Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Структурированный план развертывания помогает избежать пробелов в безопасности, перерасхода затрат и расширения доступа при внедрении Microsoft Foundry в масштабе. Используйте это руководство, чтобы определить границы рабочей нагрузки, выбрать топологию ресурсов и установить управление для групп самообслуживания.
Необходимые условия
Прежде чем приступить к планированию, убедитесь, что у вас есть:
- Понимание базовой структуры подписки Azure вашей организации и групп ресурсов.
- Исходные данные о требованиях вашей организации к безопасности сетевой инфраструктуры, шифрованию и изоляции данных.
- Начальный план региона на основе модели и доступности функций. Дополнительные сведения см. в статье о доступности компонентов в облачных регионах.
- Соглашение о требованиях к безопасности для сети, шифрования и изоляции данных в организации.
- Инвентаризация функций и API-интерфейсов foundry, которые вы планируете использовать в команде.
Определение границ изоляции
Начните с Cloud Adoption Framework руководства по принятию решений по совместному использованию платформ ИИ, а затем примените эти решения к Foundry:
Хотя каждая ситуация уникальна, для общей организации мы рекомендуем следующую последовательность:
- Определите неизменяемые границы общего доступа между подразделениями, доменами данных, владением продуктами и уровнями среды.
- Задайте политику prod, которая по умолчанию используется для изоляции, если документированное исключение не разрешает совместное размещение.
- Задайте политику экспериментирования, которая по умолчанию предполагает совместное размещение для ускорения экспериментов, если только требования соответствия или валидация не требуют изоляции.
- Назначьте ответственных для каждой границы ответственности, включая ответственность за безопасность, затраты и реагирование на инциденты.
Определение возможностей и требований к доступу
Определите, какие функции и API-интерфейсы Foundry требуются для каждой рабочей нагрузки, прежде чем завершить топологию.
Note
Не все API-интерфейсы Foundry поддерживают полный спектр режимов проверки подлинности, уровней шифрования хранилища и изоляции на уровне проекта. Некоторые API-интерфейсы средств Foundry могут требовать назначения ролей в родительской области ресурсов Foundry.
Для совместно расположенных вариантов использования, использующих один ресурс Foundry, используйте проекты Foundry в качестве изолированных рабочих областей для каждого варианта использования. Например, команды, экспериментируя с идеей, могут создать проект для организации согласованных ресурсов без повторения настройки инфраструктуры для безопасности, развертывания моделей и доступа к инструментам.
Большинство новых, ориентированных на агента API Foundry, поддерживают разрешение на область проекта. Некоторые традиционные API Foundry Tools (ранее Azure AI Services), такие как преобразование речи в текст, по-прежнему требуют доступа с областью действия родительского ресурса. Планируйте границы и RBAC, чтобы все необходимые возможности были доступны в выбранной области управления доступом.
| Область возможностей | Сортировать по проекту | Изоляция RBAC на уровне проекта | Принесите своё хранилище | Поддержка сетевых подключений и шифрования | Последствия планирования |
|---|---|---|---|---|---|
| Возможности агента (агенты, ответы, оценки, наборы данных, индексы, файлы и ресурсы игровой площадки) | Да | Да | Да | Ограничен в базовой настройке (управляемое хранилище). Для полного охвата используйте «standard». | Хорошо подходит для сегментации по принципу «отдельный проект для каждого сценария использования» в совместно используемых средах. |
| Дообучение | Нет (только проект по умолчанию) | Нет | Частично (только входные данные) | Да | Если каждая команда нуждается в независимой тонкой настройке, используйте отдельные ресурсы Foundry. Доработанные развертывания являются общими и доступны для использования во всех проектах в рамках одного ресурса. |
| изображения OpenAI, видео, пакетная обработка | Нет | Нет | Частично (только Batch) | Да | Используйте изолированную настройку рабочей нагрузки, а если требуется управляемое хранилище, проверьте ограничения RBAC рано. |
| Понимание содержания | Да | Нет | Да | Да | Если требуется строгая изоляция доступа для каждого варианта использования, предпочесть отдельные ресурсы Foundry. |
| Speech | Да (точная настройка) | Нет | Да | Ограничен в базовой настройке (управляемое хранилище). | Для полного покрытия шифрования CMK используйте хранилище BYO. |
| Language | Да (точная настройка) | Нет | Да | Ограничен в базовой настройке (управляемое хранилище). | Для полного покрытия шифрования CMK используйте хранилище BYO. |
| Переводчик | Нет | Нет | Нет | Да | Используйте отдельный ресурс Foundry, если изоляция является обязательной. |
Важно
Подтвердите точное сочетание возможностей перед развертыванием. Если обязательный API работает только на уровне ресурса Foundry, назначьте роли на этом уровне или изолируйте рабочие нагрузки в отдельных ресурсах Foundry.
