Поделиться через

Развертывание Microsoft Foundry в моей организации

В этом руководстве описываются ключевые решения для развертывания Microsoft Foundry, включая настройку среды, изоляцию данных, интеграцию с другими службами Azure, управлением емкостью и мониторингом. Используйте это руководство в качестве отправной точки и адаптируйте его к вашим потребностям. Дополнительные сведения о реализации см. в связанных статьях.

Предпосылки

Прежде чем приступить к планированию развертывания, убедитесь, что у вас есть:

  • Целевая стратегия подписок Azure и групп ресурсов для разработческих, тестовых и производственных сред.
  • Группы Microsoft Entra ID (или эквивалентные группы идентификации), определенные для администраторов, руководителей проектов и пользователей проектов.
  • Начальный план для региона на основе модели и доступности функций. Дополнительные сведения см. в разделе "Доступность компонентов" в облачных регионах.
  • Соглашение о требованиях к безопасности для сети, шифрования и изоляции данных в организации.

Контрольный список развертывания базовой конфигурации

Используйте этот контрольный список перед первым развертыванием в производство:

  1. Определите границы среды между разработкой, тестированием и рабочей средой.
  2. Назначьте ответственность за каждый ресурс Foundry и масштаб проекта.
  3. Определите назначения RBAC для администраторов, руководителей проектов и пользователей проектов.
  4. Определите сетевой подход для каждой среды (общедоступной, частной или гибридной).
  5. Определите, требуются ли управляемые клиентом ключи политикой.
  6. Определите владение затратами и мониторинг для каждой бизнес-группы.
  7. Определите необходимые общие подключения и подключения, ограниченные проектом.

Пример организации

Contoso — это глобальное предприятие, изучающее внедрение GenAI в пяти бизнес-группах, каждый из которых имеет уникальные потребности и техническую зрелость.

Чтобы ускорить внедрение при сохранении надзора, ИТ-отдел компании Contoso Enterprise стремится обеспечить модель с общими ресурсами, включая сетевую инфраструктуру и централизованное управление данными, предоставляя каждой команде возможность самостоятельно получать доступ к Foundry в управляемой и безопасной среде для управления их сценариями использования.

Рекомендации по развертываниям

Ресурс Foundry определяет область настройки, защиты и мониторинга среды вашей команды. Он доступен на портале Foundry и через Azure API. Проекты — это как папки, которые помогают организовать вашу работу в рамках этого ресурса. Проекты также управляют доступом и разрешениями к API и инструментам разработки Foundry.

Снимок экрана: схема с ресурсом Foundry.

Чтобы обеспечить согласованность, масштабируемость и управление в командах, рассмотрите следующие методики настройки среды при запуске Foundry:

  • Создание отдельных сред для разработки, тестирования и рабочей среды. Используйте отдельные группы ресурсов или подписки и ресурсы Foundry для изоляции рабочих процессов, управления доступом и поддержки экспериментов с контролируемыми релизами.

  • Создайте отдельный ресурс Foundry для каждой бизнес-группы. Сопоставляйте развертывания с логическими границами, такими как домены данных или бизнес-функции, чтобы обеспечить автономность, управление и контроль затрат.

  • Связывание проектов с вариантами использования. Проекты Foundry предназначены для представления конкретных вариантов использования. Они являются контейнерами для упорядочивания компонентов, таких как агенты или файлы для приложения. Хотя они наследуют параметры безопасности от родительского ресурса, они также могут реализовать собственные элементы управления доступом, с интеграцией данных и другими элементами управления системами.

Защита среды Foundry

Foundry основан на платформе Azure, поэтому вы можете настроить элементы управления безопасностью в соответствии с потребностями вашей организации. Ключевые области конфигурации:

  • Identity: используйте Microsoft Entra ID для управления доступом пользователей и служб. Foundry поддерживает управляемые удостоверения для обеспечения безопасной, без пароля проверки подлинности в других службах Azure. Управляемые удостоверения можно назначить на уровне ресурсов Foundry и при необходимости на уровне проекта для точного управления.  Узнайте больше информации об управляемых удостоверениях.

  • Networking: Разверните Foundry в виртуальной сети для изоляции трафика и управления доступом с помощью групп безопасности сети (NSG).  Узнайте больше о сетевой безопасности.

    Для сценариев частного подключения используйте частные конечные точки и проверьте состояние утверждения DNS и конечной точки. Сведения о реализации и ограничениях см. в разделе Как настроить приватное соединение для Foundry.

    Это важно

    Сквозная сетевая изоляция не полностью поддерживается в новом интерфейсе портала Foundry. Для развертываний, изолированных от сети, используйте рекомендации по классическому интерфейсу, SDK или интерфейсу командной строки (CLI) в Как настроить частный канал для Foundry.

  • Ключи, управляемые клиентом (CMK): Azure поддерживает CMK для шифрования неактивных данных. Foundry опционально поддерживает CMK для клиентов с строгими требованиями соответствия.  Узнать больше о системе CMK.

  • Аутентификация и Авторизация: Foundry поддерживает доступ на основе API ключей для простой интеграции и Azure RBAC для более точного управления. Ключи API могут упростить настройку, но они не обеспечивают ту же степень детализации на основе ролей, что и Microsoft Entra ID с RBAC. Azure обеспечивает четкое разделение между контрольной плоскостью (управление ресурсами) и плоскостью данных (доступ к модели и данным). Начните со встроенных ролей и определите пользовательские роли по мере необходимости. Узнайте больше о аутентификации.

  • Шаблоны. Используйте шаблоны ARM или Bicep для автоматизации безопасных развертываний. Изучите шаблоны образцов.

  • ресурс хранилища. Вы можете использовать встроенные возможности хранилища в Foundry или использовать собственные ресурсы хранилища. Для службы агента потоки и сообщения могут храниться в ресурсах, управляемых вами.

Пример: подход к безопасности Компании Contoso

Компания Contoso защищает свои развертывания Foundry с помощью частной сети с ИТ-отделом Предприятия, который управляет центральной сетью концентратора. Каждая бизнес-группа подключается через соединительную виртуальную сеть. Они используют встроенный контроль доступа на основе ролей (RBAC) для разделения доступа.

  • Администраторы управляют развертываниями, подключениями и общими ресурсами
  • Менеджеры проектов управляют конкретными проектами
  • Пользователи взаимодействуют с инструментами GenAI

В большинстве случаев Contoso полагается на шифрование, управляемое корпорацией Microsoft по умолчанию, и не использует ключи под управлением клиента.

Планирование доступа пользователя

Эффективное управление доступом является основой для безопасной и масштабируемой настройки Foundry.

  • Определите требуемые роли доступа и обязанности

    • Определите, какие группы пользователей нуждаются в доступе к различным аспектам среды Foundry.
    • Назначайте встроенные или пользовательские роли RBAC Azure в зависимости от обязанностей, таких как:
      • Владелец учетной записи: управление конфигурациями верхнего уровня, такими как безопасность и подключения к общим ресурсам.
      • Менеджеры проектов: создание проектов Foundry и управление ими и их участниками.
      • Пользователи проекта: вносите вклад в существующие проекты.

    Используйте это сопоставление начальных ролей и областей для планирования развертывания:

    Persona Начальная роль Рекомендуемая область
    Администраторы Обладатель или владелец учетной записи Azure AI Подписка или ресурс "Foundry"
    менеджеры проектов Менеджер проекта Azure AI Ресурс литейного цеха
    пользователи Project пользователь ИИ Azure Проект литейного производства

    Настройте назначения на основе требований к наименьшим привилегиям и корпоративным политикам.

  • область определения доступа

    • Выберите соответствующую область для назначений доступа:
      • Уровень подписки: самый широкий доступ, обычно подходящий для центральных ИТ-отделов, групп платформы или небольших организаций.
      • Уровень группы ресурсов: полезно для группировки связанных ресурсов с общими политиками доступа. Например, функция Azure, которая следует тому же жизненному циклу приложения, что и среда Foundry.
      • Уровень ресурсов или проекта: идеально подходит для тонкого управления, особенно при работе с конфиденциальными данными или включением самообслуживания.

  • Выравнивание стратегии идентификации

    • Для источников данных и средств, интегрированных с Foundry, определите, должны ли пользователи проходить проверку подлинности с помощью:
      • Управляемые удостоверения или ключ API: подходят для автоматизированных служб и общего доступа между пользователями.
      • Удостоверения пользователей: предпочтительнее, если требуется подотчетность или возможность аудита на уровне пользователя.
    • Используйте группы Microsoft Entra ID для упрощения управления доступом и обеспечения согласованности между средами.

    Для подключения с минимальными привилегиями начните с роли Azure AI User для разработчиков и управляемых удостоверений проекта, а затем добавьте роли с повышенными привилегиями только в случае необходимости. Для получения дополнительных сведений см. Управление доступом на основе ролей в Foundry.

Установка подключения к другим службам Azure

Foundry поддерживает connections — это повторно используемые конфигурации, которые позволяют доступ к компонентам приложений в Azure и других службах, помимо Azure. Эти подключения также выполняют роль брокеров удостоверений identity, что позволяет Foundry проходить проверку подлинности во внешних системах с помощью управляемых удостоверений или технических субъектов-служб от имени пользователей проекта.

Создайте подключения на уровне ресурсов Foundry для общих служб, таких как Azure Storage или Key Vault. Ограничить подключения к специфическому проекту для конфиденциальных или проектных интеграций. Эта гибкость позволяет командам сбалансировать повторное использование и изоляцию в зависимости от их потребностей. Дополнительные сведения о подключениях в Foundry.

