你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用中心管理、协作和组织

中心是 Azure AI Foundry 的主要顶级 Azure 资源,为团队提供了一种集中方式来治理跨多个操场和项目的安全性、连接性和计算资源。 创建中心后,开发人员可以从中创建项目并访问共享的公司资源,而无需 IT 管理员的重复帮助。

使用中心创建的项目工作区继承相同的安全设置和共享资源访问权限。 团队可以根据需要创建项目工作区来组织其工作、隔离数据和/或限制访问。

在本文中,你将详细了解中心功能,以及如何为组织设置中心。 可以查看在 Azure 门户Azure AI Foundry 中创建的资源。

快速 AI 用例探索,没有任何 IT 瓶颈

成功的 AI 应用程序和模型通常从原型开始,开发人员在其中测试想法的可行性或者评估特定任务的数据或模型质量。 此原型是项目融资或全面实施的一块敲门砖。

当单个平台团队负责设置云资源时,从证明想法到有资助的项目的可行性的过渡可能是生产力的瓶颈。 此类团队可能是唯一获得授权来配置安全性、连接性或其他可能产生成本的资源的团队。 此情况可能会导致大量积压工作 (backlog),从而使开发团队在使用新想法进行创新的道路上受阻。 在 Azure AI Foundry 门户中,中心可帮助缓解此瓶颈。 IT 可以一次性为团队设置预配置、可重用的环境(中心)。 然后,团队可以使用该中心创建自己的项目,用于原型制作、生成和操作 AI 应用程序。

为团队设置和保护中心

首先,在 Azure AI Foundry 门户中创建第一个中心,或者针对高级配置选项使用 Azure 门户模板。 可以自定义网络、标识、加密、监视或标记,以满足组织的要求。

通常,业务领域中的项目需要访问相同的公司资源,例如矢量索引、模型终结点或存储库。 作为团队负责人,你可以预先配置与中心内这些资源的连接,以便开发人员可以从任何新的项目工作区访问它们,而不会出现 IT 延迟。

你可以通过连接访问 Azure AI Foundry 门户中在中心之外管理的对象。 例如,在 Azure 存储帐户中上传数据,或在现有 Azure OpenAI 资源上部署模型。 可以与每个项目共享连接,也可以对一个特定项目进行访问。 可以使用基于密钥的访问或 Microsoft Entra ID 来配置连接,以授权访问已连接资源上的用户。 此外,作为管理员,你可以使用中心跨项目跟踪、审核和管理连接。

共享 Azure 资源和配置

中心提供了各种管理概念,以支持团队领导和管理员集中管理团队的环境。

  • 安全配置,包括公共网络访问、虚拟网络、客户管理的密钥加密,以及可以为其创建项目进行自定义的特权访问。 中心上配置的安全设置会自动向下传递到每个项目。 托管虚拟网络在共享相同中心的所有项目之间共享。
  • 连接是对 Azure 和非 Azure 资源(例如数据存储提供程序)的经过身份验证的命名引用。 连接可作为一种方式,用于使外部资源可供一组开发人员使用,而无需向个人公开其存储的凭据。
  • 计算和配额分配作为 Azure AI Foundry 门户中共享同一中心的所有项目的共享容量进行管理。 此配额包括作为个人基于云的托管工作站的计算实例。 同一个用户可以跨项目使用计算实例。
  • 预生成 AI 模型终结点的 AI 服务访问密钥在中心范围内进行管理。 使用这些终结点可通过一个 API 密钥访问 Azure OpenAI、语音、视觉和内容安全的基础模型
  • 在 Azure 中对中心范围强制实施的策略适用于在该范围下管理的所有项目。
  • 从属 Azure 资源针对每个中心和关联的项目设置一次,用于存储当你在 Azure AI Foundry 门户中工作或上传数据时生成的项目,例如日志。 有关详细信息,请参阅 Azure AI 依赖项

组织项目中的工作以进行自定义

中心为 Azure AI Foundry 门户中的项目提供宿主环境。 项目是一个组织容器,其中包含 AI 自定义和编排工具。 它允许你组织工作、跨不同的工具(如提示流)保存状态,并与其他人协作。 例如,你可以共享上传的文件和与数据源的连接。

多个项目可以使用一个中心,多个用户可以使用一个项目。 项目还可以帮助你跟踪账单、管理访问和提供数据隔离。 每个项目都使用专用存储容器,可用于上传文件,并在使用“数据”体验时仅与其他项目成员共享文件。

使用项目,你可以创建可在 Azure AI Foundry 门户中跨工具使用的可重用组件并对其进行分组:

资产 说明
数据 可用于创建索引、微调模型和评估模型的数据集。
可实施 AI 逻辑的可执行指令集。​
评估 模型或流的评估。 可以运行手动评估或基于指标的评估。
索引 从数据生成的矢量搜索索引。

项目还具有仅适用于该项目的特定设置:

资产 说明
项目连接 与外部资源(例如只有你和其他项目成员才可使用的数据存储提供程序)的连接。 它们补充了所有项目均可访问的中心上的共享连接。
提示流运行时 提示流是可用于生成、自定义或运行流的功能。 若要使用提示流,需要在计算实例的基础上创建运行时。

