共用方式為


如何建立和管理 Azure AI Foundry 中樞

在 Azure AI Foundry 入口網站中,中樞提供環境,讓小組共同作業及組織工作,並協助您作為小組負責人或 IT 系統管理員集中設定安全性設定,並控管使用量和支出。 您可以從 Azure 入口網站 或 Azure AI Foundry 入口網站建立和管理中樞,然後開發人員可以從中樞建立專案。

在本文中,您將瞭解如何使用預設設定在 Azure AI Foundry 入口網站中建立和管理中樞,以便快速開始使用。 您是否需要自訂中樞的安全性或相依資源? 則使用 Azure 入口網站範本選項

提示

如果您是個別開發人員,而不是需要中樞的系統管理員、開發人員潛在客戶或部分工作,您可以直接從 Azure AI Foundry 入口網站建立專案,而不需要先建立中樞。 如需詳細資訊,請參閱建立專案

如果您是系統管理員或開發主管,而且想要使用範本建立 Azure AI Foundry 中樞,請參閱使用 BicepTerraform 的文章。

在 Azure AI Foundry 入口網站中建立中樞

若要建立新的中樞,您需要資源群組或現有中樞上的「擁有者」或「參與者」角色。 如果您因為權限而無法建立中樞,請連絡您的管理員。 如果您的組織使用 Azure 原則,請勿在 Azure AI Foundry 入口網站中建立資源。 請改為在 Azure 入口網站中建立中樞。

注意

Azure AI Foundry 入口網站中的中樞是一站式商店,可讓您管理 AI 專案所需的一切,例如安全性和資源,讓您可以更快速地開發和測試。 若要深入了解中樞如何協助您,請參閱中 樞和專案概觀 一文。

若要在 Azure AI Foundry 中建立中樞,請遵循下列步驟:

  1. 移至 Azure AI Foundry ,並使用您的 Azure 帳戶登入。

  2. 如果您尚未在專案中,請選取一個。 您選取哪一項並不重要。 如果您沒有專案,請先選取 頁面頂端的 [+ 建立專案] 來建立一個專案

  3. 從左側功能表中選取 [管理中心]。

    管理中心鏈接的螢幕快照。

  4. 選取 [所有資源],再選取 [+ 新增專案] 旁的向下箭號,然後選取 [+ 新增中樞]。

    建立新中樞按鈕的螢幕擷取畫面。

  5. 在 [ 建立新的中樞 ] 對話框中,輸入中樞的名稱(例如 contoso-hub),並視需要修改其他字段。 根據預設,會為中樞建立新的 AI 服務連線。

    建立新中樞時連線服務的對話方塊螢幕擷取畫面。

    注意

    如果您在 [資源群組] 和 [連接 Azure AI 服務] 專案之前未看到 (new),則會使用現有的資源。 針對本教學課程的目的,請透過 建立新的資源群組建立新的 AI 服務來建立個別的實體。 這可讓您在教學課程之後刪除實體,以防止任何非預期的費用。

  6. 選取 [ 下一步],檢閱信息,然後選取 [ 建立]。

    檢閱新中樞設定之對話方塊的螢幕擷取畫面。

  7. 您可以在精靈中檢視中樞建立的進度。

    檢閱中樞資源建立進度之對話方塊的螢幕擷取畫面。

在 Azure 入口網站中建立資源中樞

如果您的組織使用 Azure 原則,請設定符合組織需求的中樞,而不是使用 Azure AI Foundry 來建立資源。

  1. 從 Azure 入口網站,選取 [+ 新增 Azure AI 中樞] 以搜尋 Azure AI Foundry 並建立新的中樞

  2. 輸入您的中樞名稱、訂用帳戶、資源群組和位置詳細資料。

  3. 針對 Azure AI 服務基底模型,選取現有的 AI 服務資源或建立新的資源。 Azure AI 服務包含多個用於語音、內容安全性和 Azure OpenAI 的 API 端點。

    設定中樞基本資訊的選項螢幕擷取畫面。

  4. 選取 [儲存體] 索引標籤,以指定儲存體帳戶設定。 若要儲存認證,請提供 Azure 金鑰保存庫 或使用Microsoft受控認證存放區(預覽版)。

    [建立中樞] 的螢幕擷取畫面,其中包含設定儲存體資源資訊的選項。

  5. 選取 [網路] 索引標籤來設定網路隔離。 深入了解網路隔離。 如需建立安全中樞的逐步解說,請參閱建立安全中樞

    [建立中樞] 的螢幕擷取畫面,其中包含設定網路隔離資訊的選項。

  6. 選取 [加密] 索引標籤來設定資料加密。 根據預設, Microsoft受控金鑰 會用來加密數據。 您可以使用客戶管理的金鑰來選取 [加密資料]。

    [建立中樞] 的螢幕擷取畫面,其中包含選取加密類型的選項。

  7. 選取 [身分識別] 索引標籤。預設會啟用 [系統指派的身分識別],但如果 [儲存體] 中已選取現有的儲存體、金鑰保存庫和容器登錄,您可以切換至 [使用者指派的身分識別]。 您也可以選取是否要使用 認證型身分識別型 存取記憶體帳戶。

    [建立中樞] 的螢幕擷取畫面,其中包含選取受控識別的選項。

    注意

    如果您選取 [使用者指派的身分識別],您的身分識別必須具備 Cognitive Services Contributor 角色,才能成功建立新的中樞。

  8. 選取 [標記] 索引標籤以新增標記。

    [建立中樞] 的螢幕擷取畫面,其中包含新增標記的選項。

  9. 選取 [檢閱 + 建立]>[建立]

從 Azure 入口網站管理您的中樞

管理存取控制

您可以從 Azure AI Foundry 入口網站管理中心新增和移除使用者。 中樞內的中樞和專案都有左側功能表中的 [使用者] 專案,可讓您新增和移除使用者。 新增使用者時,您可以指派內建角色。

中樞管理中心用戶區域的螢幕快照。

針對自定義角色指派,請使用 Azure 入口網站 內的訪問控制 (IAM)。 深入了解中樞角色型存取控制

若要從 Azure 入口網站 新增授與用戶許可權:

  1. 選取 [+ 新增],將使用者新增至您的中樞。

  2. 選取您想要指派的角色

    Azure 入口網站中樞檢視內 [新增角色] 頁面的螢幕擷取畫面。

  3. 選取您要授與角色的 [成員]

    Azure 入口網站中樞檢視內 [新增成員] 頁面的螢幕擷取畫面。

  4. 檢閱 + 指派。 最多可能需要一小時的時間,才能將權限套用至使用者。

網路

中樞網路設定可以在資源建立期間設定,或在 Azure 入口網站檢視的 [網路] 索引標籤中變更。 建立新的中樞會叫用受控虛擬網路。 這會使用內建的受控虛擬網路簡化並自動化您的網路隔離設定。 受控虛擬網路設定會套用至中樞內建立的所有專案。

在中樞建立時,從這些網路隔離模式選取:公用具有網際網路輸出的私人,以及具有已核准輸出的私人。 若要保護您的資源,請針對您的網路需求選取 [具有網際網路輸出的私人] 或 [具有核准輸出的私人]。 針對私人隔離模式,應該為輸入存取建立私人端點。 如需網路隔離的詳細資訊,請參閱受控虛擬網路隔離。 若要建立安全中樞,請參閱建立安全中樞

在 Azure 入口網站 中建立中樞時,會提供相關聯的 Azure AI 服務、儲存體帳戶、密鑰保存庫(選擇性)、Application Insights(選擇性)和容器登錄(選擇性) 的建立。 這些資源可在建立期間於 [資源] 索引標籤上找到。

若要連線到 Azure AI 服務(Azure OpenAI、Azure AI 搜尋和 Azure AI 內容安全性)或 Azure AI Foundry 入口網站中的記憶體帳戶,請在虛擬網路中建立私人端點。 建立私人端點連線時,請確保已停用公用網路存取 (PNA) 旗標。 如需 Azure AI 服務連線的詳細資訊,請遵循這裡的文件。 您可以選擇自備 (BYO) 搜尋,但這需要從您的虛擬網路的私人端點連線。

加密

使用相同中樞的專案,會共用其加密設定。 加密模式只能在 Microsoft 管理的金鑰與客戶自控金鑰之間建立中樞時設定。

從 Azure 入口網站檢視,瀏覽至 [加密] 索引標籤,以尋找中樞的加密設定。 針對使用 CMK 加密模式的中樞,您可以將加密金鑰更新為新的金鑰版本。 此更新作業受限於與原始金鑰相同的 Key Vault 執行個體內的金鑰和金鑰版本。

Azure 入口網站內中樞的 [加密] 頁面螢幕擷取畫面。

更新 Azure Application Insights 和 Azure Container Registry

若要使用提示流程的自訂環境,您必須為中樞設定 Azure Container Registry。 若要使用 Azure Application Insights 進行提示流程部署,您的中樞需要已設定的 Azure Application Insights 資源。 如果更新連結工作區的 Azure Container Registry 或 ApplicationInsights 資源,可能會中斷先前作業的歷程、中斷已部署的推斷端點,或無法重新執行此工作區中先前的工作。

您可以使用 Azure 入口網站、Azure SDK/CLI 選項或基礎結構即程式碼範本,來更新中樞的 Azure Application Insights 和 Azure Container Registry。

您可以在建立期間或建立後更新時,為這些資源設定中樞。

若要從 Azure 入口網站更新 Azure Application Insights,請瀏覽至 Azure 入口網站內中樞的 [屬性],然後選取 [變更 Application Insights]

Azure 入口網站內中樞資源 [屬性] 頁面的螢幕擷取畫面。

選擇認證儲存方式

選取 Azure AI Foundry 入口網站中的案例,代表您儲存認證。 例如,當您在 Azure AI Foundry 入口網站中建立連線,以存取具有預存帳戶密鑰的 Azure 儲存體 帳戶、使用系統管理員密碼存取 Azure Container Registry,或當您建立已啟用 SSH 密鑰的計算實例時。 當您選擇 Microsoft Entra ID 身分識別型驗證時,不會使用連線來儲存認證。

您可以選擇儲存認證的位置:

  • 您的 Azure 金鑰保存庫:這需要您管理自己的 Azure 金鑰保存庫 實例,並針對每個中樞進行設定。 它可讓您進一步控制秘密生命週期,例如設定到期原則。 您也可以與 Azure 中的其他應用程式共用儲存的秘密。

  • Microsoft受控認證存放區 (預覽):在此變體中,Microsoft代表每個中樞管理 Azure 金鑰保存庫 實例。 您不需要任何資源管理,且保存庫不會顯示在您的 Azure 訂用帳戶中。 秘密數據生命週期會遵循中樞和項目的資源生命週期。 例如,刪除專案的記憶體連線時,也會刪除其儲存的秘密。

建立中樞之後,就無法在 Azure 金鑰保存庫 與使用Microsoft受控認證存放區之間切換。

刪除 Azure AI Foundry 中樞

若要從 Azure AI Foundry 刪除中樞,請選取中樞,然後從頁面的 [中樞屬性] 區段選取 [刪除中樞]。

中樞屬性中刪除中樞鏈接的螢幕快照。

注意

您也可以從 Azure 入口網站 刪除中樞。

刪除中樞會刪除所有相關聯的專案。 刪除專案時,也會刪除專案的所有巢狀端點。 您可以選擇性地刪除已連線的資源;不過,請確定沒有其他應用程式使用此連線。 例如,另一個 Azure AI Foundry 部署可能會使用它。