Delen via

AI Ready : proces voor het bouwen van AI-workloads in Azure

  • Artikel

Dit artikel bevat een overzicht van het organisatieproces voor het bouwen van AI-workloads in Azure. Het artikel bevat aanbevelingen voor het maken van belangrijke ontwerp- en procesbeslissingen voor het op schaal nemen van AI-workloads. Het richt zich op AI-specifieke richtlijnen voor regioselectie, resourceorganisatie en netwerken.

Diagram van het AI-acceptatieproces: AI-strategie, AI-plan, AI Ready, Governance AI, BEHEER AI en Beveiligde AI.

AI-betrouwbaarheid vaststellen

Ai-betrouwbaarheid omvat het selecteren van de juiste regio's voor het hosten van AI-modellen om consistente prestaties, naleving en beschikbaarheid te garanderen. Organisaties moeten redundantie, failover en prestatieoptimalisatie aanpakken om betrouwbare AI-services te onderhouden.

  • Gebruik meerdere regio's om AI-modeleindpunten te hosten. Voor productieworkloads hosten AI-eindpunten in ten minste twee regio's om redundantie te bieden en hoge beschikbaarheid te garanderen. Hoewel generatieve AI-modellen staatloos zijn, zorgt het hosten ervan in meerdere regio's voor snellere failover en herstel tijdens regionale storingen. Voor Azure OpenAI Service-modellen kunt u globale implementaties gebruiken. Deze implementaties voor meerdere regio's kunnen aanvragen automatisch en transparant routeren naar een regio met voldoende capaciteit. Als u een niet-globale implementatie kiest, ook wel een regionale implementatie genoemd, gebruikt u Azure API Management voor taakverdelings-API-aanvragen voor AI-eindpunten.

  • Controleer de beschikbaarheid van de service. Voordat u gaat implementeren, moet u ervoor zorgen dat er beschikbaarheid is in de regio voor de AI-resources die u nodig hebt. Bepaalde regio's bieden mogelijk geen specifieke AI-services of hebben mogelijk beperkte functies, die van invloed kunnen zijn op de functionaliteit van uw oplossing. Deze beperking kan ook van invloed zijn op de schaalbaarheid van uw implementatie. De beschikbaarheid van de Azure OpenAI-service kan bijvoorbeeld variëren op basis van uw implementatiemodel. Deze implementatiemodellen omvatten wereldwijde standaard, wereldwijd ingericht, regionale standaard en regionaal ingericht. Controleer de AI-service om te bevestigen dat u toegang hebt tot de benodigde resources.

  • Evalueer het regioquotum en de capaciteit. Houd rekening met de quotum- of abonnementslimieten in uw gekozen regio naarmate uw AI-workloads toenemen. Azure-services hebben regionale abonnementslimieten. Deze limieten kunnen van invloed zijn op grootschalige AI-modelimplementaties, zoals grote deductieworkloads. Als u onderbrekingen wilt voorkomen, neemt u vooraf contact op met ondersteuning voor Azure als u extra capaciteit nodig hebt.

  • Prestaties evalueren. Wanneer u toepassingen bouwt die gegevens moeten ophalen, zoals rag-toepassingen (retrieval-augmented-generation), is het belangrijk om gegevensopslaglocaties te overwegen om de prestaties te optimaliseren. U hoeft geen gegevens te koppelen aan modellen in RAG-apps, maar dit kan de prestaties verbeteren door de latentie te verminderen en ervoor te zorgen dat gegevens efficiënt worden opgehaald.

  • Bereid u voor op de continuïteit van de bewerkingen. Repliceer kritieke assets, zoals nauwkeurig afgestemde modellen, RAG-gegevens, getrainde modellen en trainingsgegevenssets in een secundaire regio om bedrijfscontinuïteit en herstel na noodgevallen te garanderen. Deze redundantie maakt sneller herstel mogelijk als er een storing is en zorgt voor continue beschikbaarheid van de service.

AI-governance tot stand brengen

AI-governance omvat het organiseren van resources en het toepassen van beleid voor het beheren van AI-workloads en -kosten. Het omvat het structureren van beheergroepen en abonnementen om naleving en beveiliging voor verschillende workloads te garanderen. De juiste AI-governance voorkomt onbevoegde toegang, beheert risico's en zorgt ervoor dat AI-resources efficiënt binnen de organisatie werken.

  • Afzonderlijke internetgerichte en interne AI-workloads. Gebruik minimaal beheergroepen om AI-workloads te scheiden in internetgerichte workloads ('online') en alleen intern ('zakelijk'). Het onderscheid biedt een belangrijke grens voor gegevensbeheer. Hiermee kunt u intern gescheiden blijven van openbare gegevens. U wilt niet dat externe gebruikers toegang hebben tot gevoelige bedrijfsgegevens die vereist zijn voor intern werk. Dit onderscheid tussen internetgerichte en interne workloads is afgestemd op azure-beheergroepen voor landingszones.

  • AI-beleid toepassen op elke beheergroep. Begin met basislijnbeleid voor elk type workload, zoals de beleidsregels die worden gebruikt in Azure-landingszones. Voeg meer Azure Policy-definities toe aan uw basislijn om uniforme governance te stimuleren voor Azure AI-services, Azure AI Search, Azure Machine Learning en Azure Virtual Machines.

  • AI-resources implementeren in workloadabonnementen. AI-resources moeten beleidsregels voor workloadbeheer overnemen van de workloadbeheergroep (intern of internetgericht). Houd ze gescheiden van platformbronnen. AI-resources die worden beheerd door platformteams maken meestal knelpunten voor ontwikkeling. In de context van azure-landingszone implementeert u AI-workloads in abonnementen voor de landingszone van toepassingen.

AI-netwerken tot stand brengen

AI-netwerken verwijzen naar het ontwerp en de implementatie van netwerkinfrastructuur voor AI-workloads, waaronder beveiliging en connectiviteit. Het omvat het gebruik van topologieën zoals hub-and-spoke, het toepassen van beveiligingsmaatregelen zoals DDoS-beveiliging en het garanderen van efficiënte gegevensoverdracht. Effectieve AI-netwerken zijn essentieel voor veilige en betrouwbare communicatie, waardoor netwerkonderbrekingen worden voorkomen en prestaties worden onderhouden.

  • Activeer Azure DDoS Protection voor internetgerichte AI-workloads.Azure DDoS Protection beschermt uw AI-services tegen mogelijke onderbrekingen en downtime die worden veroorzaakt door gedistribueerde Denial of Service-aanvallen. Schakel Azure DDoS-beveiliging op het niveau van het virtuele netwerk in om te beschermen tegen verkeersstromen die gericht zijn op internetgerichte toepassingen.

  • Verbinding maken met on-premises netwerken. Gebruik een jumpbox en Azure Bastion om operationele toegang tot AI-workloads te beveiligen. Wanneer nodig kunnen sommige services, zoals Azure AI Foundry, toegang hebben tot on-premises bronnen. Voor organisaties die grote hoeveelheden gegevens van on-premises bronnen overdragen naar cloudomgevingen, gebruikt u een verbinding met hoge bandbreedte.

    • Overweeg Azure ExpressRoute. Azure ExpressRoute is ideaal voor grote gegevensvolumes, realtime verwerking of workloads die consistente prestaties vereisen. Er is een FastPath-functie waarmee de prestaties van het gegevenspad worden verbeterd.

    • Overweeg Azure VPN Gateway. Gebruik Azure VPN Gateway voor gemiddelde gegevensvolumes, onregelmatige gegevensoverdracht of wanneer openbare internettoegang is vereist. Het is eenvoudiger om kleinere gegevenssets in te stellen en rendabel te maken dan ExpressRoute. Gebruik de juiste topologie en ontwerp voor uw AI-workloads. Gebruik site-naar-site-VPN voor cross-premises en hybride connectiviteit. Gebruik een punt-naar-site-VPN voor beveiligde apparaatconnectiviteit. Zie Connect an on-premises network to Azure (Een on-premises netwerk verbinden met Azure) voor meer informatie.

  • Bereid services voor domeinnaamomzetting voor. Wanneer u privé-eindpunten gebruikt, integreert u privé-eindpunten met DNS voor de juiste DNS-resolutie en een geslaagde functionaliteit voor privé-eindpunten. Implementeer de Azure DNS-infrastructuur als onderdeel van uw Azure-landingszone en configureer voorwaardelijke doorstuurservers van bestaande DNS-services voor de juiste zones. Zie Private Link- en DNS-integratie op schaal voor Azure-landingszones voor meer informatie.

  • Netwerktoegangsbeheer configureren. Gebruik netwerkbeveiligingsgroepen (NSG's) om toegangsbeleid te definiëren en toe te passen dat inkomend en uitgaand verkeer naar en van AI-workloads regelt. Deze controles kunnen worden gebruikt om het principe van minimale bevoegdheden te implementeren, zodat alleen essentiële communicatie is toegestaan.

  • Gebruik netwerkbewakingsservices. Gebruik services zoals Azure Monitor Network Insights en Azure Network Watcher om inzicht te krijgen in de netwerkprestaties en -status. Gebruik bovendien Microsoft Sentinel voor geavanceerde detectie en reactie van bedreigingen in uw Azure-netwerk.

  • Implementeer Azure Firewall om uitgaand Azure-workloadverkeer te inspecteren en te beveiligen.Azure Firewall dwingt beveiligingsbeleid af voor uitgaand verkeer voordat het internet bereikt. Hiermee kunt u uitgaand verkeer beheren en bewaken en SNAT in staat stellen interne IP-adressen te verbergen door privé-IP-adressen te vertalen naar het openbare IP-adres van de firewall. Het zorgt voor veilig en identificeerbaar uitgaand verkeer voor betere bewaking en beveiliging.

  • Gebruik Azure Web Application Firewall (WAF) voor internetgerichte workloads.Azure WAF helpt uw AI-workloads te beschermen tegen veelvoorkomende webproblemen, waaronder SQL-injecties en aanvallen op meerdere sites. Configureer Azure WAF in Application Gateway voor workloads waarvoor verbeterde beveiliging is vereist tegen schadelijk webverkeer.

Een AI-basis tot stand brengen

Een AI-basis biedt de kerninfrastructuur en resourcehiërarchie die AI-workloads in Azure ondersteunen. Het omvat het instellen van schaalbare, veilige omgevingen die zijn afgestemd op governance- en operationele behoeften. Een sterke AI-basis maakt efficiënte implementatie en beheer van AI-workloads mogelijk. Het zorgt ook voor beveiliging en flexibiliteit voor toekomstige groei.

Azure-landingszone gebruiken

Een Azure-landingszone is het aanbevolen startpunt waarmee uw Azure-omgeving wordt voorbereid. Het biedt een vooraf gedefinieerde installatie voor platform- en toepassingsbronnen. Zodra het platform is geïmplementeerd, kunt u AI-workloads implementeren in toegewezen landingszones voor toepassingen. In afbeelding 2 hieronder ziet u hoe AI-workloads worden geïntegreerd binnen een Azure-landingszone.

Diagram met AI-workloads in een Azure-landingszone. Afbeelding 2. AI-workload in een Azure-landingszone.

Een AI-omgeving bouwen

Als u geen Azure-landingszone gebruikt, volgt u de aanbevelingen in dit artikel om uw AI-omgeving te bouwen. In het volgende diagram ziet u een basislijnresourcehiërarchie. Hiermee worden interne AI-workloads en internetgerichte AI-workloads gesegmenterd, zoals beschreven in het tot stand brengen van AI-governance. Interne workloads gebruiken beleid om onlinetoegang van klanten te weigeren. Met deze scheiding worden interne gegevens beschermd tegen blootstelling aan externe gebruikers. AI-ontwikkeling moet een jumpbox gebruiken om AI-resources en -gegevens te beheren.

Diagram van de resourceorganisatie voor interne en internetgerichte AI-workloads. Afbeelding 3. Basislijnresourcehiërarchie voor AI-workloads.

Volgende stappen

De volgende stap is het bouwen en implementeren van AI-workloads in uw AI-omgeving. Gebruik de volgende koppelingen om de architectuurrichtlijnen te vinden die aan uw behoeften voldoen. Begin met PaaS-architecturen (Platform-as-a-Service). PaaS is de aanbevolen benadering van Microsoft om AI te gebruiken.

Richtlijnen voor PaaS AI-architectuur

Richtlijnen voor IaaS AI-architectuur