Condividi tramite


Architettura di Azure AI Foundry

AI Foundry offre un'esperienza unificata per sviluppatori di intelligenza artificiale e data scientist per creare, valutare e distribuire modelli di intelligenza artificiale tramite un portale Web, un SDK o un'interfaccia della riga di comando. Ai Foundry si basa su funzionalità e servizi forniti da altri servizi di Azure.

Importante

Azure AI Studio è ora Azure AI Foundry. La documentazione viene aggiornata per riflettere questa modifica. Nel frattempo, potrebbero essere visualizzati riferimenti ad Azure AI Studio.

Diagramma dell'architettura generale di Azure AI Foundry.

Al livello superiore, AI Foundry fornisce l'accesso alle risorse seguenti:

  • Azure OpenAI: fornisce l'accesso ai modelli Open AI più recenti. È possibile creare distribuzioni sicure, provare i playground, ottimizzare i modelli, i filtri del contenuto e i processi batch. Il provider di risorse OpenAI di Azure è Microsoft.CognitiveServices/account e il tipo di risorsa è OpenAI. È anche possibile connettersi ad Azure OpenAI usando un tipo di , che include anche altri servizi di Intelligenza artificiale di AIServicesAzure.

    Quando si usa il portale di Azure AI Foundry, è possibile usare direttamente Azure OpenAI senza un progetto di Azure Studio oppure usare Azure OpenAI tramite un progetto.

    Per altre informazioni, vedere Azure OpenAI nel portale di Azure AI Foundry.

  • Centro di gestione: il centro di gestione semplifica la governance e la gestione delle risorse di AI Foundry, ad esempio hub, progetti, risorse connesse e distribuzioni.

    Per altre informazioni, vedere Centro gestione.

  • Hub di AI Foundry: l'hub è la risorsa di primo livello nel portale di AI Foundry ed è basato sul servizio Azure Machine Learning. Il provider di risorse di Azure per un hub è Microsoft.MachineLearningServices/workspaces e il tipo di risorsa è Hub. Offre le funzionalità seguenti:

    • Configurazione della sicurezza, compresa una rete gestita che si estende ai progetti e agli endpoint del modello.
    • Risorse di calcolo per lo sviluppo interattivo, l’ottimizzazione, l'open source e le distribuzioni di modelli serverless.
    • Connessioni ad altri servizi di Azure, ad esempio OpenAI di Azure, servizi di Azure AI e Azure AI Search. Le connessioni con ambito hub vengono condivise con i progetti creati dall'hub.
    • Gestione dei progetti. Un hub può avere più progetti figlio.
    • Un account di archiviazione di Azure associato per il caricamento dei dati e l'archiviazione degli artefatti.

    Per altre informazioni, vedere Hub e panoramica dei progetti.

  • Progetto di AI Foundry: un progetto è una risorsa figlio dell'hub. Il provider di risorse di Azure per un progetto è Microsoft.MachineLearningServices/workspaces e il tipo di risorsa è Project. Il progetto offre le funzionalità seguenti:

    • Accesso agli strumenti di sviluppo per la creazione e la personalizzazione di applicazioni di intelligenza artificiale.
    • Componenti riutilizzabili, tra cui set di dati, modelli e indici.
    • Contenitore isolato in cui caricare i dati (all'interno dell'archivio ereditato dall'hub).
    • Connessioni con ambito progetto. Ad esempio, i membri del progetto potrebbero richiedere l'accesso privato ai dati archiviati in un account di archiviazione di Azure senza concedere lo stesso accesso ad altri progetti.
    • Distribuzioni di modelli open source dal catalogo e dagli endpoint del modello ottimizzati.

    Diagramma della relazione tra le risorse di AI Foundry.

    Per altre informazioni, vedere Hub e panoramica dei progetti.

  • Connessioni: hub e progetti di Azure AI Foundry usano connessioni per accedere alle risorse fornite da altri servizi. Ad esempio, i dati in un account Archiviazione di Azure, Azure OpenAI o altri servizi di intelligenza artificiale di Azure.

    Per altre informazioni, vedere Connessioni.

