Dela via

Azure AI Foundry-arkitektur

  • Artikel

Azure AI Foundry ger en enhetlig upplevelse för AI-utvecklare och dataforskare att skapa, utvärdera och distribuera AI-modeller via en webbportal, SDK eller CLI. Azure AI Foundry bygger på funktioner och tjänster som tillhandahålls av andra Azure-tjänster.

Diagram över den övergripande arkitekturen i Azure AI Foundry.

På den översta nivån ger Azure AI Foundry åtkomst till följande resurser:

  • Azure OpenAI: Ger åtkomst till de senaste Open AI-modellerna. Du kan skapa säkra distributioner, prova lekplatser, finjustera modeller, innehållsfilter och batchjobb. Azure OpenAI-resursprovidern är Microsoft.CognitiveServices/account och typen av resurs är OpenAI. Du kan också ansluta till Azure OpenAI med hjälp av en typ av AIServices, som även innehåller andra Azure AI-tjänster.

    När du använder Azure AI Foundry-portalen kan du arbeta direkt med Azure OpenAI utan ett Azure Studio-projekt eller använda Azure OpenAI via ett projekt.

    Mer information finns i Azure OpenAI i Azure AI Foundry-portalen.

  • Hanteringscenter: Hanteringscentret effektiviserar styrning och hantering av Azure AI Foundry-resurser som hubbar, projekt, anslutna resurser och distributioner.

    Mer information finns i Hanteringscenter.

  • Azure AI Foundry Hub: Hubben är resursen på den översta nivån i Azure AI Foundry-portalen och baseras på Azure Machine Learning-tjänsten. Azure-resursprovidern för en hubb är Microsoft.MachineLearningServices/workspacesoch typen av resurs är Hub. Den tillhandahåller följande funktioner:

    • Säkerhetskonfiguration, inklusive ett hanterat nätverk som omfattar projekt och modellslutpunkter.
    • Beräkningsresurser för interaktiv utveckling, finjustering, öppen källkod och serverlösa modelldistributioner.
    • Anslutningar till andra Azure-tjänster som Azure OpenAI, Azure AI-tjänster och Azure AI Search. Hubbomfattande anslutningar delas med projekt som skapats från hubben.
    • Projekthantering. En hubb kan ha flera underordnade projekt.
    • Ett associerat Azure Storage-konto för datauppladdning och artefaktlagring.

    Mer information finns i Översikt över hubbar och projekt.

  • Azure AI Foundry-projekt: Ett projekt är en underordnad resurs i hubben. Azure-resursprovidern för ett projekt är Microsoft.MachineLearningServices/workspacesoch typen av resurs är Project. Projektet innehåller följande funktioner:

    • Åtkomst till utvecklingsverktyg för att skapa och anpassa AI-program.
    • Återanvändbara komponenter, inklusive datauppsättningar, modeller och index.
    • En isolerad container att ladda upp data till (i lagringen som ärvts från hubben).
    • Projektomfattande anslutningar. Projektmedlemmar kan till exempel behöva privat åtkomst till data som lagras i ett Azure Storage-konto utan att ge samma åtkomst till andra projekt.
    • Distributioner av modell med öppen källkod från katalog- och finjusterade modellslutpunkter.

    Diagram över relationen mellan Azure AI Foundry-resurser.

    Mer information finns i Översikt över hubbar och projekt.

  • Anslutningar: Azure AI Foundry-hubbar och -projekt använder anslutningar för att komma åt resurser som tillhandahålls av andra tjänster. Till exempel data i ett Azure Storage-konto, Azure OpenAI eller andra Azure AI-tjänster.

    Mer information finns i Anslutningar.

Azure-resurstyper och -leverantörer

Azure AI Foundry bygger på Azure Machine Learning-resursprovidern och är beroende av flera andra Azure-tjänster. Resursprovidrar för dessa tjänster måste registreras i din Azure-prenumeration. I följande tabell visas resurstyper, provider och typ:

Resurstyp Resursprovider Variant
Azure AI Foundry Hub Microsoft.MachineLearningServices/workspace hub
Azure AI Foundry-projekt Microsoft.MachineLearningServices/workspace project
Azure AI-tjänster eller
Azure AI OpenAI-tjänsten		 Microsoft.CognitiveServices/account AIServices
OpenAI

När du skapar en ny hubb krävs en uppsättning beroende Azure-resurser för att lagra data, få åtkomst till modeller och tillhandahålla beräkningsresurser för AI-anpassning. I följande tabell visas de beroende Azure-resurserna och deras resursprovidrar:

Dricks

Om du inte anger en beroende resurs när du skapar en hubb, och det är ett nödvändigt beroende, skapar Azure AI Foundry resursen åt dig.

Beroende Azure-resurs Resursprovider Valfritt Kommentar
Azure AI-sökning Microsoft.Search/searchServices Tillhandahåller sökfunktioner för dina projekt.
Azure-lagringskonto Microsoft.Storage/storageAccounts Lagrar artefakter för dina projekt som flöden och utvärderingar. För dataisolering prefixeras lagringscontainrar med hjälp av projektets GUID och skyddas villkorligt med Hjälp av Azure ABAC för projektidentiteten.
Azure Key Vault Microsoft.KeyVault/vaults Lagrar hemligheter som anslutningssträng för dina resursanslutningar. För dataisolering kan hemligheter inte hämtas mellan projekt via API:er.
Azure Container Registry Microsoft.ContainerRegistry/registries Lagrar docker-avbildningar som skapas när du använder anpassad körning för promptflöde. För dataisolering prefixas docker-avbildningar med hjälp av projektets GUID.
Azure Application Insights &
Log Analytics-arbetsyta		 Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces		 Används som logglagring när du anmäler dig för loggning på programnivå för dina distribuerade promptflöden.

Information om hur du registrerar resursprovidrar finns i Registrera en Azure-resursprovider.

Microsoft-värdbaserade resurser

De flesta resurser som används av Azure AI Foundry finns i din Azure-prenumeration, men vissa resurser finns i en Azure-prenumeration som hanteras av Microsoft. Kostnaden för dessa hanterade resurser visas på din Azure-faktura som ett radobjekt under Azure Machine Learning-resursprovidern. Följande resurser finns i den Microsoft-hanterade Azure-prenumerationen och visas inte i din Azure-prenumeration:

  • Hanterade beräkningsresurser: Tillhandahålls av Azure Batch-resurser i Microsoft-prenumerationen.

  • Hanterat virtuellt nätverk: Tillhandahålls av Azure Virtual Network-resurser i Microsoft-prenumerationen. Om FQDN-regler är aktiverade läggs en Azure Firewall (standard) till och debiteras i din prenumeration. Mer information finns i Konfigurera ett hanterat virtuellt nätverk för Azure AI Foundry.

  • Metadatalagring: Tillhandahålls av Azure Storage-resurser i Microsoft-prenumerationen.

    Kommentar

    Om du använder kundhanterade nycklar skapas lagringsresurserna för metadata i din prenumeration. Mer information finns i Kundhanterade nycklar.

Hanterade beräkningsresurser och hanterade virtuella nätverk finns i Microsoft-prenumerationen, men du hanterar dem. Du kan till exempel styra vilka VM-storlekar som används för beräkningsresurser och vilka regler för utgående trafik som konfigureras för det hanterade virtuella nätverket.

Hanterade beräkningsresurser kräver också hantering av säkerhetsrisker. Sårbarhetshantering är ett ansvar som både du och Microsoft har. Mer information finns i hantering av säkerhetsrisker.

Konfigurera och styra centralt med hjälp av hubbar

Hubbar är ett centralt sätt för ett team att styra säkerhets-, anslutnings- och databehandlingsresurser mellan lekplatser och projekt. Projekt som skapas med hjälp av en hubb ärver samma säkerhetsinställningar och delad resursåtkomst. Teams kan skapa så många projekt som behövs för att organisera arbete, isolera data och/eller begränsa åtkomst.

Ofta kräver projekt i en affärsdomän åtkomst till samma företagsresurser, till exempel vektorindex, modellslutpunkter eller lagringsplatser. Som teamledare kan du förkonfigurera anslutningen till dessa resurser i en hubb, så att utvecklare kan komma åt dem från alla nya projektarbetsytor utan fördröjning på IT-avdelningen.

Med anslutningar kan du komma åt objekt i Azure AI Foundry som hanteras utanför hubben. Till exempel uppladdade data på ett Azure-lagringskonto eller modelldistributioner på en befintlig Azure OpenAI-resurs. En anslutning kan delas med varje projekt eller göras tillgänglig för ett specifikt projekt. Anslutningar kan konfigureras för att använda nyckelbaserad åtkomst eller Genomströmning av Microsoft Entra-ID för att auktorisera åtkomst till användare på den anslutna resursen. Som administratör kan du spåra, granska och hantera anslutningar i hela organisationen från en enda vy i Azure AI Foundry.

Skärmbild av Azure AI Foundry som visar en granskningsvy över alla anslutna resurser i en hubb och dess projekt.

Organisera efter teamets behov

Hur många hubbar och projekt du behöver beror på ditt sätt att arbeta. Du kan skapa en enda hubb för ett stort team med liknande dataåtkomstbehov. Den här konfigurationen maximerar kostnadseffektiviteten, resursdelningen och minimerar installationskostnaderna. Till exempel en hubb för alla projekt som rör kundsupport.

Om du behöver isolering mellan utveckling, testning och produktion som en del av din LLMOps- eller MLOps-strategi bör du överväga att skapa en hubb för varje miljö. Beroende på beredskapen för din lösning för produktion kan du välja att replikera dina projektarbetsytor i varje miljö eller bara i en.

Rollbaserad åtkomstkontroll och kontrollplansproxy

Azure AI-tjänster, inklusive Azure OpenAI, tillhandahåller kontrollplansslutpunkter för åtgärder som att lista modelldistributioner. Dessa slutpunkter skyddas med hjälp av en separat RBAC-konfiguration (Rollbaserad åtkomstkontroll) i Azure än den som används för en hubb.

För att minska komplexiteten i Azure RBAC-hantering tillhandahåller Azure AI Foundry en kontrollplansproxy som gör att du kan utföra åtgärder på anslutna Azure AI-tjänster och Azure OpenAI-resurser. Att utföra åtgärder på dessa resurser via kontrollplansproxyn kräver endast Azure RBAC-behörigheter på hubben. Azure AI Foundry-tjänsten utför sedan anropet till Azure AI-tjänsterna eller Azure OpenAI-kontrollplanets slutpunkt åt dig.

Mer information finns i Rollbaserad åtkomstkontroll i Azure AI Foundry-portalen.

Attributbaserad åtkomstkontroll

Varje hubb som du skapar har ett standardlagringskonto. Varje underordnat projekt i hubben ärver hubbens lagringskonto. Lagringskontot används för att lagra data och artefakter.

För att skydda det delade lagringskontot använder Azure AI Foundry både Azure RBAC- och Azure-attributbaserad åtkomstkontroll (Azure ABAC). Azure ABAC är en säkerhetsmodell som definierar åtkomstkontroll baserat på attribut som är associerade med användaren, resursen och miljön. Varje projekt har:

  • Ett tjänsthuvudnamn som har tilldelats rollen Storage Blob Data Contributor för lagringskontot.
  • Ett unikt ID (arbetsyte-ID).
  • En uppsättning containrar i lagringskontot. Varje container har ett prefix som motsvarar arbetsytans ID-värde för projektet.

Rolltilldelningen för varje projekts tjänsthuvudnamn har ett villkor som endast tillåter tjänstens huvudnamn åtkomst till containrar med matchande prefixvärde. Det här villkoret säkerställer att varje projekt bara kan komma åt sina egna containrar.

Kommentar

För datakryptering i lagringskontot är omfånget hela lagringen och inte per container. Så alla containrar krypteras med samma nyckel (tillhandahålls antingen av Microsoft eller av kunden).

Mer information om åtkomstbaserad Azure-kontroll finns i Vad är azure-attributbaserad åtkomstkontroll.

Containrar i lagringskontot

Standardlagringskontot för en hubb har följande containrar. Dessa containrar skapas för varje projekt och prefixet {workspace-id} matchar det unika ID:t för projektet. Projekt får åtkomst till en container med hjälp av en anslutning.

Dricks

Om du vill hitta ID:t för projektet går du till projektet i Azure Portal. Expandera Inställningar och välj sedan Egenskaper. Arbetsytans ID visas.

Containerns namn Anslutningens namn beskrivning
{workspace-ID}-azureml workspaceartifactstore Lagring för tillgångar som mått, modeller och komponenter.
{workspace-ID}-blobstore workspaceblobstore Lagring för dataöverföring, ögonblicksbilder av jobbkod och cacheminne för pipelinedata.
{workspace-ID}-code NA Lagring för notebook-filer, beräkningsinstanser och promptflöde.
{workspace-ID}-file NA Alternativ container för dataöverföring.

Kryptering

Azure AI Foundry använder kryptering för att skydda vilande data och under överföring. Som standard används Microsoft-hanterade nycklar för kryptering. Du kan dock använda dina egna krypteringsnycklar. Mer information finns i Kundhanterade nycklar.

Virtuellt nätverk

En hubb kan konfigureras för att använda ett hanterat virtuellt nätverk. Det hanterade virtuella nätverket skyddar kommunikationen mellan hubben, projekten och hanterade resurser, till exempel beräkning. Om dina beroendetjänster (Azure Storage, Key Vault och Container Registry) har offentlig åtkomst inaktiverad skapas en privat slutpunkt för varje beroendetjänst för att skydda kommunikationen mellan hubben och projektet och beroendetjänsten.

Kommentar

Om du vill använda ett virtuellt nätverk för att skydda kommunikationen mellan dina klienter och hubben eller projektet måste du använda ett virtuellt Azure-nätverk som du skapar och hanterar. Till exempel ett virtuellt Azure-nätverk som använder en VPN- eller ExpressRoute-anslutning till ditt lokala nätverk.

Mer information om hur du konfigurerar ett hanterat virtuellt nätverk finns i Konfigurera ett hanterat virtuellt nätverk för Azure AI Foundry.

Azure Monitor

Azure Monitor och Azure Log Analytics tillhandahåller övervakning och loggning för de underliggande resurser som används av Azure AI Foundry. Eftersom Azure AI Foundry bygger på Azure Machine Learning, Azure OpenAI, Azure AI-tjänster och Azure AI Search använder du följande artiklar för att lära dig hur du övervakar tjänsterna:

Resurs Övervakning och loggning
Azure AI Foundry Hub och projekt Övervaka Azure Machine Learning
Azure OpenAI Övervaka Azure OpenAI
Azure AI-tjänster Övervaka Azure AI (utbildning)
Azure AI-sökning Övervaka Azure AI Search

Pris och kvot

Mer information om pris och kvot finns i följande artiklar:

Nästa steg

Skapa en hubb med någon av följande metoder: