Architecture Azure AI Foundry
AI Foundry offre une expérience unifiée aux développeurs d’IA et aux scientifiques des données pour créer, évaluer et déployer des modèles IA via un portail web, un kit SDK ou une interface CLI. AI Foundry repose sur les fonctionnalités et les services fournis par d’autres services Azure.
Important
Azure AI Studio est maintenant Azure AI Foundry. Nous mettons à jour la documentation pour refléter cette modification. En attendant, vous pouvez consulter des références à Azure AI Studio.
Au niveau supérieur, AI Foundry fournit l’accès aux ressources suivantes :
Azure OpenAI : permet d’accéder aux derniers modèles Open AI. Vous pouvez créer des déploiements sécurisés, essayer des terrains de jeu, ajuster des modèles, des filtres de contenu et des travaux par lots. Le fournisseur de ressources Azure OpenAI est
Microsoft.CognitiveServices/account
et le type de ressource estOpenAI
. Vous pouvez également vous connecter à Azure OpenAI à l’aide d’un type deAIServices
, qui inclut également d’autres services Azure AI services.Lorsque vous utilisez le portail Azure AI Foundry, vous pouvez travailler directement avec Azure OpenAI sans projet Azure Studio ou utiliser Azure OpenAI via un projet.
Pour plus d’informations, consultez Azure OpenAI dans le portail Azure AI Foundry.
Centre de gestion : le centre de gestion simplifie la gouvernance et la gestion des ressources AI Foundry telles que les hubs, les projets, les ressources connectées et les déploiements.
Pour plus d’informations, visitez le Centre de gestion.
Hub AI Foundry : le hub est la ressource de niveau supérieur dans le portail AI Foundry et est basé sur le service Azure Machine Learning service. Le fournisseur de ressources Azure pour un hub est
Microsoft.MachineLearningServices/workspaces
et le type de ressource estHub
. Elle fournit les fonctionnalités suivantes :- Configuration de la sécurité, y compris un réseau managé qui s’étend sur des projets et des points de terminaison de modèle.
- Ressources de calcul pour les modèles de déploiements open source, serverless, de développement interactif et d’optimisation.
- Connexions à d’autres services Azure tels que Azure OpenAI, Azure AI services et Recherche Azure AI. Les connexions délimitées au hub sont partagées avec les projets créés à partir du hub.
- Gestion de projet. Un hub peut avoir plusieurs projets enfants.
- Un compte de stockage Azure associé pour le chargement des données et le stockage d’artefacts.
Pour plus d’informations, consultez la Vue d’ensemble des hubs et des projets.
Projet AI Foundry : un projet est une ressource enfant du hub. Le fournisseur de ressources Azure pour un projet est
Microsoft.MachineLearningServices/workspaces
et le type de ressource estProject
. Le projet fournit les fonctionnalités suivantes :- Accès aux outils de développement pour la création et la personnalisation d’applications IA.
- Composants réutilisables, notamment les jeux de données, les modèles et les index.
- Un conteneur isolé pour télécharger les données (dans le stockage hérité du hub).
- Connexions à l’échelle du projet. Par exemple, les membres du projet peuvent avoir besoin d’un accès privé aux données stockées dans un compte de stockage Azure sans accorder ce même accès à d’autres projets.
- Déploiements de modèles open source à partir d’un catalogue et de points de terminaison de modèle ajustés.
Pour plus d’informations, consultez la Vue d’ensemble des hubs et des projets.
Connexions : les hubs et projets Azure AI Foundry utilisent des connexions pour accéder aux ressources fournies par d’autres services. Par exemple, les données d’un compte de Stockage Azure, d’Azure OpenAI ou d’autres services Azure AI services.
Pour plus d’informations, consultez Connexions.
Types de ressources et fournisseurs Azure
Azure AI Foundry repose sur le fournisseur de ressources Azure Machine Learning et dépend de plusieurs autres services Azure. Les fournisseurs de ressources pour ces services doivent être enregistrés dans votre abonnement Azure. Le tableau suivant répertorie les types de ressources, les fournisseurs et les types de ressources :
Type de ressource | Fournisseur de ressources | Genre |
---|---|---|
Hub Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
hub |
Projet Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
project |
Azure AI Services ou Azure AI OpenAI Service |
Microsoft.CognitiveServices/account |
AIServices OpenAI |
Lorsque vous créez un nouveau hub, un ensemble de ressources Azure dépendantes est nécessaire pour stocker les données, accéder aux modèles et fournir des ressources de calcul pour la personnalisation de l’IA. Le tableau suivant répertorie les ressources Azure dépendantes et leurs fournisseurs de ressources :
Conseil
Si vous ne fournissez pas de ressource dépendante lors de la création d’un hub et que cette dépendance est requise, AI Foundry crée la ressource pour vous.
Ressource Azure dépendante | Fournisseur de ressources | Facultatif | Remarque |
---|---|---|---|
Azure AI Search | Microsoft.Search/searchServices |
✔ | Fournit des fonctionnalités de recherche pour vos projets. |
Compte de Stockage Azure | Microsoft.Storage/storageAccounts |
Stocke les artefacts de vos projets, comme les flux et les évaluations. Pour l’isolation des données, les conteneurs de stockage sont préfixés à l’aide du GUID du projet et sécurisés de manière conditionnelle à l’aide d’Azure ABAC pour l’identité du projet. | |
Azure Key Vault | Microsoft.KeyVault/vaults |
Stocke des secrets comme les chaînes de connexion pour les connexions de votre ressource. Pour l’isolation des données, les secrets ne peuvent pas être récupérés entre les projets via des API. | |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Permet de stocker des images Docker lors de l’utilisation d’un runtime personnalisé pour un flux d’invite. Pour l’isolation des données, les images Docker sont préfixées à l’aide du GUID du projet. |
Azure Application Insights & Espace de travail Log Analytics |
Microsoft.Insights/components Microsoft.OperationalInsights/workspaces |
✔ | Utilisé comme stockage de journaux quand vous choisissez la journalisation au niveau de l’application pour vos flux d’invite déployés. |
Pour plus d’informations sur l’inscription des fournisseurs de ressources, consultez la section Inscrire un fournisseur de ressources Azure.
Ressources hébergées par Microsoft
Bien que la plupart des ressources utilisées par Azure AI Foundry se trouvent dans votre abonnement Azure, certaines ressources se trouvent dans un abonnement Azure managé par Microsoft. Le coût de ces ressources managées s’affiche sur votre facture Azure en tant qu’élément de ligne sous le fournisseur de ressources Azure Machine Learning. Les ressources suivantes se trouvent dans l’abonnement Azure managé par Microsoft et ne s’affichent pas dans votre abonnement Azure :
Ressources de calcul managées : fournies par les ressources Azure Batch dans l’abonnement Microsoft.
Réseau virtuel managé : fourni par les ressources de réseau virtuel Azure dans l’abonnement Microsoft. Si les règles de nom de domaine complet sont activées, un pare-feu Azure (standard) est ajouté et facturé à votre abonnement. Pour plus d’informations, consultez Configurer un réseau virtuel managé pour Azure AI Foundry.
Stockage des métadonnées : fourni par les ressources Azure Storage dans l’abonnement Microsoft.
Remarque
Si vous utilisez des clés gérées par le client, les ressources de stockage de métadonnées sont créées dans votre abonnement. Pour plus d’informations, consultez Clés gérées par le client.
Les ressources de calcul managées et les réseaux virtuels managés existent dans l’abonnement Microsoft, mais c'est vous qui les gérez.. Par exemple, vous contrôlez les tailles de machine virtuelle utilisées pour les ressources de calcul et les règles de trafic sortant configurées pour le réseau virtuel managé.
Les ressources de calcul managées nécessitent également une gestion des vulnérabilités. La gestion des vulnérabilités est une responsabilité partagée entre vous et Microsoft. Pour plus d’informations, consultez la section Gestion des vulnérabilités.
Configurer et régir de manière centralisée à l’aide de hubs
Les hubs permettent à une équipe de gérer de manière centralisée la sécurité, la connectivité et les ressources informatiques dans les aires de jeux et les projets. Les projets créés à l’aide d’un hub héritent des mêmes paramètres de sécurité et de l’accès aux ressources partagées. Teams peut créer autant de projets que nécessaire pour organiser le travail, isoler les données et/ou restreindre l’accès.
Souvent, les projets d’un domaine d’entreprise nécessitent l’accès aux mêmes ressources d’entreprise telles que les index vectoriels, les points de terminaison de modèle ou les Repos. En tant que responsable d’équipe, vous pouvez préconfigurer la connectivité avec ces ressources au sein d’un hub afin que les développeurs puissent y accéder à partir de n’importe quel nouvel espace de travail de projet sans délai sur l’informatique.
Connexions vous permet d’accéder à des objets dans AI Foundry managés en dehors de votre hub. Par exemple, les données chargées sur un compte de stockage Azure ou les modèles de déploiements sur une ressource Azure OpenAI existante. Une connexion peut être partagée avec chaque projet ou rendue accessible à un projet spécifique. Les connexions peuvent être configurées pour utiliser l’accès basé sur des clés ou le passage Microsoft Entra ID pour autoriser l’accès aux utilisateurs sur la ressource connectée. En tant qu’administrateurs, vous pouvez suivre, auditer et gérer les connexions au sein de l’organisation à partir d’un seul affichage dans AI Foundry.
Organiser les besoins de votre équipe
Le nombre de hubs et de projets dont vous avez besoin dépend de votre mode de travail. Vous pouvez créer un hub unique pour une grande équipe avec des besoins d’accès aux données similaires. Cette configuration optimise l’efficacité des coûts, le partage de ressources et réduit la surcharge de configuration. Par exemple, un hub pour tous les projets liés au support client.
Si vous avez besoin d’une isolation entre le développement, le test et la production dans le cadre de votre stratégie LLMOps ou MLOps, envisagez de créer un hub pour chaque environnement. Selon la préparation de votre solution pour la production, vous pouvez décider de répliquer vos espaces de travail de projet dans chaque environnement ou simplement dans un seul environnement.
Contrôle d’accès en fonction du rôle et proxy de plan de contrôle
Azure AI services et Azure OpenAI fournissent des points de terminaison de plan de contrôle pour les opérations telles que l’énumération des modèles de déploiement. Ces points de terminaison sont sécurisés à l’aide d’une configuration de contrôle d’accès en fonction du rôle (RBAC) Azure distincte que celle utilisée pour un hub.
Pour réduire la complexité de la gestion du contrôle d’accès en fonction du rôle (RBAC) d’Azure, AI Foundry fournit un proxy de plan de contrôle qui vous permet d’effectuer des opérations sur les ressources Azure AI services et Azure OpenAI connectées. L’exécution d’opérations sur ces ressources via le proxy de plan de contrôle nécessite uniquement des autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure sur le hub. Le service Azure AI Foundry effectue ensuite l’appel au point de terminaison du plan de contrôle Azure AI services ou Azure OpenAI en votre nom.
Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle dans le portail Azure AI Foundry.
Contrôle d’accès en fonction de l’attribut
Chaque hub que vous créez possède un compte de stockage par défaut. Chaque projet enfant du hub hérite du compte de stockage du hub. Le compte de stockage est utilisé pour stocker des données et des artefacts.
Pour sécuriser le compte de stockage partagé, Azure AI Foundry utilise azure RBAC et le contrôle d’accès en fonction des attributs Azure (Azure ABAC). Azure ABAC est un modèle de sécurité qui définit le contrôle d’accès en fonction des attributs associés à l’utilisateur, à la ressource et à l’environnement. Chaque projet dispose des éléments suivants :
- Un principal du service dont le rôle Contributeur aux données Blob du stockage lui est assigné pour le compte de stockage.
- Un ID unique (ID d’espace de travail).
- Un ensemble de conteneurs dans le compte de stockage. Chaque conteneur a un préfixe qui correspond à la valeur d’ID de l’espace de travail pour le projet.
L’attribution de rôle pour le principal de service de chaque projet a une condition qui autorise le principal de service à accéder uniquement aux conteneurs avec la valeur de préfixe correspondante. Cette condition garantit que chaque projet ne peut accéder qu’à ses propres conteneurs.
Remarque
Pour le chiffrement des données dans le compte de stockage, l’étendue est l’ensemble du stockage et non pas par conteneur. Ainsi, tous les conteneurs sont chiffrés à l’aide de la même clé (fournie par Microsoft ou par le client).
Pour plus d’informations sur le contrôle d'accès basé sur Azure, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure ?.
Conteneurs dans le compte de stockage
Le compte de stockage par défaut d’un hub contient les conteneurs suivants. Ces conteneurs sont créés pour chaque projet et le préfixe {workspace-id}
correspond à l’ID unique du projet. Les projets accèdent à un conteneur à l’aide d’une connexion.
Conseil
Pour trouver l’ID de votre projet, accédez au projet sur le Portail Azure. Développez Paramètres, puis sélectionnez Propriétés. L’ID de l’espace de travail s’affiche.
Nom du conteneur | Nom de la connexion | Description |
---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Stockage pour des ressources telles que les métriques, modèles et composants. |
{workspace-ID}-blobstore |
workspaceblobstore | Stockage pour le chargement de données, les instantanés de code de travail et le cache de données du pipeline. |
{workspace-ID}-code |
NA | Stockage pour les notebooks, les instances de calcul et les flux d’invite. |
{workspace-ID}-file |
NA | Autre conteneur pour le chargement de données. |
Chiffrement
Azure AI Foundry utilise le chiffrement pour protéger les données au repos et en transit. Par défaut, les clés gérées par Microsoft sont utilisées pour le chiffrement. Toutefois, vous pouvez utiliser vos propres clés de chiffrement. Pour plus d’informations, consultez Clés gérées par le client.
Réseau virtuel
Un hub peut être configuré pour utiliser un réseau virtuel managé. Le réseau virtuel managé sécurise les communications entre le hub, les projets et les ressources managées telles que les calculs. Si vos services de dépendance (Stockage Azure, Key Vault et Container Registry) ont un accès public désactivé, un point de terminaison privé pour chaque service de dépendance est créé pour sécuriser la communication entre le hub et le projet et le service de dépendance.
Remarque
Si vous souhaitez utiliser un réseau virtuel pour sécuriser les communications entre vos clients et le hub ou projet, vous devez utiliser un réseau virtuel Azure que vous créez et managez. Par exemple, un réseau virtuel Azure qui utilise une connexion VPN ou ExpressRoute à votre réseau local.
Pour plus d’informations sur la configuration d’un réseau virtuel managé, consultez Configurer un réseau virtuel managé pour Azure AI Foundry.
Azure Monitor
Azure Monitor et Azure Log Analytics fournissent une surveillance et une journalisation pour les ressources sous-jacentes utilisées par Azure AI Foundry. Étant donné qu’Azure AI Foundry est basé sur Azure Machine Learning, Azure OpenAI, Azure AI services et Recherche Azure AI, utilisez les articles suivants pour découvrir comment surveiller les services :
Ressource | Surveillance et journalisation |
---|---|
Hub et projet Azure AI Foundry | Superviser Azure Machine Learning |
Azure OpenAI | Surveiller Azure OpenAI |
Azure AI services | Surveiller Azure AI (formation) |
Recherche Azure AI | Surveiller Recherche Azure AI |
Prix et quota
Pour plus d’informations sur le prix et le quota, utilisez les articles suivants :
Étapes suivantes
Créez un hub à l’aide de l’une des méthodes suivantes :
- Portail Azure AI Foundry : Créez un hub pour commencer.
- Portail Azure : créez un hub avec votre propre mise en réseau.
- Modèle Bicep.