Настройте проверку подлинности подключения для использования либо общих маркеров доступа, таких как управляемые удостоверениями Microsoft Entra ID или ключи API, для упрощенного управления и подключения, либо маркеров пользователей через сквозную аутентификацию Entra ID, что обеспечивает более широкий контроль при доступе к источникам конфиденциальных данных.

Скриншот схемы, показывающей подключение и интеграцию проекта Foundry с другими службами Azure.

Пример: стратегия подключения Компании Contoso

  • Contoso создает ресурс Foundry для каждой бизнес-группы, гарантируя, что проекты с аналогичными данными должны совместно использовать одни и те же подключенные ресурсы.
  • По умолчанию подключенные ресурсы используют общие маркеры проверки подлинности и совместно используются во всех проектах.
  • Проекты, использующие рабочие нагрузки конфиденциальных данных, подключаются к источникам данных с соединениями, относящимися к проекту, и с помощью сквозной аутентификации Microsoft Entra ID.

Система управления

Эффективное управление в Foundry обеспечивает безопасные, совместимые и экономичные операции в бизнес-группах.

  • Моделирование управления доступом с Azure Policy Azure Policy применяет правила для ресурсов Azure. В Foundry используйте политики, чтобы ограничить доступ определённых бизнес-групп к конкретным моделям или семействам моделей. Пример: группа Contoso Финансы и Риски ограничена в использовании предварительных версий или несоответствующих моделей путем применения политики на уровне подписки данной бизнес-группы.
  • Управление затратами по бизнес-группе Развернув Foundry для каждой бизнес-группы, Компания Contoso может самостоятельно отслеживать затраты и управлять ими. Используйте калькулятор цен Azure для предварительных оценок и управления затратами Майкрософт для текущего фактического использования и отслеживания тенденций. Рассматривайте затраты на Foundry как часть общей стоимости решения.
  • Usage Tracking with Azure Monitor Azure Monitor предоставляет метрики и панели мониторинга для отслеживания шаблонов использования, производительности и работоспособности ресурсов Foundry.
  • Ведение журналаVerbose с Azure Log Analytics Azure Log Analytics обеспечивает глубокую проверку журналов для анализа операционных данных. Например, использование логов, токенов и задержки для поддержки аудита и оптимизации.

Проверка решений по развертываниям

После определения плана развертывания проверьте следующие результаты:

  • Удостоверение личности и доступ: назначения ролей соответствуют утвержденным персонам и областям.
  • Сеть: схема подключения и модель изоляции описаны для каждой среды.
  • Проверка сети: состояние подключения к частной конечной точке утверждено, и DNS резолвит конечные точки Foundry на частные IP-адреса из виртуальной сети.
  • Защита данных: подход к шифрованию (управляемые корпорацией Майкрософт ключи или ключи, управляемые клиентом), документируются и утверждены.
  • Операции: ответственные за затраты и мониторинг назначаются в каждой бизнес-группе.
  • Проверка операций: Представления затрат и панели мониторинга определены в Microsoft Cost Management, а мониторинг подключен к Application Insights для каждого рабочего проекта.
  • Операции модели: стратегия развертывания (стандартная или подготовленная) задокументирована для каждого варианта использования.
  • Готовность к регионам. Перед развертыванием необходимые модели и службы подтверждаются в целевых регионах.

Настройка и оптимизация развертываний моделей

При развертывании моделей в Foundry команды могут выбирать стандартные и подготовленные типы развертывания. Стандартные развертывания идеально подходят для разработки и экспериментирования, предлагая гибкость и простоту настройки. Предварительно настроенные развертывания рекомендуется использовать для рабочих сценариев, где требуются прогнозируемая производительность, управление затратами и закрепление версий модели.

Для поддержки сценариев между регионами и предоставления доступа к существующим развертываниям моделей Foundry позволяет подключения к развертываниям моделей, размещенным в других экземплярах Foundry или Azure OpenAI. С помощью подключений команды могут централизовать развертывания для экспериментов, при этом сохраняя доступ из распределенных проектов. Для рабочих задач рассматривайте возможность управления развертываниями непосредственно в рамках сценариев использования, чтобы обеспечить более жесткий контроль над жизненным циклом модели, управлением версиями и стратегиями отката.

Чтобы предотвратить чрезмерное использование и обеспечить справедливое выделение ресурсов, можно применить ограничения токенов в минуту (TPM) на уровне развертывания. Ограничения на пределы использования помогают контролировать потребление, защищать от случайных пиков и согласовывать использование с бюджетами или квотами проекта. Рассмотрите возможность установки консервативных ограничений для общих развертываний и более высоких пороговых значений для критически важных рабочих служб.

Узнать больше

  • Last updated on