Partager via


Architecture Azure AI Foundry

AI Foundry offre une expérience unifiée aux développeurs d’IA et aux scientifiques des données pour créer, évaluer et déployer des modèles IA via un portail web, un kit SDK ou une interface CLI. AI Foundry repose sur les fonctionnalités et les services fournis par d’autres services Azure.

Important

Azure AI Studio est maintenant Azure AI Foundry. Nous mettons à jour la documentation pour refléter cette modification. En attendant, vous pouvez consulter des références à Azure AI Studio.

Diagramme de l’architecture de haut niveau d’Azure AI Foundry.

Au niveau supérieur, AI Foundry fournit l’accès aux ressources suivantes :

  • Azure OpenAI : permet d’accéder aux derniers modèles Open AI. Vous pouvez créer des déploiements sécurisés, essayer des terrains de jeu, ajuster des modèles, des filtres de contenu et des travaux par lots. Le fournisseur de ressources Azure OpenAI est Microsoft.CognitiveServices/account et le type de ressource est OpenAI. Vous pouvez également vous connecter à Azure OpenAI à l’aide d’un type de AIServices, qui inclut également d’autres services Azure AI services.

    Lorsque vous utilisez le portail Azure AI Foundry, vous pouvez travailler directement avec Azure OpenAI sans projet Azure Studio ou utiliser Azure OpenAI via un projet.

    Pour plus d’informations, consultez Azure OpenAI dans le portail Azure AI Foundry.

  • Centre de gestion : le centre de gestion simplifie la gouvernance et la gestion des ressources AI Foundry telles que les hubs, les projets, les ressources connectées et les déploiements.

    Pour plus d’informations, visitez le Centre de gestion.

  • Hub AI Foundry : le hub est la ressource de niveau supérieur dans le portail AI Foundry et est basé sur le service Azure Machine Learning service. Le fournisseur de ressources Azure pour un hub est Microsoft.MachineLearningServices/workspaces et le type de ressource est Hub. Elle fournit les fonctionnalités suivantes :

    • Configuration de la sécurité, y compris un réseau managé qui s’étend sur des projets et des points de terminaison de modèle.
    • Ressources de calcul pour les modèles de déploiements open source, serverless, de développement interactif et d’optimisation.
    • Connexions à d’autres services Azure tels que Azure OpenAI, Azure AI services et Recherche Azure AI. Les connexions délimitées au hub sont partagées avec les projets créés à partir du hub.
    • Gestion de projet. Un hub peut avoir plusieurs projets enfants.
    • Un compte de stockage Azure associé pour le chargement des données et le stockage d’artefacts.

    Pour plus d’informations, consultez la Vue d’ensemble des hubs et des projets.

  • Projet AI Foundry : un projet est une ressource enfant du hub. Le fournisseur de ressources Azure pour un projet est Microsoft.MachineLearningServices/workspaces et le type de ressource est Project. Le projet fournit les fonctionnalités suivantes :

    • Accès aux outils de développement pour la création et la personnalisation d’applications IA.
    • Composants réutilisables, notamment les jeux de données, les modèles et les index.
    • Un conteneur isolé pour télécharger les données (dans le stockage hérité du hub).
    • Connexions à l’échelle du projet. Par exemple, les membres du projet peuvent avoir besoin d’un accès privé aux données stockées dans un compte de stockage Azure sans accorder ce même accès à d’autres projets.
    • Déploiements de modèles open source à partir d’un catalogue et de points de terminaison de modèle ajustés.

    Diagramme de la relation entre les ressources AI Foundry.

    Pour plus d’informations, consultez la Vue d’ensemble des hubs et des projets.

  • Connexions : les hubs et projets Azure AI Foundry utilisent des connexions pour accéder aux ressources fournies par d’autres services. Par exemple, les données d’un compte de Stockage Azure, d’Azure OpenAI ou d’autres services Azure AI services.

    Pour plus d’informations, consultez Connexions.

Types de ressources et fournisseurs Azure

Azure AI Foundry repose sur le fournisseur de ressources Azure Machine Learning et dépend de plusieurs autres services Azure. Les fournisseurs de ressources pour ces services doivent être enregistrés dans votre abonnement Azure. Le tableau suivant répertorie les types de ressources, les fournisseurs et les types de ressources :

Type de ressource Fournisseur de ressources Genre
Hub Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Projet Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Azure AI Services ou
Azure AI OpenAI Service
Microsoft.CognitiveServices/account AIServices
OpenAI

Lorsque vous créez un nouveau hub, un ensemble de ressources Azure dépendantes est nécessaire pour stocker les données, accéder aux modèles et fournir des ressources de calcul pour la personnalisation de l’IA. Le tableau suivant répertorie les ressources Azure dépendantes et leurs fournisseurs de ressources :

Conseil

Si vous ne fournissez pas de ressource dépendante lors de la création d’un hub et que cette dépendance est requise, AI Foundry crée la ressource pour vous.

Ressource Azure dépendante Fournisseur de ressources Facultatif Remarque
Azure AI Search Microsoft.Search/searchServices Fournit des fonctionnalités de recherche pour vos projets.
Compte de Stockage Azure Microsoft.Storage/storageAccounts Stocke les artefacts de vos projets, comme les flux et les évaluations. Pour l’isolation des données, les conteneurs de stockage sont préfixés à l’aide du GUID du projet et sécurisés de manière conditionnelle à l’aide d’Azure ABAC pour l’identité du projet.
Azure Key Vault Microsoft.KeyVault/vaults Stocke des secrets comme les chaînes de connexion pour les connexions de votre ressource. Pour l’isolation des données, les secrets ne peuvent pas être récupérés entre les projets via des API.
Azure Container Registry Microsoft.ContainerRegistry/registries Permet de stocker des images Docker lors de l’utilisation d’un runtime personnalisé pour un flux d’invite. Pour l’isolation des données, les images Docker sont préfixées à l’aide du GUID du projet.
Azure Application Insights &
Espace de travail Log Analytics
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Utilisé comme stockage de journaux quand vous choisissez la journalisation au niveau de l’application pour vos flux d’invite déployés.

Pour plus d’informations sur l’inscription des fournisseurs de ressources, consultez la section Inscrire un fournisseur de ressources Azure.

Ressources hébergées par Microsoft

Bien que la plupart des ressources utilisées par Azure AI Foundry se trouvent dans votre abonnement Azure, certaines ressources se trouvent dans un abonnement Azure managé par Microsoft. Le coût de ces ressources managées s’affiche sur votre facture Azure en tant qu’élément de ligne sous le fournisseur de ressources Azure Machine Learning. Les ressources suivantes se trouvent dans l’abonnement Azure managé par Microsoft et ne s’affichent pas dans votre abonnement Azure :

  • Ressources de calcul managées : fournies par les ressources Azure Batch dans l’abonnement Microsoft.

  • Réseau virtuel managé : fourni par les ressources de réseau virtuel Azure dans l’abonnement Microsoft. Si les règles de nom de domaine complet sont activées, un pare-feu Azure (standard) est ajouté et facturé à votre abonnement. Pour plus d’informations, consultez Configurer un réseau virtuel managé pour Azure AI Foundry.

  • Stockage des métadonnées : fourni par les ressources Azure Storage dans l’abonnement Microsoft.

    Remarque

    Si vous utilisez des clés gérées par le client, les ressources de stockage de métadonnées sont créées dans votre abonnement. Pour plus d’informations, consultez Clés gérées par le client.

Les ressources de calcul managées et les réseaux virtuels managés existent dans l’abonnement Microsoft, mais c'est vous qui les gérez.. Par exemple, vous contrôlez les tailles de machine virtuelle utilisées pour les ressources de calcul et les règles de trafic sortant configurées pour le réseau virtuel managé.

Les ressources de calcul managées nécessitent également une gestion des vulnérabilités. La gestion des vulnérabilités est une responsabilité partagée entre vous et Microsoft. Pour plus d’informations, consultez la section Gestion des vulnérabilités.

Configurer et régir de manière centralisée à l’aide de hubs

Les hubs permettent à une équipe de gérer de manière centralisée la sécurité, la connectivité et les ressources informatiques dans les aires de jeux et les projets. Les projets créés à l’aide d’un hub héritent des mêmes paramètres de sécurité et de l’accès aux ressources partagées. Teams peut créer autant de projets que nécessaire pour organiser le travail, isoler les données et/ou restreindre l’accès.

Souvent, les projets d’un domaine d’entreprise nécessitent l’accès aux mêmes ressources d’entreprise telles que les index vectoriels, les points de terminaison de modèle ou les Repos. En tant que responsable d’équipe, vous pouvez préconfigurer la connectivité avec ces ressources au sein d’un hub afin que les développeurs puissent y accéder à partir de n’importe quel nouvel espace de travail de projet sans délai sur l’informatique.

Connexions vous permet d’accéder à des objets dans AI Foundry managés en dehors de votre hub. Par exemple, les données chargées sur un compte de stockage Azure ou les modèles de déploiements sur une ressource Azure OpenAI existante. Une connexion peut être partagée avec chaque projet ou rendue accessible à un projet spécifique. Les connexions peuvent être configurées pour utiliser l’accès basé sur des clés ou le passage Microsoft Entra ID pour autoriser l’accès aux utilisateurs sur la ressource connectée. En tant qu’administrateurs, vous pouvez suivre, auditer et gérer les connexions au sein de l’organisation à partir d’un seul affichage dans AI Foundry.

Capture d’écran d’AI Foundry montrant une vue d’audit de toutes les ressources connectées d’un hub et de ses projets.

Organiser les besoins de votre équipe

Le nombre de hubs et de projets dont vous avez besoin dépend de votre mode de travail. Vous pouvez créer un hub unique pour une grande équipe avec des besoins d’accès aux données similaires. Cette configuration optimise l’efficacité des coûts, le partage de ressources et réduit la surcharge de configuration. Par exemple, un hub pour tous les projets liés au support client.

Si vous avez besoin d’une isolation entre le développement, le test et la production dans le cadre de votre stratégie LLMOps ou MLOps, envisagez de créer un hub pour chaque environnement. Selon la préparation de votre solution pour la production, vous pouvez décider de répliquer vos espaces de travail de projet dans chaque environnement ou simplement dans un seul environnement.

Contrôle d’accès en fonction du rôle et proxy de plan de contrôle

Azure AI services et Azure OpenAI fournissent des points de terminaison de plan de contrôle pour les opérations telles que l’énumération des modèles de déploiement. Ces points de terminaison sont sécurisés à l’aide d’une configuration de contrôle d’accès en fonction du rôle (RBAC) Azure distincte que celle utilisée pour un hub.

Pour réduire la complexité de la gestion du contrôle d’accès en fonction du rôle (RBAC) d’Azure, AI Foundry fournit un proxy de plan de contrôle qui vous permet d’effectuer des opérations sur les ressources Azure AI services et Azure OpenAI connectées. L’exécution d’opérations sur ces ressources via le proxy de plan de contrôle nécessite uniquement des autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure sur le hub. Le service Azure AI Foundry effectue ensuite l’appel au point de terminaison du plan de contrôle Azure AI services ou Azure OpenAI en votre nom.

Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle dans le portail Azure AI Foundry.

Contrôle d’accès en fonction de l’attribut

Chaque hub que vous créez possède un compte de stockage par défaut. Chaque projet enfant du hub hérite du compte de stockage du hub. Le compte de stockage est utilisé pour stocker des données et des artefacts.

Pour sécuriser le compte de stockage partagé, Azure AI Foundry utilise azure RBAC et le contrôle d’accès en fonction des attributs Azure (Azure ABAC). Azure ABAC est un modèle de sécurité qui définit le contrôle d’accès en fonction des attributs associés à l’utilisateur, à la ressource et à l’environnement. Chaque projet dispose des éléments suivants :

  • Un principal du service dont le rôle Contributeur aux données Blob du stockage lui est assigné pour le compte de stockage.
  • Un ID unique (ID d’espace de travail).
  • Un ensemble de conteneurs dans le compte de stockage. Chaque conteneur a un préfixe qui correspond à la valeur d’ID de l’espace de travail pour le projet.

L’attribution de rôle pour le principal de service de chaque projet a une condition qui autorise le principal de service à accéder uniquement aux conteneurs avec la valeur de préfixe correspondante. Cette condition garantit que chaque projet ne peut accéder qu’à ses propres conteneurs.

Remarque

Pour le chiffrement des données dans le compte de stockage, l’étendue est l’ensemble du stockage et non pas par conteneur. Ainsi, tous les conteneurs sont chiffrés à l’aide de la même clé (fournie par Microsoft ou par le client).

Pour plus d’informations sur le contrôle d'accès basé sur Azure, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure ?.

Conteneurs dans le compte de stockage

Le compte de stockage par défaut d’un hub contient les conteneurs suivants. Ces conteneurs sont créés pour chaque projet et le préfixe {workspace-id} correspond à l’ID unique du projet. Les projets accèdent à un conteneur à l’aide d’une connexion.

Conseil

Pour trouver l’ID de votre projet, accédez au projet sur le Portail Azure. Développez Paramètres, puis sélectionnez Propriétés. L’ID de l’espace de travail s’affiche.

Nom du conteneur Nom de la connexion Description
{workspace-ID}-azureml workspaceartifactstore Stockage pour des ressources telles que les métriques, modèles et composants.
{workspace-ID}-blobstore workspaceblobstore Stockage pour le chargement de données, les instantanés de code de travail et le cache de données du pipeline.
{workspace-ID}-code NA Stockage pour les notebooks, les instances de calcul et les flux d’invite.
{workspace-ID}-file NA Autre conteneur pour le chargement de données.

Chiffrement

Azure AI Foundry utilise le chiffrement pour protéger les données au repos et en transit. Par défaut, les clés gérées par Microsoft sont utilisées pour le chiffrement. Toutefois, vous pouvez utiliser vos propres clés de chiffrement. Pour plus d’informations, consultez Clés gérées par le client.

Réseau virtuel

Un hub peut être configuré pour utiliser un réseau virtuel managé. Le réseau virtuel managé sécurise les communications entre le hub, les projets et les ressources managées telles que les calculs. Si vos services de dépendance (Stockage Azure, Key Vault et Container Registry) ont un accès public désactivé, un point de terminaison privé pour chaque service de dépendance est créé pour sécuriser la communication entre le hub et le projet et le service de dépendance.

Remarque

Si vous souhaitez utiliser un réseau virtuel pour sécuriser les communications entre vos clients et le hub ou projet, vous devez utiliser un réseau virtuel Azure que vous créez et managez. Par exemple, un réseau virtuel Azure qui utilise une connexion VPN ou ExpressRoute à votre réseau local.

Pour plus d’informations sur la configuration d’un réseau virtuel managé, consultez Configurer un réseau virtuel managé pour Azure AI Foundry.

Azure Monitor

Azure Monitor et Azure Log Analytics fournissent une surveillance et une journalisation pour les ressources sous-jacentes utilisées par Azure AI Foundry. Étant donné qu’Azure AI Foundry est basé sur Azure Machine Learning, Azure OpenAI, Azure AI services et Recherche Azure AI, utilisez les articles suivants pour découvrir comment surveiller les services :

Ressource Surveillance et journalisation
Hub et projet Azure AI Foundry Superviser Azure Machine Learning
Azure OpenAI Surveiller Azure OpenAI
Azure AI services Surveiller Azure AI (formation)
Recherche Azure AI Surveiller Recherche Azure AI

Prix et quota

Pour plus d’informations sur le prix et le quota, utilisez les articles suivants :

Étapes suivantes

Créez un hub à l’aide de l’une des méthodes suivantes :