Erstellen und Verwalten eines Azure KI Studio-Hubs
In KI Studio bieten Hubs die Umgebung für ein Team für die Zusammenarbeit und Organisation der Arbeit und helfen Ihnen als Teamleiter oder IT-Administrator, Sicherheitseinstellungen zentral einzurichten und die Nutzung und Ausgaben zu steuern. Sie können ein Hub im Azure-Portal oder Azure KI Studio erstellen und verwalten.
In diesem Artikel erfahren Sie, wie Sie einen Hub in KI Studio mit den Standardeinstellungen erstellen und verwalten, damit Sie schnell loslegen können. Müssen Sie die Sicherheit oder die abhängigen Ressourcen Ihres Hubs anpassen? Verwenden Sie dann das Azure-Portal oder die Vorlagenoptionen.
Tipp
Wenn Sie Ihren Azure KI Studio-Hub mithilfe einer Vorlage erstellen möchten, lesen Sie die Artikel zur Verwendung von Bicep oder Terraform.
Erstellen eines Hubs in KI Studio
Um einen neuen Hub erstellen zu können, benötigen Sie entweder die Rolle „Besitzer“ oder „Mitwirkender“ für die Ressourcengruppe oder einen vorhandenen Hub. Wenn Sie aufgrund der Berechtigungen keinen Hub erstellen können, wenden Sie sich an Ihren Administrator bzw. Ihre Administratorin. Wenn Ihre Organisation Azure Policy verwendet, sollten Sie die Ressource nicht in KI Studio erstellen. Erstellen Sie den Hub stattdessen im Azure-Portal.
Hinweis
Ein Hub in Azure KI Studio ist eine zentrale Anlaufstelle, in der Sie alles verwalten, was Ihr KI-Projekt benötigt, z. B. Sicherheit und Ressourcen, damit Sie schneller entwickeln und testen können. Weitere Informationen dazu, wie Hubs Ihnen helfen können, finden Sie im Artikel Übersicht über Hubs und Projekte.
Befolgen Sie diese Schritte, um einen Hub in Azure KI Studio zu erstellen:
Wechseln Sie in Azure KI Studio zur Startseite, und melden Sie sich mit Ihrem Azure-Konto an.
Wählen Sie im linken Bereich die Option Alle Ressourcen aus. Wenn diese Option nicht angezeigt wird, wählen Sie auf der oberen Leiste Alle Ressourcen und Projekte aus. Wählen Sie dann + Neuer Hub aus.
Geben Sie im Dialogfeld Neuen Hub erstellen einen Namen für Ihren Hub ein (z. B. contoso-hub). Wenn Sie nicht über eine Ressourcengruppe verfügen, wird eine neue Ressourcengruppe erstellt, die mit dem bereitgestellten Abonnement verknüpft ist. Lassen Sie die Standardoption Azure KI Services verbinden ausgewählt.
Wählen Sie Weiter aus. Wenn Sie nicht eine vorhandene Ressourcengruppe wiederverwenden, wird eine neue Ressourcengruppe (rg-contoso) erstellt. Außerdem wird ein Azure KI-Dienst (ai-contoso-hub) für den Hub erstellt.
Hinweis
Wenn vor der Ressourcengruppe und den Einträgen für Azure KI Services verbinden nicht (neu) angezeigt wird, wird eine vorhandene Ressource verwendet. Erstellen Sie für dieses Tutorial eine separate Entität über Neue Ressourcengruppe erstellen und Neue KI Services erstellen. Auf diese Weise können Sie unerwartete Gebühren verhindern, indem Sie die Entitäten nach dem Tutorial löschen.
Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.
Sie können den Fortschritt der Huberstellung im Assistenten anzeigen.
Erstellen eines sicheren Hubs im Azure-Portal
Wenn Ihre Organisation Azure Policy einsetzt, richten Sie einen Hub ein, der die Anforderungen Ihrer Organisation erfüllt, anstatt KI Studio zum Erstellen von Ressourcen zu verwenden.
Suchen Sie im Azure-Portal nach
Azure AI Studio
, und erstellen Sie einen neuen Hub, indem Sie + Neuen Azure KI-Hub auswählen.Geben Sie Ihren Hubnamen, Ihr Abonnement, Ihre Ressourcengruppe und Standortdetails ein.
Für Azure KI Services-Basismodelle können Sie auch eine vorhandene Azure KI Services-Ressource auswählen oder eine neue erstellen. Azure KI Services umfassen mehrere API-Endpunkte für Speech, Inhaltssicherheit und Azure OpenAI.
Wählen Sie die Registerkarte Speicher aus, um die Einstellungen für Speicherkonten anzugeben. Geben Sie zum Speichern von Anmeldeinformationen entweder Ihre Azure Key Vault-Instanz an, oder verwenden Sie den von Microsoft verwalteten Anmeldeinformationsspeicher (Vorschau).
Wählen Sie die Registerkarte Netzwerk aus, um die Netzwerkisolation einzurichten. Weitere Informationen zur Netzwerkisolation. Eine exemplarische Vorgehensweise zum Erstellen eines sicheren Hubs finden Sie unter Erstellen eines sicheren Hubs.
Wählen Sie die Registerkarte Verschlüsselung aus, um die Datenverschlüsselung einzurichten. Sie können entweder von Microsoft verwaltete Schlüssel verwenden oder vom Kunden verwaltete Schlüssel aktivieren.
Wählen Sie die Registerkarte Identität aus. Standardmäßig ist Systemseitig zugewiesene Identität aktiviert. Sie können jedoch zu Benutzerseitig zugewiesene Identität wechseln, wenn in Speicher ein vorhandener Speicher, Schlüsseltresor und eine Containerregistrierung sind.
Hinweis
Wenn Sie Benutzerseitig zugewiesene Identität auswählen, muss Ihre Identität über die Rolle
Cognitive Services Contributor
verfügen, damit erfolgreich ein neuer Hub erstellt werden kann.Wählen Sie die Registerkarte Tags aus, um Tags hinzuzufügen.
Wählen Sie Bewerten + erstellen>Erstellen aus.
Verwalten Ihres Hubs im Azure-Portal
Verwalten Sie den Zugriff auf Steuerelemente
Verwalten Sie Rollenzuweisungen über Zugriffssteuerung (IAM) im Azure-Portal. Erfahren Sie mehr über dierollenbasierte Zugriffssteuerung (RBAC) eines Hubs.
So fügen Sie Benutzerberechtigungen hinzu:
Wählen Sie + Hinzufügen aus, um Ihrem Hub Benutzer und Benutzerinnen hinzuzufügen.
Wählen Sie die Rolle aus, die Sie zuweisen möchten.
Wählen Sie die Mitglieder aus, die Sie der Rolle zuweisen möchten.
Überprüfen + zuweisen. Es kann bis zu einer Stunde dauern, bis Berechtigungen auf Benutzer angewendet werden.
Netzwerk
Hub-Netzwerkeinstellungen können während der Ressourcenerstellung festgelegt oder auf der Registerkarte Netzwerk in der Azure-Portalansicht geändert werden. Beim Erstellen eines neuen Hubs wird ein verwaltetes virtuelles Netzwerk aufgerufen. Dadurch wird die Konfiguration Ihrer Netzwerkisolation mit einem integrierten verwalteten virtuellen Netzwerk optimiert und automatisiert. Die Einstellungen für das verwaltete virtuelle Netzwerk werden auf alle Projekte angewendet, die in einem Hub erstellt wurden.
Wählen Sie bei der Huberstellung einen der folgenden Netzwerkisolationsmodi aus: Öffentlich, Privat mit ausgehendem Internetdatenverkehr und Privat mit genehmigtem ausgehendem Datenverkehr. Um Ihre Ressourcen zu sichern, wählen Sie entweder Privat mit ausgehendem Internetdatenverkehr oder Privat genehmigtem ausgehendem Datenverkehr für Ihre Netzwerkanforderungen aus. Für die privaten Isolationsmodi sollte ein privater Endpunkt für den eingehenden Zugriff erstellt werden. Weitere Informationen zur Netzwerkisolation finden Sie unter Verwaltete virtuelle Netzwerkisolation. Eine Anleitung zum Erstellen eines sicheren Hubs finden Sie unter Erstellen eines sicheren Hubs.
Bei der Huberstellung im Azure-Portal ist die Erstellung von zugeordneten Azure KI Services-Instanzen, Speicherkonto, Schlüsseltresor (optional), Application Insights-Instanz (optional) und Containerregistrierung (optional) vorgegeben. Diese Ressourcen finden Sie während der Erstellung auf der Registerkarte Ressourcen.
Um eine Verbindung mit Azure KI-Diensten (Azure OpenAI, Azure KI Search und Azure KI Content Safety) oder Speicherkonten in Azure KI Studio herzustellen, erstellen Sie einen privaten Endpunkt in Ihrem virtuellen Netzwerk. Stellen Sie sicher, dass das Flag für den Zugriff auf das öffentliche Netzwerk (Public Network Access, PNA) beim Erstellen der privaten Endpunktverbindung deaktiviert ist. Weitere Informationen zu Azure KI-Dienstverbindungen finden Sie der Dokumentation hier. Sie können optional Ihre eigene Suche (Bring Your Own, BYO) verwenden, dies erfordert jedoch eine private Endpunktverbindung aus Ihrem virtuellen Netzwerk.
Verschlüsselung
Projekte, die denselben Hub verwenden, nutzen dieselbe Verschlüsselungskonfiguration. Der Verschlüsselungsmodus kann nur zum Zeitpunkt der Erstellung eines Hubs zwischen von Microsoft verwalteten Schlüsseln und kundenseitig verwalteten Schlüsseln eingestellt werden.
Navigieren Sie in der Azure-Portalansicht zur Registerkarte „Verschlüsselung“, um die Verschlüsselungseinstellungen für Ihren Hub zu finden. Für Hubs, die den CMK-Verschlüsselungsmodus verwenden, können Sie den Verschlüsselungsschlüssel auf eine neue Schlüsselversion aktualisieren. Dieser Aktualisierungsvorgang ist auf Schlüssel und Schlüsselversionen innerhalb derselben Schlüsseltresor-Instanz wie beim ursprünglichen Schlüssel beschränkt.
Aktualisieren der Azure Application Insights- und Azure-Container Registry
Um benutzerdefinierte Umgebungen für Prompt Flow zu verwenden, müssen Sie eine Azure-Container Registry für Ihren Hub konfigurieren. Um Azure Application Insights für Prompt Flow-Bereitstellungen zu verwenden, ist eine konfigurierte Azure Application Insights-Ressource für Ihren Hub erforderlich. Das Aktualisieren der dem Arbeitsbereich zugeordneten Azure Container Registry- oder Application Insights-Ressource kann die Herkunft früherer Aufträge, bereitgestellter Rückschlussendpunkte oder die Möglichkeit unterbrechen, frühere Aufträge in diesem Arbeitsbereich erneut ausführen zu können.
Sie können das Azure-Portal, oder Azure SDK-/CLI-Optionen oder die Infrastructure-as-Code-Vorlagen verwenden, um Azure Application Insights und Azure Container Registry für den Hub zu aktualisieren.
Sie können Ihren Hub während der Erstellung oder Aktualisierung nach der Erstellung für diese Ressourcen konfigurieren.
Um Azure Application Insights aus dem Azure-Portal zu aktualisieren, navigieren Sie im Azure-Portal zu den Eigenschaften für Ihren Hub, und wählen Sie dann Application Insights ändern aus.
Auswählen der Speicherung von Anmeldeinformationen
In einigen Szenarien in KI Studio werden die Anmeldeinformationen in Ihrem Namen gespeichert. Dies ist z. B. der Fall, wenn Sie eine Verbindung in KI Studio erstellen, um mit einem gespeicherten Kontoschlüssel auf ein Azure Storage-Konto oder mit einem Administratorkennwort auf Azure Container Registry zuzugreifen, oder wenn Sie eine Compute-Instanz mit aktivierten SSH-Schlüsseln erstellen. Beim Auswählen der identitätsbasierten Entra ID-Authentifizierung werden keine Anmeldeinformationen zu den Verbindungen gespeichert.
Sie können entscheiden, wo Anmeldeinformationen gespeichert werden:
Ihre Azure Key Vault-Instanz: Dazu müssen Sie für jeden Hub Ihre eigene Azure Key Vault-Instanz verwalten und konfigurieren. Dieser Ansatz bietet Ihnen mehr Kontrolle über den Lebenszyklus von Geheimnissen, z. B. durch Festlegen von Ablaufrichtlinien. Sie können auch gespeicherte Geheimnisse für andere Anwendungen in Azure freigeben.
Von Microsoft verwalteter Anmeldeinformationsspeicher (Vorschau): Bei diesem Ansatz verwaltet Microsoft eine Azure Key Vault-Instanz in Ihrem Namen für jeden Hub. Es ist keine Ressourcenverwaltung auf Ihrer Seite erforderlich, und der Tresor wird nicht in Ihrem Azure-Abonnement angezeigt. Der Lebenszyklus von Geheimnisdaten entspricht dem Ressourcenlebenszyklus Ihrer Hubs und Projekte. Wenn Sie beispielsweise die Speicherverbindung eines Projekts löschen, wird auch das zugehörige gespeicherte Geheimnis gelöscht.
Nachdem Ihr Hub erstellt wurde, ist es nicht mehr möglich, zwischen Azure Key Vault und der Verwendung eines von Microsoft verwalteten Anmeldeinformationsspeichers zu wechseln.
Löschen eines Azure KI Studio-Hubs
Um einen Hub aus Azure KI Studio zu löschen, wählen Sie den Hub und dann Hub löschen im Abschnitt Hubeigenschaften der Seite aus.
Hinweis
Sie können den Hub auch über das Azure-Portal löschen.
Beim Löschen eines Hubs werden auch alle zugehörigen Projekte gelöscht. Wenn ein Projekt gelöscht wird, werden auch alle geschachtelten Endpunkte für das Projekt gelöscht. Sie können optionale die verbundenen Ressourcen löschen. Stellen Sie dabei jedoch sicher, dass keine anderen Anwendungen diese Verbindung verwenden. Sie könnte z. B. von einer anderen Azure KI Studio-Bereitstellung verwendet werden.