注意

在 Azure AI Foundry 门户中,你还可以管理适用于所有项目的语言和通知设置(无论中心或项目如何,你都可以访问它们)。

Azure AI 服务 API 访问密钥

中心允许你设置与现有 Azure OpenAI 或 Azure AI 服务资源类型的连接,这些资源类型可用于托管模型部署。 可以从 Azure AI Foundry 门户中的已连接资源访问这些模型部署。 可以从 Azure AI Foundry 门户或 Azure 门户列出已连接资源的密钥。 有关详细信息,请参阅在 Microsoft Azure 门户中查找 Azure AI Foundry 门户资源

虚拟网络

中心、计算资源和项目共享相同的 Microsoft 托管 Azure 虚拟网络。 在中心创建过程中配置托管网络设置后,使用该中心创建的所有新项目都将继承相同的虚拟网络设置。 因此,对网络设置所做的任何更改都应用于该中心中的所有当前项目和新项目。 默认情况下,中心提供公用网络访问。

若要建立到中心环境的专用入站连接,请在以下范围内创建 Azure 专用链接终结点:

  • 中心
  • 提供资源的依赖 Azure AI services
  • Azure 存储等任何其他 Azure AI 依赖项

虽然项目在 Azure 门户中显示为其自己的跟踪资源,但它们不需要访问自己的专用链接终结点。 在设置中心后创建的新项目会自动添加到网络隔离环境中。

与 Azure 和第三方资源的连接

Azure AI 提供了一组连接器,可连接到不同类型的数据源和其他 Azure 工具。 可以利用连接器与 Azure AI 搜索中的索引等数据连接,以增强流。

可将连接设置为与同一中心中的所有项目共享,也可以专门为一个项目创建连接。 若要通过 Azure AI Foundry 管理连接,请转到项目,然后选择“管理中心”。 选择“中心”或“项目”部分中的“连接的资源”,以分别管理项目或中心的共享连接。 作为管理员,可以审核中心级别的共享连接和项目范围连接,以便拥有跨项目连接性的单一虚拟管理平台。

Azure AI 依赖项

Azure AI Foundry 层位于现有 Azure 服务(包括 Azure AI 和 Azure 机器学习服务)之上。 虽然它可能在 Azure 门户、Azure AI Foundry 中的显示名称上不可见或在使用 SDK 或 CLI 时不可见,但当你使用 Azure REST API、Azure 成本报告或基础结构即代码模板(如 Azure Bicep 或 Azure 资源管理器)时,这些体系结构详细信息的一部分会显现出来。 从 Azure 资源提供程序的角度来看,Azure AI Foundry 资源类型映射到以下资源提供程序类型:

资源类型 资源提供程序 种类
Azure AI Foundry 中心 Microsoft.MachineLearningServices/workspace hub
Azure AI Foundry 项目 Microsoft.MachineLearningServices/workspace project
Azure AI 服务或
Azure AI OpenAI 服务
Microsoft.CognitiveServices/account AIServices
OpenAI

创建新的中心时,需要一组从属 Azure 资源来存储你在 Azure AI Foundry 门户中工作时上传的数据或生成的数据。 如果未提供但却需要,将自动创建这些资源。

依赖 Azure 资源 资源提供程序 可选 注意
Azure AI 搜索 Microsoft.Search/searchServices 为项目提供搜索功能。
Azure 存储帐户 Microsoft.Storage/storageAccounts 存储项目的生成工件,例如流和评估。 对于数据隔离,存储容器使用项目 GUID 作为前缀,并使用 Azure ABAC 对项目标识进行有条件保护。
Azure Key Vault Microsoft.KeyVault/vaults 存储机密,例如资源连接的连接字符串。 对于数据隔离,无法通过 API 跨项目检索机密。
Azure 容器注册表 Microsoft.ContainerRegistry/registries 存储将自定义运行时用于提示流时创建的 Docker 映像。 对于数据隔离,docker 映像使用项目 GUID 作为前缀。
Azure Application Insights 和
Log Analytics 工作区
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
当选择为部署的提示流使用应用程序级日志记录时,用作日志存储。

管理成本

各种 Azure 资源的 Azure AI 成本会累计。

一般来说,中心和项目没有固定的每月成本,仅根据计算小时数和使用的令牌收取使用费用。 Azure 密钥保管库、存储和 Application Insights 按事务和数量收费,具体取决于项目存储的数据量。

如果需要将这些不同服务的成本归为一组,建议在 Azure 环境中的一个或多个专用资源组和订阅中创建中心。

可以使用成本管理Azure 资源标记来帮助进行详细的资源级成本细分,或者对上面列出的资源运行 Azure 定价计算器来获取定价估算。 有关详细信息,请参阅计划和管理 Azure AI 服务成本

在 Azure 门户中查找 Azure AI Foundry 资源

在 Azure 门户中,可以在 Azure AI Foundry 门户中找到与项目对应的资源。

注意

本部分假定中心和项目位于同一资源组中。

  1. Azure AI Foundry 中,转到项目并选择“管理中心”以查看项目资源。

  2. 在管理中心中,选择中心或项目的概述,然后选择“在 Azure 门户中管理”的链接

    Azure AI Foundry 项目概述页面的屏幕截图,其中包含指向 Azure 门户的链接。

后续步骤