Tipi e provider di risorse di Azure

Azure AI Foundry si basa sul provider di risorse di Azure Machine Learning e dipende da diversi altri servizi di Azure. I provider di risorse per questi servizi devono essere registrati nella sottoscrizione di Azure. La tabella seguente elenca i tipi di risorsa, il provider e la tipologia:

Tipo di risorsa Provider di risorse Tipologia
Hub di Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Progetto Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Servizi di Azure AI o
Servizio OpenAI di Azure per intelligenza artificiale
Microsoft.CognitiveServices/account AIServices
OpenAI

Quando si crea una nuova risorsa dell'hub, è richiesto un set di risorse di Azure dipendenti per archiviare i dati, ottenere l’accesso ai modelli e fornire risorse di calcolo per la personalizzazione dell'intelligenza artificiale. La tabella seguente elenca le risorse di Azure dipendenti e i relativi provider di risorse:

Suggerimento

Se non si fornisce una risorsa dipendente durante la creazione di un hub e si tratta di una dipendenza necessaria, Ai Foundry crea automaticamente la risorsa.

Risorsa di Azure dipendente Provider di risorse Facoltativo Nota
Azure AI Search Microsoft.Search/searchServices Fornisce funzionalità di ricerca per i progetti.
Account di archiviazione di Azure Microsoft.Storage/storageAccounts Archivia gli artefatti per i progetti, ad esempio flussi e valutazioni. Per l'isolamento dei dati, i contenitori di archiviazione sono preceduti dal GUID del progetto e protetti in modo condizionale usando Azure ABAC per l'identità del progetto.
Azure Key Vault Microsoft.KeyVault/vaults Archivia segreti come stringhe di connessione per le connessioni alle risorse. Per l'isolamento dei dati, i segreti non possono essere recuperati nei diversi progetti tramite le API.
Registro Azure Container Microsoft.ContainerRegistry/registries Archivia le immagini Docker create quando si usa il runtime personalizzato per il prompt flow. Per l'isolamento dei dati, le immagini Docker sono precedute dal GUID del progetto.
Azure Application Insights e
Area di lavoro Log Analytics
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Usato come archiviazione log quando si acconsente esplicitamente alla registrazione a livello di applicazione per i prompt flow distribuiti.

Per informazioni sulla registrazione dei provider di risorse, vedere Registrare un provider di risorse di Azure.

Risorse ospitate da Microsoft

Sebbene la maggior parte delle risorse usate da Azure AI Foundry si trovi nella sottoscrizione di Azure, alcune risorse si trovano in una sottoscrizione di Azure gestita da Microsoft. Il costo per queste risorse gestite viene visualizzato nella fattura di Azure come voce nel provider di risorse di Azure Machine Learning. Le risorse seguenti si trovano nella sottoscrizione di Azure gestita da Microsoft e non vengono visualizzate nella sottoscrizione di Azure dell'utente:

  • Risorse di calcolo gestite: fornite dalle risorse di Azure Batch nella sottoscrizione Microsoft.

  • Rete virtuale gestita: fornita dalle risorse della rete virtuale di Azure nella sottoscrizione Microsoft. Se le regole FQDN sono abilitate, viene aggiunto un Firewall di Azure (standard), addebitato alla sottoscrizione. Per altre informazioni, vedere Configurare una rete virtuale gestita per Azure AI Foundry.

  • Archiviazione dei metadati: fornita dalle risorse di Archiviazione di Azure nella sottoscrizione Microsoft.

    Nota

    Se si usano chiavi gestite dal cliente, le risorse di archiviazione dei metadati vengono create nella sottoscrizione. Per altre informazioni, vedere Chiavi gestite dal cliente.

Le risorse di calcolo gestite e le reti virtuali gestite esistono nella sottoscrizione Microsoft, ma sono gestite dall'utente. Ad esempio, è possibile controllare le dimensioni delle macchine virtuali usate per le risorse di calcolo e quali regole in uscita sono configurate per la rete virtuale gestita.

Le risorse di calcolo gestite richiedono anche la gestione delle vulnerabilità. La gestione delle vulnerabilità è una responsabilità condivisa tra l'utente e Microsoft. Per altre informazioni, vedere Gestione delle vulnerabilità.

Configurare e gestire centralmente l'uso degli hub

Gli hub offrono un modo centrale per un team di gestire la sicurezza, la connettività e l'elaborazione delle risorse tra playground e progetti. I progetti creati usando un hub ereditano le stesse impostazioni di sicurezza e accesso alle risorse condivise. Teams può creare tutti i progetti necessari per organizzare il lavoro, isolare i dati e/o limitare l'accesso.

Spesso, i progetti in un dominio business richiedono l'accesso alle stesse risorse aziendali, ad esempio indici vettoriali, endpoint modello o repository. In qualità di responsabile del team, è possibile preconfigurare la connettività con queste risorse all'interno di un hub, in modo che gli sviluppatori possano accedervi da qualsiasi nuova area di lavoro del progetto senza ritardi nell'IT.

Le connessioni consentono di accedere agli oggetti in AI Foundry gestiti all'esterno dell'hub. Ad esempio, i dati caricati in un account di archiviazione di Azure o le distribuzioni di modelli in una risorsa OpenAI di Azure esistente. Una connessione può essere condivisa con ogni progetto o resa accessibile a un progetto specifico. Le connessioni possono essere configurate per l’uso dell’accesso basato su chiave o del passthrough di Microsoft Entra ID per autorizzare l'accesso agli utenti nella risorsa connessa. Gli amministratori possono tenere traccia, controllare e gestire le connessioni all'interno dell'organizzazione da una singola visualizzazione in AI Foundry.

Screenshot di AI Foundry che mostra una visualizzazione di controllo di tutte le risorse connesse in un hub e nei relativi progetti.

Organizzare per le esigenze del team

Il numero di hub e progetti necessari dipende dal modo di lavorare. Si potrebbe creare un singolo hub per un team di grandi dimensioni con esigenze di accesso ai dati simili. Questa configurazione ottimizza l'efficienza dei costi, la condivisione delle risorse e riduce al minimo il sovraccarico della configurazione. Ad esempio, un hub per tutti i progetti correlati al supporto clienti.

Se è necessario l'isolamento tra sviluppo, test e produzione come parte della strategia LLMOps o MLOps, è consigliabile creare un hub per ogni ambiente. A seconda dell'idoneità della soluzione per la produzione, è possibile decidere di replicare le aree di lavoro del progetto in ogni ambiente o solo in uno.

Proxy del piano di controllo e controllo degli accessi in base al ruolo

I servizi di Azure AI e OpenAI di Azure forniscono endpoint del piano di controllo per operazioni come l'elenco distribuzioni dei modelli. Questi endpoint vengono protetti usando una configurazione separata del controllo degli accessi in base al ruolo di Azure (RBAC) rispetto a quella usata per l'hub.

Per ridurre la complessità della gestione del controllo degli accessi in base al ruolo di Azure, AI Foundry offre un proxy del piano di controllo che consente di eseguire operazioni sui servizi di intelligenza artificiale di Azure connessi e sulle risorse Di Azure OpenAI. L'esecuzione di operazioni su queste risorse tramite il proxy del piano di controllo richiede solo le autorizzazioni di Controllo degli accessi in base al ruolo di Azure nell'hub. Il servizio Azure AI Foundry esegue quindi la chiamata all'endpoint del piano di controllo Azure PERAI o ai servizi di intelligenza artificiale di Azure per conto dell'utente.

Per altre informazioni, vedere Controllo degli accessi in base al ruolo nel portale di Azure AI Foundry.

Controllo di accesso basato su attributi

Ogni hub creato prevede un account di archiviazione predefinito. Ogni progetto figlio dell'hub artificiale eredita l'account di archiviazione dell'hub. L'account di archiviazione viene utilizzato per archiviare dati e artefatti.

Per proteggere l'account di archiviazione condiviso, Azure AI Foundry usa il controllo degli accessi in base al ruolo di Azure e il controllo degli accessi in base all'attributo di Azure. ABAC di Azure è un modello di sicurezza che definisce il controllo di accesso in base agli attributi associati all'utente, alla risorsa e all'ambiente. Ogni progetto dispone di:

  • Un'entità servizio alla quale viene assegnato il ruolo di Collaboratore dati BLOB di archiviazione nell'account di archiviazione.
  • Un ID univoco (ID area di lavoro).
  • Un set di contenitori nell'account di archiviazione. Ogni contenitore ha un prefisso che corrisponde al valore ID dell'area di lavoro per il progetto.

L'assegnazione di ruolo per ogni entità servizio del progetto ha una condizione che consente solo all'entità servizio di accedere ai contenitori con il valore di prefisso corrispondente. Tale condizione garantisce che ogni progetto possa accedere solo ai propri contenitori.

Nota

Per la crittografia dei dati nell'account di archiviazione, l'ambito è l'intero spazio di archiviazione e non è basato sui contenitori. Pertanto, tutti i contenitori vengono crittografati utilizzando la stessa chiave (fornita da Microsoft o dal cliente).

Per altre informazioni sul controllo basato sugli accessi di Azure, vedere Informazioni sul controllo degli accessi in base agli attributi di Azure.

Contenitori nell'account di archiviazione

L'account di archiviazione predefinito per un hub include i contenitori riportati di seguito. Questi contenitori vengono creati per ogni progetto e il prefisso {workspace-id} corrisponde all'ID univoco per il progetto. I progetti accedono a un contenitore usando una connessione.

Suggerimento

Per trovare l'ID del progetto, passare a progetto nel portale di Azure. Espandere Impostazioni, quindi selezionare Proprietà. Viene visualizzato l'IDI area di lavoro.

Nome contenitore Nome connessione Descrizione
{workspace-ID}-azureml workspaceartifactstore Archiviazione per asset, quali metriche, modelli e componenti.
{workspace-ID}-blobstore workspaceblobstore Archiviazione per caricamento dei dati, snapshot del codice del processo e cache dei dati della pipeline.
{workspace-ID}-code ND Archiviazione per notebook, istanze di calcolo e prompt flow.
{workspace-ID}-file ND Contenitore alternativo per il caricamento dei dati.

Crittografia

Azure AI Foundry usa la crittografia per proteggere i dati inattivi e in transito. Per impostazione predefinita, le chiavi gestite da Microsoft vengono usate per la crittografia. Tuttavia, è possibile usare le proprie chiavi di crittografia. Per altre informazioni, vedere Chiavi gestite dal cliente.

Rete virtuale

Un hub può essere configurato per l'uso di una rete virtuale gestita. La rete virtuale gestita protegge le comunicazioni tra hub, progetti e risorse gestite, ad esempio i calcoli. Se l'accesso pubblico dei servizi di dipendenza (Archiviazione di Azure, Key Vault e Registro Container) è disabilitato, viene creato un endpoint privato per ogni servizio di dipendenza al fine di proteggere la comunicazione tra hub e progetto e il servizio di dipendenza.

Nota

Se si desidera usare una rete virtuale per proteggere le comunicazioni tra i client e l'hub o il progetto, è necessario utilizzare una rete virtuale di Azure creata e gestita dall'utente. Ad esempio, una rete virtuale di Azure che usa una connessione VPN o ExpressRoute alla rete locale.

Per altre informazioni su come configurare una rete virtuale gestita, vedere Configurare una rete virtuale gestita per Azure AI Foundry.

Monitoraggio di Azure

Monitoraggio di Azure e Azure Log Analytics forniscono monitoraggio e registrazione per le risorse sottostanti usate da Azure AI Foundry. Poiché Azure AI Foundry è basato su Azure Machine Learning, Azure OpenAI, servizi di intelligenza artificiale di Azure e Ricerca di intelligenza artificiale di Azure, usare gli articoli seguenti per informazioni su come monitorare i servizi:

Conto risorse Monitoraggio e registrazione
Hub e progetto di Azure AI Foundry Monitorare Azure Machine Learning
OpenAI di Azure Monitorare OpenAI di Azure
Servizi di Azure AI Monitorare Azure per intelligenza artificiale (training)
Azure AI Search Monitorare Azure AI Search

Prezzo e quota

Per altre informazioni su prezzo e quota, usare gli articoli seguenti:

Passaggi successivi

Creare un hub usando uno dei metodi seguenti: