你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
如何创建和管理 Azure AI Foundry 中心
在 Azure AI Foundry 门户中,中心为团队提供协作和组织工作的环境,并帮助你作为团队主管或 IT 管理员集中设置安全设置并管理使用情况和支出。 你可以从 Azure 门户或 Azure AI Foundry 门户创建和管理中心,然后开发人员可以从该中心创建项目。
本文介绍如何使用默认设置在 Azure AI Foundry 门户中创建和管理中心,以便助你快速入门。 是否需要自定义中心的安全性或依赖资源? 然后使用 Azure 门户或模板选项。
提示
如果你是个人开发人员而不是管理员、开发主管或需要中心的大型项目团队的成员,你可以直接从 Azure AI Foundry 门户创建项目,而无需首先创建中心。 有关详细信息,请参阅创建项目。
如果你是管理员或开发主管,并且想要使用模板创建 Azure AI Foundry 中心,请参阅有关使用 Bicep 或 Terraform 的文章。
在 Azure AI Foundry 门户中创建中心
若要创建新的中心,需要具有资源组或现有中心的“所有者”或“参与者”角色。 如果由于权限而无法创建中心,请联系管理员。 如果组织使用 Azure Policy,请不要在 Azure AI Foundry 门户中创建资源。 转而在 Azure 门户中创建中心。
注意
Azure AI Foundry 门户中的中心是一个一站式平台,你可以在其中管理 AI 项目所需的一切内容(例如安全性和资源),以便更快地进行开发和测试。 若要详细了解该中心可提供哪些帮助,请参阅中心和项目概述一文。
要在 Azure AI Foundry 中创建中心,请执行以下步骤:
转到 Azure AI Foundry 并使用你的 Azure 帐户登录。
如果你尚未加入项目团队,请选择一个项目团队。 选择哪个团队并不重要。 如果你没有项目,请先选择页面顶部的“+ 创建项目”来创建一个项目。
在左侧菜单中选择“管理中心”。
依次选择“所有资源”、“+ 新建项目”旁边的向下箭头、“+ 新建中心”。
在“创建新中心”对话框中,输入中心的名称(例如 contoso-hub)并根据需要修改其他字段。 默认情况下,系统将为中心创建新的 AI 服务连接。
注意
如果你在“资源组”和“连接 Azure AI 服务”条目之前未看到“(新)”字样,则表明使用的是现有资源。 出于本教程的目的,请通过“创建新资源组”和“创建新 AI 服务”创建一个单独的实体。 这样,你就可以在本教程结束后删除这些实体,以防止产生任何意外费用。
选择“下一步”,查看信息,然后选择“创建”。
可在向导中查看中心创建操作的进度。
在 Azure 门户中创建安全中心
如果组织使用 Azure Policy,请设置满足组织要求的中心,而不是使用 Azure AI Foundry 创建资源。
在 Azure 门户中,搜索
Azure AI Foundry
,并通过选择“+ 新建 Azure AI 中心”创建新的中心输入中心名称、订阅、资源组和位置详细信息。
对于“Azure AI 服务基础模型”,选择现有的 AI 服务资源或创建新资源。 Azure AI 服务包括多个用于语音、内容安全和 Azure OpenAI 的 API 终结点。
选择“存储”选项卡以指定存储帐户设置。 若要存储凭据,请提供你的 Azure Key Vault 或使用 Microsoft 托管凭据存储(预览版)。
选择“加密”选项卡以设置数据加密。 默认情况下,会使用“Microsoft 管理的密钥”来加密数据。 你也可以选择“使用客户管理的密钥来加密数据”。
选择“标识”选项卡。默认情况下,“系统分配的标识”处于启用状态,但如果在“存储”中选择了现有的存储、密钥保管库和容器注册表,则可切换到“用户分配的标识”。 还可以选择是要使用“基于凭据”还是“基于标识”来访问存储帐户。
注意
如果选择“用户分配的标识”,则标识需要具有
Cognitive Services Contributor
角色才能成功创建新的中心。选择“标记”选项卡以添加标记。
选择“查看 + 创建”>“创建”。
从 Azure 门户管理中心
管理访问控制
可以从 Azure AI Foundry 门户管理中心添加和删除用户。 中心和中心内的项目在左侧菜单中均有一个用于添加和删除用户的“用户”菜单项。 添加用户时,可为其分配内置角色。
要进行自定义角色分配,请使用 Azure 门户中的“访问控制(IAM)”。 详细了解中心基于角色的访问控制。
若要从 Azure 门户添加授予用户权限,请执行以下操作:
网络
可在创建资源期间设置中心网络设置,也可在 Azure 门户视图中的“网络”选项卡中更改该设置。 创建新的中心会调用托管虚拟网络。 这可使用内置的托管虚拟网络简化并自动执行网络隔离配置。 托管虚拟网络设置应用于在中心内创建的所有项目。
在创建中心时,在以下网络隔离模式中进行选择:“公共”、“Internet 出站专用”和“已批准出站专用”。 若要保护资源,请选择“Internet 出站专用”或“已批准的出站专用”,以满足网络需求。 对于专用隔离模式,应创建专用终结点进行入站访问。 有关网络隔离的详细信息,请参阅托管虚拟网络隔离。 若要创建安全中心,请参阅创建安全中心。
在 Azure 门户中创建中心时,可创建关联的 Azure AI 服务、存储帐户、密钥保管库(可选)、应用程序见解(可选)和容器注册表(可选)。 创建期间,可以在“资源”选项卡上找到这些资源。
若要连接到 Azure AI 服务(Azure OpenAI、Azure AI 搜索和 Azure AI 内容安全)或 Azure AI Foundry 门户中的存储帐户,请在虚拟网络中创建专用终结点。 确保在创建专用终结点连接时已禁用公用网络访问 (PNA) 标志。 有关 Azure AI 服务连接的详细信息,请参阅此处的文档。 可以选择自带 (BYO) 搜索,但这需要虚拟网络中的专用终结点连接。
加密
使用相同中心的项目共享其加密配置。 加密模式只能在创建中心时在 Microsoft 管理的密钥和客户管理的密钥之间设置。
在 Azure 门户视图中,导航到“加密”选项卡,找到中心的加密设置。 对于使用 CMK 加密模式的中心,可将加密密钥更新为新的密钥版本。 此更新操作仅限于与原始密钥相同的密钥保管库实例中的密钥和密钥版本。
更新 Azure Application Insights 和 Azure 容器注册表
要对提示流使用自定义环境,需要为中心配置 Azure 容器注册表。 要使用 Azure Application Insights 部署提示流,中心需要已配置的 Azure Application Insights 资源。 更新附加了工作区的 Azure 容器注册表或 ApplicationInsights 资源可能会破坏先前作业、部署的推理终结点的世系,或你在工作区中重新运行先前作业的能力。
可以使用 Azure 门户、Azure SDK/CLI 选项或基础结构即代码模板来更新中心的 Azure Application Insights 和 Azure 容器注册表。
可在创建期间或创建后更新期间为这些资源配置中心。
要从 Azure 门户更新 Azure Application Insights,请在 Azure 门户中导航到中心的“属性”,然后选择“更改 Application Insights”。
选择凭据的存储方式
在 Azure AI Foundry 门户中选择代表你存储凭据的场景。 例如,在 Azure AI Foundry 门户中创建一个连接,以使用存储的帐户密钥访问 Azure 存储帐户或使用管理员密码访问 Azure 容器注册表时,或者创建启用了 SSH 密钥的计算实例时。 选择基于 Microsoft Entra ID 标识的身份验证时,不会连同连接一起存储任何凭据。
可选择存储凭据的位置:
你的 Azure Key Vault:这要求你管理自己的 Azure Key Vault 实例,并为每个中心配置它。 它提供对机密生命周期的其他控制(例如,可设置过期策略)。 还可与 Azure 中的其他应用程序共享存储的机密。
Microsoft托管凭据存储(预览版):在此变体中,Microsoft 代表你管理每个中心的 Azure Key Vault 实例。。 你不需要进行资源管理,保管库不会显示在你的 Azure 订阅中。 机密数据生命周期遵循中心和项目的资源生命周期。 例如,删除一个项目的存储连接时,也会删除其存储的机密。
创建中心后,无法在你的 Azure Key Vault 与使用 Microsoft 托管凭据存储之间进行切换。
删除 Azure AI Foundry 中心
若要从 Azure AI Foundry 中删除中心,请选择该中心,然后从页面的“中心属性”部分选择“删除中心”。
注意
还可从 Azure 门户删除中心。
删除中心会删除所有关联的项目。 删除一个项目后,也会删除该项目的所有嵌套终结点。 可选择性地删除连接的资源;但是,请确保没有其他应用程序在使用此连接。 例如,另一个 Azure AI Foundry 部署可能在使用它。