如何建立和管理 Azure AI Foundry 中樞
在 AI Foundry 入口網站中,中樞提供環境讓小組共同作業及組織工作,並協助您作為小組負責人或 IT 系統管理員集中設定安全性設定,並控管使用量和支出。 您可以從 Azure 入口網站 或 AI Foundry 入口網站建立和管理中樞,然後開發人員可以從中樞建立專案。
在本文中,您將瞭解如何使用預設設定在 AI Foundry 入口網站中建立和管理中樞,以便快速開始使用。 您是否需要自訂中樞的安全性或相依資源? 則使用 Azure 入口網站或範本選項。
提示
如果您是個別開發人員,而不是需要中樞的系統管理員、開發人員潛在客戶或部分工作,您可以直接從 AI Foundry 入口網站建立專案,而不需要先建立中樞。 如需詳細資訊,請參閱建立專案。
如果您是系統管理員或開發主管,而且想要使用範本建立 Azure AI Foundry 中樞,請參閱使用 Bicep 或 Terraform 的文章。
在 AI Foundry 入口網站中建立中樞
若要建立新的中樞,您需要資源群組或現有中樞上的「擁有者」或「參與者」角色。 如果您因為權限而無法建立中樞,請連絡您的管理員。 如果您的組織使用 Azure 原則,請勿在 AI Foundry 入口網站中建立資源。 請改為在 Azure 入口網站中建立中樞。
注意
Azure AI Foundry 入口網站中的中樞是一站式商店,可讓您管理 AI 專案所需的一切,例如安全性和資源,讓您可以更快速地開發和測試。 若要深入了解中樞如何協助您,請參閱中 樞和專案概觀 一文。
若要在 Azure AI Foundry 中建立中樞,請遵循下列步驟:
移至 Azure AI Foundry ,並使用您的 Azure 帳戶登入。
如果您尚未在專案中,請選取一個。 您選取哪一項並不重要。 如果您沒有專案,請先選取 頁面頂端的 [+ 建立專案] 來建立一個專案 。
從左側功能表中選取 [管理中心]。
選取 [所有資源],再選取 [+ 新增專案] 旁的向下箭號,然後選取 [+ 新增中樞]。
在 [ 建立新的中樞 ] 對話框中,輸入中樞的名稱(例如 contoso-hub),並視需要修改其他字段。 根據預設,會為中樞建立新的 AI 服務連線。
注意
如果您在 [資源群組] 和 [連接 Azure AI 服務] 專案之前未看到 (new),則會使用現有的資源。 針對本教學課程的目的,請透過 建立新的資源群組 和 建立新的 AI 服務來建立個別的實體。 這可讓您在教學課程之後刪除實體,以防止任何非預期的費用。
選取 [ 下一步],檢閱信息,然後選取 [ 建立]。
您可以在精靈中檢視中樞建立的進度。
在 Azure 入口網站中建立資源中樞
如果您的組織使用 Azure 原則,請設定符合組織需求的中樞,而不是使用 AI Foundry 建立資源。
從 Azure 入口網站,選取 [+ 新增 Azure AI 中樞] 以搜尋
Azure AI Foundry
並建立新的中樞輸入您的中樞名稱、訂用帳戶、資源群組和位置詳細資料。
針對 Azure AI 服務基底模型,選取現有的 AI 服務資源或建立新的資源。 Azure AI 服務包含多個用於語音、內容安全性和 Azure OpenAI 的 API 端點。
選取 [儲存體] 索引標籤,以指定儲存體帳戶設定。 若要儲存認證,請提供您的 Azure 金鑰保存庫,或使用 Microsoft 受控認證存放區 (預覽版) 。
選取 [加密] 索引標籤來設定資料加密。 根據預設, Microsoft受控金鑰 會用來加密數據。 您可以使用客戶管理的金鑰來選取 [加密資料]。
選取 [身分識別] 索引標籤。預設會啟用 [系統指派的身分識別],但如果 [儲存體] 中已選取現有的儲存體、金鑰保存庫和容器登錄,您可以切換至 [使用者指派的身分識別]。 您也可以選取是否要使用 認證型 或 身分識別型 存取記憶體帳戶。
注意
如果您選取 [使用者指派的身分識別],您的身分識別必須具備
Cognitive Services Contributor
角色,才能成功建立新的中樞。選取 [標記] 索引標籤以新增標記。
選取 [檢閱 + 建立]>[建立]。
從 Azure 入口網站管理您的中樞
管理存取控制
您可以從 Azure AI Foundry 入口網站管理中心新增和移除使用者。 中樞內的中樞和專案都有左側功能表中的 [使用者] 專案,可讓您新增和移除使用者。 新增使用者時,您可以指派內建角色。
針對自定義角色指派,請使用 Azure 入口網站 內的訪問控制 (IAM)。 深入了解中樞角色型存取控制。
若要從 Azure 入口網站 新增授與用戶許可權:
網路
中樞網路設定可以在資源建立期間設定,或在 Azure 入口網站檢視的 [網路] 索引標籤中變更。 建立新的中樞會叫用受控虛擬網路。 這會使用內建的受控虛擬網路簡化並自動化您的網路隔離設定。 受控虛擬網路設定會套用至中樞內建立的所有專案。
在中樞建立時,從這些網路隔離模式選取:公用、具有網際網路輸出的私人,以及具有已核准輸出的私人。 若要保護您的資源,請針對您的網路需求選取 [具有網際網路輸出的私人] 或 [具有核准輸出的私人]。 針對私人隔離模式,應該為輸入存取建立私人端點。 如需網路隔離的詳細資訊,請參閱受控虛擬網路隔離。 若要建立安全中樞,請參閱建立安全中樞。
在 Azure 入口網站 中建立中樞時,會提供相關聯的 Azure AI 服務、儲存體帳戶、密鑰保存庫(選擇性)、Application Insights(選擇性)和容器登錄 (選擇性) 的建立。 這些資源可在建立期間於 [資源] 索引標籤上找到。
若要連線到 Azure AI 服務(Azure OpenAI、Azure AI 搜尋和 Azure AI 內容安全性)或 Azure AI Foundry 入口網站中的記憶體帳戶,請在虛擬網路中建立私人端點。 建立私人端點連線時,請確保已停用公用網路存取 (PNA) 旗標。 如需 Azure AI 服務連線的詳細資訊,請遵循這裡的文件。 您可以選擇自備 (BYO) 搜尋,但這需要從您的虛擬網路的私人端點連線。
加密
使用相同中樞的專案,會共用其加密設定。 加密模式只能在 Microsoft 管理的金鑰與客戶自控金鑰之間建立中樞時設定。
從 Azure 入口網站檢視,瀏覽至 [加密] 索引標籤,以尋找中樞的加密設定。 針對使用 CMK 加密模式的中樞,您可以將加密金鑰更新為新的金鑰版本。 此更新作業受限於與原始金鑰相同的 Key Vault 執行個體內的金鑰和金鑰版本。
更新 Azure Application Insights 和 Azure Container Registry
若要使用提示流程的自訂環境,您必須為中樞設定 Azure Container Registry。 若要使用 Azure Application Insights 進行提示流程部署,您的中樞需要已設定的 Azure Application Insights 資源。 如果更新連結工作區的 Azure Container Registry 或 ApplicationInsights 資源,可能會中斷先前作業的歷程、中斷已部署的推斷端點,或無法重新執行此工作區中先前的工作。
您可以使用 Azure 入口網站、Azure SDK/CLI 選項或基礎結構即程式碼範本,來更新中樞的 Azure Application Insights 和 Azure Container Registry。
您可以在建立期間或建立後更新時,為這些資源設定中樞。
若要從 Azure 入口網站更新 Azure Application Insights,請瀏覽至 Azure 入口網站內中樞的 [屬性],然後選取 [變更 Application Insights]。
選擇認證儲存方式
選取 AI Foundry 入口網站中代表您儲存認證的案例。 例如,當您在 AI Foundry 入口網站中建立連線,以存取具有預存帳戶密鑰的 Azure 儲存體 帳戶、使用系統管理員密碼存取 Azure Container Registry,或使用已啟用 SSH 金鑰建立計算實例時。 當您選擇 Microsoft Entra ID 身分識別型驗證時,不會使用連線來儲存認證。
您可以選擇儲存認證的位置:
您的 Azure 金鑰保存庫:這需要您管理自己的 Azure 金鑰保存庫 實例,並針對每個中樞進行設定。 它可讓您進一步控制秘密生命週期,例如設定到期原則。 您也可以與 Azure 中的其他應用程式共用儲存的秘密。
Microsoft受控認證存放區 (預覽):在此變體中,Microsoft代表每個中樞管理 Azure 金鑰保存庫 實例。 您不需要任何資源管理,且保存庫不會顯示在您的 Azure 訂用帳戶中。 秘密數據生命週期會遵循中樞和項目的資源生命週期。 例如,刪除專案的記憶體連線時,也會刪除其儲存的秘密。
建立中樞之後,就無法在 Azure 金鑰保存庫 與使用Microsoft受控認證存放區之間切換。
刪除 Azure AI Foundry 中樞
若要從 Azure AI Foundry 刪除中樞,請選取中樞,然後從頁面的 [中樞屬性] 區段選取 [刪除中樞]。
注意
您也可以從 Azure 入口網站 刪除中樞。
刪除中樞會刪除所有相關聯的專案。 刪除專案時,也會刪除專案的所有巢狀端點。 您可以選擇性地刪除已連線的資源;不過,請確定沒有其他應用程式使用此連線。 例如,另一個 Azure AI Foundry 部署可能會使用它。