развертывание Microsoft Foundry в моей организации

Структурированный план развертывания помогает избежать пробелов в безопасности, перерасхода затрат и расширения доступа при внедрении Microsoft Foundry в масштабе. Используйте это руководство, чтобы определить границы рабочей нагрузки, выбрать топологию ресурсов и установить управление для групп самообслуживания.

Необходимые условия

Прежде чем приступить к планированию, убедитесь, что у вас есть:

  • Понимание базовой структуры подписки Azure вашей организации и групп ресурсов.
  • Исходные данные о требованиях вашей организации к безопасности сетевой инфраструктуры, шифрованию и изоляции данных.
  • Начальный план региона на основе модели и доступности функций. Дополнительные сведения см. в статье о доступности компонентов в облачных регионах.
  • Соглашение о требованиях к безопасности для сети, шифрования и изоляции данных в организации.
  • Инвентаризация функций и API-интерфейсов foundry, которые вы планируете использовать в команде.

Определение границ изоляции

Начните с Cloud Adoption Framework руководства по принятию решений по совместному использованию платформ ИИ, а затем примените эти решения к Foundry:

Хотя каждая ситуация уникальна, для общей организации мы рекомендуем следующую последовательность:

  1. Определите неизменяемые границы общего доступа между подразделениями, доменами данных, владением продуктами и уровнями среды.
  2. Задайте политику prod, которая по умолчанию используется для изоляции, если документированное исключение не разрешает совместное размещение.
  3. Задайте политику экспериментирования, которая по умолчанию предполагает совместное размещение для ускорения экспериментов, если только требования соответствия или валидация не требуют изоляции.
  4. Назначьте ответственных для каждой границы ответственности, включая ответственность за безопасность, затраты и реагирование на инциденты.

Определение возможностей и требований к доступу

Определите, какие функции и API-интерфейсы Foundry требуются для каждой рабочей нагрузки, прежде чем завершить топологию.

Note

Не все API-интерфейсы Foundry поддерживают полный спектр режимов проверки подлинности, уровней шифрования хранилища и изоляции на уровне проекта. Некоторые API-интерфейсы средств Foundry могут требовать назначения ролей в родительской области ресурсов Foundry.

Для совместно расположенных вариантов использования, использующих один ресурс Foundry, используйте проекты Foundry в качестве изолированных рабочих областей для каждого варианта использования. Например, команды, экспериментируя с идеей, могут создать проект для организации согласованных ресурсов без повторения настройки инфраструктуры для безопасности, развертывания моделей и доступа к инструментам.

Большинство новых, ориентированных на агента API Foundry, поддерживают разрешение на область проекта. Некоторые традиционные API Foundry Tools (ранее Azure AI Services), такие как преобразование речи в текст, по-прежнему требуют доступа с областью действия родительского ресурса. Планируйте границы и RBAC, чтобы все необходимые возможности были доступны в выбранной области управления доступом.

Область возможностей Сортировать по проекту Изоляция RBAC на уровне проекта Принесите своё хранилище Поддержка сетевых подключений и шифрования Последствия планирования
Возможности агента (агенты, ответы, оценки, наборы данных, индексы, файлы и ресурсы игровой площадки) Да Да Да Ограничен в базовой настройке (управляемое хранилище). Для полного охвата используйте «standard». Хорошо подходит для сегментации по принципу «отдельный проект для каждого сценария использования» в совместно используемых средах.
Дообучение Нет (только проект по умолчанию) Нет Частично (только входные данные) Да Если каждая команда нуждается в независимой тонкой настройке, используйте отдельные ресурсы Foundry. Доработанные развертывания являются общими и доступны для использования во всех проектах в рамках одного ресурса.
изображения OpenAI, видео, пакетная обработка Нет Нет Частично (только Batch) Да Используйте изолированную настройку рабочей нагрузки, а если требуется управляемое хранилище, проверьте ограничения RBAC рано.
Понимание содержания Да Нет Да Да Если требуется строгая изоляция доступа для каждого варианта использования, предпочесть отдельные ресурсы Foundry.
Speech Да (точная настройка) Нет Да Ограничен в базовой настройке (управляемое хранилище). Для полного покрытия шифрования CMK используйте хранилище BYO.
Language Да (точная настройка) Нет Да Ограничен в базовой настройке (управляемое хранилище). Для полного покрытия шифрования CMK используйте хранилище BYO.
Переводчик Нет Нет Нет Да Используйте отдельный ресурс Foundry, если изоляция является обязательной.

Важно

Подтвердите точное сочетание возможностей перед развертыванием. Если обязательный API работает только на уровне ресурса Foundry, назначьте роли на этом уровне или изолируйте рабочие нагрузки в отдельных ресурсах Foundry.

Выбор топологии ресурсов Foundry

После определения границ и потребностей возможностей выберите топологию для каждой среды.

Путь принятия решения Рекомендуемая настройка Foundry Оптимальный сценарий Основной компромисс
Совместно размещённые нагрузки Один ресурс Foundry с несколькими проектами (обычно один проект для каждого варианта использования) Опытные среды, ранние прототипы и команды, которые получают преимущества от общих развертываний и общих подключенных данных или средств Общая область воздействия для инцидентов в производственной среде, исчерпания квоты и неправильной конфигурации
Полностью изолированные рабочие нагрузки Один ресурс Foundry для каждого контура рабочей нагрузки (часто — один основной проект на каждую рабочую нагрузку) Рабочие нагрузки, требующие строгого операционного сдерживания, независимого контроля доступа и независимых квот или границ затрат Самостоятельное внедрение усложняется из-за большего объема ресурсов, которыми нужно управлять, и более высоких накладных расходов на настройку

Tip

Для рабочей среды следует рассматривать изоляцию как значение по умолчанию. Используйте совместное размещение в качестве преднамеренного исключения только при выравнивании границ рабочей нагрузки, требований к данным и принятия рисков.

Снимок экрана: схема с ресурсом Foundry.

Планирование базовых показателей безопасности

Используйте эту справочную таблицу в качестве контрольного списка для принятия решений по проектированию безопасности.

Area Что решить Начать с
Идентификация и доступ Определите администраторов, диспетчера проектов и пользователей проекта. Сопоставлять каждую персону с ролями с наименьшими привилегиями и группами Microsoft Entra ID. Управление доступом на основе ролей в Foundry
Сети Выберите сетевую модель для каждой среды. Используйте управляемую виртуальную сеть для более безопасной, простой настройки. Используйте собственную виртуальную сеть (BYO) для расширенного управления сетями и пользовательских требований к маршрутизации. Проверьте частный DNS и процесс утверждения конечной точки перед развертыванием в производственной среде. Настройка управляемой виртуальной сети, настройка приватного канала для Foundry и настройки с защитой сети (виртуальная сеть BYO)
Защита данных и ключи Определите, соответствуют ли ключи, управляемые Microsoft, соответствуют требованиям политики или требуются ли ключи, управляемые клиентом. Ключи, управляемые клиентом в Foundry
Модель проверки подлинности Предпочитайте Microsoft Entra ID и RBAC для людей и служб. Используйте ключи API, только если степень детализации роли не требуется. Управление доступом на основе ролей в Foundry

Планирование модели, региона и стратегии емкости

Для каждой рабочей нагрузки определите следующее:

  • Семейства моделей и типы развертываний, необходимые для варианта использования.
  • Требования к обработке данных (например, глобальные или региональные ограничения).
  • Целевые показатели пропускной способности и задержки для интерактивных и пакетных сценариев.
  • Требования к квотам и выделенной мощности при стабильной и пиковой нагрузке.

Используйте следующие ссылки:

Планирование подключения и интеграции данных

Для каждой рабочей нагрузки определите внешние зависимости и шаблоны подключений:

  • Источники данных и хранилища данных.
  • Внутренние API и бизнес-системы.
  • Инструменты SaaS, не относящиеся к Azure, необходимые агентам или потокам оркестрации.
  • Требования к сети, включая частные конечные точки, разрешение DNS, элементы управления исходящего трафика и требуется ли управляемая сеть или виртуальная сеть BYO.

Используйте добавление подключений в Foundry , чтобы стандартизировать настройку подключения.

Подключения можно создавать как на уровне родительского ресурса Foundry, так и на уровне дочернего проекта, в зависимости от требуемой области изоляции. Подключения, настроенные на родительском уровне, доступны для всех проектов.

Скриншот схемы, отображающей подключение и интеграцию проекта Foundry с другими службами Azure.

Планирование автоматизации и операций

Определите, как команды создают ресурсы и управляют ими согласованно в разных средах.

  • Используйте инфраструктуру как код для развертывания базовых ресурсов и политик по умолчанию.
  • Стандартизация конвейеров развертывания для проектов, подключений, развертываний моделей и изменений конфигурации.
  • Определение процедур отката и реагирования на инциденты для изменений модели и политики.

Для шаблонов автоматизации и начальных реализаций используйте:

Примеры шаблонов включают комплексные шаблоны для распространенных сценариев безопасности, таких как частные сети, ключи, управляемые клиентом, и управление доступом на основе ролей.

Настройте ограничения самообслуживания

Включите самообслуживание только в четких ограничениях:

  • Определите, какие роли могут создавать проекты, развертывать модели и подключать внешние средства.
  • Примените элементы управления политикой для развертывания модели и поведения среды выполнения, включая поставщиков моделей и разрешенные подключения к инструментам.
  • Настройка элементов управления затратами и оповещений бюджета для общих и изолированных сред.
  • Включите журналирование трассировки в централизованную систему наблюдаемости в Microsoft Foundry, Microsoft Copilot Studio и Microsoft 365.

Используйте следующие ссылки:

Назначение владельца и управления

Этот шаг рассматривается как переход от подготовленной инфраструктуры к использованию операционных разработчиков.

Большинство организаций уже управляют доступом с помощью предварительно созданных Microsoft Entra ID групп. Сопоставите эти группы с ролями Foundry в требуемой области, а затем проверьте пути доступа к управлению и разработке.

Foundry разграничивает доступ по следующим категориям:

  • Действия уровня управления RBAC для управления ресурсами.
  • Действия RBAC плоскости данных для рабочих нагрузок разработки.

Важно

Для всех сценариев разработки недостаточно ролей управления, таких как владелец или участник. Например, пользователь может управлять ресурсами, но по-прежнему нуждается в ролях плоскости данных для чата с агентом в Foundry.

Рекомендации по сопоставлению ролей и необходимые сочетания ролей см. в разделе "Управление доступом на основе ролей" в Foundry.

После подключения групп пользователей рассмотрите возможность создания или расширения панелей мониторинга управления для отслеживания использования Foundry, надежности, происхождения и соответствия требованиям:

Пример развертывания платформы

ИТ-организация в Компании Contoso должна поддерживать несколько команд при балансировке двух приоритетов:

  • Быстрые инновации, где разработчики могут тщательно тестировать новейшие технологии ИИ с помощью непроизводственных данных.
  • Полностью изолированные среды разработки/тестирования и промышленной эксплуатации для проверенных сценариев использования, которые получают финансирование для внедрения в эксплуатацию.

На схеме показано, как Contoso размещает общий экземпляр Foundry для экспериментов, доступный всем командам, с ограниченной ёмкостью и заранее подключёнными данными и инструментами. Пример невыполненной работы отражает распространенные корпоративные функции, такие как поддержка клиентов, служба технической поддержки сотрудников, финансовые операции, закупки и продажи. Исторически лишь немногие варианты использования доходят до стадии подтверждения осуществимости или получают финансирование для развертывания в средах разработки и тестирования. Из них в продакшен попадает ещё меньшее подмножество. На схеме также показаны два связанных сценария использования в продажах, которые остаются в одном контуре на этапах исследования и разработки/тестирования, поскольку используют одни и те же данные CRM, пользовательские роли и подключённые системы. По мере развития сценариев использования командам выделяются среды со всё более строгой изоляцией, вплоть до полного выделения на уровне production там, где это необходимо.

Схема, показывающая варианты использования Contoso из общей среды Foundry в изолированные или совместно расположенные среды разработки и тестирования, а затем в изолированные среды prod для меньшего количества рабочих нагрузок.

Подробнее

Следующий шаг