Использование Terraform для управления ресурсами Microsoft Foundry

Используйте Terraform для автоматизации создания Microsoft Foundry ресурсов, проектов, развертываний и подключений.

Если вы уже настроили ресурс Foundry на портале Azure, вы можете export эту конфигурацию как код Terraform вместо создания конфигурации с нуля.

Для управления ресурсами Foundry можно использовать поставщик Terraform AzAPI или поставщик AzureRM . Поставщик AzAPI позволяет получить доступ ко всем конфигурациям плоскости управления Foundry, включая предварительные версии функций. Вариант AzureRM ограничен основными возможностями управления.

Файлы состояния Terraform могут включать конфиденциальные значения. Используйте безопасную серверную часть и управление доступом для сценариев использования в команде.

Совет

Конфигурации Terraform, готовые к рабочей среде, охватывающие распространенные сценарии развертывания Foundry, см. в папке infrastructure-setup-terraform в репозитории примеров Foundry. Клонируйте репозиторий и настройте конфигурации вместо начала с нуля.

Terraform включает определение, предварительную версию и развертывание облачной инфраструктуры. С помощью Terraform вы создаете файлы конфигурации с помощью синтаксиса HCL. Синтаксис HCL позволяет указать поставщика облачных служб, например Azure, и элементы, составляющие облачную инфраструктуру. После создания файлов конфигурации вы создадите план выполнения , который позволяет предварительно просмотреть изменения инфраструктуры перед развертыванием. После проверки изменений примените план выполнения для развертывания инфраструктуры.

Возможности поставщика

В следующей таблице показано, какие действия поддерживаются каждым поставщиком:

Действие	Поставщик AzAPI	Поставщик AzureRM
Создание группы ресурсов	✅	✅
Создание ресурса Foundry	✅	✅
Настройка развертываний	✅	✅
Настройка проектов	✅	✅
Настройка подключения к знаниям и инструментам	✅	-
Настройка узла возможностей (для расширенных конфигураций инструментов, таких как стандартная настройка агента)	✅	-

Необходимые условия

Учетная запись Azure с активной подпиской. Если у вас нет, создайте учетную запись free Azure, которая включает бесплатную пробную подписку.

Доступ к роли, которая позволяет создать ресурс Foundry, например владелец учетной записи Foundry или владелец Foundry в подписке или группе ресурсов. Дополнительные сведения о разрешениях см. в разделе Role-based access control for Microsoft Foundry.

Important

Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Установите и настройте Terraform.

Создайте каталог для тестирования и запуска примера кода Terraform. Сделайте этот каталог текущим каталогом.
Создайте файл с именем providers.tf и добавьте следующий код.
```
# Setup providers
provider "azapi" {
  subscription_id = var.subscription_id
}
```

Создайте файл с именем main.tf и добавьте следующий код.

## Create a random string
## 
resource "random_string" "unique" {
  length      = 5
  min_numeric = 5
  numeric     = true
  special     = false
  lower       = true
  upper       = false
}

## Create a resource group for the resources to be stored in
##
resource "azapi_resource" "rg" {
  type      = "Microsoft.Resources/resourceGroups@2021-04-01"
  name      = "tf-319-basic"
  location  = var.location
}

########## Create AI Foundry resource
##########

## Create the AI Foundry resource
##
resource "azapi_resource" "ai_foundry" {
  type                      = "Microsoft.CognitiveServices/accounts@2025-06-01"
  name                      = "aifoundry${random_string.unique.result}"
  parent_id                 = azapi_resource.rg.id
  location                  = var.location
  schema_validation_enabled = false

  body = {
    kind = "AIServices"
    sku = {
      name = "S0"
    }
    identity = {
      type = "SystemAssigned"
    }

    properties = {
      # Support both Entra ID and API Key authentication for Cognitive Services account
      disableLocalAuth = false

      # Specifies that this is an AI Foundry resourceyes
      allowProjectManagement = true

      # Set custom subdomain name for DNS names created for this Foundry resource
      customSubDomainName = "aifoundry${random_string.unique.result}"
    }
  }
}

## Create a deployment for OpenAI's GPT-4o in the AI Foundry resource
##
resource "azapi_resource" "aifoundry_deployment_gpt_4o" {
  type      = "Microsoft.CognitiveServices/accounts/deployments@2023-05-01"
  name      = "gpt-4o"
  parent_id = azapi_resource.ai_foundry.id
  depends_on = [
    azapi_resource.ai_foundry
  ]

  body = {
    sku = {
      name     = "Standard"
      capacity = 1
    }
    properties = {
      model = {
        format  = "OpenAI"
        name    = "gpt-4o"
        version = "2024-11-20"
      }
    }
  }
}

## Create AI Foundry project
##
resource "azapi_resource" "ai_foundry_project" {
  type                      = "Microsoft.CognitiveServices/accounts/projects@2025-06-01"
  name                      = "project${random_string.unique.result}"
  parent_id                 = azapi_resource.ai_foundry.id
  location                  = var.location
  schema_validation_enabled = false

  body = {
    sku = {
      name = "S0"
    }
    identity = {
      type = "SystemAssigned"
    }

    properties = {
      displayName = "project"
      description = "My first project"
    }
  }
}

Создайте файл с именем variables.tf и добавьте следующий код.

variable "location" {
  description = "The name of the location to provision the resources to"
  type        = string
}

variable "subscription_id" {
  type = string
}

Создайте каталог для тестирования и запуска примера кода Terraform. Сделайте этот каталог текущим каталогом.

Создайте файл с именем providers.tf и добавьте следующий код.

# Setup providers
provider "azurerm" {
  features {}
  storage_use_azuread = true
  subscription_id = var.subscription_id
}

Создайте файл с именем main.tf и добавьте следующий код.

## Create a random string
## 
resource "random_string" "unique" {
  length      = 5
  min_numeric = 5
  numeric     = true
  special     = false
  lower       = true
  upper       = false
}

## Create a resource group for the resources to be stored in
##
resource "azurerm_resource_group" "rg" {
  name     = "rg-aifoundry${random_string.unique.result}"
  location = var.location
}

## Create an AI Foundry resource
##

resource "azurerm_cognitive_account" "ai_foundry" {
  name                = "aifoundry${random_string.unique.result}"
  location            = var.location
  resource_group_name = azurerm_resource_group.rg.name
  kind                = "AIServices"

  identity {
    type = "SystemAssigned"
  }

  sku_name = "S0"

  # required for stateful development in Foundry including agent service
  custom_subdomain_name = "aifoundry${random_string.unique.result}"
  project_management_enabled = true

  tags = {
    Acceptance = "Test"
  }
}

# Create a Foundry project (folder for organizing stateful work)
resource "azurerm_cognitive_account_project" "example" {
  name                 = "myproject"
  cognitive_account_id = azurerm_cognitive_account.ai_foundry.id
  location             = azurerm_resource_group.rg.location 

  identity {
    type = "SystemAssigned"
  }
}

## Create a deployment for OpenAI's GPT-4o in the AI Foundry resource
##
resource "azurerm_cognitive_deployment" "aifoundry_deployment_gpt_4o" {
  depends_on = [
    azurerm_cognitive_account.ai_foundry
  ]

  name                 = "gpt-4o"
  cognitive_account_id = azurerm_cognitive_account.ai_foundry.id

  sku {
    name     = "GlobalStandard"
    capacity = 1
  }

  model {
    format  = "OpenAI"
    name    = "gpt-4o"
    version = "2024-11-20"
  }
}

Создайте файл с именем variables.tf и добавьте следующий код.

variable "location" {
  description = "The name of the location to provision the resources to"
  type        = string
}

variable "subscription_id" {
  type = string
}

Ссылки:

Инициализация Terraform

Запустите terraform init , чтобы инициализировать развертывание Terraform. Эта команда загружает поставщика Azure, необходимого для управления ресурсами Azure.

terraform init -upgrade

Ключевые моменты:

Параметр -upgrade обновляет необходимые плагины поставщика до последней версии, которая соответствует ограничениям версии конфигурации.

Создайте план выполнения Terraform

Выполните terraform plan, чтобы создать план выполнения.

terraform plan -out main.tfplan

Ключевые моменты:

Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого он определяет, какие действия необходимы для создания конфигурации, указанной в файлах конфигурации. Этот шаблон позволяет проверить соответствие плана выполнения ожиданиям перед внесением изменений в фактические ресурсы.
Необязательный -out параметр позволяет указать выходной файл для плана. Использование параметра -out гарантирует, что именно проверенный план будет применен.

Применение плана выполнения Terraform

Запустите terraform apply, чтобы применить план реализации к облачной инфраструктуре.

terraform apply main.tfplan

Ключевые моменты:

Пример команды terraform apply предполагает, что ранее вы выполнили команду terraform plan -out main.tfplan.
Если вы указали другое имя файла для -out параметра, используйте то же имя файла в вызове terraform apply.
Если параметр не использовался -out , вызовите terraform apply без параметров.

Проверьте ваше развертывание

Выполните следующие команды, чтобы проверить развернутые ресурсы:

terraform state list
terraform output

Экспорт существующего ресурса в Terraform

Если вы уже настроили ресурс Foundry на портале Azure, вы можете экспортировать эту конфигурацию в виде кода Terraform. Экспорт записывает текущие параметры ресурса, включая сетевые правила, настройку идентификации и ассоциации проектов. Используйте экспортируемый код в качестве отправной точки для управления ресурсом с помощью Terraform.

На портале Azure перейдите к ресурсу Foundry.
В меню слева разверните Автоматизация, а затем выберите Экспорт шаблона.
Перейдите на вкладку Terraform, чтобы просмотреть созданный код Terraform . Используйте вкладку AzureRM или AzApi, чтобы выбрать формат поставщика для экспорта.
Выберите "Скачать ", чтобы сохранить файл локально, открыть в VS Code , чтобы изменить его напрямую, или скопируйте код в буфер обмена.

Примечание

Экспорт может завершиться предупреждением, если некоторые типы ресурсов не поддерживают полный экспорт. Просмотрите выходные данные и укажите отсутствующие свойства вручную.

Импорт экспортированного ресурса в состояние Terraform

Чтобы с помощью Terraform в дальнейшем управлять экспортируемым ресурсом, импортируйте его в состояние Terraform. Для поставщика AzAPI:

terraform import azapi_resource.example <resource-id>

Замените <resource-id> полным идентификатором ресурса Azure, показанным в экспортируемом файле (например, /subscriptions/.../providers/Microsoft.CognitiveServices/accounts/<name>).

Настройка экспортируемой конфигурации

Экспортированный код Terraform содержит жестко закодированные значения, относящиеся к вашей подписке и группе ресурсов. Прежде чем повторно использовать конфигурацию, выполните следующие действия.

Замените жестко закодированные идентификаторы подписок, имена групп ресурсов и идентификаторы ресурсов переменными Terraform.
Удалите все свойства, которые не требуются или ссылаются на ресурсы за пределами области развертывания.
Добавьте или измените конфигурации безопасности в соответствии с требованиями вашей организации.

Конфигурации Terraform, готовые к работе с корпоративной безопасностью, см. в папке infrastructure-setup-terraform в репозитории примеров Foundry.

При настройке конфигурации рекомендуется добавить следующие параметры безопасности. Выберите в зависимости от требований к управлению:

Контроль	Когда его добавить	Узнать больше
Частные конечные точки (сетевая изоляция)	Ваша организация запрещает общедоступные конечные точки или требуется сохранить трафик в виртуальной сети для соответствия требованиям (HIPAA, PCI, FedRAMP).	Настройка сетевой изоляции с помощью частных конечных точек
Ключи, управляемые клиентом (CMK) для шифрования	Необходимо управлять жизненным циклом ключа шифрования, периодичностью его ротации и отзывом, либо ваша классификация данных требует использования собственного ключа (BYOK, bring your own key).	Настройка управляемых клиентом ключей для шифрования
Управление доступом на основе ролей (RBAC)	Вам необходимо разграничить доступ с наименьшими привилегиями для разработчиков и администраторов либо предоставить доступ нескольким командам, совместно использующим ресурс Foundry.	Настройка управления доступом на основе ролей для Foundry
Пользовательские определения политик Политика Azure	Ваша команда платформы применяет базовый уровень безопасности (разрешённые регионы, обязательные теги, разрешённые SKU, обязательный CMK или Private Link) ко всем ресурсам Foundry, создаваемым организацией.	Создание настраиваемых определений политики Azure

Настройка безопасности и соответствия требованиям

Чтобы удовлетворить требования безопасности и соответствия, настройте Foundry с помощью конфигураций безопасности и используя собственные ресурсы для хранения данных. Например, при использовании службы агента можно использовать собственную базу данных Azure Cosmos DB, экземпляр Поиск с использованием ИИ Azure и учетную запись служба хранилища Azure для хранения потоков и сообщений.

Дополнительные примеры установки см. в следующих репозиториях:

Репозиторий Foundry Samples содержит примеры конфигураций Terraform для наиболее распространенных корпоративных конфигураций безопасности.
Terraform Azure Проверенный модуль (учетная запись Cognitive Services) — это универсальный модуль для управления типом ресурсов Azure, используемым Foundry, Azure OpenAI, Azure Speech, Azure Language.
Terraform Azure Проверенный модуль шаблона (Foundry) является эталонной реализацией для Foundry.
Terraform Azure модуль проверенных шаблонов (Azure ИИ и целевая зона машинного обучения) предоставляет ссылку на набор ресурсов, которые обычно создаются вместе с Foundry для комплексного примера.

Очистка ресурсов

Если ресурсы, созданные с помощью Terraform, больше не нужны, сделайте следующее:

Запустите terraform plan и укажите флаг destroy.
```
terraform plan -destroy -out main.destroy.tfplan
```
Ключевые моменты:
- Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого он определяет, какие действия необходимы для создания конфигурации, указанной в файлах конфигурации. Этот шаблон позволяет проверить соответствие плана выполнения ожиданиям перед внесением изменений в фактические ресурсы.
- Необязательный -out параметр позволяет указать выходной файл для плана. Использование параметра -out гарантирует, что именно проверенный план будет применен.
Чтобы применить план выполнения, запустите terraform apply.
```
terraform apply main.destroy.tfplan
```

Устранение неполадок Terraform в Azure

Устранение распространенных проблем при использовании Terraform на Azure.

Дальнейшие действия

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-05-20

Использование Terraform для управления ресурсами Microsoft Foundry

Возможности поставщика

Необходимые условия

Создание базовой конфигурации Foundry

Инициализация Terraform

Создайте план выполнения Terraform

Применение плана выполнения Terraform

Проверьте ваше развертывание

Экспорт существующего ресурса в Terraform

Импорт экспортированного ресурса в состояние Terraform

Настройка экспортируемой конфигурации

Связанные конфигурации безопасности

Настройка безопасности и соответствия требованиям

Очистка ресурсов

Устранение неполадок Terraform в Azure

Дальнейшие действия

Обратная связь

Дополнительные ресурсы