Arquitetura do Azure AI Foundry
O AI Foundry fornece uma experiência unificada para desenvolvedores de IA e cientistas de dados criarem, avaliarem e implantarem modelos de IA por meio de um portal da Web, SDK ou CLI. O AI Foundry baseia-se em recursos e serviços fornecidos por outros serviços do Azure.
Importante
O Estúdio de IA do Azure agora é o Azure AI Foundry. Estamos atualizando a documentação para refletir essa alteração. Enquanto isso, você pode ver referências ao Estúdio de IA do Azure.
No nível superior, o AI Foundry fornece acesso aos seguintes recursos:
OpenAI do Azure: fornece acesso aos modelos mais recentes do OpenAI. Você pode criar implantações seguras, experimentar playgrounds, ajustar modelos, filtros de conteúdo e trabalhos em lote. O provedor de recursos do OpenAI do Azure é
Microsoft.CognitiveServices/account, e o tipo de recurso éOpenAI. Você também pode se conectar ao OpenAI do Azure usando um tipo deAIServices, que também inclui outros serviços de IA do Azure.Ao usar o portal do Azure AI Foundry, você pode trabalhar diretamente com o OpenAI do Azure sem um projeto do Estúdio do Azure ou usar o OpenAI do Azure por meio de um projeto.
Para obter mais informações, visite O que é o OpenAI do Azure no Estúdio de IA do Azure.
Centro de gerenciamento: o centro de gerenciamento simplifica a governança e o gerenciamento de recursos do Estúdio de IA, como hubs, projetos, recursos conectados e implantações.
Para obter mais informações, visite Centro de gerenciamento.
Hub do AI Foundry: o hub é o recurso de nível superior no portal do AI Foundry e se baseia no serviço do Azure Machine Learning. O provedor de recursos do Azure para um hub é
Microsoft.MachineLearningServices/workspaces, e o tipo de recurso éHub. Ela fornece os seguintes recursos:- Configuração de segurança, incluindo uma rede gerenciada que abrange projetos e pontos de extremidade de modelo.
- Recursos de computação para desenvolvimento interativo, ajuste fino, código aberto e implantações de modelos sem servidor.
- Conexões com outros serviços do Azure, como OpenAI do Azure, Serviços de IA do Azure e Pesquisa de IA do Azure. As conexões com escopo de hub são compartilhadas com projetos criados no hub.
- Gerenciamento de projetos. Um hub pode ter vários projetos filho.
- Uma conta de armazenamento do Azure associada para upload de dados e armazenamento de artefatos.
Para obter mais informações, visite Visão geral de hubs e projetos.
Projeto do AI Foundry: um projeto é um recurso filho do hub. O provedor de recursos do Azure para um projeto de IA é
Microsoft.MachineLearningServices/workspaces, e o tipo de recurso éProject. O projeto fornece os seguintes recursos:- Acesso às ferramentas de desenvolvimento para criar e personalizar aplicativos de IA.
- Componentes reutilizáveis, incluindo conjuntos de dados, modelos e índices.
- Um contêiner isolado para carregar dados (dentro do armazenamento herdado do hub).
- Conexões com escopo de projeto. Por exemplo, os membros do projeto podem precisar de acesso privado aos dados armazenados em uma conta de Armazenamento do Azure sem fornecer esse mesmo acesso a outros projetos.
- Implantações de modelo de código aberto do catálogo e pontos de extremidade de modelo ajustados.
Para obter mais informações, visite Visão geral de hubs e projetos.
Conexões: hubs e projetos do Azure AI Foundry usam conexões para acessar recursos fornecidos por outros serviços. Por exemplo, dados em uma Conta de Armazenamento do Azure, no OpenAI do Azure ou em outros serviços de IA do Azure.
Para obter mais informações, visite Conexões.
Provedores e tipos de recursos do Azure
O Azure AI Foundry baseia-se no fornecedor de recursos Azure Machine Learning e depende de vários outros serviços do Azure. Os provedores de recursos desses serviços devem estar registrados na sua assinatura do Azure. A seguinte tabela lista os tipos de recursos, o provedor e o tipo:
| Tipo de recurso | Provedor de recursos | Tipo |
|---|---|---|
| Hub do Estúdio de IA do Azure | Microsoft.MachineLearningServices/workspace |
hub |
| Projeto do Estúdio de IA do Azure | Microsoft.MachineLearningServices/workspace |
project |
| Serviços de IA do Azure ou Serviço OpenAI de IA do Azure |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
Ao criar um novo hub, é necessário um conjunto de recursos dependentes do Azure para armazenar dados, obter acesso a modelos e fornecer recursos de computação para personalização de IA. A tabela a seguir lista os recursos dependentes do Azure e seus provedores de recursos:
Dica
Se você não fornecer um recurso dependente ao criar um hub e ele for uma dependência necessária, o Estúdio de IA criará o recurso para você.
| Recursos dependentes do Azure | Provedor de recursos | Opcional | Observação |
|---|---|---|---|
| Pesquisa de IA do Azure | Microsoft.Search/searchServices |
✔ | Fornece recursos de pesquisa para seus projetos. |
| Conta do Armazenamento do Azure | Microsoft.Storage/storageAccounts |
Armazena artefatos para seus projetos, como fluxos e avaliações. Para isolamento de dados, os contêineres de armazenamento são prefixados usando o GUID do projeto e protegidos condicionalmente usando o ABAC do Azure para a identidade do projeto. | |
| Cofre de Chave do Azure | Microsoft.KeyVault/vaults |
Armazena segredos como cadeias de conexão para suas conexões de recurso. Para isolamento de dados, segredos não podem ser recuperados em projetos por meio de APIs. | |
| Registro de Contêiner do Azure | Microsoft.ContainerRegistry/registries |
✔ | Armazenam imagens do Docker criadas ao usar o runtime personalizado para o prompt flow. Para isolamento de dados, as imagens do Docker são prefixadas usando o GUID do projeto. |
| Application Insights do Azure e Workspace do Log Analytics |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Usado como armazenamento de registros quando você escolhe o registro em nível de aplicativo para os prompt flows implantados. |
Para obter informações sobre como registrar provedores de recursos, confira Registrar um provedor de recursos do Azure.
Recursos hospedados pela Microsoft
Embora a maioria dos recursos usados pelo Azure AI Foundry resida em sua assinatura do Azure, alguns recursos estão em uma assinatura do Azure gerenciada pela Microsoft. O custo desses recursos gerenciados aparece em sua fatura do Azure como um item de linha no provedor de recursos do Azure Machine Learning. Os seguintes recursos estão na assinatura do Azure gerenciada pela Microsoft e não aparecem em sua assinatura do Azure:
Recursos de computação gerenciados: fornecidos pelos recursos do Lote do Azure na assinatura da Microsoft.
Rede virtual gerenciada: fornecida pelos recursos da Rede Virtual do Azure na assinatura da Microsoft. Se as regras do FQDN estiverem habilitadas, um Firewall do Azure (padrão) será adicionado e cobrado à sua assinatura. Para obter mais informações, confira Configurar uma rede virtual gerenciada para o Estúdio de IA do Azure.
Armazenamento de metadados: fornecido pelos recursos do Armazenamento do Azure na assinatura da Microsoft.
Observação
Se você usar chaves gerenciadas pelo cliente, os recursos de armazenamento de metadados serão criados em sua assinatura. Para saber mais, confira Chaves gerenciadas pelo cliente.
Existem recursos de computação gerenciados e redes virtuais gerenciadas na assinatura da Microsoft, mas você os gerencia. Por exemplo, você controla quais tamanhos de VM são usados para recursos de computação e quais regras de saída são configuradas para a rede virtual gerenciada.
Os recursos de computação gerenciados também exigem gerenciamento de vulnerabilidades. O gerenciamento de vulnerabilidades é uma responsabilidade compartilhada entre você e a Microsoft. Para obter mais informações, confira gerenciamento de vulnerabilidades.
Configure e governe centralmente usando hubs
Os hubs fornecem uma maneira central para uma equipe controlar recursos de segurança, conectividade e computação em playgrounds e projetos. Os projetos criados usando um hub herdam as mesmas configurações de segurança e o acesso a recursos compartilhados. As equipes podem criar quantos projetos forem necessários para organizar o trabalho, isolar dados e/ou restringir o acesso.
Geralmente, os projetos em um domínio de negócios exigem acesso aos mesmos recursos da empresa, como índices vetoriais, pontos de extremidade de modelo ou repositórios. Como líder de equipe, você pode pré-configurar a conectividade com esses recursos em um hub, para que os desenvolvedores possam acessá-los em qualquer novo espaço de trabalho do projeto, sem atrasos para a TI.
As conexões permitem acessar objetos no AI Foundry gerenciados fora do hub. Por exemplo, os dados carregados em uma conta de armazenamento do Azure ou implantações de modelo em um recurso existente do OpenAI do Azure. Uma conexão pode ser compartilhada com todos os projetos ou disponibilizada para um projeto específico. As conexões podem ser configuradas para usar acesso baseado em chave ou passagem de ID Microsoft Entra para autorizar o acesso a usuários no recurso conectado. Como administrador, você pode acompanhar, auditar e gerenciar conexões em toda a organização de uma única exibição no AI Foundry.
Organize de acordo com as necessidades da sua equipe
O número de hubs e projetos necessários depende da sua forma de trabalhar. Você pode criar um único hub para uma equipe grande com necessidades semelhantes de acesso a dados. Essa configuração maximiza a eficiência de custos, o compartilhamento de recursos e minimiza a sobrecarga de configuração. Por exemplo, um hub para todos os projetos relacionados ao suporte ao cliente.
Se você precisar de isolamento entre desenvolvimento, teste e produção como parte de sua estratégia de LLMOps ou MLOps, considere criar um hub para cada ambiente. Dependendo da prontidão da sua solução para produção, você pode decidir replicar os espaços de trabalho do seu projeto em cada ambiente ou apenas em um.
Controle de acesso baseado em função e proxy do painel de controle
Os Serviços de IA do Azure, incluindo o OpenAI do Azure, fornecem pontos de extremidade do plano de controle para operações como implantações de modelo de listagem. Esses pontos de extremidade são protegidos usando uma configuração de RBAC (controle de acesso baseado em função) do Azure, diferente daquela usada para o hub.
Para reduzir a complexidade do gerenciamento do RBAC do Azure, o AI Foundry fornece um proxy de plano de controle que permite executar operações em recursos dos Serviços de IA do Azure conectados e do OpenAI do Azure. A execução de operações nesses recursos por meio do proxy do plano de controle requer apenas permissões RBAC do Azure no hub. O serviço do Azure AI Foundry executa a chamada para os Serviços de IA do Azure ou o ponto de extremidade do plano de controle do OpenAI do Azure em seu nome.
Para obter mais informações, confira Controle de acesso baseado em função no Estúdio de IA do Azure.
Controle de acesso baseado em atributo
Cada hub criado tem uma conta de armazenamento padrão. Cada projeto filho do hub herda a conta de armazenamento do hub. A conta de armazenamento é usada para armazenar dados e artefatos.
Para proteger a conta de armazenamento compartilhado, o Azure AI Foundry usa o Azure RBAC e o Azure ABAC (controle de acesso baseado em atributo do Azure). O Azure ABAC é um modelo de segurança que define o controle de acesso com base em atributos associados ao usuário, ao recurso e ao ambiente. Cada projeto tem:
- Uma entidade de serviço atribuída à função Colaborador de Dados de Blobs de Armazenamento na conta de armazenamento.
- Uma ID exclusiva (ID do workspace).
- Uma lista de contêineres na conta de armazenamento. Cada contêiner tem um prefixo que corresponde ao valor da ID do workspace para o projeto.
A atribuição de função para a entidade de serviço de cada projeto tem uma condição que só permite que a entidade de serviço acesse contêineres com o valor de prefixo correspondente. Essa condição garante que cada projeto só possa acessar seus próprios contêineres.
Observação
Para criptografia de dados na conta de armazenamento, o escopo é todo o armazenamento e não por contêiner. Portanto, todos os contêineres são criptografados usando a mesma chave (fornecida pela Microsoft ou pelo cliente).
Para obter mais informações sobre o controle baseado em acesso do Azure, consulte O que é o controle de acesso baseado em atributo do Azure.
Contêineres na conta de armazenamento
A conta de armazenamento padrão de um hub deve ter os contêineres a seguir. Esses contêineres são criados para cada projeto e o {workspace-id} prefixo corresponde à ID exclusiva para o projeto de IA. Os projetos acessam um contêiner usando uma conexão.
Dica
Para localizar a ID para o seu projeto, vá para o projeto de no portal do Azure. Expanda Configurações e, em seguida, selecione Propriedades. A ID do espaço de trabalho é exibida.
| Nome do contêiner | Nome da conexão | Descrição |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Armazenamento para ativos como métricas, modelos e componentes. |
{workspace-ID}-blobstore |
workspaceblobstore | Armazenamento para upload de dados, instantâneos de códigos de trabalho e cache de dados de pipeline. |
{workspace-ID}-code |
NA | Armazenamento para notebooks, instâncias de computação e fluxos de prompt. |
{workspace-ID}-file |
NA | Contêiner alternativo para carregamento de dados. |
Criptografia
O Azure AI Foundry usa criptografia para proteger dados inativos e em trânsito. Por padrão, as chaves gerenciadas pela Microsoft são usadas para criptografia. No entanto, você pode usar suas próprias chaves de criptografia. Para saber mais, confira Chaves gerenciadas pelo cliente.
Rede virtual
O hub pode ser configurado para usar uma rede virtual gerenciada. A rede virtual gerenciada protege as comunicações entre o hub, os projetos e os recursos gerenciados, como os computadores. Se os seus serviços de dependência (Armazenamento do Microsoft Azure, Key Vault e Registro de Contêiner) tiverem o acesso público desabilitado, um ponto de extremidade privado para cada serviço de dependência será criado para proteger a comunicação entre o hub e projeto e o serviço de dependência.
Observação
Se você quiser usar uma rede virtual para proteger as comunicações entre seus clientes e o hub ou o projeto, deverá usar uma Rede Virtual do Azure criada e gerenciada por você. Por exemplo, uma Rede Virtual do Azure que usa uma conexão VPN ou ExpressRoute com sua rede local.
Para obter mais informações sobre como configurar uma rede virtual gerenciada, confira Configurar uma rede virtual gerenciada para o Estúdio de IA do Azure.
Azure Monitor
O Azure Monitor e o Azure Log Analytics fornecem monitoramento e registro em log para os recursos subjacentes usados pelo Azure AI Foundry. Como o Azure AI Foundry é baseado no Azure Machine Learning, no OpenAI do Azure, nos Serviços de IA do Azure e na Pesquisa de IA do Azure, use os seguintes artigos para saber como monitorar os serviços:
| Recurso | Monitoramento e registro em log |
|---|---|
| Hub e projeto do Estúdio de IA do Azure | Monitorar o Azure Machine Learning |
| OpenAI do Azure | Monitorar o OpenAI do Azure |
| Serviços de IA do Azure | Monitorar a IA do Azure (treinamento) |
| Azure AI Search | Monitorar a Pesquisa de IA do Azure |
Preço e cota
Para obter mais informações sobre preço e cota, use os seguintes artigos:
Próximas etapas
Crie um hub usando um dos seguintes métodos:
- Portal do Azure AI Foundry: crie um hub para começar.
- Portal do Azure: criar um hub com sua própria rede.
- Modelo do Bicep.