Udostępnij za pośrednictwem


Architektura rozwiązania Azure AI Foundry

Usługa Azure AI Foundry zapewnia ujednolicone środowisko dla deweloperów sztucznej inteligencji i analityków danych w celu tworzenia, oceniania i wdrażania modeli sztucznej inteligencji za pośrednictwem portalu internetowego, zestawu SDK lub interfejsu wiersza polecenia. Usługa Azure AI Foundry jest oparta na możliwościach i usługach udostępnianych przez inne usługi platformy Azure.

Ważne

Usługa Azure AI Studio to teraz portal usługi Azure AI Foundry. Aktualizujemy dokumentację, aby odzwierciedlić tę zmianę. W międzyczasie mogą pojawić się odwołania do programu Azure AI Studio.

Diagram architektury wysokiego poziomu rozwiązania Azure AI Foundry.

Na najwyższym poziomie usługa Azure AI Foundry zapewnia dostęp do następujących zasobów:

  • Azure OpenAI: zapewnia dostęp do najnowszych modeli open AI. Możesz tworzyć bezpieczne wdrożenia, wypróbować place zabaw, dostroić modele, filtry zawartości i zadania wsadowe. Dostawca zasobów usługi Azure OpenAI to Microsoft.CognitiveServices/account i rodzaj zasobu to OpenAI. Możesz również nawiązać połączenie z usługą Azure OpenAI przy użyciu rodzaju AIServices, który obejmuje również inne usługi Azure AI.

    W przypadku korzystania z portalu Azure AI Foundry możesz bezpośrednio pracować z usługą Azure OpenAI bez projektu usługi Azure Studio lub użyć usługi Azure OpenAI za pośrednictwem projektu.

    Aby uzyskać więcej informacji, odwiedź witrynę Azure OpenAI w portalu azure AI Foundry.

  • Centrum zarządzania: Centrum zarządzania usprawnia ład i zarządzanie zasobami usługi Azure AI Foundry, takimi jak centra, projekty, połączone zasoby i wdrożenia.

    Aby uzyskać więcej informacji, odwiedź stronę Centrum zarządzania.

  • Centrum rozwiązania Azure AI Foundry: centrum to zasób najwyższego poziomu w portalu usługi Azure AI Foundry i jest oparty na usłudze Azure Machine Learning Service. Dostawca zasobów platformy Azure dla centrum to Microsoft.MachineLearningServices/workspaces, a rodzaj zasobu to Hub. Oferuje ono następujące funkcje:

    • Konfiguracja zabezpieczeń, w tym sieć zarządzana obejmująca projekty i punkty końcowe modelu.
    • Zasoby obliczeniowe do interaktywnego programowania, dostrajania, open source i bezserwerowych wdrożeń modeli.
    • Połączenia z innymi usługami platformy Azure, takimi jak Azure OpenAI, Azure AI Services i Azure AI Search. Połączenia o zakresie centrum są współużytkowane z projektami utworzonymi na podstawie centrum.
    • Zarządzanie projektami. Centrum może mieć wiele projektów podrzędnych.
    • Skojarzone konto usługi Azure Storage na potrzeby przekazywania danych i przechowywania artefaktów.

    Aby uzyskać więcej informacji, odwiedź stronę Hubs and projects overview (Centrum i projekty — omówienie).

  • Projekt rozwiązania Azure AI Foundry: projekt jest zasobem podrzędnym centrum. Dostawca zasobów platformy Azure dla projektu to Microsoft.MachineLearningServices/workspaces, a rodzaj zasobu to Project. Projekt udostępnia następujące funkcje:

    • Dostęp do narzędzi programistycznych do tworzenia i dostosowywania aplikacji sztucznej inteligencji.
    • Składniki wielokrotnego użytku, w tym zestawy danych, modele i indeksy.
    • Izolowany kontener do przekazywania danych (w magazynie dziedziczony z koncentratora).
    • Połączenia w zakresie projektu. Na przykład członkowie projektu mogą potrzebować prywatnego dostępu do danych przechowywanych na koncie usługi Azure Storage bez udzielania tego samego dostępu do innych projektów.
    • Wdrożenia modelu typu open source z wykazu i dostosowanych punktów końcowych modelu.

    Diagram relacji między zasobami usługi Azure AI Foundry.

    Aby uzyskać więcej informacji, odwiedź stronę Hubs and projects overview (Centrum i projekty — omówienie).

  • Połączenia: centra i projekty usługi Azure AI Foundry używają połączeń w celu uzyskania dostępu do zasobów udostępnianych przez inne usługi. Na przykład dane na koncie usługi Azure Storage, usłudze Azure OpenAI lub innych usługach azure AI.

    Aby uzyskać więcej informacji, odwiedź stronę Połączenia.

Typy zasobów i dostawcy platformy Azure

Usługa Azure AI Foundry jest oparta na dostawcy zasobów usługi Azure Machine Learning i ma zależność od kilku innych usług platformy Azure. Dostawcy zasobów dla tych usług muszą być zarejestrowani w ramach subskrypcji platformy Azure. W poniższej tabeli wymieniono typy zasobów, dostawcę i rodzaj:

Typ zasobu Dostawca zasobów Rodzaj
Centrum usługi Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Projekt rozwiązania Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Usługi Azure AI lub
Azure AI OpenAI Service
Microsoft.CognitiveServices/account AIServices
OpenAI

Podczas tworzenia nowego centrum wymagany jest zestaw zależnych zasobów platformy Azure do przechowywania danych, uzyskiwania dostępu do modeli i udostępniania zasobów obliczeniowych na potrzeby dostosowywania sztucznej inteligencji. W poniższej tabeli wymieniono zależne zasoby platformy Azure i ich dostawców zasobów:

Napiwek

Jeśli nie podasz zasobu zależnego podczas tworzenia centrum i jest to wymagana zależność, usługa Azure AI Foundry utworzy zasób.

Zależny zasób platformy Azure Dostawca zasobów Opcjonalnie Uwaga
Wyszukiwanie AI platformy Azure Microsoft.Search/searchServices Udostępnia możliwości wyszukiwania dla projektów.
Konto usługi Azure Storage Microsoft.Storage/storageAccounts Przechowuje artefakty dla projektów, takich jak przepływy i oceny. W przypadku izolacji danych kontenery magazynu są poprzedzone prefiksem przy użyciu identyfikatora GUID projektu i są warunkowo zabezpieczone przy użyciu usługi Azure ABAC dla tożsamości projektu.
Azure Key Vault Microsoft.KeyVault/vaults Przechowuje wpisy tajne, takie jak parametry połączenia dla połączeń zasobów. W przypadku izolacji danych wpisy tajne nie mogą być pobierane między projektami za pośrednictwem interfejsów API.
Azure Container Registry Microsoft.ContainerRegistry/registries Przechowuje obrazy platformy Docker utworzone podczas korzystania z niestandardowego środowiska uruchomieniowego na potrzeby przepływu monitów. W przypadku izolacji danych obrazy platformy Docker są poprzedzone prefiksem przy użyciu identyfikatora GUID projektu.
aplikacja systemu Azure Szczegółowe informacje i
Obszar roboczy usługi Log Analytics
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Używany jako magazyn dzienników w przypadku wybrania rejestrowania na poziomie aplikacji dla wdrożonych przepływów monitów.

Aby uzyskać informacje na temat rejestrowania dostawców zasobów, zobacz Rejestrowanie dostawcy zasobów platformy Azure.

Zasoby hostowane przez firmę Microsoft

Podczas gdy większość zasobów używanych przez usługę Azure AI Foundry mieszka w ramach subskrypcji platformy Azure, niektóre zasoby znajdują się w subskrypcji platformy Azure zarządzanej przez firmę Microsoft. Koszt tych zasobów zarządzanych jest wyświetlany na rachunku za platformę Azure jako element wiersza w ramach dostawcy zasobów usługi Azure Machine Learning. Następujące zasoby znajdują się w subskrypcji platformy Azure zarządzanej przez firmę Microsoft i nie są wyświetlane w subskrypcji platformy Azure:

  • Zarządzane zasoby obliczeniowe: udostępniane przez zasoby usługi Azure Batch w subskrypcji firmy Microsoft.

  • Zarządzana sieć wirtualna: udostępniane przez zasoby usługi Azure Virtual Network w subskrypcji firmy Microsoft. Jeśli reguły nazw FQDN są włączone, do subskrypcji zostanie dodana usługa Azure Firewall (standardowa) i zostanie naliczona opłata. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzanej sieci wirtualnej dla usługi Azure AI Foundry.

  • Magazyn metadanych: udostępniane przez zasoby usługi Azure Storage w subskrypcji firmy Microsoft.

    Uwaga

    Jeśli używasz kluczy zarządzanych przez klienta, zasoby magazynu metadanych są tworzone w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta.

Zarządzane zasoby obliczeniowe i zarządzane sieci wirtualne istnieją w subskrypcji firmy Microsoft, ale zarządzasz nimi. Na przykład można kontrolować, które rozmiary maszyn wirtualnych są używane dla zasobów obliczeniowych i które reguły ruchu wychodzącego są skonfigurowane dla zarządzanej sieci wirtualnej.

Zarządzane zasoby obliczeniowe wymagają również zarządzanie lukami w zabezpieczeniach. Odpowiedzialność za zarządzanie lukami w zabezpieczeniach leży zarówno po stronie użytkownika, jak i firmy Microsoft. Aby uzyskać więcej informacji, zobacz zarządzanie lukami w zabezpieczeniach.

Centralne konfigurowanie i zarządzanie przy użyciu centrów

Centra zapewniają centralny sposób, aby zespół zarządzał zasobami zabezpieczeń, łączności i obliczeń na placach zabaw i projektach. Projekty tworzone przy użyciu centrum dziedziczą te same ustawienia zabezpieczeń i dostęp do zasobów udostępnionych. Zespoły mogą tworzyć jak najwięcej projektów w razie potrzeby w celu organizowania pracy, izolowania danych i/lub ograniczania dostępu.

Często projekty w domenie biznesowej wymagają dostępu do tych samych zasobów firmy, takich jak indeksy wektorowe, punkty końcowe modelu lub repozytoria. Jako lider zespołu możesz wstępnie skonfigurować łączność z tymi zasobami w centrum, aby deweloperzy mogli uzyskiwać do nich dostęp z dowolnego nowego obszaru roboczego projektu bez opóźnień w it.

Połączenia umożliwiają dostęp do obiektów w rozwiązaniu Azure AI Foundry zarządzanych poza centrum. Na przykład przekazane dane na koncie usługi Azure Storage lub wdrożenia modelu w istniejącym zasobie usługi Azure OpenAI. Połączenie może być współużytkowane dla każdego projektu lub udostępnione jednemu konkretnemu projektowi. Połączenia można skonfigurować do używania dostępu opartego na kluczach lub przekazywania identyfikatora entra firmy Microsoft w celu autoryzowania dostępu do użytkowników w połączonym zasobie. Jako administrator możesz śledzić, przeprowadzać inspekcję i zarządzać połączeniami w całej organizacji z jednego widoku w usłudze Azure AI Foundry.

Zrzut ekranu usługi Azure AI Foundry przedstawiający widok inspekcji wszystkich połączonych zasobów w centrum i jego projektach.

Organizowanie pod kątem potrzeb twojego zespołu

Liczba potrzebnych centrów i projektów zależy od sposobu pracy. Możesz utworzyć pojedyncze centrum dla dużego zespołu z podobnymi potrzebami dotyczącymi dostępu do danych. Ta konfiguracja maksymalizuje efektywność kosztową, udostępnianie zasobów i minimalizuje obciążenie związane z konfiguracją. Na przykład centrum dla wszystkich projektów związanych z pomocą techniczną klienta.

Jeśli potrzebujesz izolacji między tworzeniem, testowaniem i produkcją w ramach strategii LLMOps lub MLOps, rozważ utworzenie centrum dla każdego środowiska. W zależności od gotowości rozwiązania do produkcji możesz zdecydować się na replikowanie obszarów roboczych projektu w każdym środowisku lub tylko w jednym.

Serwer proxy kontroli dostępu i płaszczyzny sterowania opartej na rolach

Usługi azure AI, w tym Azure OpenAI, zapewniają punkty końcowe płaszczyzny sterowania dla operacji, takich jak wyświetlanie listy wdrożeń modelu. Te punkty końcowe są zabezpieczone przy użyciu oddzielnej konfiguracji kontroli dostępu opartej na rolach (RBAC) platformy Azure niż konfiguracja używana dla koncentratora.

Aby zmniejszyć złożoność zarządzania kontrolą dostępu opartą na rolach platformy Azure, usługa Azure AI Foundry udostępnia serwer proxy płaszczyzny sterowania, który umożliwia wykonywanie operacji na połączonych usługach azure AI i zasobach usługi Azure OpenAI. Wykonywanie operacji na tych zasobach za pośrednictwem serwera proxy płaszczyzny sterowania wymaga tylko uprawnień RBAC platformy Azure w centrum. Następnie usługa Azure AI Foundry wykonuje wywołanie usług Azure AI lub punktu końcowego płaszczyzny sterowania azure OpenAI w Twoim imieniu.

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach w portalu usługi Azure AI Foundry.

Kontrola dostępu oparta na atrybutach

Każde utworzone centrum ma domyślne konto magazynu. Każdy projekt podrzędny centrum dziedziczy konto magazynu centrum. Konto magazynu służy do przechowywania danych i artefaktów.

Aby zabezpieczyć udostępnione konto magazynu, usługa Azure AI Foundry używa kontroli dostępu opartej zarówno na rolach platformy Azure, jak i kontroli dostępu opartej na atrybutach platformy Azure (Azure ABAC). Azure ABAC to model zabezpieczeń, który definiuje kontrolę dostępu na podstawie atrybutów skojarzonych z użytkownikiem, zasobem i środowiskiem. Każdy projekt ma:

  • Jednostka usługi, która ma przypisaną rolę Współautor danych obiektu blob usługi Storage na koncie magazynu.
  • Unikatowy identyfikator (identyfikator obszaru roboczego).
  • Zestaw kontenerów na koncie magazynu. Każdy kontener ma prefiks odpowiadający wartości identyfikatora obszaru roboczego dla projektu.

Przypisanie roli dla jednostki usługi każdego projektu ma warunek, który zezwala tylko jednostce usługi na dostęp do kontenerów z pasującą wartością prefiksu. Ten warunek gwarantuje, że każdy projekt będzie mógł uzyskiwać dostęp tylko do własnych kontenerów.

Uwaga

W przypadku szyfrowania danych na koncie magazynu zakresem jest cały magazyn, a nie dla kontenera. Dlatego wszystkie kontenery są szyfrowane przy użyciu tego samego klucza (dostarczonego przez firmę Microsoft lub przez klienta).

Aby uzyskać więcej informacji na temat kontroli dostępu opartej na dostępie na platformie Azure, zobacz Co to jest kontrola dostępu oparta na atrybutach platformy Azure.

Kontenery na koncie magazynu

Domyślne konto magazynu dla centrum ma następujące kontenery. Te kontenery są tworzone dla każdego projektu, a {workspace-id} prefiks jest zgodny z unikatowym identyfikatorem projektu. Projekty uzyskują dostęp do kontenera przy użyciu połączenia.

Napiwek

Aby znaleźć identyfikator projektu, przejdź do projektu w witrynie Azure Portal. Rozwiń węzeł Ustawienia , a następnie wybierz pozycję Właściwości. Zostanie wyświetlony identyfikator obszaru roboczego.

Nazwa kontenera Nazwa połączenia opis
{workspace-ID}-azureml workspaceartifactstore Magazyn dla zasobów, takich jak metryki, modele i składniki.
{workspace-ID}-blobstore workspaceblobstore Magazyn na potrzeby przekazywania danych, migawek kodu zadania i pamięci podręcznej danych potoku.
{workspace-ID}-code NA Magazyn dla notesów, wystąpień obliczeniowych i przepływu monitów.
{workspace-ID}-file NA Alternatywny kontener do przekazywania danych.

Szyfrowanie

Usługa Azure AI Foundry używa szyfrowania do ochrony danych magazynowanych i przesyłanych. Domyślnie klucze zarządzane przez firmę Microsoft są używane do szyfrowania. Można jednak użyć własnych kluczy szyfrowania. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta.

Sieć wirtualna

Koncentrator można skonfigurować do korzystania z zarządzanej sieci wirtualnej. Zarządzana sieć wirtualna zabezpiecza komunikację między centrum, projektami i zasobami zarządzanymi, takimi jak obliczenia. Jeśli usługi zależności (Azure Storage, Key Vault i Container Registry) mają wyłączony dostęp publiczny, zostanie utworzony prywatny punkt końcowy dla każdej usługi zależności w celu zabezpieczenia komunikacji między centrum i projektem a usługą zależności.

Uwaga

Jeśli chcesz używać sieci wirtualnej do zabezpieczania komunikacji między klientami a centrum lub projektem, musisz użyć sieci wirtualnej platformy Azure utworzonej i zarządzanej. Na przykład sieć wirtualna platformy Azure korzystająca z sieci VPN lub usługi ExpressRoute z siecią lokalną.

Aby uzyskać więcej informacji na temat konfigurowania zarządzanej sieci wirtualnej, zobacz Konfigurowanie zarządzanej sieci wirtualnej dla usługi Azure AI Foundry.

Azure Monitor

Usługi Azure Monitor i Azure Log Analytics zapewniają monitorowanie i rejestrowanie bazowych zasobów używanych przez usługę Azure AI Foundry. Ponieważ usługa Azure AI Foundry jest oparta na usłudze Azure Machine Learning, Azure OpenAI, usługach Azure AI i Azure AI Search, skorzystaj z następujących artykułów, aby dowiedzieć się, jak monitorować usługi:

Zasób Monitorowanie i rejestrowanie
Centrum i projekt rozwiązania Azure AI Foundry Monitorowanie usługi Azure Machine Learning
Azure OpenAI Monitorowanie usługi Azure OpenAI
Usługi platformy Azure AI Monitorowanie sztucznej inteligencji platformy Azure (trenowanie)
Wyszukiwanie AI platformy Azure Monitorowanie usługi Azure AI Search

Cena i limit przydziału

Aby uzyskać więcej informacji na temat ceny i limitu przydziału, skorzystaj z następujących artykułów:

Następne kroki

Utwórz koncentrator przy użyciu jednej z następujących metod: