Sdílet prostřednictvím

Architektura Azure AI Foundry

  • Článek

Azure AI Foundry poskytuje vývojářům umělé inteligence a datovým vědcům jednotné prostředí, které umožňuje vytvářet, vyhodnocovat a nasazovat modely AI prostřednictvím webového portálu, sady SDK nebo rozhraní příkazového řádku. Azure AI Foundry je založená na možnostech a službách poskytovaných jinými službami Azure.

Diagram architektury vysoké úrovně Azure AI Foundry

Na nejvyšší úrovni poskytuje Azure AI Foundry přístup k následujícím prostředkům:

  • Azure OpenAI: Poskytuje přístup k nejnovějším modelům Open AI. Můžete vytvářet zabezpečená nasazení, vyzkoušet dětské hřiště, doladit modely, filtry obsahu a dávkové úlohy. Poskytovatel prostředků Azure OpenAI je Microsoft.CognitiveServices/account a druh prostředku je OpenAI. K Azure OpenAI se můžete připojit také pomocí druhu AIServices, který zahrnuje i další služby Azure AI.

    Při použití portálu Azure AI Foundry můžete přímo pracovat s Azure OpenAI bez projektu Azure Studio nebo můžete azure OpenAI používat prostřednictvím projektu.

    Další informace najdete na webu Azure OpenAI na portálu Azure AI Foundry.

  • Centrum pro správu: Centrum pro správu zjednodušuje zásady správného řízení a správu prostředků Azure AI Foundry, jako jsou centra, projekty, připojené prostředky a nasazení.

    Další informace najdete v Centru pro správu.

  • Centrum Azure AI Foundry: Centrum je prostředek nejvyšší úrovně na portálu Azure AI Foundry a je založený na službě Azure Machine Learning. Poskytovatel prostředků Azure pro centrum je Microsoft.MachineLearningServices/workspacesa druh prostředku je Hub. Má následující funkce:

    • Konfigurace zabezpečení včetně spravované sítě, která zahrnuje projekty a koncové body modelu.
    • Výpočetní prostředky pro interaktivní vývoj, vyladění, opensourcové a bezserverové nasazení modelu
    • Připojení k dalším službám Azure, jako jsou Azure OpenAI, služby Azure AI a Azure AI Search. Připojení s vymezeným centrem se sdílí s projekty vytvořenými z centra.
    • Správa projektu. Centrum může mít více podřízených projektů.
    • Přidružený účet úložiště Azure pro ukládání dat a úložiště artefaktů.

    Další informace najdete v přehledu center a projektů.

  • Projekt Azure AI Foundry: Projekt je podřízeným prostředkem centra. Poskytovatel prostředků Azure pro projekt je Microsoft.MachineLearningServices/workspacesa druh prostředku je Project. Projekt poskytuje následující funkce:

    • Přístup k vývojovým nástrojům pro vytváření a přizpůsobení aplikací AI
    • Opakovaně použitelné komponenty, včetně datových sad, modelů a indexů
    • Izolovaný kontejner pro nahrání dat do (v rámci úložiště zděděného z centra)
    • Připojení s vymezeným projektem Členové projektu můžou například potřebovat soukromý přístup k datům uloženým v účtu Azure Storage, aniž by museli stejný přístup k jiným projektům.
    • Nasazení opensourcového modelu z katalogu a jemně vyladěných koncových bodů modelu

    Diagram vztahu mezi prostředky Azure AI Foundry

    Další informace najdete v přehledu center a projektů.

  • Připojení: Centra a projekty Azure AI Foundry používají připojení pro přístup k prostředkům poskytovaným jinými službami. Například data v účtu azure Storage, Azure OpenAI nebo jiných službách Azure AI.

    Další informace najdete v tématu Připojení.

Typy prostředků a poskytovatelé Azure

Azure AI Foundry je založený na poskytovateli prostředků Azure Machine Learning a využívá závislost na několika dalších službách Azure. Poskytovatelé prostředků pro tyto služby musí být zaregistrovaní ve vašem předplatném Azure. Následující tabulka uvádí typy prostředků, poskytovatele a druh:

Typ prostředku Poskytovatel prostředků Kind
Centrum Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Projekt Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Služby Azure AI nebo
Služba Azure AI OpenAI		 Microsoft.CognitiveServices/account AIServices
OpenAI

Při vytváření nového centra se k ukládání dat vyžaduje sada závislých prostředků Azure, získání přístupu k modelům a poskytnutí výpočetních prostředků pro přizpůsobení AI. Následující tabulka uvádí závislé prostředky Azure a jejich poskytovatele prostředků:

Tip

Pokud při vytváření centra nezadáte závislý prostředek a jedná se o požadovanou závislost, Azure AI Foundry za vás prostředek vytvoří.

Závislý prostředek Azure Poskytovatel prostředků Volitelné Poznámka:
Azure AI Vyhledávač Microsoft.Search/searchServices Poskytuje možnosti vyhledávání pro vaše projekty.
Účet služby Azure Storage Microsoft.Storage/storageAccounts Ukládá artefakty pro vaše projekty, jako jsou toky a vyhodnocení. Pro izolaci dat jsou kontejnery úložiště předpony pomocí guid projektu a podmíněně zabezpečené pomocí Azure ABAC pro identitu projektu.
Azure Key Vault Microsoft.KeyVault/vaults Ukládá tajné kódy, jako jsou připojovací řetězec pro připojení prostředků. V případě izolace dat se tajné kódy nedají načítat napříč projekty prostřednictvím rozhraní API.
Azure Container Registry Microsoft.ContainerRegistry/registries Ukládá image Dockeru vytvořené při použití vlastního modulu runtime pro tok výzvy. V případě izolace dat jsou image Dockeru předponou pomocí identifikátoru GUID projektu.
Aplikace Azure lication Insights &
Pracovní prostor Log Analytics		 Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces		 Používá se jako úložiště protokolů, když se rozhodnete pro protokolování na úrovni aplikace pro nasazené toky výzvy.

Informace o registraci poskytovatelů prostředků najdete v tématu Registrace poskytovatele prostředků Azure.

Prostředky hostované Microsoftem

Zatímco většina prostředků používaných službou Azure AI Foundry žije ve vašem předplatném Azure, některé prostředky jsou v předplatném Azure spravovaném Microsoftem. Náklady na tyto spravované prostředky se zobrazují na faktuře Za Azure jako řádková položka v rámci poskytovatele prostředků Azure Machine Learning. Následující prostředky jsou v předplatném Azure spravovaném Microsoftem a nezobrazují se ve vašem předplatném Azure:

  • Spravované výpočetní prostředky: Poskytuje prostředky Azure Batch v předplatném Microsoftu.

  • Spravovaná virtuální síť: Poskytuje prostředky služby Azure Virtual Network v předplatném Microsoftu. Pokud jsou povolená pravidla plně kvalifikovaného názvu domény, přidá se brána Azure Firewall (standard) a bude se vám účtovat poplatky za vaše předplatné. Další informace najdete v tématu Konfigurace spravované virtuální sítě pro Azure AI Foundry.

  • Úložiště metadat: Poskytuje prostředky Azure Storage v předplatném Microsoftu.

    Poznámka:

    Pokud používáte klíče spravované zákazníkem, prostředky úložiště metadat se vytvoří ve vašem předplatném. Další informace najdete v tématu Klíče spravované zákazníkem.

Spravované výpočetní prostředky a spravované virtuální sítě existují v předplatném Microsoftu, ale spravujete je. Můžete například určit, které velikosti virtuálních počítačů se používají pro výpočetní prostředky a která pravidla odchozích přenosů se konfigurují pro spravovanou virtuální síť.

Spravované výpočetní prostředky také vyžadují správa ohrožení zabezpečení. Správa ohrožení zabezpečení je sdílená odpovědnost mezi vámi a Microsoftem. Další informace najdete v tématu správa ohrožení zabezpečení.

Centrální nastavení a řízení pomocí center

Centra poskytují centrální způsob řízení zabezpečení, připojení a výpočetních prostředků napříč dětskými hřištěmi a projekty. Projekty vytvořené pomocí centra dědí stejná nastavení zabezpečení a sdílený přístup k prostředkům. Týmy můžou vytvářet tolik projektů, kolik je potřeba k uspořádání práce, izolace dat nebo omezení přístupu.

Projekty v obchodní doméně často vyžadují přístup ke stejným prostředkům společnosti, jako jsou vektorové indexy, koncové body modelu nebo úložiště. Jako vedoucí týmu můžete předem nakonfigurovat připojení k těmto prostředkům v rámci centra, aby k nim vývojáři měli přístup z jakéhokoli nového pracovního prostoru projektu bez zpoždění v IT.

Připojení umožňují přistupovat k objektům ve službě Azure AI Foundry, které se spravují mimo vaše centrum. Například nahraná data do účtu úložiště Azure nebo nasazení modelu u existujícího prostředku Azure OpenAI. Připojení lze sdílet s každým projektem nebo zpřístupnit jednomu konkrétnímu projektu. Připojení se dají nakonfigurovat tak, aby používala přístup založený na klíči nebo předávání Microsoft Entra ID k autorizaci přístupu uživatelům v připojeném prostředku. Jako správce můžete sledovat, auditovat a spravovat připojení v organizaci z jednoho zobrazení v Azure AI Foundry.

Snímek obrazovky Azure AI Foundry zobrazující zobrazení auditu všech připojených prostředků v centru a jejích projektech

Uspořádání podle potřeb vašeho týmu

Počet center a projektů, které potřebujete, závisí na způsobu práce. Pro velký tým s podobnými potřebami přístupu k datům můžete vytvořit jedno centrum. Tato konfigurace maximalizuje nákladovou efektivitu, sdílení prostředků a minimalizuje režijní náklady na nastavení. Například centrum pro všechny projekty související s zákaznickou podporou.

Pokud v rámci strategie LLMOps nebo MLOps vyžadujete izolaci mezi vývojem, testováním a produkčním prostředím, zvažte vytvoření centra pro každé prostředí. V závislosti na připravenosti vašeho řešení pro produkční prostředí se můžete rozhodnout replikovat pracovní prostory projektu v každém prostředí nebo jenom v jednom.

Řízení přístupu na základě role a proxy roviny řízení

Služby Azure AI, včetně Azure OpenAI, poskytují koncové body roviny řízení pro operace, jako je výpis nasazení modelu. Tyto koncové body jsou zabezpečené pomocí samostatné konfigurace řízení přístupu na základě role v Azure (RBAC), než je konfigurace používaná pro centrum.

Kvůli snížení složitosti správy Azure RBAC poskytuje Azure AI Foundry proxy řídicí roviny, která umožňuje provádět operace s připojenými službami Azure AI a prostředky Azure OpenAI. Provádění operací s těmito prostředky prostřednictvím proxy řídicí roviny vyžaduje pouze oprávnění Azure RBAC v centru. Služba Azure AI Foundry pak vaším jménem provede volání služeb Azure AI nebo koncového bodu řídicí roviny Azure OpenAI.

Další informace najdete v tématu Řízení přístupu na základě role na portálu Azure AI Foundry.

Řízení přístupu na základě atributů

Každé vytvořené centrum má výchozí účet úložiště. Každý podřízený projekt centra dědí účet úložiště centra. Účet úložiště slouží k ukládání dat a artefaktů.

K zabezpečení sdíleného účtu úložiště azure AI Foundry používá Azure RBAC i řízení přístupu na základě atributů Azure (Azure ABAC). Azure ABAC je model zabezpečení, který definuje řízení přístupu na základě atributů přidružených k uživateli, prostředku a prostředí. Každý projekt má:

  • Instanční objekt, který má přiřazenou roli Přispěvatel dat objektů blob úložiště v účtu úložiště.
  • Jedinečné ID (ID pracovního prostoru).
  • Sada kontejnerů v účtu úložiště. Každý kontejner má předponu, která odpovídá hodnotě ID pracovního prostoru projektu.

Přiřazení role pro instanční objekt každého projektu má podmínku, která povoluje přístup instančního objektu pouze ke kontejnerům s odpovídající hodnotou předpony. Tato podmínka zajišťuje, aby každý projekt mohl přistupovat pouze k vlastním kontejnerům.

Poznámka:

Pro šifrování dat v účtu úložiště je obor celé úložiště, nikoli pro jednotlivé kontejnery. Všechny kontejnery se proto šifrují pomocí stejného klíče (od Microsoftu nebo zákazníka).

Další informace o řízení přístupu na základě přístupu v Azure najdete v tématu Co je řízení přístupu na základě atributů Azure.

Kontejnery v účtu úložiště

Výchozí účet úložiště pro centrum má následující kontejnery. Tyto kontejnery se vytvoří pro každý projekt a {workspace-id} předpona odpovídá jedinečnému ID projektu. Projekty přistupují k kontejneru pomocí připojení.

Tip

Pokud chcete najít ID projektu, přejděte na projekt na webu Azure Portal. Rozbalte nastavení a pak vyberte Vlastnosti. Zobrazí se ID pracovního prostoru.

Název kontejneru Název připojení Popis
{workspace-ID}-azureml workspaceartifactstore Úložiště pro prostředky, jako jsou metriky, modely a komponenty.
{workspace-ID}-blobstore workspaceblobstore Úložiště pro nahrávání dat, snímky kódu úlohy a mezipaměť dat kanálu
{workspace-ID}-code NA Úložiště pro poznámkové bloky, výpočetní instance a tok výzvy
{workspace-ID}-file NA Alternativní kontejner pro nahrání dat

Šifrování

Azure AI Foundry používá šifrování k ochraně neaktivních uložených dat a přenášených dat. Ve výchozím nastavení se klíče spravované Microsoftem používají k šifrování. Můžete ale použít vlastní šifrovací klíče. Další informace najdete v tématu Klíče spravované zákazníkem.

Virtuální síť

Centrum je možné nakonfigurovat tak, aby používalo spravovanou virtuální síť. Spravovaná virtuální síť zabezpečuje komunikaci mezi centrem, projekty a spravovanými prostředky, jako jsou výpočty. Pokud vaše služby závislostí (Azure Storage, Key Vault a Container Registry) mají zakázaný veřejný přístup, vytvoří se privátní koncový bod pro každou službu závislostí pro zabezpečení komunikace mezi centrem a projektem a službou závislostí.

Poznámka:

Pokud chcete k zabezpečení komunikace mezi klienty a centrem nebo projektem použít virtuální síť, musíte použít virtuální síť Azure, kterou vytvoříte a spravujete. Například virtuální síť Azure, která používá připojení VPN nebo ExpressRoute k vaší místní síti.

Další informace o konfiguraci spravované virtuální sítě najdete v tématu Konfigurace spravované virtuální sítě pro Azure AI Foundry.

Azure Monitor

Azure Monitor a Azure Log Analytics poskytují monitorování a protokolování základních prostředků používaných službou Azure AI Foundry. Vzhledem k tomu, že Azure AI Foundry je založená na azure Machine Learning, Azure OpenAI, službách Azure AI a Azure AI Search, naučte se monitorovat služby pomocí následujících článků:

Prostředek Monitorování a protokolování
Centrum a projekt Azure AI Foundry Monitorování služby Azure Machine Learning
Azure OpenAI Monitor Azure OpenAI
Služby Azure AI Monitorování Azure AI (školení)
Azure AI Vyhledávač Monitorování služby Azure AI Search

Cena a kvóta

Další informace o cenách a kvótách najdete v následujících článcích:

Další kroky

Vytvořte centrum pomocí jedné z následujících metod: