Delen via

Azure AI Foundry-architectuur

  • Artikel

AI Foundry biedt een uniforme ervaring voor AI-ontwikkelaars en gegevenswetenschappers voor het bouwen, evalueren en implementeren van AI-modellen via een webportal, SDK of CLI. AI Foundry is gebaseerd op mogelijkheden en services die worden geleverd door andere Azure-services.

Belangrijk

Azure AI Studio is nu Azure AI Foundry. We werken de documentatie bij om deze wijziging weer te geven. In de tussentijd ziet u mogelijk verwijzingen naar Azure AI Studio.

Diagram van de architectuur op hoog niveau van Azure AI Foundry.

Op het hoogste niveau biedt AI Foundry toegang tot de volgende resources:

  • Azure OpenAI: biedt toegang tot de nieuwste Open AI-modellen. U kunt veilige implementaties maken, speeltuinen uitproberen, modellen, inhoudsfilters en batchtaken verfijnen. De Azure OpenAI-resourceprovider is Microsoft.CognitiveServices/account en het type resource is OpenAI. U kunt ook verbinding maken met Azure OpenAI met behulp van een soort AIServices, dat ook andere Azure AI-services bevat.

    Wanneer u Azure AI Foundry Portal gebruikt, kunt u rechtstreeks met Azure OpenAI werken zonder een Azure Studio-project of kunt u Azure OpenAI via een project gebruiken.

    Ga naar Azure OpenAI in de Azure AI Foundry-portal voor meer informatie.

  • Beheercentrum: Het beheercentrum stroomlijnt governance en beheer van AI Foundry-resources, zoals hubs, projecten, verbonden resources en implementaties.

    Ga naar Management Center voor meer informatie.

  • AI Foundry-hub: De hub is de resource op het hoogste niveau in de AI Foundry-portal en is gebaseerd op de Azure Machine Learning-service. De Azure-resourceprovider voor een hub is Microsoft.MachineLearningServices/workspacesen het type resource is Hub. Deze biedt de volgende functies:

    • Beveiligingsconfiguratie inclusief een beheerd netwerk dat projecten en modeleindpunten omvat.
    • Rekenresources voor interactieve ontwikkeling, afstemming, open source en serverloze modelimplementaties.
    • Verbindingen met andere Azure-services, zoals Azure OpenAI, Azure AI-services en Azure AI Search. Hub-scoped verbindingen worden gedeeld met projecten die zijn gemaakt op basis van de hub.
    • Projectbeheer. Een hub kan meerdere onderliggende projecten hebben.
    • Een gekoppeld Azure-opslagaccount voor het uploaden van gegevens en opslag van artefacten.

    Ga naar Hubs en projecten voor meer informatie.

  • AI Foundry-project: Een project is een onderliggende resource van de hub. De Azure-resourceprovider voor een project is Microsoft.MachineLearningServices/workspaces, en het type resource is Project. Het project biedt de volgende functies:

    • Toegang tot ontwikkelhulpprogramma's voor het bouwen en aanpassen van AI-toepassingen.
    • Herbruikbare onderdelen, waaronder gegevenssets, modellen en indexen.
    • Een geïsoleerde container voor het uploaden van gegevens naar (binnen de opslag die is overgenomen van de hub).
    • Verbindingen met projectbereik. Projectleden hebben bijvoorbeeld privétoegang nodig tot gegevens die zijn opgeslagen in een Azure Storage-account zonder dat ze dezelfde toegang hebben tot andere projecten.
    • Opensource-modelimplementaties van catalogus- en verfijnde modeleindpunten.

    Diagram van de relatie tussen AI Foundry-resources.

    Ga naar Hubs en projecten voor meer informatie.

  • Verbindingen: Azure AI Foundry-hubs en -projecten maken gebruik van verbindingen voor toegang tot resources die door andere services worden geleverd. Bijvoorbeeld gegevens in een Azure Storage-account, Azure OpenAI of andere Azure AI-services.

    Ga naar Connections voor meer informatie.

Azure-resourcetypen en -providers

Azure AI Foundry is gebaseerd op de Azure Machine Learning-resourceprovider en is afhankelijk van verschillende andere Azure-services. De resourceproviders voor deze services moeten zijn geregistreerd in uw Azure-abonnement. De volgende tabel bevat de resourcetypen, provider en soort:

Brontype Resourceprovider Soort
Azure AI Foundry-hub Microsoft.MachineLearningServices/workspace hub
Azure AI Foundry-project Microsoft.MachineLearningServices/workspace project
Azure AI-services of
Azure AI OpenAI-service		 Microsoft.CognitiveServices/account AIServices
OpenAI

Wanneer u een nieuwe hub maakt, is een set afhankelijke Azure-resources vereist voor het opslaan van gegevens, het verkrijgen van toegang tot modellen en het leveren van rekenresources voor AI-aanpassing. De volgende tabel bevat de afhankelijke Azure-resources en hun resourceproviders:

Tip

Als u geen afhankelijke resource opgeeft bij het maken van een hub en dit een vereiste afhankelijkheid is, maakt AI Foundry de resource voor u.

Afhankelijke Azure-resource Resourceprovider Optioneel Notitie
Azure AI Search Microsoft.Search/searchServices Biedt zoekmogelijkheden voor uw projecten.
Azure Storage-account Microsoft.Storage/storageAccounts Slaat artefacten op voor uw projecten, zoals stromen en evaluaties. Voor gegevensisolatie worden opslagcontainers voorafgegaan door de project-GUID en voorwaardelijk beveiligd met behulp van Azure ABAC voor de projectidentiteit.
Azure Key Vault Microsoft.KeyVault/vaults Slaat geheimen op, zoals verbindingsreeks s voor uw resourceverbindingen. Voor gegevensisolatie kunnen geheimen niet worden opgehaald voor projecten via API's.
Azure Container Registry Microsoft.ContainerRegistry/registries Slaat docker-installatiekopieën op die zijn gemaakt bij het gebruik van aangepaste runtime voor promptstroom. Voor gegevensisolatie worden docker-installatiekopieën voorafgegaan door de project-GUID.
Azure-toepassing Insights &
Log Analytics-werkruimte		 Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces		 Wordt gebruikt als logboekopslag wanneer u zich aanmeldt voor logboekregistratie op toepassingsniveau voor de geïmplementeerde promptstromen.

Zie Een Azure-resourceprovider registreren voor meer informatie over het registreren van resourceproviders.

Door Microsoft gehoste resources

Hoewel de meeste resources die door Azure AI Foundry worden gebruikt, live zijn in uw Azure-abonnement, bevinden sommige resources zich in een Azure-abonnement dat wordt beheerd door Microsoft. De kosten voor deze beheerde resources worden weergegeven op uw Azure-factuur als regelitem onder de Azure Machine Learning-resourceprovider. De volgende resources bevinden zich in het door Microsoft beheerde Azure-abonnement en worden niet weergegeven in uw Azure-abonnement:

  • Beheerde rekenresources: geleverd door Azure Batch-resources in het Microsoft-abonnement.

  • Beheerd virtueel netwerk: geleverd door Azure Virtual Network-resources in het Microsoft-abonnement. Als FQDN-regels zijn ingeschakeld, wordt er een Azure Firewall (standaard) toegevoegd en in rekening gebracht voor uw abonnement. Zie Een beheerd virtueel netwerk configureren voor Azure AI Foundry voor meer informatie.

  • Metagegevensopslag: geleverd door Azure Storage-resources in het Microsoft-abonnement.

    Notitie

    Als u door de klant beheerde sleutels gebruikt, worden de resources voor metagegevensopslag gemaakt in uw abonnement. Zie Door de klant beheerde sleutels voor meer informatie.

Beheerde rekenresources en beheerde virtuele netwerken bestaan in het Microsoft-abonnement, maar u beheert ze. U bepaalt bijvoorbeeld welke VM-grootten worden gebruikt voor rekenresources en welke uitgaande regels zijn geconfigureerd voor het beheerde virtuele netwerk.

Beheerde rekenresources vereisen ook beheer van beveiligingsproblemen. Het beheer van beveiligingsproblemen is een gedeelde verantwoordelijkheid van u en Microsoft. Zie beheer van beveiligingsproblemen voor meer informatie.

Centraal instellen en beheren met behulp van hubs

Hubs bieden een centrale manier voor een team om beveiligings-, connectiviteits- en rekenresources in speeltuinen en projecten te beheren. Projecten die zijn gemaakt met behulp van een hub nemen dezelfde beveiligingsinstellingen en gedeelde resourcetoegang over. Teams kan zoveel projecten maken als nodig is om werk te organiseren, gegevens te isoleren en/of de toegang te beperken.

Projecten in een bedrijfsdomein hebben vaak toegang nodig tot dezelfde bedrijfsresources, zoals vectorindexen, modeleindpunten of opslagplaatsen. Als teamleider kunt u de connectiviteit met deze resources in een hub vooraf configureren, zodat ontwikkelaars deze zonder vertraging kunnen openen vanuit elke nieuwe projectwerkruimte.

Met verbindingen hebt u toegang tot objecten in AI Foundry die buiten uw hub worden beheerd. Bijvoorbeeld geüploade gegevens in een Azure-opslagaccount of modelimplementaties op een bestaande Azure OpenAI-resource. Een verbinding kan worden gedeeld met elk project of toegankelijk gemaakt voor één specifiek project. Verbindingen kunnen worden geconfigureerd voor het gebruik van toegang op basis van sleutels of microsoft Entra ID-passthrough om toegang te verlenen aan gebruikers in de verbonden resource. Als beheerder kunt u verbindingen in de hele organisatie bijhouden, controleren en beheren vanuit één weergave in AI Foundry.

Schermopname van AI Foundry met een controleweergave van alle verbonden resources in een hub en de bijbehorende projecten.

Organiseren voor de behoeften van uw team

Het aantal hubs en projecten dat u nodig hebt, is afhankelijk van uw manier van werken. U kunt één hub maken voor een groot team met vergelijkbare gegevenstoegangsbehoeften. Deze configuratie maximaliseert de kostenefficiëntie, het delen van resources en minimaliseert de overhead van de installatie. Bijvoorbeeld een hub voor alle projecten met betrekking tot klantondersteuning.

Als u isolatie tussen dev, test en productie nodig hebt als onderdeel van uw LLMOps- of MLOps-strategie, kunt u een hub maken voor elke omgeving. Afhankelijk van de gereedheid van uw oplossing voor productie, kunt u besluiten om uw projectwerkruimten in elke omgeving of slechts in één omgeving te repliceren.

Proxy voor op rollen gebaseerd toegangsbeheer en besturingsvlak

Azure AI-services, waaronder Azure OpenAI, bieden besturingsvlakeindpunten voor bewerkingen zoals modelimplementaties. Deze eindpunten worden beveiligd met behulp van een afzonderlijke RBAC-configuratie (op rollen gebaseerd toegangsbeheer) van Azure dan de configuratie die wordt gebruikt voor een hub.

Om de complexiteit van Azure RBAC-beheer te verminderen, biedt AI Foundry een besturingsvlakproxy waarmee u bewerkingen kunt uitvoeren op verbonden Azure AI-services en Azure OpenAI-resources. Voor het uitvoeren van bewerkingen op deze resources via de besturingsvlakproxy zijn alleen Azure RBAC-machtigingen voor de hub vereist. De Azure AI Foundry-service voert vervolgens de aanroep uit naar de Azure AI-services of het Azure OpenAI-besturingsvlakeindpunt namens u.

Zie Op rollen gebaseerd toegangsbeheer in de Azure AI Foundry-portal voor meer informatie.

Toegangsbeheer op basis van kenmerken

Elke hub die u maakt, heeft een standaardopslagaccount. Elk onderliggend project van de hub neemt het opslagaccount van de hub over. Het opslagaccount wordt gebruikt voor het opslaan van gegevens en artefacten.

Voor het beveiligen van het gedeelde opslagaccount maakt Azure AI Foundry gebruik van zowel Azure RBAC als op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC). Azure ABAC is een beveiligingsmodel dat toegangsbeheer definieert op basis van kenmerken die zijn gekoppeld aan de gebruiker, resource en omgeving. Elk project heeft:

  • Een service-principal waaraan de rol Inzender voor opslagblobgegevens is toegewezen voor het opslagaccount.
  • Een unieke id (werkruimte-id).
  • Een set containers in het opslagaccount. Elke container heeft een voorvoegsel dat overeenkomt met de werkruimte-id-waarde voor het project.

De roltoewijzing voor de service-principal van elk project heeft een voorwaarde waarmee alleen de service-principal toegang heeft tot containers met de overeenkomende voorvoegselwaarde. Deze voorwaarde zorgt ervoor dat elk project alleen toegang heeft tot zijn eigen containers.

Notitie

Voor gegevensversleuteling in het opslagaccount is het bereik de volledige opslag en niet per container. Alle containers worden dus versleuteld met dezelfde sleutel (geleverd door Microsoft of door de klant).

Zie Wat is toegangsbeheer op basis van Azure-kenmerken voor meer informatie over toegangsbeheer op basis van Azure.

Containers in het opslagaccount

Het standaardopslagaccount voor een hub heeft de volgende containers. Deze containers worden voor elk project gemaakt en het {workspace-id} voorvoegsel komt overeen met de unieke id voor het project. Projecten openen een container met behulp van een verbinding.

Tip

Als u de id voor uw project wilt vinden, gaat u naar het project in Azure Portal. Vouw Instellingen uit en selecteer Vervolgens Eigenschappen. De werkruimte-id wordt weergegeven.

Containernaam Verbindingsnaam Beschrijving
{workspace-ID}-azureml workspaceartifactstore Opslag voor assets, zoals metrische gegevens, modellen en onderdelen.
{workspace-ID}-blobstore workspaceblobstore Opslag voor het uploaden van gegevens, momentopnamen van taakcode en pijplijngegevenscache.
{workspace-ID}-code N.v.t. Opslag voor notebooks, rekeninstanties en promptstroom.
{workspace-ID}-file N.v.t. Alternatieve container voor het uploaden van gegevens.

Versleuteling

Azure AI Foundry maakt gebruik van versleuteling om data-at-rest en in transit te beveiligen. Standaard worden door Microsoft beheerde sleutels gebruikt voor versleuteling. U kunt echter uw eigen versleutelingssleutels gebruiken. Zie Door de klant beheerde sleutels voor meer informatie.

Virtueel netwerk

Een hub kan worden geconfigureerd voor het gebruik van een beheerd virtueel netwerk. Het beheerde virtuele netwerk beveiligt de communicatie tussen de hub, projecten en beheerde resources, zoals berekeningen. Als uw afhankelijkheidsservices (Azure Storage, Key Vault en Container Registry) openbare toegang hebben uitgeschakeld, wordt er een privé-eindpunt voor elke afhankelijkheidsservice gemaakt om de communicatie tussen de hub en het project en de afhankelijkheidsservice te beveiligen.

Notitie

Als u een virtueel netwerk wilt gebruiken om de communicatie tussen uw clients en de hub of het project te beveiligen, moet u een virtueel Azure-netwerk gebruiken dat u maakt en beheert. Bijvoorbeeld een virtueel Azure-netwerk dat gebruikmaakt van een VPN- of ExpressRoute-verbinding met uw on-premises netwerk.

Zie Een beheerd virtueel netwerk configureren voor Azure AI Foundry voor meer informatie over het configureren van een beheerd virtueel netwerk.

Azure Monitor

Azure Monitor en Azure Log Analytics bieden bewaking en logboekregistratie voor de onderliggende resources die worden gebruikt door Azure AI Foundry. Aangezien Azure AI Foundry is gebouwd op Azure Machine Learning, Azure OpenAI, Azure AI-services en Azure AI Search, gebruikt u de volgende artikelen voor meer informatie over het bewaken van de services:

Bron Controle en logboekregistratie
Azure AI Foundry-hub en -project Azure Machine Learning bewaken
Azure OpenAI Azure OpenAI bijhouden
Azure AI-services Azure AI bewaken (training)
Azure AI Search Azure AI Search bewaken

Prijs en quotum

Gebruik de volgende artikelen voor meer informatie over prijzen en quota:

Volgende stappen

Maak een hub met een van de volgende methoden: