你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在本文中,你将部署使用 Foundry 代理服务创建代理所需的基础结构。 完成此设置后,可以使用所选 SDK 或 Foundry 门户创建和配置代理。
创建第一个代理的过程分为两个步骤:
- 设置代理环境(本文)。
- 创建和配置代理。
所需的权限
| Action | 所需角色 |
|---|---|
| 创建帐户和项目 | Azure AI 帐户所有者 |
| 仅标准设置:为所需资源(Cosmos DB、搜索、存储等)分配 RBAC | 基于角色的访问控制管理员 |
| 创建和编辑代理 | Azure AI 用户 |
设置代理环境
若要开始,需要Microsoft Foundry 资源和 Foundry 项目。
代理是在特定项目中创建的,每个项目充当隔离工作区。 这意味着:
- 同一项目中的所有代理共享对同一文件存储、线程存储(会话历史记录)和搜索索引的访问权限。
- 数据在不同项目之间被隔离。 一个项目中的代理无法访问另一个项目的资源。 项目目前是 Foundry 中的共享和隔离单元。 有关 Foundry 项目的详细信息,请参阅 AI Foundry 文章。
先决条件
- Azure 订阅 - 免费创建订阅。
- 确保创建帐户和项目的个人在订阅范围内具有 Azure AI 帐户所有者 角色
- 如果配置 标准设置,则同一个人还必须有权将角色分配给所需的资源(Cosmos DB、Azure AI 搜索、Azure Blob 存储)。 有关特定于代理服务的 RBAC 角色的详细信息,请参阅 代理服务 RBAC 角色。
- 所需的内置角色是 基于角色的访问管理员。
- 或者,在订阅级别拥有 “所有者” 角色也满足此要求。
- 所需的密钥权限为:
Microsoft.Authorization/roleAssignments/write
选择你的布局
代理服务提供三种环境配置模式,以满足不同的需求:
基本设置:
此设置与 OpenAI 助手兼容,并使用平台的内置存储管理代理状态。 它包括与助手 API 相同的工具和功能,增加了对非 OpenAI 模型和工具(如 Azure AI 搜索和必应)的支持。
标准设置:
包括基本设置中的所有内容,并通过允许你使用自己的 Azure 资源对你的数据进行精细控制。 所有客户数据(包括文件、线程和矢量存储)都存储在自己的 Azure 资源中,从而提供完全所有权和控制。
使用自带 (BYO) 虚拟网络的标准设置:
包括标准设置中的所有内容,并新增了在自己的虚拟网络中完全运行的功能。 此设置支持“自带虚拟网络”(BYO 虚拟网络),允许严格控制数据移动,并通过将流量限制在网络环境中,帮助防止数据外泄。
比较设置选项
注释
下表中的专用网络隔离是指安全代理出站通信。 基本设置不适用,只能对具有标准设置的代理使用专用网络隔离。
可以通过添加专用终结点并禁用 Foundry 帐户的入站公共访问,将入站安全通信应用于以下所有设置。
| 用例 | 基本设置 | 使用公共网络的标准设置 | 标准设置,配备专用网络 |
|---|---|---|---|
| 无需管理资源即可快速开始使用 | ✅ | ||
| 所有聊天历史记录、文件和矢量存储都存储在你自己的资源中 | ✅ | ✅ | |
| 对客户管理的密钥 (CMK) 的支持 | ✅ | ✅ | |
| 专用网络隔离(自带虚拟网络) | ✅ |
部署选项
若要自定义这些模板,请参阅 使用自己的资源。
若要获得专用网络隔离的支持,请参阅 网络安全设置 ,详细了解如何自带虚拟网络。
| 说明和自动部署 | 示意图(单击放大) |
|---|---|
| 部署使用 托管标识 进行身份验证的基本代理设置。 已创建帐户和项目。 已部署 GPT-4.1 模型。 默认情况下使用Microsoft管理的 Key Vault。 |
|
| 部署使用 托管标识 进行身份验证的标准代理设置。 已创建帐户和项目。 已部署 GPT-4.1 模型。 如果未提供现有资源,则会自动创建用于存储客户数据的 Azure 资源(Azure 存储、 Azure Cosmos DB 和 Azure AI 搜索)。 这些资源连接到项目以存储文件、线程和矢量数据。 默认情况下使用Microsoft管理的 Key Vault。 |
|
[可选]自动部署模板中的模型选择
通过编辑自动部署模板中的模型参数来调整代理使用的模型。 若要部署其他模型,至少需要更新 modelName 和 modelVersion 参数。
默认情况下,部署模板配置了以下值:
| 模型参数 | 默认值 |
|---|---|
| modelName | gpt-4.1 |
| modelFormat | OpenAI(适用于 Azure OpenAI) |
| modelVersion | 2025-04-14 |
| modelSkuName | GlobalStandard |
| modelLocation | eastus |
验证部署
部署完成后(通常为 5-10 分钟),验证是否已成功创建资源:
- 转到 Azure 门户。
- 搜索您的资源组名称。
- 确认存在以下资源:
- 基本设置:Foundry 帐户、项目和模型部署。
- 标准设置:所有基本资源以及 Azure 存储帐户、Azure Cosmos DB 帐户和 Azure AI 搜索服务。
小窍门
如果部署失败,请检查资源组中的 “部署 ”部分是否有错误详细信息。 常见问题包括模型配额不足或权限缺失。
故障排除
| 問题 | 原因 | 解决方案 |
|---|---|---|
| 部署失败并出现配额错误 | 所选区域中 GPT-4.1 的配额不足 | 请求增加配额或选择其他区域 |
| 部署期间权限被拒绝 | 缺少 基于角色的访问管理员 角色 | 请求订阅所有者授予你必需的角色 |
| 已创建资源,但代理创建失败 | 项目未正确连接到资源 | 在 Foundry 门户中的项目设置>连接的资源下验证连接 |
| 模型不可用 | 模型未在您的区域中部署 | 检查 模型区域支持 并选择可用区域 |