Поделиться через


Архитектура Azure AI Foundry

Azure AI Foundry предоставляет унифицированный интерфейс для разработчиков ИИ и специалистов по обработке и анализу данных для создания, оценки и развертывания моделей ИИ с помощью веб-портала, пакета SDK или интерфейса командной строки. Azure AI Foundry основан на возможностях и службах, предоставляемых другими службами Azure.

Схема высокоуровневой архитектуры Azure AI Foundry.

На верхнем уровне Azure AI Foundry предоставляет доступ к следующим ресурсам:

  • Azure OpenAI: предоставляет доступ к последним моделям Open AI. Вы можете создавать безопасные развертывания, пробовать игровые площадки, настраивать модели, фильтры содержимого и пакетные задания. Поставщик ресурсов Azure OpenAI и Microsoft.CognitiveServices/account тип ресурса OpenAI. Вы также можете подключиться к Azure OpenAI с помощью такого рода AIServices, который также включает другие службы ИИ Azure.

    При использовании портала Azure AI Foundry вы можете напрямую работать с Azure OpenAI без проекта Azure Studio или использовать Azure OpenAI через проект.

    Дополнительные сведения см . на портале Azure AI Foundry.

  • Центр управления. Центр управления упрощает управление и управление ресурсами Azure AI Foundry, такими как центры, проекты, подключенные ресурсы и развертывания.

    Дополнительные сведения см. в центре управления.

  • Центр Azure AI Foundry: концентратор является ресурсом верхнего уровня на портале Azure AI Foundry и основан на службе Машинное обучение Azure. Поставщик ресурсов Azure для концентратора — Microsoft.MachineLearningServices/workspacesэто тип ресурса Hub. Она предоставляет следующие возможности.

    • Конфигурация безопасности, включая управляемую сеть, которая охватывает проекты и конечные точки модели.
    • Вычислительные ресурсы для интерактивных разработок, тонкой настройки, открытый код и бессерверных развертываний моделей.
    • Подключения к другим службам Azure, таким как Azure OpenAI, службы ИИ Azure и поиск Azure AI. Подключения с областью концентратора используются совместно с проектами, созданными из концентратора.
    • Управление проектами. Центр может иметь несколько дочерних проектов.
    • Связанная учетная запись хранения Azure для отправки и хранения артефактов.

    Дополнительные сведения см. в обзоре центров и проектов.

  • Проект Azure AI Foundry: проект является дочерним ресурсом центра. Поставщик ресурсов Azure для проекта — Microsoft.MachineLearningServices/workspacesэто тип ресурса Project. Проект предоставляет следующие функции:

    • Доступ к средствам разработки для создания и настройки приложений ИИ.
    • Повторно используемые компоненты, включая наборы данных, модели и индексы.
    • Изолированный контейнер для отправки данных в (в хранилище, унаследованное от концентратора).
    • Подключения с областью действия проекта. Например, членам проекта может потребоваться частный доступ к данным, хранящимся в учетной записи служба хранилища Azure, не предоставляя тот же доступ к другим проектам.
    • Развертывания модели с открытым исходным кодом из каталогов и конечных точек точной настройки модели.

    Схема связи между ресурсами Azure AI Foundry.

    Дополнительные сведения см. в обзоре центров и проектов.

  • Подключения: центры и проекты Azure AI Foundry используют подключения для доступа к ресурсам, предоставляемым другими службами. Например, данные в учетной записи служба хранилища Azure, Azure OpenAI или других службах ИИ Azure.

    Дополнительные сведения см. в разделе "Подключения".

Типы ресурсов Azure и поставщики

Azure AI Foundry основан на поставщике ресурсов Машинное обучение Azure и зависит от нескольких других служб Azure. Поставщики ресурсов для этих служб должны быть зарегистрированы в подписке Azure. В следующей таблице перечислены типы ресурсов, поставщик и тип:

Тип ресурса Поставщик ресурсов Вид
Центр Azure AI Foundry Microsoft.MachineLearningServices/workspace hub
Проект Azure AI Foundry Microsoft.MachineLearningServices/workspace project
Службы ИИ Azure или
Azure AI OpenAI Service
Microsoft.CognitiveServices/account AIServices
OpenAI

При создании нового концентратора требуется набор зависимых ресурсов Azure для хранения данных, получения доступа к моделям и предоставления вычислительных ресурсов для настройки ИИ. В следующей таблице перечислены зависимые ресурсы Azure и их поставщики ресурсов:

Совет

Если вы не предоставляете зависимый ресурс при создании концентратора, и это необходимая зависимость, Azure AI Foundry создает ресурс для вас.

Зависимый ресурс Azure Поставщик ресурсов Необязательно Примечание.
Поиск с использованием ИИ Azure Microsoft.Search/searchServices Предоставляет возможности поиска для проектов.
Учетная запись хранения Azure Microsoft.Storage/storageAccounts Хранит артефакты для проектов, таких как потоки и оценки. Для изоляции данных контейнеры хранилища префиксируются с помощью GUID проекта и условно защищены с помощью Azure ABAC для удостоверения проекта.
Azure Key Vault Microsoft.KeyVault/vaults Хранит секреты, такие как строка подключения для подключений к ресурсам. Для изоляции данных секреты нельзя получить в проектах через API.
Реестр контейнеров Azure Microsoft.ContainerRegistry/registries Хранит образы Docker, созданные при использовании пользовательской среды выполнения для потока запроса. Для изоляции данных образы docker префиксируются с помощью GUID проекта.
приложение Azure Insights &
Рабочая область Log Analytics
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Используется в качестве хранилища журналов при выборе ведения журнала на уровне приложения для развернутых потоков запросов.

Сведения о регистрации поставщиков ресурсов см. в разделе "Регистрация поставщика ресурсов Azure".

Ресурсы, размещенные корпорацией Майкрософт

Хотя большинство ресурсов, используемых Azure AI Foundry, живут в подписке Azure, некоторые ресурсы находятся в подписке Azure, управляемой корпорацией Майкрософт. Затраты на эти управляемые ресурсы отображаются в счете Azure в качестве элемента строки в поставщике ресурсов Машинное обучение Azure. Следующие ресурсы находятся в подписке Azure, управляемой Корпорацией Майкрософт, и не отображаются в подписке Azure:

  • Управляемые вычислительные ресурсы: предоставляется пакетная служба Azure ресурсами в подписке Майкрософт.

  • Управляемая виртуальная сеть: предоставляется ресурсами Azure виртуальная сеть в подписке Майкрософт. Если включено полное доменное имя, в подписку добавляется и взимается плата за Брандмауэр Azure (стандартный). Дополнительные сведения см. в статье "Настройка управляемой виртуальной сети для Azure AI Foundry".

  • Хранилище метаданных: предоставляется ресурсами служба хранилища Azure в подписке Майкрософт.

    Примечание.

    Если вы используете ключи, управляемые клиентом, ресурсы хранилища метаданных создаются в вашей подписке. Дополнительные сведения см. в разделе Ключи, управляемые клиентом.

Управляемые вычислительные ресурсы и управляемые виртуальные сети существуют в подписке Майкрософт, но вы управляете ими. Например, вы управляете размерами виртуальных машин, используемыми для вычислительных ресурсов, и какие правила исходящего трафика настраиваются для управляемой виртуальной сети.

Управляемые вычислительные ресурсы также требуют управление уязвимостями. Ответственность за управление уязвимостями несете как вы сами, так и корпорация Майкрософт. Дополнительные сведения см. в управление уязвимостями.

Централизованное настройка и управление ими с помощью центров

Центры обеспечивают централизованный способ управления безопасностью, подключением и вычислительными ресурсами на игровых площадках и проектах. Проекты, созданные с помощью концентратора, наследуют те же параметры безопасности и общий доступ к ресурсам. Teams может создавать столько проектов, сколько необходимо для организации работы, изоляции данных и /или ограничения доступа.

Часто проекты в бизнес-домене требуют доступа к тем же ресурсам компании, таким как векторные индексы, конечные точки модели или репозитории. В качестве руководителя группы вы можете предварительно настроить подключение к этим ресурсам в центре, чтобы разработчики могли обращаться к ним из любой новой рабочей области проекта без задержки в ИТ.

Подключения позволяют получать доступ к объектам в Azure AI Foundry, управляемым за пределами центра. Например, отправленные данные в учетной записи хранения Azure или модели развертываний на существующем ресурсе Azure OpenAI. Подключение можно совместно использовать для каждого проекта или сделать доступным для одного конкретного проекта. Подключения можно настроить для использования доступа на основе ключей или сквозного руководства по идентификатору Microsoft Entra для авторизации доступа к пользователям в подключенном ресурсе. Администратор может отслеживать, проверять и управлять подключениями в организации из одного представления в Azure AI Foundry.

Снимок экрана: Azure AI Foundry, показывающий представление аудита всех подключенных ресурсов в концентраторе и его проектах.

Упорядочение потребностей вашей команды

Количество необходимых центров и проектов зависит от способа работы. Вы можете создать единый концентратор для большой команды с аналогичными потребностями доступа к данным. Эта конфигурация обеспечивает максимальную эффективность затрат, общий доступ к ресурсам и сводит к минимуму затраты на настройку. Например, концентратор для всех проектов, связанных с поддержкой клиентов.

Если требуется изоляция между разработкой, тестированием и рабочей средой в рамках стратегии LLMOps или MLOps, рассмотрите возможность создания концентратора для каждой среды. В зависимости от готовности решения для рабочей среды может потребоваться выполнить репликацию рабочих областей проекта в каждой среде или только в одной среде.

Прокси уровня управления доступом на основе ролей и управления

Службы ИИ Azure, включая Azure OpenAI, предоставляют конечные точки уровня управления для таких операций, как развертывание моделей перечисления. Эти конечные точки защищены с помощью отдельной конфигурации управления доступом на основе ролей Azure (RBAC), чем для концентратора.

Чтобы снизить сложность управления Azure RBAC, Azure AI Foundry предоставляет прокси-сервер уровня управления, который позволяет выполнять операции с подключенными службами ИИ Azure и ресурсами Azure OpenAI. Для выполнения операций с этими ресурсами через прокси-сервер уровня управления требуется только разрешения Azure RBAC на концентраторе. Затем служба Azure AI Foundry выполняет вызов служб ИИ Azure или конечной точки уровня управления Azure OpenAI от вашего имени.

Дополнительные сведения см. в статье "Управление доступом на основе ролей" на портале Azure AI Foundry.

Управление доступом на основе атрибутов

Каждый создаваемый концентратор имеет учетную запись хранения по умолчанию. Каждый дочерний проект концентратора наследует учетную запись хранения концентратора. Учетная запись хранения используется для хранения данных и артефактов.

Для защиты общей учетной записи хранения Azure AI Foundry используется как Azure RBAC, так и управление доступом на основе атрибутов Azure (Azure ABAC). Azure ABAC — это модель безопасности, которая определяет управление доступом на основе атрибутов, связанных с пользователем, ресурсом и средой. Каждый проект имеет:

  • Субъект-служба, которому назначена роль участника данных BLOB-объектов хранилища в учетной записи хранения.
  • Уникальный идентификатор (идентификатор рабочей области).
  • Набор контейнеров в учетной записи хранения. Каждый контейнер имеет префикс, соответствующий значению идентификатора рабочей области для проекта.

Назначение ролей для субъекта-службы каждого проекта имеет условие, которое разрешает доступ только субъекта-службы к контейнерам с соответствующим значением префикса. Это условие гарантирует, что каждый проект может получить доступ только к собственным контейнерам.

Примечание.

Для шифрования данных в учетной записи хранения область — это все хранилище, а не для каждого контейнера. Поэтому все контейнеры шифруются с помощью одного ключа (предоставленного корпорацией Майкрософт или клиентом).

Дополнительные сведения об управлении доступом на основе доступа Azure см. в статье "Что такое управление доступом на основе атрибутов Azure".

Контейнеры в учетной записи хранения

Учетная запись хранения по умолчанию для концентратора содержит следующие контейнеры. Эти контейнеры создаются для каждого проекта, а {workspace-id} префикс соответствует уникальному идентификатору проекта. Проекты получают доступ к контейнеру с помощью подключения.

Совет

Чтобы найти идентификатор проекта, перейдите в проект в портал Azure. Разверните раздел "Параметры" , а затем выберите "Свойства". Отображается идентификатор рабочей области.

Имя контейнера Имя подключения Description
{workspace-ID}-azureml workspaceartifactstore Хранилище для ресурсов, таких как метрики, модели и компоненты.
{workspace-ID}-blobstore workspaceblobstore Хранилище для отправки данных, моментальных снимков кода задания и кэша данных конвейера.
{workspace-ID}-code Неприменимо Хранилище записных книжек, вычислительных экземпляров и потока запросов.
{workspace-ID}-file Неприменимо Альтернативный контейнер для отправки данных.

Шифрование

Azure AI Foundry использует шифрование для защиты неактивных и передаваемых данных. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования. Однако вы можете использовать собственные ключи шифрования. Дополнительные сведения см. в разделе Ключи, управляемые клиентом.

Виртуальная сеть

Концентратор можно настроить для использования управляемой виртуальной сети. Управляемая виртуальная сеть защищает обмен данными между концентратором, проектами и управляемыми ресурсами, такими как вычисления. Если у служб зависимостей (служба хранилища Azure, Key Vault и Реестра контейнеров) отключен общедоступный доступ, создается частная конечная точка для каждой службы зависимостей для защиты обмена данными между концентратором и проектом и службой зависимостей.

Примечание.

Если вы хотите использовать виртуальную сеть для защиты обмена данными между клиентами и центром или проектом, необходимо использовать azure виртуальная сеть, которую вы создаете и управляете ими. Например, виртуальная сеть Azure, использующий VPN-подключение или ExpressRoute к локальной сети.

Дополнительные сведения о настройке управляемой виртуальной сети см. в статье "Настройка управляемой виртуальной сети для Azure AI Foundry".

Azure Monitor

Azure Monitor и Azure Log Analytics обеспечивают мониторинг и ведение журнала базовых ресурсов, используемых Azure AI Foundry. Так как Azure AI Foundry основан на Машинное обучение Azure, Azure OpenAI, службах ИИ Azure и поиске ИИ Azure, используйте следующие статьи, чтобы узнать, как отслеживать службы:

Ресурс Мониторинг и ведение журналов
Центр и проект Azure AI Foundry Мониторинг Машинного обучения Azure
Azure OpenAI Отслеживание Azure OpenAI
Службы ИИ Azure Мониторинг Azure AI (обучение)
Поиск с использованием ИИ Azure Мониторинг поиска по искусственному интеллекту Azure

Цена и квота

Дополнительные сведения о ценах и квотах см. в следующих статьях:

Следующие шаги

Создайте концентратор с помощью одного из следующих методов:

  • Портал Azure AI Foundry: создание концентратора для начала работы.
  • портал Azure. Создание концентратора с помощью собственной сети.
  • Шаблон Bicep.