Partilhar via


Arquitetura do Azure AI Foundry

O Azure AI Foundry fornece uma experiência unificada para desenvolvedores de IA e cientistas de dados criarem, avaliarem e implantarem modelos de IA por meio de um portal da Web, SDK ou CLI. O Azure AI Foundry baseia-se em capacidades e serviços fornecidos por outros serviços do Azure.

Diagrama da arquitetura de alto nível do Azure AI Foundry.

No nível superior, o Azure AI Foundry fornece acesso aos seguintes recursos:

  • Azure OpenAI: fornece acesso aos modelos de IA aberta mais recentes. Você pode criar implantações seguras, experimentar playgrounds, ajustar modelos, filtros de conteúdo e trabalhos em lote. O provedor de recursos do Azure OpenAI é Microsoft.CognitiveServices/account e o tipo de recurso é OpenAI. Você também pode se conectar ao Azure OpenAI usando um tipo de , que também inclui outros serviços de IA do AIServicesAzure.

    Ao usar o portal do Azure AI Foundry, você pode trabalhar diretamente com o Azure OpenAI sem um projeto do Azure Studio ou pode usar o Azure OpenAI por meio de um projeto.

    Para obter mais informações, visite Azure OpenAI no portal do Azure AI Foundry.

  • Centro de gerenciamento: o centro de gerenciamento simplifica a governança e o gerenciamento de recursos do Azure AI Foundry, como hubs, projetos, recursos conectados e implantações.

    Para obter mais informações, visite Centro de gerenciamento.

  • Hub do Azure AI Foundry: o hub é o recurso de nível superior no portal do Azure AI Foundry e é baseado no serviço Azure Machine Learning. O provedor de recursos do Azure para um hub é Microsoft.MachineLearningServices/workspaces, e o tipo de recurso é Hub. Proporciona as seguintes funcionalidades:

    • Configuração de segurança, incluindo uma rede gerenciada que abrange projetos e pontos de extremidade de modelo.
    • Recursos de computação para desenvolvimento interativo, ajuste fino, código aberto e implantações de modelos sem servidor.
    • Conexões com outros serviços do Azure, como Azure OpenAI, serviços de IA do Azure e Azure AI Search. As conexões com escopo de hub são compartilhadas com projetos criados a partir do hub.
    • Gestão de projetos. Um hub pode ter vários projetos filho.
    • Uma conta de armazenamento do Azure associada para carregamento de dados e armazenamento de artefatos.

    Para obter mais informações, visite Visão geral de Hubs e projetos.

  • Projeto Azure AI Foundry: um projeto é um recurso filho do hub. O provedor de recursos do Azure para um projeto é Microsoft.MachineLearningServices/workspaces, e o tipo de recurso é Project. O projeto fornece as seguintes características:

    • Acesso a ferramentas de desenvolvimento para construção e personalização de aplicações de IA.
    • Componentes reutilizáveis, incluindo conjuntos de dados, modelos e índices.
    • Um contêiner isolado para carregar dados (dentro do armazenamento herdado do hub).
    • Conexões com escopo de projeto. Por exemplo, os membros do projeto podem precisar de acesso privado aos dados armazenados em uma conta de Armazenamento do Azure sem conceder esse mesmo acesso a outros projetos.
    • Implantações de modelo de código aberto a partir de pontos de extremidade de modelo de catálogo e ajustados.

    Diagrama da relação entre os recursos do Azure AI Foundry.

    Para obter mais informações, visite Visão geral de Hubs e projetos.

  • Conexões: os hubs e projetos do Azure AI Foundry usam conexões para acessar recursos fornecidos por outros serviços. Por exemplo, dados em uma Conta de Armazenamento do Azure, Azure OpenAI ou outros serviços de IA do Azure.

    Para obter mais informações, visite Conexões.

Tipos de recursos e provedores do Azure

O Azure AI Foundry é criado no provedor de recursos do Azure Machine Learning e depende de vários outros serviços do Azure. Os provedores de recursos para esses serviços devem ser registrados em sua assinatura do Azure. A tabela a seguir lista os tipos de recursos, provedor e tipo:

Tipo de recurso Fornecedor de recursos Variante
Hub do Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Projeto Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Serviços de IA do Azure ou
Serviço OpenAI do Azure
Microsoft.CognitiveServices/account AIServices
OpenAI

Quando você cria um novo hub, um conjunto de recursos dependentes do Azure é necessário para armazenar dados, obter acesso a modelos e fornecer recursos de computação para personalização de IA. A tabela a seguir lista os recursos dependentes do Azure e seus provedores de recursos:

Gorjeta

Se você não fornecer um recurso dependente ao criar um hub e for uma dependência necessária, o Azure AI Foundry criará o recurso para você.

Recurso dependente do Azure Fornecedor de recursos Opcional Nota
Pesquisa de IA do Azure Microsoft.Search/searchServices Fornece recursos de pesquisa para seus projetos.
Conta de armazenamento do Azure Microsoft.Storage/storageAccounts Armazena artefatos para seus projetos, como fluxos e avaliações. Para isolamento de dados, os contêineres de armazenamento são prefixados usando o GUID do projeto e protegidos condicionalmente usando o Azure ABAC para a identidade do projeto.
Azure Key Vault Microsoft.KeyVault/vaults Armazena segredos como cadeias de conexão para suas conexões de recursos. Para isolamento de dados, segredos não podem ser recuperados em projetos por meio de APIs.
Registo de Contentores do Azure Microsoft.ContainerRegistry/registries Armazena imagens do docker criadas ao usar o tempo de execução personalizado para fluxo de prompt. Para isolamento de dados, as imagens do docker são prefixadas usando o GUID do projeto.
Azure Application Insights &
Área de Trabalho do Log Analytics
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Usado como armazenamento de log quando você opta pelo registro em log no nível do aplicativo para seus fluxos de prompt implantados.

Para obter informações sobre como registrar provedores de recursos, consulte Registrar um provedor de recursos do Azure.

Recursos hospedados pela Microsoft

Embora a maioria dos recursos usados pelo Azure AI Foundry viva em sua assinatura do Azure, alguns recursos estão em uma assinatura do Azure gerenciada pela Microsoft. O custo desses recursos gerenciados é exibido em sua fatura do Azure como um item de linha no provedor de recursos do Azure Machine Learning. Os seguintes recursos estão na assinatura do Azure gerenciada pela Microsoft e não aparecem na sua assinatura do Azure:

  • Recursos de computação gerenciados: fornecidos pelos recursos do Lote do Azure na assinatura da Microsoft.

  • Rede virtual gerenciada: fornecida pelos recursos da Rede Virtual do Azure na assinatura da Microsoft. Se as regras FQDN estiverem habilitadas, um Firewall do Azure (padrão) será adicionado e cobrado à sua assinatura. Para obter mais informações, consulte Configurar uma rede virtual gerenciada para o Azure AI Foundry.

  • Armazenamento de metadados: fornecido pelos recursos do Armazenamento do Azure na assinatura da Microsoft.

    Nota

    Se você usar chaves gerenciadas pelo cliente, os recursos de armazenamento de metadados serão criados em sua assinatura. Para obter mais informações, consulte Chaves gerenciadas pelo cliente.

Recursos de computação gerenciados e redes virtuais gerenciadas existem na assinatura da Microsoft, mas você os gerencia. Por exemplo, você controla quais tamanhos de VM são usados para recursos de computação e quais regras de saída são configuradas para a rede virtual gerenciada.

Os recursos de computação gerenciados também exigem gerenciamento de vulnerabilidades. A gestão de vulnerabilidades é uma responsabilidade partilhada entre si e a Microsoft. Para obter mais informações, consulte Gerenciamento de vulnerabilidades.

Configurar e governar centralmente usando hubs

Os Hubs fornecem uma maneira central para uma equipe controlar a segurança, a conectividade e os recursos de computação em playgrounds e projetos. Os projetos criados usando um hub herdam as mesmas configurações de segurança e acesso a recursos compartilhados. As equipes podem criar quantos projetos forem necessários para organizar o trabalho, isolar dados e/ou restringir o acesso.

Muitas vezes, os projetos em um domínio de negócios exigem acesso aos mesmos recursos da empresa, como índices vetoriais, pontos de extremidade de modelo ou repositórios. Como líder de equipe, você pode pré-configurar a conectividade com esses recursos dentro de um hub, para que os desenvolvedores possam acessá-los de qualquer novo espaço de trabalho de projeto sem demora na TI.

As conexões permitem acessar objetos no Azure AI Foundry que são gerenciados fora do seu hub. Por exemplo, dados carregados em uma conta de armazenamento do Azure ou implantações de modelo em um recurso existente do Azure OpenAI. Uma conexão pode ser compartilhada com cada projeto ou tornada acessível a um projeto específico. As conexões podem ser configuradas para usar acesso baseado em chave ou passagem de ID do Microsoft Entra para autorizar o acesso aos usuários no recurso conectado. Como administrador, você pode rastrear, auditar e gerenciar conexões em toda a organização a partir de uma única exibição no Azure AI Foundry.

Captura de ecrã do Azure AI Foundry a mostrar uma vista de auditoria de todos os recursos ligados num hub e respetivos projetos.

Organize-se de acordo com as necessidades da sua equipa

O número de hubs e projetos de que necessita depende da sua forma de trabalhar. Você pode criar um único hub para uma equipe grande com necessidades semelhantes de acesso a dados. Essa configuração maximiza a eficiência de custos, o compartilhamento de recursos e minimiza a sobrecarga de configuração. Por exemplo, um hub para todos os projetos relacionados ao suporte ao cliente.

Se você precisar de isolamento entre desenvolvimento, teste e produção como parte de sua estratégia LLMOps ou MLOps, considere a criação de um hub para cada ambiente. Dependendo da prontidão da sua solução para produção, você pode decidir replicar os espaços de trabalho do projeto em cada ambiente ou apenas em um.

Controle de acesso baseado em função e proxy de plano de controle

Os serviços de IA do Azure, incluindo o Azure OpenAI, fornecem pontos de extremidade de plano de controle para operações como listar implantações de modelo. Esses pontos de extremidade são protegidos usando uma configuração de controle de acesso baseado em função (RBAC) do Azure diferente da usada para um hub.

Para reduzir a complexidade do gerenciamento do Azure RBAC, o Azure AI Foundry fornece um proxy de plano de controle que permite executar operações em serviços de IA do Azure conectados e recursos do Azure OpenAI. A execução de operações nesses recursos por meio do proxy do plano de controle requer apenas permissões do RBAC do Azure no hub. Em seguida, o serviço Azure AI Foundry executa a chamada para os serviços de IA do Azure ou para o ponto de extremidade do plano de controle do Azure OpenAI em seu nome.

Para obter mais informações, consulte Controle de acesso baseado em função no portal do Azure AI Foundry.

Controle de acesso baseado em atributos

Cada hub criado tem uma conta de armazenamento padrão. Cada projeto filho do hub herda a conta de armazenamento do hub. A conta de armazenamento é usada para armazenar dados e artefatos.

Para proteger a conta de armazenamento compartilhada, o Azure AI Foundry usa o RBAC do Azure e o controle de acesso baseado em atributos do Azure (Azure ABAC). O Azure ABAC é um modelo de segurança que define o controle de acesso com base nos atributos associados ao usuário, ao recurso e ao ambiente. Cada projeto tem:

  • Uma entidade de serviço à qual é atribuída a função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento.
  • Um ID exclusivo (ID do espaço de trabalho).
  • Um conjunto de contêineres na conta de armazenamento. Cada contêiner tem um prefixo que corresponde ao valor de ID do espaço de trabalho para o projeto.

A atribuição de função para a entidade de serviço de cada projeto tem uma condição que só permite que a entidade de serviço acesse contêineres com o valor de prefixo correspondente. Essa condição garante que cada projeto só possa acessar seus próprios contêineres.

Nota

Para criptografia de dados na conta de armazenamento, o escopo é todo o armazenamento e não por contêiner. Assim, todos os contêineres são criptografados usando a mesma chave (fornecida pela Microsoft ou pelo cliente).

Para obter mais informações sobre o controle baseado em acesso do Azure, consulte O que é o controle de acesso baseado em atributos do Azure.

Contentores na conta de armazenamento

A conta de armazenamento padrão para um hub tem os seguintes contêineres. Esses contêineres são criados para cada projeto e o prefixo {workspace-id} corresponde à ID exclusiva do projeto. Os projetos acessam um contêiner usando uma conexão.

Gorjeta

Para encontrar a ID do seu projeto, vá para o projeto no portal do Azure. Expanda Configurações e selecione Propriedades. O ID do espaço de trabalho é exibido.

Nome do contentor Nome da ligação Description
{workspace-ID}-azureml workspaceartifactstore Armazenamento para ativos como métricas, modelos e componentes.
{workspace-ID}-blobstore workspaceblobstore Armazenamento para upload de dados, instantâneos de código de trabalho e cache de dados de pipeline.
{workspace-ID}-code ND Armazenamento para notebooks, instâncias de computação e fluxo de prompts.
{workspace-ID}-file ND Contentor alternativo para carregamento de dados.

Encriptação

O Azure AI Foundry usa criptografia para proteger dados em repouso e em trânsito. Por padrão, as chaves gerenciadas pela Microsoft são usadas para criptografia. No entanto, você pode usar suas próprias chaves de criptografia. Para obter mais informações, consulte Chaves gerenciadas pelo cliente.

Rede virtual

Um hub pode ser configurado para usar uma rede virtual gerenciada . A rede virtual gerenciada protege as comunicações entre o hub, projetos e recursos gerenciados, como computadores. Se seus serviços de dependência (Armazenamento do Azure, Cofre da Chave e Registro de Contêiner) tiverem o acesso público desabilitado, um ponto de extremidade privado para cada serviço de dependência será criado para proteger a comunicação entre o hub e o projeto e o serviço de dependência.

Nota

Se quiser usar uma rede virtual para proteger as comunicações entre seus clientes e o hub ou projeto, você deve usar uma Rede Virtual do Azure que você cria e gerencia. Por exemplo, uma Rede Virtual do Azure que usa uma conexão VPN ou Rota Expressa com sua rede local.

Para obter mais informações sobre como configurar uma rede virtual gerenciada, consulte Configurar uma rede virtual gerenciada para o Azure AI Foundry.

Azure Monitor

O monitor do Azure e o Azure Log Analytics fornecem monitoramento e registro em log para os recursos subjacentes usados pelo Azure AI Foundry. Como o Azure AI Foundry é baseado no Azure Machine Learning, Azure OpenAI, serviços de IA do Azure e Azure AI Search, use os seguintes artigos para saber como monitorar os serviços:

Recurso Monitorização e Registos
Hub e projeto do Azure AI Foundry Monitorizar o Azure Machine Learning
Azure OpenAI Monitorizar o Azure OpenAI
Serviços de IA do Azure Monitorar a IA do Azure (treinamento)
Pesquisa de IA do Azure Monitorar a Pesquisa de IA do Azure

Preço e quota

Para mais informações sobre preço e quota, utilize os seguintes artigos:

Próximos passos

Crie um hub usando um dos seguintes métodos:

  • Portal do Azure AI Foundry: crie um hub para começar.
  • Portal do Azure: crie um hub com sua própria rede.
  • Modelo de bíceps.