Microsoft Foundry 代理服务常见问题解答

如果在本文中找不到问题的答案，但仍需要帮助，请参阅 Foundry 工具支持和帮助选项。 Microsoft Foundry 代理服务是 Foundry 工具的一部分。

概况

是否存储 Foundry 智能体服务 API 中使用的任何数据？

是的。 Foundry 代理服务是一个有状态 API，这意味着它保留数据。 两种类型的数据存储在 Foundry 代理服务 API 中：

• 有状态实体：使用期间创建的会话和响应。
• 文件和矢量存储：在 Foundry 代理服务设置期间上传的数据或作为响应生成的一部分。

此数据存储在何处？

• 基本设置：数据存储在逻辑上分隔的安全Microsoft托管存储帐户中。
• 标准设置：数据存储在自己的 Azure 资源中，因此拥有完全所有权和控制。

此数据存储多长时间？

除非显式删除，否则所有已使用的数据都会保留在此系统中。 将 delete 函数与要删除的对话的对话 ID 一起使用。 或使用删除函数，并传入你要删除的生成响应的响应 ID。

Foundry 代理服务是否支持 CMK 加密？

• 基本设置仅支持Microsoft管理的密钥。
• 标准设置支持客户管理的密钥（CMK）。

Microsoft是否对训练模型使用我的数据？

否，Microsoft不会将数据用于训练模型。 有关详细信息，请参阅 “负责任的 AI”文档。

数据存储在哪些地理位置？

Microsoft Foundry 代理服务终结点是区域性的，数据存储在终结点所在的同一区域中。 有关详细信息，请参阅 Azure 数据驻留文档。

如何对 Foundry 智能体服务收费？

• 你需要为每个智能体所使用的基础模型的推理成本（输入和输出）付费（例如，gpt-4-0125）。 如果创建了多个代理，则需为附加到每个代理的基本模型付费。

• 如果启用了代码解释器工具，将按每次会话收取费用。 例如，如果代理在两个线程中同时调用代码解释器，此活动将创建两个代码解释器会话。 每个会话都收费。

  默认情况下，每个会话处于活动状态一小时。 如果用户始终在同一线程中向代码解释器提供长达一小时的说明，则只需支付一次费用。

• 文件搜索基于使用的矢量存储计费。

有关详细信息，请参阅定价页。

使用 Foundry 智能体服务是否有其他定价或配额？

否。 所有配额都适用于将模型与 Foundry 智能体服务配合使用。

虚拟网络

什么是虚拟网络隔离？

虚拟网络有助于保护 Azure 资源的入站和出站访问，以防止不良参与者访问资源。 可以通过 Azure 中的虚拟网络集成实现网络隔离。 这是企业安全性的基本要求。 若要了解有关虚拟网络隔离的详细信息，请参阅将 Azure 服务与虚拟网络集成，以便进行网络隔离，什么是 Azure 虚拟网络？

为什么需要子网委派？

代理客户端和计算都在 Azure 容器应用中运行。 在现有虚拟网络中的容器应用上运行代理客户端和关联的计算时，必须提供委托给 Microsoft.App/environments的专用子网。

委派机制将客户端和计算资源绑定到正确的子网。 它明确告知 Azure 将代理客户端“注入”到何处，以便容器应用可以在该位置创建网络接口。 然后，容器应用会应用自动配置的 IP 地址、路由、NSG 和服务托管标识。

如果没有委派，容器应用将拒绝部署。 在这种情况下，代理客户端和计算层都不能加入虚拟网络。 这种情况会中断隔离和合规性要求。

简言之，委派子网是让容器应用和代理程序运行时环境能够驻留在您的专用网络中，并在您的控制下具备正确的安全性和路由策略的先决条件。

类 A 支持哪些区域？

支持的区域包括：美国西部、美国东部、美国东部 2、日本东部、法国中部、阿联酋北部、美国中南部、意大利北部、德国中西部、巴西南部、南非北部、澳大利亚东部、瑞典中部、加拿大东部、西欧、西班牙中部和英国南部。

公共或专用类 A、B 和 C 子网支持哪些类范围？

仅支持专用 IP 地址类 A、B 和 C 范围。 不支持公共类范围。

代理子网的最小大小是多少，应使用多少个 IP？

建议的子网大小为 /24（256 地址），是我们默认在模板中的子网大小。 最小子网大小为 /27（32 地址）。 我们推荐使用 /24，因为在容器更新事件中会影响运行时间，详见容器应用文档。 有关详细信息，请参阅 虚拟网络配置。

但是，IP 分配的工作方式不同。 子网中的 IP 是按基础结构的每个节点使用，而不是按代理使用。 每个节点可以托管 10 个应用或 Foundry 项目。 在 Foundry 中创建项目时，它们将在为帐户功能主机预配的独立群集上运行。 此群集无需离开 Azure 的主干即可安全地将数据代理到代理基础结构。 创建任何子网时，Azure 默认保留 5 个地址。 例如，一个 /24 子网从 256 个 IP 开始，保留后减少到 251 个。 每个额外的节点（在创建 10 个 Foundry 项目后触发）都会再使用一个 IP。 因此，如果创建 11 个项目，你将看到可用 IP 计数会减少 1 个（到 250 个）。 每个项目的代理数没有硬性限制，但由于节点预配，项目数间接影响 IP 消耗。

Foundry 代理服务中虚拟网络的最低和建议地址范围是什么？

只要代理程序子网和专用终结点具有地址空间，虚拟网络的地址范围就可以是任意范围。

是否可以使用对等互连的虚拟网络？ 是否可以在不同的虚拟网络中拥有资源？

是的。 该虚拟网络位于你的订阅中，你应该能够与任何虚拟网络进行对等互连。 但数据传输成本高昂，因此不建议这样做。 要求是所有资源必须与 Foundry 资源位于同一区域。

如果我使用的是 Azure 防火墙，是否需要将任何 FQDN 添加到允许列表？

是的。 在 “将 Azure 防火墙与 Azure 容器应用配合使用 ”一文中为托管标识列出的完全限定域名（FQDN）添加到允许列表中，或添加服务标记 AzureActiveDirectory。 验证防火墙中未发生可能添加自签名证书的传输层安全性 (TLS) 检查。 故障发生时，检查是否有流量到达防火墙以及防火墙阻止了哪些流量。

多个Microsoft Foundry 资源是否可以重复使用虚拟网络？

可以，多个 Foundry 资源可以重复使用虚拟网络。 但是，代理运行时子网是针对每个 Foundry 帐户独立配置的。

虚拟网络是否需要与 Foundry 位于同一资源组中？

它们不需要位于同一资源组中，但需要位于同一区域。

如果想要向代理添加工具，需要执行哪些其他配置？

该模板支持内置工具：代码解释器、文件搜索、Azure AI 搜索、Azure Cosmos DB。 所有这些工具都使用自带的资源连接。 若要配置需要创建新连接的工具，必须从 peSubnet Azure 资源创建专用终结点并创建专用链接。

如果在本文中找不到问题的答案，但仍需要帮助，请参阅 Foundry 工具支持和帮助选项。 Microsoft Foundry 代理服务是 Foundry 工具的一部分。

是的。 Foundry 代理服务是一个有状态 API，这意味着它保留数据。 两种类型的数据存储在 Foundry 代理服务 API 中：

• 有状态实体：使用期间创建的会话和响应。
• 文件和矢量存储：在 Foundry 代理服务设置期间上传的数据或作为响应生成的一部分。

• 基本设置：数据存储在逻辑上分隔的安全Microsoft托管存储帐户中。
• 标准设置：数据存储在自己的 Azure 资源中，因此拥有完全所有权和控制。

除非显式删除，否则所有已使用的数据都会保留在此系统中。 将 delete 函数与要删除的对话的对话 ID 一起使用。 或使用删除函数，并传入你要删除的生成响应的响应 ID。

• 基本设置仅支持Microsoft管理的密钥。
• 标准设置支持客户管理的密钥（CMK）。

否，Microsoft不会将数据用于训练模型。 有关详细信息，请参阅 “负责任的 AI”文档。

Microsoft Foundry 代理服务终结点是区域性的，数据存储在终结点所在的同一区域中。 有关详细信息，请参阅 Azure 数据驻留文档。

• 你需要为每个智能体所使用的基础模型的推理成本（输入和输出）付费（例如，gpt-4-0125）。 如果创建了多个代理，则需为附加到每个代理的基本模型付费。

• 如果启用了代码解释器工具，将按每次会话收取费用。 例如，如果代理在两个线程中同时调用代码解释器，此活动将创建两个代码解释器会话。 每个会话都收费。

  默认情况下，每个会话处于活动状态一小时。 如果用户始终在同一线程中向代码解释器提供长达一小时的说明，则只需支付一次费用。

• 文件搜索基于使用的矢量存储计费。

有关详细信息，请参阅定价页。

否。 所有配额都适用于将模型与 Foundry 智能体服务配合使用。

虚拟网络有助于保护 Azure 资源的入站和出站访问，以防止不良参与者访问资源。 可以通过 Azure 中的虚拟网络集成实现网络隔离。 这是企业安全性的基本要求。 若要了解有关虚拟网络隔离的详细信息，请参阅将 Azure 服务与虚拟网络集成，以便进行网络隔离，什么是 Azure 虚拟网络？

代理客户端和计算都在 Azure 容器应用中运行。 在现有虚拟网络中的容器应用上运行代理客户端和关联的计算时，必须提供委托给 Microsoft.App/environments的专用子网。

委派机制将客户端和计算资源绑定到正确的子网。 它明确告知 Azure 将代理客户端“注入”到何处，以便容器应用可以在该位置创建网络接口。 然后，容器应用会应用自动配置的 IP 地址、路由、NSG 和服务托管标识。

如果没有委派，容器应用将拒绝部署。 在这种情况下，代理客户端和计算层都不能加入虚拟网络。 这种情况会中断隔离和合规性要求。

简言之，委派子网是让容器应用和代理程序运行时环境能够驻留在您的专用网络中，并在您的控制下具备正确的安全性和路由策略的先决条件。

支持的区域包括：美国西部、美国东部、美国东部 2、日本东部、法国中部、阿联酋北部、美国中南部、意大利北部、德国中西部、巴西南部、南非北部、澳大利亚东部、瑞典中部、加拿大东部、西欧、西班牙中部和英国南部。

仅支持专用 IP 地址类 A、B 和 C 范围。 不支持公共类范围。

建议的子网大小为 /24（256 地址），是我们默认在模板中的子网大小。 最小子网大小为 /27（32 地址）。 我们推荐使用 /24，因为在容器更新事件中会影响运行时间，详见容器应用文档。 有关详细信息，请参阅 虚拟网络配置。

但是，IP 分配的工作方式不同。 子网中的 IP 是按基础结构的每个节点使用，而不是按代理使用。 每个节点可以托管 10 个应用或 Foundry 项目。 在 Foundry 中创建项目时，它们将在为帐户功能主机预配的独立群集上运行。 此群集无需离开 Azure 的主干即可安全地将数据代理到代理基础结构。 创建任何子网时，Azure 默认保留 5 个地址。 例如，一个 /24 子网从 256 个 IP 开始，保留后减少到 251 个。 每个额外的节点（在创建 10 个 Foundry 项目后触发）都会再使用一个 IP。 因此，如果创建 11 个项目，你将看到可用 IP 计数会减少 1 个（到 250 个）。 每个项目的代理数没有硬性限制，但由于节点预配，项目数间接影响 IP 消耗。

只要代理程序子网和专用终结点具有地址空间，虚拟网络的地址范围就可以是任意范围。

是的。 该虚拟网络位于你的订阅中，你应该能够与任何虚拟网络进行对等互连。 但数据传输成本高昂，因此不建议这样做。 要求是所有资源必须与 Foundry 资源位于同一区域。

是的。 在 “将 Azure 防火墙与 Azure 容器应用配合使用 ”一文中为托管标识列出的完全限定域名（FQDN）添加到允许列表中，或添加服务标记 AzureActiveDirectory。 验证防火墙中未发生可能添加自签名证书的传输层安全性 (TLS) 检查。 故障发生时，检查是否有流量到达防火墙以及防火墙阻止了哪些流量。

可以，多个 Foundry 资源可以重复使用虚拟网络。 但是，代理运行时子网是针对每个 Foundry 帐户独立配置的。

它们不需要位于同一资源组中，但需要位于同一区域。

该模板支持内置工具：代码解释器、文件搜索、Azure AI 搜索、Azure Cosmos DB。 所有这些工具都使用自带的资源连接。 若要配置需要创建新连接的工具，必须从 peSubnet Azure 资源创建专用终结点并创建专用链接。