Kurz: Připojení ke službě Azure OpenAI v AKS pomocí identity úloh (Preview)

V tomto kurzu se dozvíte, jak vytvořit pod v clusteru Azure Kubernetes (AKS), který komunikuje se službou Azure OpenAI Service pomocí identity úloh a konektoru služby. V tomto kurzu provedete následující úlohy:

• Vytvořte cluster AKS a službu Azure OpenAI s nasazením gpt-4 modelu.
• Vytvořte připojení mezi clusterem AKS a Azure OpenAI pomocí konektoru služby.
• Naklonujte ukázkovou aplikaci, která bude komunikovat se službou Azure OpenAI z clusteru AKS.
• Nasaďte aplikaci do podu v clusteru AKS a otestujte připojení.
• Vyčistěte prostředky.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• • Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

    

  • Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

    • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

    • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

    • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Nainstalujte Docker a kubectl pro správu imagí kontejneru a prostředků Kubernetes.
• Základní znalost kontejneru a AKS Začněte přípravou aplikace pro AKS.
• Základní znalost identity úloh
• Přístupová oprávnění k vytváření prostředků Azure OpenAI a nasazení modelů

Vytvoření zdrojů Azure

Tento kurz zahájíte vytvořením několika prostředků Azure.

1. Vytvořte skupinu prostředků pro tento kurz.

   az group create \
       --name MyResourceGroup \
       --location eastus
   

2. Vytvořte cluster AKS pomocí následujícího příkazu nebo pomocí rychlého startu AKS. V tomto kurzu vytvoříme definici připojení služby a podu a nasadíme ukázkovou aplikaci do tohoto clusteru.

   az aks create \
       --resource-group MyResourceGroup \
       --name MyAKSCluster \
       --enable-managed-identity \
       --node-count 1
       --generate-ssh-keys
   

3. Připojte se ke clusteru pomocí příkazu az aks get-credentials .

   az aks get-credentials \
       --resource-group MyResourceGroup \
       --name MyAKSCluster
   

4. Vytvořte prostředek služby Azure OpenAI pomocí příkazu az cognitiveservices account create . Další pokyny najdete v tomto kurzu. Služba Azure OpenAI je cílová služba, kterou se připojíme ke clusteru AKS.

   az cognitiveservices account create \
       --resource-group MyResourceGroup \
       --name MyOpenAIService \
       --location eastus \
       --kind OpenAI \
       --sku s0 \
       --custom-domain myopenaiservice \
       --subscription <SubscriptionID>
   

5. Nasaďte model pomocí příkazu az cognitiveservices deployment create . Model se používá v ukázkové aplikaci k otestování připojení.

   az cognitiveservices account deployment create \
       --resource-group MyResourceGroup \
       --name MyOpenAIService
       --deployment-name MyModel \
       --model-name gpt-4 \
       --model-version 0613 \
       --model-format OpenAI \
       --sku-name "Standard"
       --capacity 1
   

6. Pomocí příkazu az acr create vytvořte prostředek služby Azure Container Registry (ACR) nebo si prohlédnou tento kurz. Registr hostuje image kontejneru ukázkové aplikace, kterou definice podu AKS využívá.

   az acr create \
       --resource-group MyResourceGroup \
       --name myregistry \
       --sku Standard
   

7. Povolte anonymní vyžádání obsahu pomocí příkazu az acr update , aby cluster AKS mohl využívat image v registru.

   az acr update \
       --resource-group MyResourceGroup \
       --name MyRegistry \
       --anonymous-pull-enabled
   

8. Pomocí příkazu az identity create nebo podle tohoto kurzu vytvořte spravovanou identitu přiřazenou uživatelem. Po vytvoření připojení se spravovaná identita přiřazená uživatelem použije k povolení identity úloh pro úlohy AKS.

   az identity create \
       --resource-group MyResourceGroup \
       --name MyIdentity
   

Vytvoření připojení služby v AKS pomocí konektoru service (Preview)

Vytvořte připojení služby mezi clusterem AKS a službou Azure OpenAI na webu Azure Portal nebo v Azure CLI.

Azure Portal

Pokyny k vytvoření nového připojení najdete v rychlém startu připojení ke službě AKS a vyplňte nastavení, která odkazují na příklady v následující tabulce. Ponechte všechna ostatní nastavení s výchozími hodnotami.

1. Karta Základy:

   Nastavení	Příklad hodnoty	Popis
   Obor názvů Kubernetes	default	Obor názvů Kubernetes.
   Typ služby	Služba OpenAI	Typ cílové služby.
   Název připojení	openai_conn	Použijte název připojení poskytovaný konektorem service connector nebo zvolte vlastní název připojení.
   Předplatné	<MySubscription>	Předplatné používané pro službu Azure OpenAI.
   OpenAI	<MyOpenAIService>	Cílová služba Azure OpenAI, ke které se chcete připojit.
   Typ klienta	Python	Jazyk kódu nebo architektura, které používáte pro připojení k cílové službě.

2. Karta Ověřování:

   Nastavení ověřování	Příklad hodnoty	Popis
   Typ ověřování	Identita úloh	Typ ověřování konektoru služby.
   Předplatné	<MySubscription>	Předplatné, které obsahuje spravovanou identitu přiřazenou uživatelem.
   Spravovaná identita přiřazená uživatelem	<MyIdentity>	K povolení identity úloh je potřeba spravovaná identita přiřazená uživatelem.

Po vytvoření připojení můžete zobrazit jeho podrobnosti v podokně Konektor služby.

Azure CLI

Spuštěním příkazu az aks connection create v Azure CLI vytvořte připojení služby v AKS.

az aks connection create cognitiveservices \
   --workload-identity <user-identity-resource-id>

Pokud použijete výše uvedený příkaz, konektor služby vás vyzve k zadání skupiny prostředků AKS, názvu clusteru AKS, cílové skupiny prostředků služby, názvu účtu kognitivní služby a ID prostředku identity přiřazené uživatelem.

Případně můžete zadat úplný příkaz přímo:

az aks connection create cognitiveservices \
   --workload-identity <user-identity-resource-id> \
   --resource-group <aks-cluster-resource-group> \
   --name <aks-cluster-name> \
   --target-resource-group <target-cognitive-services-resource-group> \
   --account <target-cognitive-services-account>

Klonování ukázkové aplikace

1. Naklonujte ukázkové úložiště:

   git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git
   

2. Přejděte do ukázkové složky úložiště pro Azure OpenAI:

   cd serviceconnector-aks-samples/azure-openai-workload-identity
   

3. <MyModel> Zástupný symbol v app.py souboru nahraďte názvem modelu, který jsme nasadili.

Vytváření a nabízení imagí kontejneru

1. Sestavte a nasdílejte image do služby ACR pomocí příkazu Az acr build .

   az acr build --registry <MyRegistry> --image sc-demo-openai-identity:latest ./
   

2. Pomocí příkazu az acr repository list zobrazte image v instanci služby ACR.

   az acr repository list --name <MyRegistry> --output table
   

Spuštění aplikace a testování připojení

1. Nahraďte zástupné symboly v pod.yaml souboru ve azure-openai-workload-identity složce.

   • Nahraďte <YourContainerImage> názvem image, který jsme vytvořili dříve. Například <MyRegistry>.azurecr.io/sc-demo-openai-identity:latest.
   • Po vytvoření připojení nahraďte <ServiceAccountCreatedByServiceConnector> účtem služby vytvořeným konektorem služby. Název účtu služby můžete zkontrolovat na webu Azure Portal v podokně Konektor služby.
   • Po vytvoření připojení nahraďte <SecretCreatedByServiceConnector> tajným kódem vytvořeným konektorem služby. Název tajného kódu můžete zkontrolovat na webu Azure Portal v podokně Konektor služby.

2. Nasaďte pod do clusteru kubectl apply pomocí příkazu, který vytvoří pod pojmenovaný sc-demo-openai-identity ve výchozím oboru názvů clusteru AKS. Pokud není nainstalovaný, nainstalujte kubectl místně příkazem az aks install-cli.

   kubectl apply -f pod.yaml
   

3. Zkontrolujte, jestli nasazení proběhlo úspěšně, a to zobrazením podu s kubectl.

   kubectl get pod/sc-demo-openai-identity
   

4. Zkontrolujte, jestli je připojení navázáno zobrazením protokolů pomocí kubectlpříkazu .

   kubectl logs pod/sc-demo-openai-identity
   

Vyčištění prostředků

Pokud už prostředky vytvořené v tomto kurzu nepotřebujete, vyčistěte je odstraněním skupiny prostředků.

az group delete \
    --resource-group MyResourceGroup

Další kroky

Další informace o konceptech konektoru služeb a o tom, jak AKS pomáhá připojit se ke službám, najdete v následujících článcích.

Další informace o konceptech konektoru Service Connector

Připojení clusteru AKS k jiným cloudovým službám pomocí konektoru Service Connector