Выбор топологии ресурсов Foundry
После определения границ и потребностей возможностей выберите топологию для каждой среды.
| Путь принятия решения | Рекомендуемая настройка Foundry | Оптимальный сценарий | Основной компромисс |
|---|---|---|---|
| Совместно размещённые нагрузки | Один ресурс Foundry с несколькими проектами (обычно один проект для каждого варианта использования) | Опытные среды, ранние прототипы и команды, которые получают преимущества от общих развертываний и общих подключенных данных или средств | Общая область воздействия для инцидентов в производственной среде, исчерпания квоты и неправильной конфигурации |
| Полностью изолированные рабочие нагрузки | Один ресурс Foundry для каждого контура рабочей нагрузки (часто — один основной проект на каждую рабочую нагрузку) | Рабочие нагрузки, требующие строгого операционного сдерживания, независимого контроля доступа и независимых квот или границ затрат | Самостоятельное внедрение усложняется из-за большего объема ресурсов, которыми нужно управлять, и более высоких накладных расходов на настройку |
Tip
Для рабочей среды следует рассматривать изоляцию как значение по умолчанию. Используйте совместное размещение в качестве преднамеренного исключения только при выравнивании границ рабочей нагрузки, требований к данным и принятия рисков.
Планирование базовых показателей безопасности
Используйте эту справочную таблицу в качестве контрольного списка для принятия решений по проектированию безопасности.
| Area | Что решить | Начать с |
|---|---|---|
| Идентификация и доступ | Определите администраторов, диспетчера проектов и пользователей проекта. Сопоставлять каждую персону с ролями с наименьшими привилегиями и группами Microsoft Entra ID. | Управление доступом на основе ролей в Foundry |
| Сети | Выберите сетевую модель для каждой среды. Используйте управляемую виртуальную сеть для более безопасной, простой настройки. Используйте собственную виртуальную сеть (BYO) для расширенного управления сетями и пользовательских требований к маршрутизации. Проверьте частный DNS и процесс утверждения конечной точки перед развертыванием в производственной среде. | Настройка управляемой виртуальной сети, настройка приватного канала для Foundry и настройки с защитой сети (виртуальная сеть BYO) |
| Защита данных и ключи | Определите, соответствуют ли ключи, управляемые Microsoft, соответствуют требованиям политики или требуются ли ключи, управляемые клиентом. | Ключи, управляемые клиентом в Foundry |
| Модель проверки подлинности | Предпочитайте Microsoft Entra ID и RBAC для людей и служб. Используйте ключи API, только если степень детализации роли не требуется. | Управление доступом на основе ролей в Foundry |
Планирование модели, региона и стратегии емкости
Для каждой рабочей нагрузки определите следующее:
- Семейства моделей и типы развертываний, необходимые для варианта использования.
- Требования к обработке данных (например, глобальные или региональные ограничения).
- Целевые показатели пропускной способности и задержки для интерактивных и пакетных сценариев.
- Требования к квотам и выделенной мощности при стабильной и пиковой нагрузке.
Используйте следующие ссылки:
- Модели продаются непосредственно через Azure
- Модели от партнеров
- Квота в Foundry
- Квоты и ограничения для моделей Foundry
Планирование подключения и интеграции данных
Для каждой рабочей нагрузки определите внешние зависимости и шаблоны подключений:
- Источники данных и хранилища данных.
- Внутренние API и бизнес-системы.
- Инструменты SaaS, не относящиеся к Azure, необходимые агентам или потокам оркестрации.
- Требования к сети, включая частные конечные точки, разрешение DNS, элементы управления исходящего трафика и требуется ли управляемая сеть или виртуальная сеть BYO.
Используйте добавление подключений в Foundry , чтобы стандартизировать настройку подключения.
Подключения можно создавать как на уровне родительского ресурса Foundry, так и на уровне дочернего проекта, в зависимости от требуемой области изоляции. Подключения, настроенные на родительском уровне, доступны для всех проектов.
Планирование автоматизации и операций
Определите, как команды создают ресурсы и управляют ими согласованно в разных средах.
- Используйте инфраструктуру как код для развертывания базовых ресурсов и политик по умолчанию.
- Стандартизация конвейеров развертывания для проектов, подключений, развертываний моделей и изменений конфигурации.
- Определение процедур отката и реагирования на инциденты для изменений модели и политики.
Для шаблонов автоматизации и начальных реализаций используйте:
- Quickstart: развертывание ресурса Microsoft Foundry с помощью файла Bicep
- Terraform в Azure
- Примеры конфигураций безопасности
Примеры шаблонов включают комплексные шаблоны для распространенных сценариев безопасности, таких как частные сети, ключи, управляемые клиентом, и управление доступом на основе ролей.
Настройте ограничения самообслуживания
Включите самообслуживание только в четких ограничениях:
- Определите, какие роли могут создавать проекты, развертывать модели и подключать внешние средства.
- Примените элементы управления политикой для развертывания модели и поведения среды выполнения, включая поставщиков моделей и разрешенные подключения к инструментам.
- Настройка элементов управления затратами и оповещений бюджета для общих и изолированных сред.
- Включите журналирование трассировки в централизованную систему наблюдаемости в Microsoft Foundry, Microsoft Copilot Studio и Microsoft 365.
Используйте следующие ссылки:
Назначение владельца и управления
Этот шаг рассматривается как переход от подготовленной инфраструктуры к использованию операционных разработчиков.
Большинство организаций уже управляют доступом с помощью предварительно созданных Microsoft Entra ID групп. Сопоставите эти группы с ролями Foundry в требуемой области, а затем проверьте пути доступа к управлению и разработке.
Foundry разграничивает доступ по следующим категориям:
- Действия уровня управления RBAC для управления ресурсами.
- Действия RBAC плоскости данных для рабочих нагрузок разработки.
Важно
Для всех сценариев разработки недостаточно ролей управления, таких как владелец или участник. Например, пользователь может управлять ресурсами, но по-прежнему нуждается в ролях плоскости данных для чата с агентом в Foundry.
Рекомендации по сопоставлению ролей и необходимые сочетания ролей см. в разделе "Управление доступом на основе ролей" в Foundry.
После подключения групп пользователей рассмотрите возможность создания или расширения панелей мониторинга управления для отслеживания использования Foundry, надежности, происхождения и соответствия требованиям:
Пример развертывания платформы
ИТ-организация в Компании Contoso должна поддерживать несколько команд при балансировке двух приоритетов:
- Быстрые инновации, где разработчики могут тщательно тестировать новейшие технологии ИИ с помощью непроизводственных данных.
- Полностью изолированные среды разработки/тестирования и промышленной эксплуатации для проверенных сценариев использования, которые получают финансирование для внедрения в эксплуатацию.
На схеме показано, как Contoso размещает общий экземпляр Foundry для экспериментов, доступный всем командам, с ограниченной ёмкостью и заранее подключёнными данными и инструментами. Пример невыполненной работы отражает распространенные корпоративные функции, такие как поддержка клиентов, служба технической поддержки сотрудников, финансовые операции, закупки и продажи. Исторически лишь немногие варианты использования доходят до стадии подтверждения осуществимости или получают финансирование для развертывания в средах разработки и тестирования. Из них в продакшен попадает ещё меньшее подмножество. На схеме также показаны два связанных сценария использования в продажах, которые остаются в одном контуре на этапах исследования и разработки/тестирования, поскольку используют одни и те же данные CRM, пользовательские роли и подключённые системы. По мере развития сценариев использования командам выделяются среды со всё более строгой изоляцией, вплоть до полного выделения на уровне production там, где это необходимо.
Подробнее
Защита среды Foundry
- Проверка подлинности и RBAC: управление доступом на основе ролей в Foundry
- Сеть. Использование виртуальной сети с Foundry
- Ключи, управляемые клиентом (CMK): ключи, управляемые клиентом в Foundry
- Пример инфраструктуры: репозиторий шаблонов с примерами шаблонов инфраструктуры
- Восстановление или очистка удаленных ресурсов Foundry
Установка подключения к другим службам Azure
- Общие сведения о подключениях. Добавление нового подключения в Foundry