Compartir vía


Listo para IA - Recomendaciones para organizaciones que crean cargas de trabajo de inteligencia artificial en Azure

En este artículo se describe el proceso organizativo para crear cargas de trabajo de inteligencia artificial en Azure. En el artículo se proporcionan recomendaciones para tomar decisiones clave de diseño y proceso para adoptar cargas de trabajo de inteligencia artificial a escala. Se centra en las instrucciones específicas de la inteligencia artificial para la selección de regiones, la organización de recursos y las redes.

Diagrama que muestra el proceso de adopción de la inteligencia artificial: estrategia de IA, plan de IA, listo para IA, gobernanza de IA, administración de IA e IA segura.

Establecimiento de la confiabilidad de IA

La confiabilidad de la inteligencia artificial implica seleccionar las regiones adecuadas para hospedar modelos de IA para garantizar un rendimiento, un cumplimiento y una disponibilidad coherentes. Las organizaciones deben abordar la redundancia, la conmutación por error y la optimización del rendimiento para mantener los servicios de IA confiables.

  • Usar varias regiones para hospedar puntos de conexión del modelo de IA. En el caso de las cargas de trabajo de producción, hospede puntos de conexión de IA en al menos dos regiones para proporcionar redundancia y garantizar la alta disponibilidad. Aunque los modelos de inteligencia artificial generativa no tienen estado, hospedarlos en varias regiones garantiza una conmutación por error y recuperación más rápidas durante los errores en regiones. En el caso de los modelos de servicio OpenAI de Azure, puede usar implementaciones globales. Estas implementaciones de varias regiones pueden enrutar automáticamente y de forma transparente las solicitudes a una región que tenga suficiente capacidad. Si elige una implementación no global, también conocida como implementación regional, use Azure API Management para equilibrar la carga de las solicitudes de API a los puntos de conexión de IA.

  • Confirmar la disponibilidad del servicio. Antes de la implementación, asegúrese de que hay disponibilidad en la región para los recursos de inteligencia artificial que necesita. Es posible que algunas regiones no proporcionen servicios de inteligencia artificial específicos o que tengan características limitadas, lo que puede afectar a la funcionalidad de la solución. Esta limitación también puede afectar a la escalabilidad de la implementación. Por ejemplo, la disponibilidad del servicio Azure OpenAI puede variar en función del modelo de implementación. Estos modelos de implementación incluyen estándar global, aprovisionada global, estándar regional y aprovisionada regional. Compruebe el servicio de IA para confirmar que tiene acceso a los recursos necesarios.

  • Evaluar la cuota y la capacidad de la región. Tenga en cuenta los límites de cuota o suscripción en la región elegida a medida que crecen las cargas de trabajo de IA. Los servicios de Azure tienen límites de suscripción regionales. Estos límites pueden afectar a las implementaciones de modelos de IA a gran escala, como cargas de trabajo de inferencia grandes. Para evitar interrupciones, póngase en contacto con Soporte técnico de Azure de antemano si prevé una necesidad de capacidad adicional.

  • Evaluar el rendimiento. Al crear aplicaciones que necesitan recuperar datos, como aplicaciones de generación aumentada de recuperación (RAG), es importante tener en cuenta las ubicaciones de almacenamiento de datos para optimizar el rendimiento. No es necesario colocar datos con modelos en aplicaciones RAG, pero hacerlo puede mejorar el rendimiento al reducir la latencia y garantizar una recuperación de datos eficaz.

  • Prepararse para la continuidad de las operaciones. Para garantizar la continuidad empresarial y la recuperación ante desastres, replique recursos críticos, como modelos optimizados, datos RAG, modelos entrenados y conjuntos de datos de entrenamiento en una región secundaria. Esta redundancia permite una recuperación más rápida si hay una interrupción y garantiza la disponibilidad continua del servicio.

Establecimiento de la gobernanza de IA

La gobernanza de la inteligencia artificial abarca la organización de recursos y la aplicación de directivas para administrar cargas de trabajo y costes de inteligencia artificial. Implica estructurar grupos de administración y suscripciones para garantizar el cumplimiento y la seguridad en distintas cargas de trabajo. La gobernanza adecuada de la inteligencia artificial evita el acceso no autorizado, administra los riesgos y garantiza que los recursos de inteligencia artificial funcionen de forma eficaz dentro de la organización.

  • Separe las cargas de trabajo de inteligencia artificial internas y orientadas a Internet. Como mínimo, use grupos de administración para separar las cargas de trabajo de inteligencia artificial en Internet ("en línea") y solo internas ("corporativas"). La distinción proporciona un límite importante de gobernanza de datos. Ayuda a mantener la separación interna de los datos públicos. No quiere que los usuarios externos accedan a la información empresarial confidencial necesaria para el trabajo interno. Esta distinción entre las cargas de trabajo internas y orientadas a Internet se alinea con los grupos de administración de zonas de aterrizaje de Azure.

  • Aplicar directivas de IA a cada grupo de administración. Comience con las directivas de línea base para cada tipo de carga de trabajo, como las que se usan en las zonas de aterrizaje de Azure. Agregue más definiciones de Azure Policy a la línea base para impulsar la gobernanza uniforme de Servicios de Azure AI, Búsqueda de Azure AI, Azure Machine Learning y Azure Virtual Machines.

  • Implementar recursos de IA en suscripciones de carga de trabajo. Los recursos de inteligencia artificial deben heredar las directivas de gobernanza de cargas de trabajo del grupo de administración de cargas de trabajo (internas u orientadas a Internet). Manténgalas separadas de los recursos de la plataforma. Los recursos de inteligencia artificial controlados por los equipos de plataforma tienden a crear cuellos de botella de desarrollo. En el contexto de la zona de aterrizaje de Azure, implemente cargas de trabajo de IA en suscripciones de zona de aterrizaje de aplicaciones.

Establecimiento de redes de IA

Las redes de IA hacen referencia al diseño e implementación de la infraestructura de red para cargas de trabajo de IA, incluida la seguridad y la conectividad. Implica el uso de topologías como radial, la aplicación de medidas de seguridad como DDoS Protection y la garantía de una transferencia de datos eficaz. Las redes de inteligencia artificial eficaces son fundamentales para una comunicación segura y confiable, lo que evita interrupciones basadas en la red y mantiene el rendimiento.

  • Activar Azure DDoS Protection para cargas de trabajo de IA orientadas a Internet. Azure DDoS Protection protege los servicios de inteligencia artificial frente a posibles interrupciones y tiempos de inactividad causados por ataques por denegación de servicio distribuidos. Habilite Azure DDoS Protection en el nivel de red virtual para defenderse contra las inundaciones de tráfico destinadas a aplicaciones accesibles desde Internet.

  • .Conectarse a datos locales. Para las organizaciones que transfieren grandes cantidades de datos de orígenes locales a entornos en la nube, use una conexión de ancho de banda alto.

    • Considerar la posibilidad de usar Azure ExpressRoute. Azure ExpressRoute es ideal para grandes volúmenes de datos, procesamiento en tiempo real o cargas de trabajo que requieren un rendimiento coherente. Tiene una característica de FastPath que mejora el rendimiento de la ruta de acceso de datos.

    • Considerar la posibilidad de Azure VPN Gateway. Use Azure VPN Gateway para volúmenes de datos moderados, transferencia de datos poco frecuentes o cuando se requiera acceso a Internet público. Es más sencillo de configurar y rentable para conjuntos de datos más pequeños que ExpressRoute. Use la topología y el diseño correctos para las cargas de trabajo de IA. Use VPN de sitio a sitio para la conectividad híbrida y entre locales. Use una VPN de punto a sitio para proteger la conectividad de dispositivos. Para más información, consulte Connect an on-premises network to Azure (Conexión de una red local a Azure).

  • Preparar los servicios de resolución de nombres de dominio. Al usar puntos de conexión privados, integre puntos de conexión privados con DNS para una resolución de DNS adecuada y una funcionalidad correcta del punto de conexión privado. Implemente la infraestructura de Azure DNS como parte de la zona de aterrizaje de Azure y configure reenviadores condicionales de los servicios DNS existentes para las zonas adecuadas. Para obtener más información, consulte Integración de Private Link y DNS a escala para zonas de aterrizaje de Azure.

  • Configurar controles de acceso a la red. Use grupos de seguridad de red (NSG) para definir y aplicar directivas de acceso que rijan el tráfico entrante y saliente hacia y desde cargas de trabajo de IA. Estos controles se pueden usar para implementar el principio de privilegios mínimos, lo que garantiza que solo se permita la comunicación esencial.

  • Usar servicios de supervisión de red. Use servicios como Azure Monitor Network Insights y Azure Network Watcher para obtener visibilidad del rendimiento y el estado de la red. Además, use Microsoft Sentinel para la detección avanzada de amenazas y la respuesta a través de la red de Azure.

  • Implementar Azure Firewall para inspeccionar y proteger el tráfico de carga de trabajo de Azure saliente. Azure Firewall aplica directivas de seguridad para el tráfico saliente antes de que llegue a Internet. Úselo para controlar y supervisar el tráfico saliente y permitir que SNAT oculte las direcciones IP internas mediante la traducción de direcciones IP privadas a la dirección IP pública del firewall. Garantiza un tráfico saliente seguro e identificable para mejorar la supervisión y la seguridad.

  • Usar Azure Web Application Firewall (WAF) para cargas de trabajo orientadas a Internet. Azure WAF ayuda a proteger las cargas de trabajo de inteligencia artificial frente a vulnerabilidades web comunes, incluidas las inyecciones de SQL y los ataques de scripting entre sitios. Configure Azure WAF en Application Gateway para cargas de trabajo que requieran una mayor seguridad frente al tráfico web malintencionado.

Establecimiento de una base de IA

Una base de IA proporciona la infraestructura principal y la jerarquía de recursos que admiten cargas de trabajo de IA en Azure. Incluye la configuración de entornos escalables y seguros que se alinean con las necesidades operativas y de gobernanza. Una base de inteligencia artificial sólida permite una implementación y administración eficientes de las cargas de trabajo de IA. También garantiza la seguridad y la flexibilidad para el crecimiento futuro.

Uso de zonas de aterrizaje de Azure

Una zona de aterrizaje de Azure es el punto de partida recomendado que prepara el entorno de Azure. Proporciona una configuración predefinida para los recursos de plataforma y aplicación. Una vez implementada la plataforma, puede implementar cargas de trabajo de inteligencia artificial en zonas de aterrizaje de aplicaciones dedicadas. En la figura 2 siguiente se muestra cómo se integran las cargas de trabajo de inteligencia artificial dentro de una zona de aterrizaje de Azure.

Diagrama que muestra las cargas de trabajo de IA dentro de una zona de aterrizaje de Azure.Figura 2. Carga de trabajo de IA en una zona de aterrizaje de Azure.

Creación de un entorno de IA

Si no usa una zona de aterrizaje de Azure, siga las recomendaciones de este artículo para crear el entorno de IA. En el diagrama siguiente se muestra una jerarquía de recursos de línea base. Segmenta las cargas de trabajo de inteligencia artificial internas y las cargas de trabajo de IA orientadas a Internet, como se describe en Establecimiento de la gobernanza de la IA. Las cargas de trabajo internas usan la directiva para denegar el acceso en línea de los clientes. Esta separación protege los datos internos de la exposición a los usuarios externos. El desarrollo de inteligencia artificial usa un jumpbox para administrar los datos y los recursos de inteligencia artificial.

Diagrama que muestra la organización de recursos para cargas de trabajo de IA internas y orientadas a Internet.Figura 3. Jerarquía de recursos de línea base para cargas de trabajo de IA.

Pasos siguientes

El siguiente paso consiste en crear e implementar cargas de trabajo de inteligencia artificial en el entorno de IA. Use los vínculos siguientes para encontrar las instrucciones de arquitectura que satisfagan sus necesidades. Empiece con arquitecturas de plataforma como servicio (PaaS). PaaS es el enfoque recomendado de Microsoft para adoptar la inteligencia artificial.