Freigeben über

AI Ready – Prozess zum Erstellen von KI-Workloads in Azure

  • Artikel

In diesem Artikel wird der Organisationsprozess zum Erstellen von KI-Workloads in Azure beschrieben. Der Artikel enthält Empfehlungen, um wichtige Entwurfs- und Prozessentscheidungen für die Einführung von KI-Workloads im großen Stil zu treffen. Er konzentriert sich auf KI-spezifische Leitfäden für die Auswahl von Regionen, die Ressourcenorganisation und das Netzwerk.

Diagramm, das den KI-Einführungsprozess zeigt: KI-Strategie, KI-Plan, KI-Bereitschaft, KI steuern, KI verwalten und KI sichern

Einrichten der KI-Zuverlässigkeit

KI-Zuverlässigkeit umfasst die Auswahl geeigneter Regionen zum Hosten von KI-Modellen, um eine konsistente Leistung, Compliance und Verfügbarkeit sicherzustellen. Organisationen müssen Redundanz, Failover und Leistungsoptimierung adressieren, um zuverlässige KI-Dienste aufrechtzuerhalten.

  • Verwenden mehrerer Regionen zum Hosten von KI-Modellendpunkten. Hosten Sie für Produktionsworkloads KI-Endpunkte in mindestens zwei Regionen, um Redundanz bereitzustellen und Hochverfügbarkeit sicherzustellen. Obwohl generative KI-Modelle zustandslos sind, stellt das Hosten in mehreren Regionen ein schnelleres Failover und eine schnellere Wiederherstellung bei regionalen Ausfällen sicher. Für Azure OpenAI Service-Modelle können Sie globale Bereitstellungen verwenden. Diese Bereitstellungen in mehreren Regionen können Anforderungen automatisch und transparent an eine Region weiterleiten, die über genügend Kapazität verfügt. Wenn Sie eine nicht globale Bereitstellung auswählen, auch als regionale Bereitstellung bezeichnet, verwenden Sie Azure API Management für Lastenausgleichs-API-Anforderungen an KI-Endpunkte.

  • Überprüfen der Dienstverfügbarkeit. Stellen Sie vor der Bereitstellung sicher, dass die benötigten KI-Ressourcen in der Region verfügbar sind. Bestimmte Regionen bieten möglicherweise keine bestimmten KI-Dienste oder eingeschränkte Features, die sich auf die Funktionalität Ihrer Lösung auswirken können. Diese Einschränkung kann auch die Skalierbarkeit Ihrer Bereitstellung beeinträchtigen. Die Verfügbarkeit von Azure OpenAI Service kann beispielsweise je nach Bereitstellungsmodell variieren. Zu diesen Bereitstellungsmodellen gehören globaler Standard, globale Bereitstellung, regionaler Standard und regionale Bereitstellung. Überprüfen Sie den KI-Dienst, um zu bestätigen, dass Sie Zugriff auf die erforderlichen Ressourcen haben.

  • Auswerten des Regionskontingents und der Kapazität. Berücksichtigen Sie die Kontingent- oder Abonnementgrenzwerte in Ihrer ausgewählten Region, während Ihre KI-Workloads wachsen. Für Azure-Dienste gelten regionale Abonnementgrenzwerte. Diese Grenzwerte können sich auf die Bereitstellungen groß angelegter KI-Modelle auswirken, beispielsweise auf große Rückschlussworkloads. Um Unterbrechungen zu vermeiden, wenden Sie sich im Voraus an Azure-Support, wenn Sie einen Bedarf an zusätzlicher Kapazität voraussehen.

  • Auswerten der Leistung. Wenn Sie Anwendungen erstellen, die Daten abrufen müssen, z. B. RAG-Anwendungen (Retrieval-Augmented Generation), ist es wichtig, Datenspeicherorte zu berücksichtigen, um die Leistung zu optimieren. Sie müssen Daten nicht mit Modellen in RAG-Apps verlagern, dies kann jedoch die Leistung verbessern, indem Sie die Latenz reduzieren und einen effizienten Datenabruf sicherstellen.

  • Vorbereiten der Kontinuität von Vorgängen. Um Geschäftskontinuität und Notfallwiederherstellung sicherzustellen, replizieren Sie wichtige Ressourcen wie optimierte Modelle, RAG-Daten, trainierte Modelle und Trainingsdatasets in einer sekundären Region. Diese Redundanz ermöglicht eine schnellere Wiederherstellung bei einem Ausfall und gewährleistet eine kontinuierliche Verfügbarkeit des Diensts.

Einrichten von KI-Governance

KI-Governance umfasst das Organisieren von Ressourcen und das Anwenden von Richtlinien zum Verwalten von KI-Workloads und -Kosten. Sie umfasst die Strukturierung von Verwaltungsgruppen und Abonnements, um die Compliance und Sicherheit über verschiedene Workloads hinweg sicherzustellen. Eine ordnungsgemäße KI-Governance verhindert unbefugten Zugriff, verwaltet Risiken und stellt sicher, dass KI-Ressourcen innerhalb der Organisation effizient arbeiten.

  • Trennen der im Internet zugänglichen und der internen KI-Workloads. Verwenden Sie zumindest Verwaltungsgruppen, um KI-Workloads in Workloads mit Internetzugriff („Online“) und rein interne Workloads („Unternehmen“) aufzuteilen. Diese Unterscheidung stellt eine wichtige Datengovernancegrenze dar. Dies hilft Ihnen, interne Daten von öffentlichen Daten zu trennen. Sie möchten nicht, dass externe Benutzer auf vertrauliche Geschäftsinformationen zugreifen, die für interne Aufgaben erforderlich sind. Diese Unterscheidung zwischen internetorientierten und internen Workloads richtet sich an Azure-Zielzonenverwaltungsgruppen aus.

  • Anwenden von KI-Richtlinien auf jede Verwaltungsgruppe. Beginnen Sie mit Baselinerichtlinien für jeden Workloadtyp, z. B. mit den Richtlinien, die in Azure-Zielzonen verwendet werden. Fügen Sie Ihrer Basislinie weitere Azure Policy-Definitionen hinzu, um einheitliche Governance für Azure KI Services, Azure KI-Suche, Azure Machine Learning und Azure Virtual Machines zu fördern.

  • Bereitstellen von KI-Ressourcen in Workloadabonnements. KI-Ressourcen müssen Workloadgovernancerichtlinien von der Workloadverwaltungsgruppe (intern oder internetseitig) erben. Halten Sie sie von Plattformressourcen getrennt. KI-Ressourcen, die von Plattformteams gesteuert werden, führen zu Entwicklungsengpässen. Stellen Sie im Kontext der Azure-Zielzone KI-Workloads für Anwendungszielzonenabonnements bereit.

Einrichten von KI-Netzwerken

KI-Netzwerke beziehen sich auf das Design und die Implementierung der Netzwerkinfrastruktur für KI-Workloads, einschließlich Sicherheit und Konnektivität. Dies umfasst die Verwendung von Topologien wie Hub-and-Spoke, das Anwenden von Sicherheitsmaßnahmen wie DDoS Protection und die Sicherstellung einer effizienten Datenübertragung. Effektive KI-Netzwerke sind entscheidend für sichere und zuverlässige Kommunikation, die Verhinderung von netzwerkbasierten Unterbrechungen und die Aufrechterhaltung der Leistung.

  • Aktivieren Sie Azure DDoS Protection für KI-Workloads im Internet.Azure DDoS Protection schützt Ihre KI-Dienste vor potenziellen Unterbrechungen und Ausfallzeiten, die durch verteilte Denial-of-Service-Angriffe verursacht werden. Aktivieren Sie Azure DDoS Protection auf der Ebene des virtuellen Netzwerks, um gegen Datenverkehrsfluten zu schützen, die auf Internetanwendungen ausgerichtet sind.

  • Stellen Sie eine Verbindung mit lokalen Netzwerken her. Verwenden Sie eine Jumpbox und Azure Bastion, um den operativen Zugriff auf KI-Workloads zu sichern. Bei Bedarf können einige Dienste wie Azure AI Foundry auf lokale Ressourcenzugreifen. Organisationen, die große Datenmengen von lokalen Quellen in Cloudumgebungen übertragen, sollten eine Verbindung mit hoher Bandbreite verwenden.

    • Erwägen Sie Azure ExpressRoute. Azure ExpressRoute eignet sich ideal für große Datenmengen, Echtzeitverarbeitung oder Workloads, die eine konsistente Leistung erfordern. Der Dienst verfügt über das FastPath-Feature, das die Leistung des Datenpfads verbessert.

    • Erwägen Sie Azure VPN Gateway. Verwenden Sie Azure VPN Gateway für moderate Datenmengen, seltene Datenübertragungen oder wenn ein öffentlicher Internetzugang erforderlich ist. Azure VPN Gateway ist für kleinere Datasets einfacher einzurichten und kosteneffizienter als ExpressRoute. Verwenden Sie die richtige Topologie und den richtigen Entwurf für Ihre KI-Workloads. Verwenden Sie Site-to-Site-VPN für standortübergreifende und hybride Konnektivität. Verwenden Sie ein Point-to-Site-VPN für sichere Gerätekonnektivität. Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen einem lokalen Netzwerk und Azure.

  • Vorbereiten von Diensten zur Auflösung von Domänennamen. Wenn Sie private Endpunkte verwenden, integrieren Sie private Endpunkte mit DNS für die ordnungsgemäße DNS-Auflösung und eine erfolgreiche Funktionalität privater Endpunke. Stellen Sie die Azure DNS-Infrastruktur als Teil Ihrer Azure-Zielzone bereit, und konfigurieren Sie bedingte Weiterleitungen von vorhandenen DNS-Diensten für die entsprechenden Zonen. Weitere Informationen finden Sie unter Private Link und DNS-Integration im großen Stil für Azure-Zielzonen.

  • Konfigurieren von Netzwerkzugriffssteuerungen. Verwenden Sie Netzwerksicherheitsgruppen (Network Security Groups, NSGs), um Zugriffsrichtlinien zu definieren und anzuwenden, die eingehenden und ausgehenden Datenverkehr bei KI-Workloads steuern. Mithilfe dieser Steuerungen lässt sich das Prinzip der geringsten Rechte umsetzen und so sicherstellen, dass nur die unbedingt erforderliche Kommunikation zulässig ist.

  • Verwenden von Netzwerküberwachungsdiensten. Verwenden Sie Dienste wie Azure Monitor Network Insights und Azure Network Watcher, um Einblicke in die Netzwerkleistung und -integrität zu erhalten. Verwenden Sie außerdem Microsoft Sentinel für die erweiterte Bedrohungserkennung und -reaktion in Ihrem Azure-Netzwerk.

  • Stellen Sie Azure Firewall bereit, um ausgehenden Azure-Workloaddatenverkehr zu prüfen und zu schützen.Azure Firewall erzwingt Sicherheitsrichtlinien für ausgehenden Datenverkehr, bevor er das Internet erreicht. Verwenden Sie sie, um ausgehenden Datenverkehr zu steuern und zu überwachen und SNAT zu ermöglichen, interne IP-Adressen zu verbergen, indem private IP-Adressen in die öffentliche IP-Adresse der Firewall übersetzt werden. Sie gewährleistet sicheren und identifizierbaren ausgehenden Datenverkehr für bessere Überwachung und Sicherheit.

  • Verwenden Sie Azure Web Application Firewall (WAF) für über das Internet zugängliche Workloads.Azure WAF schützt Ihre KI-Workloads vor allgemeinen Sicherheitsrisiken im Web, einschließlich SQL-Einschleusungen und Angriffen durch websiteübergreifendes Skripting. Konfigurieren Sie Azure WAF für Application Gateway für Workloads, die erhöhte Sicherheit vor bösartigem Webdatenverkehr erfordern.

Einrichten eines KI-Fundaments

Ein KI-Fundament stellt die Kerninfrastruktur und Ressourcenhierarchie bereit, die KI-Workloads in Azure unterstützen. Es umfasst das Einrichten skalierbarer, sicherer Umgebungen, die den Governance- und Betriebsanforderungen entsprechen. Ein starkes KI-Fundament ermöglicht eine effiziente Bereitstellung und Verwaltung von KI-Workloads. Es sorgt auch für Sicherheit und Flexibilität bei zukünftigem Wachstum.

Verwenden von Azure-Zielzonen

Eine Azure-Zielzone ist der empfohlene Ausgangspunkt, der Ihre Azure-Umgebung vorbereitet. Sie bietet ein vordefiniertes Setup für Plattform- und Anwendungsressourcen. Sobald die Plattform eingerichtet ist, können Sie KI-Workloads für dedizierte Anwendungszielzonen bereitstellen. Abbildung 2 unten veranschaulicht, wie KI-Workloads in eine Azure-Zielzone integriert werden.

Diagramm, das KI-Workloads in einer Azure-Zielzone zeigt.Abbildung 2. KI-Workload in einer Azure-Zielzone.

Aufbau einer KI-Umgebung

Wenn Sie keine Azure-Zielzone verwenden, befolgen Sie die Empfehlungen in diesem Artikel, um Ihre KI-Umgebung zu erstellen. Das folgende Diagramm zeigt eine grundlegende Ressourcenhierarchie. Darin sind interne KI-Workloads und internetbezogene KI-Workloads segmentiert, wie unter Einrichten von KI-Governance beschrieben. Interne Workloads verwenden Richtlinien, um den Onlinezugriff von Kunden zu verweigern. Diese Trennung schützt interne Daten vor der Offenlegung für externe Benutzer. Die KI-Entwicklung sollte eine Jumpbox verwenden, um KI-Ressourcen und Daten zu verwalten.

Diagramm, das die Ressourcenorganisation für interne und internetbezogene KI-Workloads zeigt.Abbildung 3. Grundlegende Ressourcenhierarchie für KI-Workloads.

Nächste Schritte

Der nächste Schritt besteht darin, KI-Workloads in Ihrer KI-Umgebung zu erstellen und bereitzustellen. Unter den folgenden Links finden Sie die Ihren Anforderungen entsprechenden Architekturleitfäden. Beginnen Sie mit PaaS-Architekturen (Platform-as-a-Service). PaaS ist der empfohlene Ansatz von Microsoft für die Einführung von KI.

Leitfaden zur PaaS-KI-Architektur

Leitfaden zur IaaS-KI-Architektur