通过

Microsoft Cloud for Sovereignty 中的 AI 和 LLM 配置概述(预览)

  • 项目

重要提示

这是一项预览功能。 此信息涉及预发布功能,其有可能在发布之前进行大幅修改。 对于此处提供的信息,Microsoft 不作任何明示或暗示的担保。

公共部门组织可以利用公有云中的最新 AI 创新,同时在 Microsoft Cloud for Sovereignty 的帮助下,根据当地政策和监管要求管理数据。

Microsoft Cloud for Sovereignty 提供敏捷性和灵活性、先进的网络安全功能,以及对最新创新的访问(如 Azure OpenAI),可以加快数字化转型和基本公共服务的交付。 它让客户能够在 Microsoft cloud 中构建和数字化转换工作负荷,同时帮助满足他们的很多特定合规性、安全性和策略要求。

Azure OpenAI 服务提供对 OpenAI 的强大语言模型的访问,包括 GPT-4、GPT-3.5 (ChatGPT)、Codex 和 Embeddings 模型系列。 这些基础语言模型已在大量数据上进行了执行任务的预训练,如内容生成、汇总、语义搜索和自然语言到代码翻译。 您可以使用 Azure OpenAI 服务访问预训练的模型,以最少的工作量更快地构建支持 AI 的应用程序,同时使用 Microsoft Cloud for Sovereignty 执行企业级主权控制和云体系结构的合规性、安全性和策略要求。

福利

您可以对数据使用 Azure OpenAI 服务来:

  • 通过减少在组织的集合知识库中查找关键信息所需的时间,提高员工的工作效率。

  • 通过简化复杂的法规或程序要求来提高关系人的满意度。

示例用例

主权用例最好基于主权登陆区域 (SLZ) 实现。 SLZ 包含管理组层次结构和公共平台资源,用于推进联网、记录和托管服务标识。 下图显示了主权 AI 和 LLM 配置的参考体系结构。

主权 AI 和 LLM 配置的参考体系结构。

SLZ 的根管理组通常称为登陆区域或企业级登陆区域。 驻留在父级下的一个子管理组中的各个订阅通常称为应用程序登陆区域或工作负荷登陆区域。 应用程序工作负荷可以部署到四个默认登陆区域之一的 SLZ 环境中:

  • 公司 - 非面向 Internet 的非机密工作负荷

  • 在线 - 面向 Internet 的非机密工作负荷

  • 机密公司 - 非面向 Internet 的机密工作负荷(仅允许使用机密计算资源)

  • 机密在线 - 面向 Internet 的机密工作负荷(仅允许使用机密计算资源)

公司在线管理组之间的主要区别在于它们如何处理公共终结点。 在线环境允许使用公共终结点,公司环境不允许。 了解有关 SLZ 的体系结构的详细信息。

在 SLZ 环境中,您应该将基于 LLM 的解决方案作为专用工作负荷部署在公司在线管理组层次结构中自己的订阅中。

我们建议将公司环境用作实现基于 LLM RAG 的应用程序(如供内部组织使用的助手)的安全标准模式。 您需要基于 ExpressRoute 或 VPN 的连接来访问前端 API 或用户界面,它们会连接到 Azure AI 服务并向最终用户或使用者提供 LLM 功能。

要向公众提供基于 LLM 或 RAG 的应用程序,使用在线管理组层次结构中的工作负荷登陆区域。 但是,您必须在虚拟网络中通过专用终结点安全地访问实现所需的所有服务。 仅通过公共终结点向最终用户或使用者提供 API 或前端 Web 应用程序。

在这种情况下,您应该使用 Web 应用程序防火墙来保护公共终结点。 您还应该应用和配置适当的 DDoS 和其他安全服务。 根据您的首选项,此配置可能会集中发生于中心虚拟网络,或分散发生在工作负荷的虚拟网络中。

如果您需要将机密登陆区域的数据与基于 LLM 的工作负荷集成,必须在机密登陆区域运行处理和存储 Azure AI 服务(如 Azure AI 搜索或 Azure OpenAI)等服务中的数据的转换过程。 此外,这些过程应主动筛选和管理数据,以阻止将使用时必须加密的机密数据发送到非机密服务和工作负荷。 您需要根据案例在自定义业务逻辑中实现此筛选。

如果您需要通过基于 LLM 的工作负荷引入、转换和使用数据,我们建议您部署与数据域一致的数据登陆区域。 数据登陆区域有多个层,可以灵活地为它包含的数据集成和数据产品提供服务。

您可以使用一组标准服务部署新的数据登陆区域,让数据登陆区域开始引入和分析数据。 您可以通过虚拟网络对等互连将数据登陆区域连接到 LLM 数据登陆区域和所有其他数据登陆区域。 此机制让您能够通过 Azure 内部网络安全共享数据,同时实现比经过中心时更低的延迟和更高的吞吐量。

有些实现可能需要使用在使用时需要加密的敏感或机密数据,这可用于机密计算。 对于此场景,您可以在机密管理组下的登陆区域运行基于虚拟机的数据解决方案。 有些 PaaS 数据服务可能无法在机密虚拟机中运行。

后续步骤