Azure AI Studio 架構
AI Studio 為 AI 開發人員和資料科學家提供整合的體驗,可透過入口網站、SDK 或 CLI 建置、評估及部署 AI 模型。 AI Studio 是以其他 Azure 服務提供的功能和服務為基礎所打造。
最上層 AI Studio 資源 (中樞和專案) 是以 Azure Machine Learning 為基礎。 中樞和專案會參考使用連線的資源,例如 Azure OpenAI、Azure AI 服務和 Azure AI 搜尋服務,但遵循自己的資源管理生命週期。
- AI 中樞:中樞是 AI Studio 中的最上層資源。 中樞的 Azure 資源提供者是
Microsoft.MachineLearningServices/workspaces,而資源的種類是Hub。 它可提供下列功能:- 安全性設定包括涵蓋專案和模型端點的受控網路。
- 適用於互動式開發、微調、開放原始碼和無伺服器模型部署的計算資源。
- 對於其他 Azure 服務的連線,例如 Azure OpenAI、Azure AI 服務和 Azure AI 搜尋。 中樞範圍的連線會與從中樞建立的專案共用。
- 專案管理。 中樞可以有多個子專案。
- 用於資料上傳和成品儲存的相關聯 Azure 儲存體帳戶。
- AI 專案:專案是中樞的子資源。 專案的 Azure 資源提供者是
Microsoft.MachineLearningServices/workspaces,而資源的種類是Project。 專案提供下列功能:- 存取開發工具以建置和自訂 AI 應用程式。
- 可重複使用的元件,包括資料集、模型和索引。
- 資料所上傳的隔離容器 (在繼承自中樞的儲存體內)。
- 專案範圍的連線。 例如,專案成員可能需要 Azure 儲存體帳戶中儲存資料的私人存取權,但不授與其他專案的相同存取權。
- 來自目錄和微調模型端點的開放原始碼模型部署。
使用中樞集中設定和管理
中樞讓團隊可透過中心化方式控管測試區和專案之間的安全性、連線能力及計算資源。 使用中樞建立的專案會繼承相同的安全性設定和共用資源存取權。 團隊可以視需要建立多個專案,藉此整理工作、隔離資料及/或限制存取。
企業網域中的專案通常需要存取相同的公司資源,例如向量索引、模型端點或存放庫。 身為團隊負責人,您可以預先設定中樞內這些資源的連線能力,讓開發人員可以從任何新的專案工作區進行存取,而不必在 IT 方面耗費時間。
連線可讓您存取在中樞外部管理的 AI Studio 物件。 例如,上傳 Azure 儲存體帳戶上的資料,或現有 Azure OpenAI 資源上的模型部署。 連線可以與每個專案共享,或讓一個特定專案存取。 連線可以設定為使用金鑰型存取或 Microsoft Entra ID 傳遞,以授權連線資源上的使用者存取。 身為系統管理員,您可以從 AI Studio 中的單一檢視,追蹤、稽核及管理整個組織的連線。
統合您的團隊需求
所需的中樞和專案數目取決於您的工作方式。 您可以為具有類似資料存取需求的大型團隊建立單一中樞。 此設定可將成本效益、資源分享最大化,並將設定額外負荷降至最低。 例如,適用於所有客戶支援相關專案的中樞。
如果您需要在 LLMOps 或 MLOps 策略中隔離開發、測試和生產環境,請考慮為每個環境建立中樞。 視解決方案的整備程度而定,您可能會決定在每個環境中覆寫專案工作區,或只在一個環境中覆寫。
Azure 資源類型和提供者
Azure AI Studio 根據 Azure Machine Learning 資源提供者為基礎所打造,並相依於數個其他 Azure 服務。 這些服務的資源提供者必須在您的 Azure 訂用帳戶中註冊。 下表列出資源類型、提供者和種類:
| 資源類型 | 資源提供者 | 種類 |
|---|---|---|
| Azure AI Studio 中樞 | Microsoft.MachineLearningServices/workspace |
hub |
| Azure AI Studio 專案 | Microsoft.MachineLearningServices/workspace |
project |
| Azure AI 服務「或」 Azure AI OpenAI 服務 |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
當您建立新的中樞時,需要一組相依的 Azure 資源來儲存資料、取得模型的存取權,並提供 AI 自訂的計算資源。 下表列出相依的 Azure 資源及其資源提供者:
提示
如果您在建立中樞時未提供相依資源,而且是必要的相依性,則 AI Studio 會為您建立資源。
| 相依的 Azure 資源 | 資源提供者 | 選擇性 | 注意 |
|---|---|---|---|
| Azure AI 搜尋服務 | Microsoft.Search/searchServices |
✔ | 為您的專案提供搜尋功能。 |
| Azure 儲存體帳戶 | Microsoft.Storage/storageAccounts |
為您的專案儲存成品,例如流程和評估。 在資料隔離方面,儲存體容器使用專案 GUID 做為前置詞,並有條件地使用 Azure ABAC 保護專案識別。 | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
儲存秘密,例如資源連線的連接字串。 在資料隔離方面,秘密無法透過 API 跨專案擷取。 | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | 儲存使用提示流程的自訂執行階段時所建立的 Docker 映像。 在資料隔離方面,Docker 映像使用專案 GUID 做為前置詞。 |
| Azure Application Insights 與 Log Analytics 工作區 |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | 若您為部署的提示流程加入應用程式層級的記錄,則做為記錄儲存體之用。 |
如需關於註冊資源提供者的資訊,請參閱註冊 Azure 資源提供者。
Microsoft 提供主機服務的資源
雖然 Azure AI Studio 所使用的大部分資源都位於您的 Azure 訂用帳戶中,但某些資源位於由 Microsoft 管理的 Azure 訂用帳戶中。 這些受控資源的成本會顯示在 Azure 帳單上,作為 Azure Machine Learning 資源提供者底下的明細項目。 下列資源位於 Microsoft 管理的 Azure 訂用帳戶中,且不會出現在 Azure 訂用帳戶中:
受控計算資源:由 Microsoft 訂用帳戶中的 Azure Batch 資源提供。
受控虛擬網路:由 Microsoft 訂用帳戶中的 Azure 虛擬網路資源提供。 如果已啟用 FQDN 規則,則會將 Azure 防火牆 (標準) 新增並向您訂用帳戶收費。 如需詳細資訊,請參閱設定 Azure AI Studio 的受控虛擬網路。
中繼資料儲存體:由 Microsoft 訂用帳戶中的 Azure 儲存體資源提供。
注意
如果您使用客戶自控金鑰,則會在您的訂用帳戶中建立中繼資料儲存體資源。 如需詳細資訊,請參閱客戶自控金鑰。
受控計算資源和受控虛擬網路存在於 Microsoft 訂用帳戶中,但您可以進行管理。 例如,您可以控制哪些 VM 大小用於計算資源,以及針對受控虛擬網路設定哪些輸出規則。
受控計算資源也需要弱點管理。 弱點管理是您與 Microsoft 之間的共同責任。 如需詳細資訊,請參閱弱點管理。
角色型存取控制和控制平面 Proxy
Azure AI 服務,包括 Azure OpenAI 會提供控制平面端點,以用於列出模型部署等作業。 這些端點會使用個別的 Azure 角色型存取控制 (RBAC) 設定來保護,而不是用於中樞的端點。
為了降低 Azure RBAC 管理的複雜性,AI Studio 提供控制平面 Proxy,可讓您對已連線的 Azure AI 服務和 Azure OpenAI 資源執行作業。 透過控制平面 Proxy 對這些資源執行作業只需要中樞的 Azure RBAC 權限。 Azure AI Studio 服務接著會代表您執行 Azure AI 服務或 Azure OpenAI 控制平面端點的呼叫。
如需詳細資訊,請參閱 Azure AI Studio 中的角色型存取控制。
屬性型存取控制
您建立的每個中樞都有預設儲存體帳戶。 中樞的每個子專案都會繼承中樞的儲存體帳戶。 儲存體帳戶是用來儲存檔案和成品。
為了保護共用儲存體帳戶的安全,Azure AI Studio 會同時使用 Azure RBAC 和 Azure 屬性型存取控制 (Azure ABAC)。 Azure ABAC 是一種安全性模型,可根據與使用者、資源和環境相關聯的屬性定義存取控制。 每個專案都有:
- 在儲存體帳戶上指派給儲存體 Blob 資料參與者角色的服務主體。
- 唯一識別碼 (工作區識別碼)。
- 儲存體帳戶中容器的集合。 每個容器都有對應至專案的工作區識別碼值前置詞。
每個專案服務主體的角色指派有一個條件,只允許服務主體存取具有相符前置詞值的容器。 此條件可確保每個專案只能存取自己的容器。
注意
對於儲存體帳戶中的資料加密,範圍是整個儲存體,而不是個別容器。 因此,所有容器都會使用相同的金鑰加密 (由 Microsoft 或客戶提供)。
如需 Azure 存取型控制的詳細資訊,請參閱 什麼是 Azure 屬性型存取控制。
儲存體帳戶中的容器
中樞的預設儲存體帳戶具有下列容器。 系統會為每個專案建立這些容器,且 {workspace-id} 前置詞符合專案的唯一識別碼。 專案會使用連線來存取容器。
提示
若要尋找專案的識別碼,請移至 Azure 入口網站中的專案。 選取 [設定],然後選取 [屬性]。 工作區識別碼隨即顯示。
| 容器名稱 | 連線名稱 | 描述 |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | 計量、模型和元件等資產的儲存體。 |
{workspace-ID}-blobstore |
workspaceblobstore | 資料上傳、作業程式碼快照集和管線資料快取的儲存體。 |
{workspace-ID}-code |
NA | 筆記本、計算執行個體和提示流程的儲存體。 |
{workspace-ID}-file |
NA | 資料上傳的替代容器。 |
加密
Azure AI Studio 會使用加密來保護待用和傳輸中的資料。 系統預設會使用 Microsoft 受控金鑰加密。 不過,您可以使用自己的加密金鑰。 如需詳細資訊,請參閱客戶自控金鑰。
虛擬網路
中樞可以設定為使用受控虛擬網路。 受控虛擬網路可保護中樞、專案與受控資源之間的通訊,例如計算。 如果您的相依性服務 (Azure 儲存體、金鑰保存庫和容器登錄) 已停用公用存取,則會為每個相依性服務建立私人端點,以確保中樞和專案與相依性服務之間的通訊安全性。
注意
如果您想要使用虛擬網路來確保用戶端與中樞或專案之間的通訊安全性,您必須使用您所建立和管理的 Azure 虛擬網路。 例如,使用 VPN 或 ExpressRoute 連線到內部部署網路的 Azure 虛擬網路。
如需關於如何設定受控虛擬網路的詳細資訊,請參閱設定 Azure AI Studio 的受控虛擬網路。
Azure 監視器
Azure 監視器和 Azure Log Analytics 可為 Azure AI Studio 所使用的基礎資源提供監視和記錄。 由於 Azure AI Studio 是以 Azure Machine Learning、Azure OpenAI、Azure AI 服務和 AI Azure AI 搜尋服務為基礎進行建置,因此請使用下列文章來了解如何監視服務:
| 資源 | 監視與記錄 |
|---|---|
| Azure AI Studio 中樞和專案 | 監視 Azure Machine Learning |
| Azure OpenAI | 監視 Azure OpenAI |
| Azure AI 服務 | 監視 Azure AI (訓練) |
| Azure AI 搜尋服務 | 監視 Azure AI 搜尋服務 |
價格和配額
如需關於價格和配額的詳細資訊,請參閱下列文章:
下一步
使用下列其中一種方法建立中樞:
- Azure AI Studio:建立中樞以開始使用。
- Azure 入口網站:使用您自己的網路建立中樞。
- Bicep 範本。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: