurso de nível superior no portal do Azure AI Foundry e é baseado no serviço Azure Machine Learning. O provedor de recursos do Azure para um hub é
Microsoft.MachineLearningServices/workspaces, e o tipo de recurso éHub. Proporciona as seguintes funcionalidades:- Configuração de segurança, incluindo uma rede gerida que abrange projetos e pontos de extremidade de modelo.
- Recursos de computação para desenvolvimento interativo, ajuste fino, código aberto e implantação de API sem servidor para modelos.
- Conexões com outros serviços do Azure, como Azure OpenAI, serviços de IA do Azure e Azure AI Search. As conexões com escopo de hub são compartilhadas com projetos criados a partir do hub.
- Gestão de projetos. Um hub pode ter vários projetos filho.
- Uma conta de armazenamento do Azure associada para carregamento de dados e armazenamento de artefatos.
Para obter mais informações, visite Visão geral de Hubs e projetos.
Projeto Azure AI Foundry: um projeto é um recurso subordinado ao hub. O provedor de recursos do Azure para um projeto é
Microsoft.MachineLearningServices/workspaces, e o tipo de recurso éProject. O projeto fornece as seguintes características:- Acesso a ferramentas de desenvolvimento para construção e personalização de aplicações de IA.
- Componentes reutilizáveis, incluindo conjuntos de dados, modelos e índices.
- Um contêiner isolado para carregar dados (dentro do armazenamento herdado do hub).
- Conexões com escopo de projeto. Por exemplo, os membros do projeto podem precisar de acesso privado aos dados armazenados em uma conta de Armazenamento do Azure sem conceder esse mesmo acesso a outros projetos.
- Implantações de modelo de código aberto a partir de catálogos e pontos de extremidade de modelos ajustados.
Para obter mais informações, visite Visão geral de Hubs e projetos.
Conexões: os hubs e projetos do Azure AI Foundry usam conexões para acessar recursos fornecidos por outros serviços. Por exemplo, dados em uma Conta de Armazenamento do Azure, Azure OpenAI ou outros serviços de IA do Azure.
Para obter mais informações, visite Como adicionar uma nova conexão no portal do Azure AI Foundry.
Tipos de recursos e provedores do Azure
O Azure AI Foundry é criado no provedor de recursos do Azure Machine Learning e depende de vários outros serviços do Azure. Os provedores de recursos para esses serviços devem ser registrados em sua assinatura do Azure. A tabela a seguir lista os tipos de recursos, provedor e tipo:
| Tipo de recurso | Provedor de recursos | Amável |
|---|---|---|
| Hub do Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
hub |
| Projeto Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
project |
| Azure AI Foundry ou Azure AI OpenAI Service | Microsoft.CognitiveServices/account |
AIServicesOpenAI |
Quando você cria um novo hub, um conjunto de recursos dependentes do Azure é necessário para armazenar dados, obter acesso a modelos e fornecer recursos de computação para personalização de IA. A tabela a seguir lista os recursos dependentes do Azure e seus provedores de recursos:
Sugestão
Se você não fornecer um recurso dependente ao criar um hub e for uma dependência necessária, o Azure AI Foundry criará o recurso para você.
| Recurso dependente do Azure | Provedor de recursos | Opcional | Observação |
|---|---|---|---|
| Azure AI Foundry | Microsoft.CognitiveServices/accounts |
Fornece acesso a modelos e outras APIs principais do Foundry. | |
| Conta de Armazenamento do Azure | Microsoft.Storage/storageAccounts |
Armazena os artefatos para os seus projetos, tais como processos e avaliações. Para isolamento de dados, os contêineres de armazenamento são prefixados usando o GUID do projeto e protegidos condicionalmente usando o Azure ABAC para a identidade do projeto. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
Armazena segredos como cadeias de conexão para as suas conexões de recursos. Para isolamento de dados, segredos não podem ser recuperados entre projetos por meio de APIs. | |
| Registo de Contêineres do Azure | Microsoft.ContainerRegistry/registries |
✔ | Armazena imagens do Docker criadas ao usar o tempo de execução personalizado para fluxo de solicitações. Para isolamento de dados, as imagens do docker são prefixadas usando o GUID do projeto. |
| Azure Application Insights & Espaço de trabalho do Log Analytics |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Usado como armazenamento de log quando você opta pelo registro em log no nível do aplicativo para seus fluxos de prompt implantados. |
| Pesquisa de IA do Azure | Microsoft.Search/searchServices |
✔ | Fornece recursos de pesquisa para seus projetos. |
Para obter informações sobre como registrar provedores de recursos, consulte Registrar um provedor de recursos do Azure.
Recursos hospedados pela Microsoft
Embora a maioria dos recursos usados pelo Azure AI Foundry viva em sua assinatura do Azure, alguns recursos estão em uma assinatura do Azure gerenciada pela Microsoft. O custo desses recursos geridos surge na sua fatura do Azure como um item na linha do fornecedor de recursos do Azure Machine Learning. Os seguintes recursos estão na assinatura do Azure gerenciada pela Microsoft e não aparecem na sua assinatura do Azure:
Recursos de computação gerenciados: fornecidos pelos recursos do Lote do Azure na assinatura da Microsoft.
Rede virtual gerenciada: fornecida pelos recursos da Rede Virtual do Azure na assinatura da Microsoft. Se as regras FQDN estiverem habilitadas, um Firewall do Azure (padrão) será adicionado e cobrado à sua assinatura. Para obter mais informações, consulte Configurar uma rede virtual gerenciada para o Azure AI Foundry.
Armazenamento de metadados: fornecido pelos recursos do Armazenamento do Azure na assinatura da Microsoft.
Observação
Se você usar chaves gerenciadas pelo cliente, os recursos de armazenamento de metadados serão criados em sua assinatura. Para obter mais informações, consulte Chaves gerenciadas pelo cliente.
Recursos de computação gerenciados e redes virtuais gerenciadas existem na assinatura da Microsoft, mas você os gerencia. Por exemplo, você controla quais tamanhos de VM são usados para recursos de computação e quais regras de saída são configuradas para a rede virtual gerenciada.
Os recursos de computação gerenciados também exigem gerenciamento de vulnerabilidades. A gestão de vulnerabilidades é uma responsabilidade partilhada entre si e a Microsoft. Para obter mais informações, consulte Gerenciamento de vulnerabilidades.
Configurar e governar centralmente usando hubs
Os Hubs fornecem uma maneira central para uma equipe controlar a segurança, a conectividade e os recursos de computação em playgrounds e projetos. Os projetos criados usando um hub herdam as mesmas configurações de segurança e acesso a recursos compartilhados. As equipes podem criar quantos projetos forem necessários para organizar o trabalho, isolar dados e/ou restringir o acesso.
Muitas vezes, os projetos em um domínio de negócios exigem acesso aos mesmos recursos da empresa, como índices vetoriais, pontos de extremidade de modelo ou repositórios. Como líder de equipe, você pode pré-configurar a conectividade com esses recursos dentro de um hub, para que os desenvolvedores possam acessá-los de qualquer novo espaço de trabalho de projeto sem demora na TI.
As conexões permitem acessar objetos no Azure AI Foundry que são gerenciados fora do seu hub. Por exemplo, dados carregados em uma conta de armazenamento do Azure ou implantações de modelo em um recurso existente do Azure OpenAI. Uma conexão pode ser compartilhada com cada projeto ou tornada acessível a um projeto específico. As conexões podem ser configuradas para usar acesso baseado em chave ou passagem de ID do Microsoft Entra para autorizar o acesso aos usuários no recurso conectado. Como administrador, você pode rastrear, auditar e gerenciar conexões em toda a organização a partir de uma única exibição no Azure AI Foundry.
Organize-se de acordo com as necessidades da sua equipa
O número de hubs e projetos de que necessita depende da sua forma de trabalhar. Você pode criar um único hub para uma equipe grande com necessidades semelhantes de acesso a dados. Essa configuração maximiza a eficiência de custos, o compartilhamento de recursos e minimiza a sobrecarga de configuração. Por exemplo, um hub para todos os projetos relacionados ao suporte ao cliente.
Se você precisar de isolamento entre desenvolvimento, teste e produção como parte de sua estratégia LLMOps ou MLOps, considere a criação de um hub para cada ambiente. Dependendo da prontidão da sua solução para produção, você pode decidir replicar os espaços de trabalho do projeto em cada ambiente ou apenas em um.
Controlo de acesso baseado em funções e proxy de plano de controlo
Os serviços de IA do Azure, incluindo o Azure OpenAI, fornecem endpoints do plano de controlo para operações como listar desdobramentos de modelo. Esses endpoints são protegidos utilizando uma configuração de controlo de acesso baseado em funções (RBAC) do Azure diferente da usada para hub.
Para reduzir a complexidade do gerenciamento do Azure RBAC, o Azure AI Foundry fornece um proxy de plano de controle que permite executar operações em serviços de IA do Azure conectados e recursos do Azure OpenAI. A execução de operações nesses recursos por meio do proxy do plano de controle requer apenas permissões do RBAC do Azure no hub. Em seguida, o serviço Azure AI Foundry executa a chamada para os serviços de IA do Azure ou para o ponto de extremidade do plano de controle do Azure OpenAI em seu nome.
Para obter mais informações, consulte Controle de acesso baseado em função no portal do Azure AI Foundry.
Controle de acesso baseado em atributos
Cada hub criado tem uma conta de armazenamento padrão. Cada projeto filho do hub herda a conta de armazenamento do hub. A conta de armazenamento é usada para armazenar dados e artefatos.
Para proteger a conta de armazenamento compartilhada, o Azure AI Foundry usa o RBAC do Azure e o controle de acesso baseado em atributos do Azure (Azure ABAC). O Azure ABAC é um modelo de segurança que define o controle de acesso com base nos atributos associados ao usuário, ao recurso e ao ambiente. Cada projeto tem:
- Uma entidade de serviço à qual é atribuída a função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento.
- Um ID exclusivo (ID do espaço de trabalho).
- Um conjunto de contêineres na conta de armazenamento. Cada contêiner tem um prefixo que corresponde ao valor de ID do espaço de trabalho para o projeto.
A atribuição de função para a entidade de serviço de cada projeto tem uma condição que só permite que a entidade de serviço acesse contêineres com o valor de prefixo correspondente. Essa condição garante que cada projeto só possa acessar seus próprios contêineres.
Observação
Para a encriptação de dados na conta de armazenamento, o escopo abrange todo o armazenamento e não por recipiente. Assim, todos os contêineres são criptografados usando a mesma chave (fornecida pela Microsoft ou pelo cliente).
Para obter mais informações sobre o controle baseado em acesso do Azure, consulte O que é o controle de acesso baseado em atributos do Azure.
Contentores na conta de armazenamento
A conta de armazenamento padrão para um hub tem os seguintes contêineres. Esses contêineres são criados para cada projeto e o prefixo {workspace-id} corresponde à ID exclusiva do projeto. Os projetos acessam um contêiner usando uma conexão.
Sugestão
Para encontrar a identificação do seu projeto, acesse o projeto no portal do Azure. Expanda Configurações e selecione Propriedades. O ID do espaço de trabalho é exibido.
| Nome do contêiner | Nome da ligação | Descrição |
|---|---|---|
{workspace-ID}-azureml |
espaço de trabalho armazém de artefatos | Armazenamento para ativos como métricas, modelos e componentes. |
{workspace-ID}-blobstore |
workspaceblobstore | Armazenamento para upload de dados, instantâneos de código de tarefas e cache de dados do pipeline. |
{workspace-ID}-code |
NA | Armazenamento para notebooks, instâncias de computação e fluxo de prompts. |
{workspace-ID}-file |
NA | Contentor alternativo para carregamento de dados. |
Encriptação
O Azure AI Foundry usa criptografia para proteger dados em repouso e em trânsito. Por padrão, as chaves gerenciadas pela Microsoft são usadas para criptografia. No entanto, você pode usar suas próprias chaves de criptografia. Para obter mais informações, consulte Chaves gerenciadas pelo cliente.
Rede virtual
Um hub pode ser configurado para usar uma rede virtual gerenciada . A rede virtual gerenciada protege as comunicações entre o hub, projetos e recursos gerenciados, como computadores. Se os seus serviços de dependência (Armazenamento do Azure, Cofre de Chaves e Registo de Contentores) tiverem o acesso público desativado, um ponto de extremidade privado para cada serviço de dependência será criado para proteger a comunicação entre o hub, o projeto e o serviço de dependência.
Observação
Se quiser usar uma rede virtual para proteger as comunicações entre seus clientes e o hub ou projeto, você deve usar uma Rede Virtual do Azure que você cria e gerencia. Por exemplo, uma Rede Virtual do Azure que usa uma conexão VPN ou ExpressRoute com a rede local de sua empresa.
Para obter mais informações sobre como configurar uma rede virtual gerenciada, consulte Configurar uma rede virtual gerenciada para o Azure AI Foundry.
Azure Monitor
O monitor do Azure e o Azure Log Analytics fornecem monitoramento e registro em log para os recursos subjacentes usados pelo Azure AI Foundry. Como o Azure AI Foundry é baseado no Azure Machine Learning, Azure OpenAI, serviços de IA do Azure e Azure AI Search, use os seguintes artigos para saber como monitorar os serviços:
| Recurso | Monitorização e registo |
|---|---|
| Hub e projeto do Azure AI Foundry | Monitorar o Azure Machine Learning |
| Azure OpenAI | Monitorizar o Azure OpenAI |
| Serviços de IA do Azure | Monitorar a IA do Azure (treinamento) |
| Pesquisa de IA do Azure | Monitorizar Pesquisa de IA do Azure |
Preço e quota
Para mais informações sobre preço e quota, utilize os seguintes artigos:
Próximos passos
Crie um hub usando um dos seguintes métodos: