Arquitectura de Azure AI Foundry
Azure AI Foundry proporciona una experiencia unificada para que los desarrolladores de inteligencia artificial y los científicos de datos compilen, evalúen e implementen modelos de IA a través de un portal web, un SDK o una CLI. Azure AI Foundry se basa en funcionalidades y servicios proporcionados por otros servicios de Azure.
Importante
Estudio de IA de Azure ahora es el portal Azure AI Foundry. Estamos actualizando la documentación para reflejar este cambio. Mientras tanto, es posible que vea referencias a Estudio de IA de Azure.
En el nivel superior, Azure AI Foundry proporciona acceso a los siguientes recursos:
Azure OpenAI: proporciona acceso a los modelos de OpenAI más recientes. Puede crear implementaciones seguras, probar áreas de juegos, ajustar modelos, filtros de contenido y trabajos por lotes. El proveedor de recursos de Azure OpenAI es
Microsoft.CognitiveServices/accounty el tipo de recurso esOpenAI. También puede conectarse a Azure OpenAI mediante un tipo deAIServices, que también incluye otros servicios de Azure AI.Al usar el portal de Azure AI Foundry, puede trabajar directamente con Azure OpenAI sin un proyecto de Azure Studio o puede usar Azure OpenAI en un proyecto.
Para más información, visite Azure OpenAI en el portal de Azure AI Foundry.
Centro de administración: el centro de administración simplifica la gobernanza y la administración de recursos de AI Foundry, como centros, proyectos, recursos conectados e implementaciones.
Para obtener más información, visite Centro de administración.
Centro de Azure AI Foundry: el centro es el recurso de nivel superior en el portal de Azure AI Foundry y se basa en el servicio Azure Machine Learning. El proveedor de recursos de Azure para un centro es
Microsoft.MachineLearningServices/workspaces, y el tipo de recurso esHub. Ofrece las siguientes características:- Configuración de seguridad, incluida una red administrada que abarca proyectos y puntos de conexión de modelo.
- Recursos de proceso para el desarrollo interactivo, ajuste preciso, código abierto e implementaciones de modelos sin servidor.
- Conexiones a otros servicios de Azure, como Azure OpenAI, servicios de Azure AI y Búsqueda de Azure AI. Las conexiones con ámbito de concentrador se comparten con proyectos creados desde el centro.
- Administración de proyectos. Un centro puede tener varios proyectos secundarios.
- Una cuenta de Azure Storage asociada para la carga de datos y el almacenamiento de artefactos.
Para obtener más información, visite Introducción a los centros y los proyectos.
Proyecto de Azure AI Foundry: un proyecto es un recurso secundario del centro. El proveedor de recursos de Azure para un proyecto es
Microsoft.MachineLearningServices/workspaces, y el tipo de recurso esProject. El proyecto proporciona las siguientes características:- Acceso a las herramientas de desarrollo para crear y personalizar aplicaciones de inteligencia artificial.
- Componentes reutilizables, incluidos conjuntos de datos, modelos e índices.
- Un contenedor aislado en el que cargar datos (dentro del almacenamiento heredado del centro).
- Conexiones con ámbito de proyecto. Por ejemplo, es posible que los miembros del proyecto necesiten acceso privado a los datos almacenados en una cuenta de Azure Storage sin conceder ese mismo acceso a otros proyectos.
- Implementaciones de modelos de código abierto desde puntos de conexión de modelo de catálogo y optimizados.
Para obtener más información, visite Introducción a los centros y los proyectos.
Conexiones: los centros y proyectos de Azure AI Foundry usan conexiones para acceder a los recursos proporcionados por otros servicios. Por ejemplo, los datos de una cuenta de Azure Storage, Azure OpenAI u otros servicios de Azure AI.
Para obtener más información, visite Conexiones.
Tipos de recursos y proveedores de Azure
Azure AI Foundry se basa en el proveedor de recursos de Azure Machine Learning y toma una dependencia de varios otros servicios de Azure. Los proveedores de recursos para estos servicios deben registrarse en la suscripción de Azure. En la tabla siguiente se enumeran los tipos de recursos, el proveedor y el tipo:
| Tipo de recurso | Proveedor de recursos | Clase |
|---|---|---|
| Centro de Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
hub |
| Proyecto de Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
project |
| Servicios de Azure AI o Servicio OpenAI de Azure AI |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
Al crear un nuevo centro, se requiere un conjunto de recursos de Azure dependientes para almacenar datos, obtener acceso a los modelos y proporcionar recursos de proceso para la personalización de IA. En la tabla siguiente se enumeran los recursos de Azure dependientes y sus proveedores de recursos:
Sugerencia
Si no proporciona un recurso dependiente al crear un centro y es una dependencia necesaria, Azure AI Foundry crea el recurso automáticamente.
| Recurso de Azure dependiente | Proveedor de recursos | Opcionales | Nota: |
|---|---|---|---|
| Azure AI Search | Microsoft.Search/searchServices |
✔ | Proporciona funcionalidades de búsqueda para los proyectos. |
| Cuenta de Azure Storage | Microsoft.Storage/storageAccounts |
Almacena artefactos para los proyectos como flujos y evaluaciones. Para el aislamiento de datos, los contenedores de almacenamiento tienen como prefijo el GUID del proyecto y se protegen condicionalmente mediante Azure ABAC para la identidad del proyecto. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
Almacena secretos como cadenas de conexión para las conexiones de recursos. En el caso del aislamiento de datos, los secretos no se pueden recuperar entre proyectos a través de API. | |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Almacena imágenes de Docker creadas al usar el entorno de ejecución personalizado para el flujo de avisos. Para el aislamiento de datos, las imágenes de docker tienen como prefijo el GUID del proyecto. |
| Azure Application Insights & Área de trabajo de Log Analytics |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Se usa como almacenamiento de registros al optar por el registro de nivel de aplicación para los flujos de avisos implementados. |
Para obtener información sobre cómo registrar proveedores de recursos, consulte Registro de un proveedor de recursos de Azure.
Recursos hospedados por Microsoft
Aunque la mayoría de los recursos usados por Azure AI Foundry residen en su suscripción de Azure, algunos recursos se encuentran en una suscripción de Azure administrada por Microsoft. El costo de estos recursos administrados se muestra en la factura de Azure como un elemento de línea en el proveedor de recursos de Azure Machine Learning. Los siguientes recursos están en la suscripción de Azure administrada por Microsoft y no aparecen en la suscripción de Azure:
Recursos de proceso administrados: proporcionados por los recursos de Azure Batch en la suscripción de Microsoft.
Red virtual administrada: proporcionada por los recursos de Azure Virtual Network en la suscripción de Microsoft. Si las reglas de FQDN están habilitadas, se agrega una instancia de Azure Firewall (estándar) y se cobra a la suscripción. Para más información, consulte Configurar una red virtual administrada para Azure AI Foundry.
Almacenamiento de metadatos: proporcionado por los recursos de Azure Storage en la suscripción de Microsoft.
Nota:
Si usa claves administradas por el cliente, los recursos de almacenamiento de metadatos se crean en la suscripción. Para obtener más información, consulte Claves administradas por el cliente.
Los recursos de proceso administrados y las redes virtuales administradas existen en la suscripción de Microsoft, pero los administra usted. Por ejemplo, puede controlar qué tamaños de máquina virtual se usan para los recursos de proceso y qué reglas de salida están configuradas para la red virtual administrada.
Los recursos de proceso administrados también requieren administración de vulnerabilidades. La administración de vulnerabilidades es una responsabilidad compartida entre el usuario y Microsoft. Para obtener más información, consulte Administración de vulnerabilidades.
Configuración y gobernanza centralizadas mediante centros de conectividad
Los centros de conectividad proporcionan una manera central para que un equipo controle la seguridad, la conectividad y los recursos informáticos en las áreas de juego y los proyectos. Los proyectos que se crean mediante un centro heredan la misma configuración de seguridad y el acceso a recursos compartidos. Teams puede crear tantos proyectos como sea necesario para organizar el trabajo, aislar los datos o restringir el acceso.
A menudo, los proyectos de un dominio empresarial requieren acceso a los mismos recursos de la empresa, como índices vectoriales, puntos de conexión de modelo o repositorios. Como responsable del equipo, puede configurar previamente la conectividad con estos recursos dentro de un centro de conectividad, por lo que los desarrolladores pueden acceder a ellos desde cualquier área de trabajo de proyecto nueva sin demora en TI.
Conexiones permiten acceder a objetos de Azure AI Foundry administrados fuera del centro. Por ejemplo, los datos cargados en una cuenta de Azure Storage o implementaciones de modelos en un recurso de Azure OpenAI existente. Se puede compartir una conexión con cada proyecto o se puede acceder a un proyecto específico. Las conexiones se pueden configurar para usar acceso basado en claves o acceso directo de Microsoft Entra ID para autorizar el acceso a los usuarios en el recurso conectado. Como administrador, puede realizar un seguimiento, auditar y administrar conexiones entre la organización desde una sola vista en Azure AI Foundry.
Organizar las necesidades de su equipo
El número de centros y proyectos que necesita depende de su manera de trabajar. Puede crear un único centro para un equipo grande con necesidades de acceso a datos similares. Esta configuración maximiza la rentabilidad, el uso compartido de recursos y minimiza la sobrecarga de configuración. Por ejemplo, un centro para todos los proyectos relacionados con el soporte técnico al cliente.
Si necesita aislamiento entre desarrollo, prueba y producción como parte de la estrategia de LLMOps o MLOps, considere la posibilidad de crear un centro para cada entorno. En función de la preparación de la solución para producción, puede decidir replicar las áreas de trabajo del proyecto en cada entorno o solo en uno.
Control de acceso basado en rol y proxy del plano de control
Los servicios de Azure AI, incluido Azure OpenAI, proporcionan puntos de conexión del plano de control para operaciones como enumerar implementaciones de modelos. Estos puntos de conexión se protegen mediante una configuración independiente de control de acceso basado en rol (RBAC) de Azure que la que se usa para un centro.
Para reducir la complejidad de la administración de RBAC de Azure, AI Foundry proporciona un proxy de plano de control que le permite realizar operaciones en los servicios de Azure AI conectados y los recursos de Azure OpenAI. La realización de operaciones en estos recursos a través del proxy del plano de control solo requiere permisos de RBAC de Azure en el centro. A continuación, el servicio Azure AI Foundry realiza la llamada a los servicios de Azure AI o al punto de conexión del plano de control de Azure OpenAI en su nombre.
Para más información, consulte Control de acceso basado en rol en el portal de Azure AI Foundry.
Control de acceso basado en atributos
Cada centro que cree tiene una cuenta de almacenamiento predeterminada. Cada proyecto secundario del centro hereda la cuenta de almacenamiento del centro. La cuenta de almacenamiento se usa para almacenar datos y artefactos.
Para proteger la cuenta de almacenamiento compartido, Azure AI Foundry usa tanto RBAC de Azure como el control de acceso basado en atributos de Azure (ABAC de Azure). Azure ABAC es un modelo de seguridad que define el control de acceso en función de los atributos asociados con el usuario, el recurso y el entorno. Cada proyecto tiene:
- Una entidad de seguridad de servicio a la que se ha asignado el rol de Colaborador de datos de blobs de almacenamiento en la cuenta de almacenamiento.
- Un identificador único (id. del área de trabajo).
- Un conjunto de contenedores en la cuenta de almacenamiento. Cada contenedor tiene un prefijo que corresponde al valor de identificador del área de trabajo para el proyecto.
La asignación de roles para la entidad de servicio de cada proyecto tiene una condición que solo permite que la entidad de servicio acceda a contenedores con el valor de prefijo coincidente. Esta condición garantiza que cada proyecto solo pueda acceder a sus propios contenedores.
Nota:
Para el cifrado de datos en la cuenta de almacenamiento, el ámbito es todo el almacenamiento y no por contenedor. Por lo tanto, todos los contenedores se cifran con la misma clave (proporcionada por Microsoft o por el cliente).
Para más información sobre el control de acceso basado en atributos de Azure, consulte Qué es el control de acceso basado en atributos de Azure.
Contenedores en la cuenta de almacenamiento
La cuenta de almacenamiento predeterminada para un centro tiene los siguientes contenedores. Estos contenedores se crean para cada proyecto y el prefijo {workspace-id} coincide con el identificador único del proyecto. Los proyectos acceden a un contenedor mediante una conexión.
Sugerencia
Para buscar el identificador del proyecto, vaya al proyecto en Azure Portal. Expanda Configuración y, a continuación, seleccione Propiedades. Se muestra el id. del área de trabajo.
| Nombre del contenedor | Nombre de conexión | Descripción |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Almacenamiento para recursos como métricas, modelos y componentes. |
{workspace-ID}-blobstore |
workspaceblobstore | Almacenamiento para carga de datos, instantáneas de código de trabajo y caché de datos de canalización. |
{workspace-ID}-code |
N/D | Almacenamiento para cuadernos, instancias de proceso y flujo de avisos. |
{workspace-ID}-file |
N/D | Contenedor alternativo para la carga de datos. |
Cifrado
Azure AI Foundry usa el cifrado para proteger los datos en reposo y en tránsito. De forma predeterminada, las claves administradas por Microsoft se usan para el cifrado. Sin embargo, puede usar sus propias claves de cifrado. Para obtener más información, consulte Claves administradas por el cliente.
Red virtual
Un centro se puede configurar para usar una red virtual administrada. La red virtual administrada protege las comunicaciones entre el centro, los proyectos y los recursos administrados, como los procesos. Si los servicios de dependencia (Azure Storage, Key Vault y Container Registry) tienen deshabilitado el acceso público, se crea un punto de conexión privado para cada servicio de dependencia para proteger la comunicación entre el centro y el proyecto y el servicio de dependencia.
Nota:
Si desea usar una red virtual para proteger las comunicaciones entre los clientes y el centro o proyecto, debe usar una instancia de Azure Virtual Network que cree y administre. Por ejemplo, una red virtual Azure que usa una conexión VPN o ExpressRoute a su red local.
Para más información sobre cómo configurar una red virtual administrada, consulte Configurar una red virtual administrada para Azure AI Foundry.
Azure Monitor
Azure Monitor y Azure Log Analytics proporcionan supervisión y registro para los recursos subyacentes usados por Azure AI Foundry. Dado que Azure AI Foundry se basa en Azure Machine Learning, Azure OpenAI, servicios de Azure AI y Azure AI Search, use los siguientes artículos para aprender a supervisar los servicios:
| Resource | Supervisión y registro |
|---|---|
| Centro y proyecto de Azure AI Foundry | Supervisión de Azure Machine Learning |
| Azure OpenAI | Supervisión de Azure OpenAI |
| Servicios de Azure AI | Supervisión de Azure AI (entrenamiento) |
| Azure AI Search | Supervisión de Azure AI Search |
Precio y cuota
Para obtener más información sobre el precio y la cuota, use los siguientes artículos:
Pasos siguientes
Cree un centro con uno de los métodos siguientes:
- Portal de Azure AI Foundry: cree un centro para empezar a trabajar.
- Azure Portal: Cree un centro con sus propias redes.
- Plantilla de Bicep.