Partilhar via

AI Ready – Processo para criar cargas de trabalho de IA no Azure

  • Artigo

Este artigo descreve o processo organizacional para criar cargas de trabalho de IA no Azure. O artigo fornece recomendações para tomar decisões-chave de design e processo para a adoção de cargas de trabalho de IA em escala. Ele se concentra em orientações específicas de IA para seleção de região, organização de recursos e networking.

Diagrama mostrando o processo de adoção de IA: Estratégia de IA, Plano de IA, Pronto para IA, Governar IA, Gerenciar IA e Proteger IA.

Estabeleça a confiabilidade da IA

A confiabilidade da IA envolve a seleção de regiões apropriadas para hospedar modelos de IA para garantir desempenho, conformidade e disponibilidade consistentes. As organizações devem abordar redundância, failover e otimização de desempenho para manter serviços de IA confiáveis.

  • Use várias regiões para hospedar pontos de extremidade de modelo de IA. Para cargas de trabalho de produção, hospede pontos de extremidade de IA em pelo menos duas regiões para fornecer redundância e garantir alta disponibilidade. Embora os modelos de IA generativa sejam sem monitoração de estado, hospedá-los em várias regiões garante failover e recuperação mais rápidos durante falhas regionais. Para modelos do Serviço OpenAI do Azure, você pode usar implantações globais. Essas implantações multirregionais podem rotear solicitações de forma automática e transparente para uma região que tenha capacidade suficiente. Se você escolher uma implantação não global, também conhecida como implantação regional, use o Gerenciamento de API do Azure para solicitações de API de balanceamento de carga para pontos de extremidade de IA.

  • Confirme a disponibilidade do serviço. Antes da implantação, verifique se há disponibilidade na região para os recursos de IA de que você precisa. Certas regiões podem não fornecer serviços específicos de IA ou podem ter recursos limitados, o que pode afetar a funcionalidade da sua solução. Essa limitação também pode afetar a escalabilidade de sua implantação. Por exemplo, a disponibilidade do serviço Azure OpenAI pode variar com base no seu modelo de implantação. Esses modelos de implantação incluem padrão global, provisionado global, padrão regional e provisionado regional. Verifique o serviço de IA para confirmar que você tem acesso aos recursos necessários.

  • Avalie a cota e a capacidade da região. Considere a cota ou os limites de assinatura na região escolhida à medida que suas cargas de trabalho de IA crescem. Os serviços do Azure têm limites de subscrição regionais. Esses limites podem afetar implantações de modelos de IA em grande escala, como grandes cargas de trabalho de inferência. Para evitar interrupções, entre em contato com o suporte do Azure com antecedência se você previr uma necessidade de capacidade extra.

  • Avalie o desempenho. Quando você cria aplicativos que precisam recuperar dados, como aplicativos de geração aumentada de recuperação (RAG), é importante considerar locais de armazenamento de dados para otimizar o desempenho. Você não precisa colocalizar dados com modelos em aplicativos RAG, mas isso pode melhorar o desempenho, reduzindo a latência e garantindo uma recuperação de dados eficiente.

  • Preparar a continuidade das operações. Para garantir a continuidade de negócios e a recuperação de desastres, replique ativos críticos, como modelos ajustados, dados RAG, modelos treinados e conjuntos de dados de treinamento em uma região secundária. Essa redundância permite uma recuperação mais rápida em caso de interrupção e garante a disponibilidade contínua do serviço.

Estabeleça a governança da IA

A governança de IA engloba a organização de recursos e a aplicação de políticas para gerenciar cargas de trabalho e custos de IA. Envolve a estruturação de grupos de gerenciamento e assinaturas para garantir conformidade e segurança em diferentes cargas de trabalho. A governança adequada da IA evita o acesso não autorizado, gerencia riscos e garante que os recursos de IA operem de forma eficiente dentro da organização.

  • Separe as cargas de trabalho de IA internas e voltadas para a Internet. No mínimo, use grupos de gerenciamento para separar as cargas de trabalho de IA em voltadas para a Internet ("online") e apenas internas ("corporativas"). A distinção fornece um limite importante de governança de dados. Ele ajuda você a manter o interno separado dos dados públicos. Você não quer que usuários externos acessem informações comerciais confidenciais necessárias para o trabalho interno. Essa distinção entre cargas de trabalho internas e voltadas para a Internet se alinha aos grupos de gerenciamento de zona de aterrissagem do Azure.

  • Aplique políticas de IA a cada grupo de gerenciamento. Comece com políticas de linha de base para cada tipo de carga de trabalho, como as políticas usadas nas zonas de aterrissagem do Azure. Adicione mais definições de Política do Azure à sua linha de base para impulsionar a governança uniforme para serviços de IA do Azure, Azure AI Search, Azure Machine Learning e Máquinas Virtuais do Azure.

  • Implante recursos de IA em assinaturas de carga de trabalho. Os recursos de IA precisam herdar políticas de governança de carga de trabalho do grupo de gerenciamento de carga de trabalho (interno ou voltado para a Internet). Mantenha-os separados dos recursos da plataforma. Recursos de IA controlados por equipes de plataforma tendem a criar gargalos de desenvolvimento. No contexto da zona de aterrissagem do Azure, implante cargas de trabalho de IA em assinaturas de zona de aterrissagem de aplicativos.

Estabeleça redes de IA

A rede de IA refere-se ao projeto e implementação de infraestrutura de rede para cargas de trabalho de IA, incluindo segurança e conectividade. Envolve o uso de topologias como hub-and-spoke, a aplicação de medidas de segurança, como proteção contra DDoS, e a garantia de transferência de dados eficiente. Uma rede de IA eficaz é fundamental para uma comunicação segura e confiável, evitando interrupções baseadas na rede e mantendo o desempenho.

  • Ative a Proteção contra DDoS do Azure para cargas de trabalho de IA voltadas para a Internet.A Proteção contra DDoS do Azure protege seus serviços de IA contra possíveis interrupções e tempo de inatividade causados por ataques distribuídos de negação de serviço. Habilite a proteção contra DDoS do Azure no nível da rede virtual para se defender contra inundações de tráfego direcionadas a aplicativos voltados para a Internet.

  • Conecte-se com redes locais. Use um jumpbox e o Azure Bastion para proteger o acesso operacional a cargas de trabalho de IA. Se necessário, alguns serviços, como o Azure AI Foundry, podem acessar recursos locais. Para organizações que transferem grandes quantidades de dados de fontes locais para ambientes de nuvem, use uma conexão de alta largura de banda.

    • Considere o Azure ExpressRoute. O Azure ExpressRoute é ideal para grandes volumes de dados, processamento em tempo real ou cargas de trabalho que exigem desempenho consistente. Ele tem o recurso FastPath que melhora o desempenho do caminho de dados.

    • Considere o Gateway de VPN do Azure. Use o Gateway de VPN do Azure para volumes de dados moderados, transferência de dados pouco frequente ou quando o acesso público à Internet for necessário. É mais simples de configurar e econômico para conjuntos de dados menores do que a Rota Expressa. Use a topologia e o design corretos para suas cargas de trabalho de IA. Use VPN site a site para conectividade híbrida e entre locais. Use uma VPN ponto a site para conectividade segura do dispositivo. Para obter mais informações, veja Ligar uma rede no local ao Azure.

  • Preparar serviços de resolução de nomes de domínio. Quando você usa pontos de extremidade privados, integre pontos de extremidade privados com o DNS para uma resolução DNS adequada e uma funcionalidade de ponto final privado bem-sucedida. Implante a infraestrutura DNS do Azure como parte da sua zona de aterrissagem do Azure e configure encaminhadores condicionais de serviços DNS existentes para as zonas apropriadas. Para obter mais informações, consulte Link privado e integração de DNS em escala para zonas de aterrissagem do Azure.

  • Configure os controles de acesso à rede. Utilize grupos de segurança de rede (NSGs) para definir e aplicar políticas de acesso que governam o tráfego de entrada e saída de e para cargas de trabalho de IA. Esses controles podem ser usados para implementar o princípio do menor privilégio, garantindo que apenas a comunicação essencial seja permitida.

  • Use serviços de monitoramento de rede. Use serviços como o Azure Monitor Network Insights e o Azure Network Watcher para obter visibilidade sobre o desempenho e a integridade da rede. Além disso, use o Microsoft Sentinel para deteção e resposta avançadas a ameaças em sua rede do Azure.

  • Implante o Firewall do Azure para inspecionar e proteger o tráfego de carga de trabalho de saída do Azure.O Firewall do Azure impõe políticas de segurança para o tráfego de saída antes que ele chegue à Internet. Use-o para controlar e monitorar o tráfego de saída e permitir que o SNAT oculte endereços IP internos convertendo IPs privados para o IP público do firewall. Ele garante tráfego de saída seguro e identificável para melhor monitoramento e segurança.

  • Use o Firewall de Aplicativo Web do Azure (WAF) para cargas de trabalho voltadas para a Internet.O Azure WAF ajuda a proteger suas cargas de trabalho de IA contra vulnerabilidades comuns da Web, incluindo injeções de SQL e ataques de script entre sites. Configure o Azure WAF no Application Gateway para cargas de trabalho que exigem segurança aprimorada contra tráfego da Web mal-intencionado.

Estabeleça uma base de IA

Uma base de IA fornece a infraestrutura principal e a hierarquia de recursos que dão suporte a cargas de trabalho de IA no Azure. Inclui a configuração de ambientes escaláveis e seguros que se alinham com as necessidades operacionais e de governança. Uma base sólida de IA permite a implantação e o gerenciamento eficientes de cargas de trabalho de IA. Também garante segurança e flexibilidade para o crescimento futuro.

Usar a zona de aterrissagem do Azure

Uma zona de aterrissagem do Azure é o ponto de partida recomendado que prepara seu ambiente do Azure. Ele fornece uma configuração predefinida para recursos de plataforma e aplicativo. Quando a plataforma estiver instalada, você poderá implantar cargas de trabalho de IA em zonas de aterrissagem de aplicativos dedicadas. A Figura 2 abaixo ilustra como as cargas de trabalho de IA se integram em uma zona de aterrissagem do Azure.

Diagrama mostrando cargas de trabalho de IA em uma zona de aterrissagem do Azure. Figura 2. Carga de trabalho de IA em uma zona de aterrissagem do Azure.

Crie um ambiente de IA

Se você não usa uma zona de aterrissagem do Azure, siga as recomendações neste artigo para criar seu ambiente de IA. O diagrama a seguir mostra uma hierarquia de recursos de linha de base. Ele segmenta cargas de trabalho internas de IA e cargas de trabalho de IA voltadas para a Internet, conforme descrito em estabelecer governança de IA. As cargas de trabalho internas usam a política para negar o acesso on-line dos clientes. Esta separação protege os dados internos da exposição a utilizadores externos. O desenvolvimento de IA deve usar um jumpbox para gerenciar recursos e dados de IA.

Diagrama mostrando a organização de recursos para cargas de trabalho de IA internas e voltadas para a Internet. Figura 3. Hierarquia de recursos de linha de base para cargas de trabalho de IA.

Próximos passos

A próxima etapa é criar e implantar cargas de trabalho de IA em seu ambiente de IA. Use os links a seguir para encontrar a orientação de arquitetura que atende às suas necessidades. Comece com arquiteturas de plataforma como serviço (PaaS). PaaS é a abordagem recomendada pela Microsoft para adotar IA.

Orientação de arquitetura de IA PaaS

Orientação de arquitetura de IA IaaS