Příprava AI – Proces sestavení úloh AI v Azure
Tento článek popisuje organizační proces vytváření úloh AI v Azure. Tento článek obsahuje doporučení k provádění klíčových rozhodnutí o návrhu a procesu při přijímání úloh AI ve velkém měřítku. Zaměřuje se na pokyny specifické pro AI pro výběr oblastí, organizaci prostředků a sítě.
Zajištění spolehlivosti AI
Spolehlivost AI zahrnuje výběr vhodných oblastí pro hostování modelů AI, aby se zajistil konzistentní výkon, dodržování předpisů a dostupnost. Organizace musí řešit redundanci, převzetí služeb při selhání a optimalizaci výkonu, aby zachovaly spolehlivé služby AI.
K hostování koncových bodů modelu AI použijte více oblastí. V případě produkčních úloh hostují koncové body AI alespoň ve dvou oblastech, aby poskytovaly redundanci a zajistily vysokou dostupnost. I když jsou modely generující AI bezstavové, jejich hostování ve více oblastech zajišťuje rychlejší převzetí služeb při selhání a obnovení během regionálních selhání. Pro modely služby Azure OpenAI můžete použít globální nasazení. Tato nasazení ve více oblastech můžou automaticky a transparentně směrovat požadavky do oblasti, která má dostatečnou kapacitu. Pokud zvolíte neglobalové nasazení, označované také jako regionální nasazení, použijte Azure API Management k vyrovnávání zatížení požadavků rozhraní API na koncové body AI.
Potvrďte dostupnost služby. Před nasazením se ujistěte, že je v oblasti dostupná potřebujete prostředky AI, které potřebujete. Některé oblasti nemusí poskytovat konkrétní služby AI nebo mohou mít omezené funkce, které můžou ovlivnit funkčnost vašeho řešení. Toto omezení může také ovlivnit škálovatelnost vašeho nasazení. Dostupnost služby Azure OpenAI se například může lišit v závislosti na modelu nasazení. Mezi tyto modely nasazení patří globální standard, globální zřizování, regionální standard a regionální zřizování. Zkontrolujte službu AI a ověřte, že máte přístup k potřebným prostředkům.
Vyhodnoťte kvótu a kapacitu oblasti. Vezměte v úvahu limity kvóty nebo předplatného ve zvolené oblasti s rostoucími úlohami AI. Služby Azure mají místní limity předplatného. Tato omezení můžou mít vliv na nasazení modelu AI ve velkém měřítku, například velké úlohy odvozování. Pokud chcete zabránit přerušení, kontaktujte podpora Azure předem, pokud předpokládáte potřebu dodatečné kapacity.
Vyhodnocení výkonu Při vytváření aplikací, které potřebují načítat data, jako jsou aplikace RAG (retrieveal-augmented-generation), je důležité zvážit umístění úložiště dat pro optimalizaci výkonu. V aplikacích RAG nemusíte data společně přiřakovat k modelům, ale můžete to zlepšit výkon snížením latence a zajištěním efektivního načítání dat.
Příprava na kontinuitu provozu Pokud chcete zajistit provozní kontinuitu a zotavení po havárii, replikujte důležité prostředky, jako jsou jemně vyladěné modely, data RAG, natrénované modely a trénovací datové sady v sekundární oblasti. Tato redundance umožňuje rychlejší obnovení, pokud dojde k výpadku a zajišťuje trvalou dostupnost služby.
Vytvoření zásad správného řízení AI
Zásady správného řízení AI zahrnují uspořádání prostředků a uplatňování zásad pro správu úloh a nákladů na AI. Zahrnuje strukturování skupin pro správu a předplatných, aby se zajistilo dodržování předpisů a zabezpečení napříč různými úlohami. Správné zásady správného řízení AI brání neoprávněnému přístupu, spravují rizika a zajišťují efektivní provoz prostředků AI v rámci organizace.
Oddělte internetové a interní úlohy umělé inteligence. Skupiny pro správu použijte minimálně k oddělení úloh AI do internetu ("online") a interních ("podnikových"). Rozdíl představuje důležitou hranici zásad správného řízení dat. Pomáhá udržovat interní oddělení od veřejných dat. Nechcete, aby externí uživatelé měli přístup k citlivým obchodním informacím požadovaným pro interní práci. Tento rozdíl mezi internetovými a interními úlohami je v souladu se skupinami pro správu cílových zón Azure.
Použijte zásady AI pro každou skupinu pro správu. Začněte se základními zásadami pro jednotlivé typy úloh, jako jsou tyto zásady používané v cílových zónách Azure. Přidejte do směrného plánu další definice Azure Policy, které vám pomůžou řídit jednotné zásady správného řízení pro služby Azure AI, Azure AI Search, Azure Machine Learning a Azure Virtual Machines.
Nasaďte prostředky AI v předplatných úloh. Prostředky AI musí dědit zásady správného řízení úloh ze skupiny pro správu úloh (interní nebo internetové). Udržujte je odděleně od prostředků platformy. Prostředky umělé inteligence řízené týmy platforem mají tendenci vytvářet kritické body vývoje. V kontextu cílové zóny Azure nasaďte úlohy AI do předplatných cílové zóny aplikace.
Vytvoření sítě AI
Sítě AI se týkají návrhu a implementace síťové infrastruktury pro úlohy AI, včetně zabezpečení a připojení. Zahrnuje použití topologií, jako jsou hvězdicová architektura, použití bezpečnostních opatření, jako je ochrana před útoky DDoS, a zajištění efektivního přenosu dat. Efektivní síť AI je důležitá pro zabezpečenou a spolehlivou komunikaci, což brání přerušení sítě a udržování výkonu.
Aktivace služby Azure DDoS Protection pro úlohy umělé inteligence přístupné z internetu Azure DDoS Protection chrání vaše služby AI před potenciálními přerušeními a výpadky způsobenými distribuovanými útoky na dostupnost služby. Povolte ochranu Azure DDoS na úrovni virtuální sítě, abyste se chránili před záplavami provozu, které cílí na internetové aplikace.
Spojte se s místními sítěmi. K zabezpečení provozního přístupu k úlohám AI použijte jumpbox a Azure Bastion. V případě potřeby můžou některé služby, jako je Azure AI Foundry, přistupovat k místním prostředkům. Pro organizace, které přenášejí velké objemy dat z místních zdrojů do cloudových prostředí, použijte připojení s velkou šířkou pásma.
Zvažte Azure ExpressRoute. Azure ExpressRoute je ideální pro velké objemy dat, zpracování v reálném čase nebo úlohy, které vyžadují konzistentní výkon. Obsahuje funkci FastPath , která zlepšuje výkon cesty k datům.
Zvažte Azure VPN Gateway. Azure VPN Gateway používejte pro střední objemy dat, zřídka se jedná o přenos dat nebo v případě, že je vyžadován veřejný přístup k internetu. Jednodušší je nastavit a nákladově efektivní pro menší datové sady než ExpressRoute. Pro úlohy AI použijte správnou topologii a návrh . Vpn typu site-to-site použijte pro připojení mezi místními sítěmi a hybridním připojením. Pro zabezpečené připojení zařízení použijte síť VPN typu point-to-site. Další informace najdete v článku věnovaném připojení místní sítě k Azure.
Připravte služby překladu názvů domén. Pokud používáte privátní koncové body, integrujte privátní koncové body s DNS pro správné překlady DNS a úspěšné funkce privátního koncového bodu. Nasaďte infrastrukturu Azure DNS jako součást cílové zóny Azure a nakonfigurujte podmíněné předávání ze stávajících služeb DNS pro příslušné zóny. Další informace najdete v tématu Integrace Služby Private Link a DNS ve velkém měřítku pro cílové zóny Azure.
Nakonfigurujte řízení přístupu k síti. Pomocí skupin zabezpečení sítě (NSG) definujte a použijte zásady přístupu, které řídí příchozí a odchozí provoz do a z úloh AI. Tyto kontroly je možné použít k implementaci principu nejnižších oprávnění a zajistit, aby byla povolena pouze důležitá komunikace.
Používejte služby monitorování sítě. Pomocí služeb, jako jsou Azure Monitor Network Insights a Azure Network Watcher, získáte přehled o výkonu a stavu sítě. Kromě toho použijte Microsoft Sentinel pro pokročilou detekci hrozeb a reakci v síti Azure.
Nasaďte službu Azure Firewall, abyste mohli kontrolovat a zabezpečit odchozí provoz úloh Azure.Azure Firewall vynucuje zásady zabezpečení pro odchozí provoz před tím, než dorazí na internet. Umožňuje řídit a monitorovat odchozí provoz a povolit SNAT skrytí interních IP adres tak, že přeloží privátní IP adresy na veřejnou IP adresu brány firewall. Zajišťuje zabezpečený a identifikovatelný odchozí provoz pro lepší monitorování a zabezpečení.
Azure Web Application Firewall (WAF) použijte pro úlohy přístupné z internetu.Azure WAF pomáhá chránit úlohy AI před běžnými webovými ohroženími zabezpečení, včetně injektáží SQL a útoků skriptování mezi weby. Nakonfigurujte Azure WAF ve službě Application Gateway pro úlohy, které vyžadují lepší zabezpečení před škodlivým webovým provozem.
Vytvoření základu AI
Základ AI poskytuje základní infrastrukturu a hierarchii prostředků, která podporuje úlohy AI v Azure. Zahrnuje nastavení škálovatelných a zabezpečených prostředí, která odpovídají potřebám zásad správného řízení a provozu. Silný základ AI umožňuje efektivní nasazení a správu úloh AI. Zajišťuje také zabezpečení a flexibilitu pro budoucí růst.
Použití cílové zóny Azure
Cílová zóna Azure je doporučeným výchozím bodem, který připraví vaše prostředí Azure. Poskytuje předdefinované nastavení pro prostředky platformy a aplikací. Jakmile je platforma nasazená, můžete úlohy AI nasadit do vyhrazených cílových zón aplikací. Obrázek 2 níže znázorňuje, jak se úlohy AI integrují do cílové zóny Azure.
Obrázek 2 Úloha AI v cílové zóně Azure
Vytvoření prostředí AI
Pokud cílovou zónu Azure nepoužíváte, sestavte prostředí AI podle doporučení v tomto článku. Následující diagram znázorňuje základní hierarchii prostředků. Segmentuje interní úlohy AI a úlohy umělé inteligence přístupné z internetu, jak je popsáno při vytváření zásad správného řízení AI. Interní úlohy používají zásady k odepření online přístupu od zákazníků. Toto oddělení chrání interní data před vystavením externím uživatelům. Vývoj umělé inteligence by měl používat jumpbox ke správě prostředků a dat AI.
Obrázek 3 Základní hierarchie prostředků pro úlohy AI
Další kroky
Dalším krokem je sestavení a nasazení úloh AI do prostředí AI. Následující odkazy vám použijí k vyhledání pokynů k architektuře, které vyhovují vašim potřebám. Začněte s architekturami typu platforma jako služba (PaaS). PaaS je doporučený přístup Microsoftu k přijetí umělé inteligence.