Azure AI Studio 架構
AI Studio 為 AI 開發人員和資料科學家提供整合的體驗,可透過入口網站、SDK 或 CLI 建置、評估及部署 AI 模型。 其是以其他 Azure 服務提供的功能和服務為基礎進行建置。
最上層 AI Studio 資源 (中樞和專案) 是以 Azure Machine Learning 為基礎。 中樞和項目會參考使用聯機的資源,例如 Azure OpenAI、Azure AI 服務和 Azure AI 搜尋,但遵循自己的資源管理生命週期。
- AI 中樞:中樞是 AI Studio 中的最上層資源。 中樞的 Azure 資源提供者是
Microsoft.MachineLearningServices/workspaces,而資源的種類是Hub。 它可提供下列功能:- 安全性設定,包括跨越專案和模型端點的受控網路。
- 計算互動式開發、微調、開放原始碼和無伺服器模型部署的資源。
- 連線到其他 Azure 服務,例如 Azure OpenAI、Azure AI 服務和 Azure AI 搜尋。 所有專案都可以使用中樞範圍的連線。
- 專案管理。 中樞可以有多個子專案。
- 用於數據上傳和成品記憶體的相關聯 Azure 記憶體帳戶。
- AI 專案:專案是中樞的子資源。 專案的 Azure 資源提供者是
Microsoft.MachineLearningServices/workspaces,而資源的種類是Project。 專案提供下列功能:- 存取開發工具,以建置和自定義 AI 應用程式。
- 可重複使用的元件,包括數據集、模型和索引。
- 要上傳數據的隔離容器(在繼承自中樞的記憶體內)。
- 專案範圍的連線。 例如,項目成員可能需要私人存取儲存在 Azure 儲存體 帳戶中的數據,而不授與其他專案的相同存取權。
- 來自目錄和微調模型端點的開放原始碼模型部署。
使用中樞集中設定和管理
中樞提供一個中心方式,讓小組在操場和項目之間控管安全性、連線能力及計算資源。 使用中樞建立的項目會繼承相同的安全性設定和共用資源存取。 Teams 可以視需要建立多個專案,以組織工作、隔離數據及/或限制存取。
企業域中的專案通常需要存取相同的公司資源,例如向量索引、模型端點或存放庫。 身為小組負責人,您可以在中樞內預先設定與這些資源的連線,讓開發人員可以從任何新的專案工作區存取它們,而不會延遲 IT。
線上可讓您存取在中樞外部管理的 AI Studio 中物件。 例如,上傳 Azure 記憶體帳戶上的數據,或現有 Azure OpenAI 資源上的模型部署。 您可以與每個專案共享連線,或讓一個特定專案存取,以及設定密鑰型存取或 EntraID-passthrough 的選項,以授權連線資源上的使用者存取權。 身為系統管理員,您可以從 AI Studio 中的單一檢視,追蹤、稽核及管理整個組織的連線。
Azure 資源類型和提供者
Azure AI Studio 建置在 Azure 機器學習 資源提供者上,並相依於許多其他 Azure 服務。 這些服務的資源提供者必須在您的 Azure 訂用帳戶中註冊。 下表列出資源類型、提供者和種類:
| 資源類型 | 資源提供者 | 種類 |
|---|---|---|
| Azure AI Studio 中樞 | Microsoft.MachineLearningServices/workspace |
hub |
| Azure AI Studio 專案 | Microsoft.MachineLearningServices/workspace |
project |
| Azure AI 服務「或」 Azure AI OpenAI 服務 |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
當您建立新的中樞時,需要一組相依的 Azure 資源來儲存數據、取得模型的存取權,並提供 AI 自定義的計算資源。 下表列出相依的 Azure 資源及其資源提供者:
提示
如果您在建立中樞時未提供相依資源,而且是必要的相依性,則 AI Studio 會為您建立資源。
| 相依的 Azure 資源 | 資源提供者 | 選擇性 | 注意 |
|---|---|---|---|
| Azure AI 搜尋服務 | Microsoft.Search/searchServices |
✔ | 為您的專案提供搜尋功能。 |
| Azure 儲存體帳戶 | Microsoft.Storage/storageAccounts |
為您的專案儲存成品,例如流程和評估。 在資料隔離方面,儲存體容器使用專案 GUID 做為前置詞,並有條件地使用 Azure ABAC 保護專案識別。 | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
儲存秘密,例如資源連線的連接字串。 在資料隔離方面,秘密無法透過 API 跨專案擷取。 | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | 儲存使用提示流程的自訂執行階段時所建立的 Docker 映像。 在資料隔離方面,Docker 映像使用專案 GUID 做為前置詞。 |
| Azure Application Insights 與 Log Analytics 工作區 |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | 若您為部署的提示流程加入應用程式層級的記錄,則做為記錄儲存體之用。 |
如需關於註冊資源提供者的資訊,請參閱註冊 Azure 資源提供者。
Microsoft 提供主機服務的資源
雖然 Azure AI Studio 所使用的大部分資源都位於您的 Azure 訂用帳戶中,但某些資源位於由 Microsoft 管理的 Azure 訂用帳戶中。 這些受控資源的成本會顯示在 Azure 帳單上,以 Azure 機器學習 資源提供者下的明細項目顯示。 下列資源位於 Microsoft 管理的 Azure 訂用帳戶中,且不會出現在 Azure 訂用帳戶中:
受控計算資源:由 Microsoft 訂用帳戶中的 Azure Batch 資源提供。
受控虛擬網路:由 Microsoft 訂用帳戶中的 Azure 虛擬網路資源提供。 如果已啟用 FQDN 規則,則會將 Azure 防火牆 (標準) 新增並向您訂用帳戶收費。 如需詳細資訊,請參閱設定 Azure AI Studio 的受控虛擬網路。
元數據記憶體:由Microsoft訂用帳戶中的 Azure 儲存體 資源提供。
注意
如果您使用客戶自控金鑰,則會在您的訂用帳戶中建立中繼資料儲存體資源。 如需詳細資訊,請參閱客戶自控金鑰。
受控計算資源和受控虛擬網路存在於 Microsoft 訂用帳戶中,但由您管理。 例如,您可以控制哪些 VM 大小用於計算資源,以及針對受控虛擬網路設定哪些輸出規則。
受控計算資源也需要弱點管理。 這是您與 Microsoft 之間的共同責任。 如需詳細資訊,請參閱弱點管理。
角色型存取控制和控制平面 Proxy
Azure AI 服務,包括 Azure OpenAI 會提供控制平面端點,以用於列出模型部署等作業。 這些端點會使用個別的 Azure 角色型存取控制 (RBAC) 設定來保護,而不是用於中樞的端點。
為了降低 Azure RBAC 管理的複雜性,AI Studio 提供控制平面 Proxy,可讓您對已連線的 Azure AI 服務和 Azure OpenAI 資源執行作業。 透過控制平面 Proxy 對這些資源執行作業只需要中樞的 Azure RBAC 權限。 Azure AI Studio 服務接著會代表您執行 Azure AI 服務或 Azure OpenAI 控制平面端點的呼叫。
如需詳細資訊,請參閱 Azure AI Studio 中的角色型存取控制。
屬性型存取控制
您建立的每個中樞都有預設記憶體帳戶。 中樞的每個子專案都會繼承中樞的記憶體帳戶。 儲存體帳戶是用來儲存檔案和成品。
為了保護共用儲存體帳戶的安全,Azure AI Studio 會同時使用 Azure RBAC 和 Azure 屬性型存取控制 (Azure ABAC)。 Azure ABAC 是一種安全性模型,可根據與使用者、資源和環境相關聯的屬性定義存取控制。 每個專案都有:
- 在儲存體帳戶上指派給儲存體 Blob 資料參與者角色的服務主體。
- 唯一識別碼 (工作區識別碼)。
- 儲存體帳戶中容器的集合。 每個容器都有對應至專案工作區標識碼值的前置詞。
每個專案服務主體的角色指派有一個條件,只允許服務主體存取具有相符前置詞值的容器。 此條件可確保每個專案只能存取自己的容器。
注意
對於儲存體帳戶中的資料加密,範圍是整個儲存體,而不是個別容器。 因此,所有容器都會使用相同的金鑰加密 (由 Microsoft 或客戶提供)。
如需 Azure 存取型控制的詳細資訊,請參閱 什麼是 Azure 屬性型存取控制。
儲存體帳戶中的容器
中樞的預設記憶體帳戶具有下列容器。 系統會為每個專案建立這些容器,且 {workspace-id} 前置詞符合專案的唯一標識碼。 專案會使用 連接來存取容器。
提示
若要尋找專案的標識碼,請移至 Azure 入口網站 中的專案。 選取 [設定],然後選取 [屬性]。 工作區識別碼隨即顯示。
| 容器名稱 | 連線名稱 | 描述 |
|---|---|---|
| {workspace-ID}-azureml | workspaceartifactstore | 計量、模型和元件等資產的儲存體。 |
| {workspace-ID}-blobstore | workspaceblobstore | 資料上傳、作業程式碼快照集和管線資料快取的儲存體。 |
| {workspace-ID}-code | NA | 筆記本、計算執行個體和提示流程的儲存體。 |
| {workspace-ID}-file | NA | 資料上傳的替代容器。 |
加密
Azure AI Studio 會使用加密來保護待用和傳輸中的資料。 系統預設會使用 Microsoft 受控金鑰加密。 不過,您可以使用自己的加密金鑰。 如需詳細資訊,請參閱客戶自控金鑰。
虛擬網路
中樞可以設定為使用受控虛擬網路。 受控虛擬網路可保護中樞、專案與受控資源之間的通訊,例如計算。 如果您的相依性服務 (Azure 儲存體、金鑰保存庫和容器登錄) 已停用公用存取,則會為每個相依性服務建立私人端點,以確保中樞和專案與相依性服務之間的通訊安全性。
注意
如果您想要使用虛擬網路來確保用戶端與中樞或專案之間的通訊安全性,您必須使用您所建立和管理的 Azure 虛擬網路。 例如,使用 VPN 或 ExpressRoute 連線到內部部署網路的 Azure 虛擬網路。
如需關於如何設定受控虛擬網路的詳細資訊,請參閱設定 Azure AI Studio 的受控虛擬網路。
Azure 監視器
Azure 監視器和 Azure Log Analytics 可為 Azure AI Studio 所使用的基礎資源提供監視和記錄。 由於 Azure AI Studio 是以 Azure Machine Learning、Azure OpenAI、Azure AI 服務和 AI Azure AI 搜尋服務為基礎進行建置,因此請使用下列文章來了解如何監視服務:
| 資源 | 監視與記錄 |
|---|---|
| Azure AI Studio 中樞和專案 | 監視 Azure Machine Learning |
| Azure OpenAI | 監視 Azure OpenAI |
| Azure AI 服務 | 監視 Azure AI (訓練) |
| Azure AI 搜尋服務 | 監視 Azure AI 搜尋服務 |
價格和配額
如需關於價格和配額的詳細資訊,請參閱下列文章:
下一步
使用下列其中一種方法建立中樞:
- Azure AI Studio:建立中樞以開始使用。
- Azure 入口網站:使用您自己的網路建立中樞。
- Bicep 範本。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應