Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure AI Foundry предоставляет унифицированный интерфейс для разработчиков ИИ и специалистов по обработке и анализу данных для создания, оценки и развертывания моделей ИИ с помощью веб-портала, пакета SDK или интерфейса командной строки. Azure AI Foundry основан на возможностях и службах, предоставляемых другими службами Azure.
На верхнем уровне Azure AI Foundry предоставляет доступ к следующим ресурсам:
Azure OpenAI: предоставляет доступ к последним моделям OpenAI. Вы можете создавать безопасные развертывания, пробовать игровые площадки, настраивать модели, фильтры содержимого и пакетные задания. Поставщик ресурсов Azure OpenAI является
Microsoft.CognitiveServices/account, и тип ресурса —OpenAI. Вы также можете подключиться к Azure OpenAI с помощью такого родаAIServices, который также включает другие службы ИИ Azure.При использовании портала Azure AI Foundry вы можете напрямую работать с Azure OpenAI без проекта Azure Studio. Вы также можете использовать Azure OpenAI через проект.
Для получения дополнительной информации посетите портал Azure OpenAI в Azure AI Foundry.
Центр управления. Центр управления упрощает управление и управление ресурсами Azure AI Foundry, такими как центры, проекты, подключенные ресурсы и развертывания.
Дополнительные сведения см. в центре управления.
Центр Azure AI Foundry: концентратор является ресурсом верхнего уровня на портале Azure AI Foundry и основан на службе Машинное обучение Azure. Поставщик ресурсов Azure для концентратора — это
Microsoft.MachineLearningServices/workspaces, а тип ресурса —Hub. Она предоставляет следующие возможности.- Конфигурация безопасности, включая управляемую сеть, которая охватывает проекты и конечные точки модели.
- Вычислительные ресурсы для интерактивных разработок, тонкой настройки, открытый код и бессерверных развертываний моделей.
- Подключения к другим службам Azure, таким как Azure OpenAI, службы ИИ Azure и поиск Azure AI. Подключения с областью концентратора используются совместно с проектами, созданными из концентратора.
- Управление проектами. Центр может иметь несколько дочерних проектов.
- Связанная учетная запись хранения Azure для загрузки данных и хранения артефактов.
Проект Azure AI Foundry: проект является дочерним ресурсом центра. Поставщик ресурсов Azure для проекта —
Microsoft.MachineLearningServices/workspaces, а тип ресурса —Project. Проект предоставляет следующие функции:- Доступ к средствам разработки для создания и настройки приложений ИИ.
- Повторно используемые компоненты, включая наборы данных, модели и индексы.
- Изолированный контейнер для загрузки данных в хранилище, унаследованное от концентратора.
- Подключения с областью действия проекта. Например, членам проекта может потребоваться частный доступ к данным, хранящимся в учетной записи служба хранилища Azure, не предоставляя тот же доступ к другим проектам.
- Развертывания моделей с открытым исходным кодом из каталогов и конечные точки для доработанных моделей.
Подключения: центры и проекты Azure AI Foundry используют подключения для доступа к ресурсам, предоставляемым другими службами. Например, данные в учетной записи службы хранения Azure, Azure OpenAI или других службах ИИ Azure.
Дополнительные сведения см. в разделе "Подключения".
Типы ресурсов Azure и поставщики
Azure AI Foundry построен на основе поставщика ресурсов машинного обучения Azure и является зависимым от нескольких других служб Azure. Поставщики ресурсов для этих служб должны быть зарегистрированы в подписке Azure. В следующей таблице перечислены типы ресурсов, поставщик и тип:
| Тип ресурса | Поставщик ресурсов | Добрый |
|---|---|---|
| Центр Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
hub |
| Проект Azure AI Foundry | Microsoft.MachineLearningServices/workspace |
project |
| Служба ИИ Azure или служба Azure ИИ OpenAI |
Microsoft.CognitiveServices/account |
AIServicesOpenAI |
При создании нового концентратора требуется набор зависимых ресурсов Azure для хранения данных, получения доступа к моделям и предоставления вычислительных ресурсов для настройки ИИ. В следующей таблице перечислены зависимые ресурсы Azure и их поставщики ресурсов:
Подсказка
Если вы не предоставляете зависимый ресурс при создании концентратора, и это необходимая зависимость, Azure AI Foundry создает ресурс для вас.
| Зависимый ресурс Azure | Поставщик ресурсов | Необязательно | Примечание. |
|---|---|---|---|
| Поиск с использованием ИИ Azure | Microsoft.Search/searchServices |
✔ | Предоставляет возможности поиска для проектов. |
| Учетная запись хранения Azure | Microsoft.Storage/storageAccounts |
Хранит артефакты для проектов, таких как потоки и оценки. Для изоляции данных контейнеры хранилища префиксируются с помощью GUID проекта и условно защищены с помощью Azure ABAC для удостоверения проекта. | |
| Azure Key Vault | Microsoft.KeyVault/vaults |
Хранит секреты, например строку подключения для ресурсных подключений. Для изоляции данных конфиденциальная информация не может быть получена между проектами через API. | |
| Реестр контейнеров Azure | Microsoft.ContainerRegistry/registries |
✔ | Хранит образы Docker, созданные при использовании пользовательской среды выполнения для потока сообщений. Для изоляции данных образы docker префиксируются с помощью GUID проекта. |
| Azure Application Insights & Рабочая область Log Analytics |
Microsoft.Insights/componentsMicrosoft.OperationalInsights/workspaces |
✔ | Используется в качестве хранилища журналов при выборе ведения журнала на уровне приложения для развернутых потоков запросов. |
Сведения о регистрации поставщиков ресурсов см. в разделе "Регистрация поставщика ресурсов Azure".
Ресурсы, размещенные корпорацией Майкрософт
Хотя большинство ресурсов, используемых Azure AI Foundry, живут в подписке Azure, некоторые ресурсы находятся в подписке Azure, управляемой корпорацией Майкрософт. Затраты на эти управляемые ресурсы отображаются в счете Azure в виде строки от поставщика ресурсов Azure Machine Learning. Следующие ресурсы находятся в подписке Azure, управляемой Корпорацией Майкрософт, и не отображаются в подписке Azure:
Управляемые вычислительные ресурсы: предоставляются ресурсами Azure Batch в подписке Microsoft.
Управляемая виртуальная сеть: предоставляется ресурсами виртуальной сети Azure в подписке Microsoft. Если включены правила FQDN, в вашу подписку добавляется и включается в счет стандартный брандмауэр Azure. Дополнительные сведения см. в статье "Настройка управляемой виртуальной сети для Azure AI Foundry".
Хранилище метаданных: предоставляется ресурсами хранилища Azure в подписке Microsoft.
Примечание.
Если вы используете ключи, управляемые клиентом, ресурсы хранилища метаданных создаются в вашей подписке. Дополнительные сведения см. в разделе Ключи, управляемые клиентом.
Управляемые вычислительные ресурсы и управляемые виртуальные сети существуют в подписке Майкрософт, но вы управляете ими. Например, вы управляете размерами виртуальных машин, используемыми для вычислительных ресурсов, и какие правила исходящего трафика настраиваются для управляемой виртуальной сети.
Управляемые вычислительные ресурсы также требуют управление уязвимостями. Ответственность за управление уязвимостями несете как вы сами, так и корпорация Майкрософт. Для получения дополнительной информации см. раздел управление уязвимостями.
Централизованно настраивайте и управляйте с помощью хабов
Центры обеспечивают централизованный способ управления безопасностью, подключением и вычислительными ресурсами на игровых площадках и проектах. Проекты, созданные с помощью концентратора, наследуют те же параметры безопасности и общий доступ к ресурсам. Teams может создавать столько проектов, сколько необходимо для организации работы, изоляции данных и /или ограничения доступа.
Часто проекты в бизнес-домене требуют доступа к тем же ресурсам компании, таким как векторные индексы, конечные точки модели или репозитории. В качестве руководителя группы вы можете предварительно настроить подключение к этим ресурсам в центре, чтобы разработчики могли обращаться к ним из любой новой рабочей области проекта без задержки в ИТ.
Подключения позволяют получать доступ к объектам в Azure AI Foundry, управляемым за пределами центра. Например, данные, загруженные на аккаунт хранения Azure, или развертывание моделей на существующем ресурсе Azure OpenAI. Подключение можно совместно использовать для каждого проекта или сделать доступным для одного конкретного проекта. Подключения можно настроить для использования доступа на основе ключей или сквозной аутентификации Microsoft Entra ID для авторизации доступа пользователей к подключенному ресурсу. Администратор может отслеживать, проверять и управлять подключениями в организации из одного представления в Azure AI Foundry.
Упорядочение потребностей вашей команды
Количество необходимых центров и проектов зависит от способа работы. Вы можете создать единый концентратор для большой команды с аналогичными потребностями доступа к данным. Эта конфигурация обеспечивает максимальную эффективность затрат, общий доступ к ресурсам и сводит к минимуму затраты на настройку. Например, концентратор для всех проектов, связанных с поддержкой клиентов.
Если требуется изоляция между разработкой, тестированием и рабочей средой в рамках стратегии LLMOps или MLOps, рассмотрите возможность создания концентратора для каждой среды. В зависимости от готовности вашего решения для продакшн, вы можете решить выполнить репликацию рабочих областей проекта в каждой среде или только в одной.
Контроль доступа на основе ролей и прокси плоскости управления
Службы ИИ Azure, включая Azure OpenAI, предоставляют конечные точки уровня управления для таких операций, как перечисление развертываний моделей. Эти конечные точки защищены с помощью отдельной конфигурации управления доступом на основе ролей Azure (RBAC), чем для концентратора.
Чтобы снизить сложность управления Azure RBAC, Azure AI Foundry предоставляет прокси-сервер уровня управления, который позволяет выполнять операции с подключенными службами ИИ Azure и ресурсами Azure OpenAI. Для выполнения операций с этими ресурсами через прокси-сервер уровня управления требуется только разрешения Azure RBAC на концентраторе. Затем служба Azure AI Foundry выполняет вызов служб ИИ Azure или конечной точки уровня управления Azure OpenAI от вашего имени.
Дополнительные сведения см. в статье "Управление доступом на основе ролей" на портале Azure AI Foundry.
Управление доступом на основе атрибутов
Каждый создаваемый концентратор имеет учетную запись хранения по умолчанию. Каждый дочерний проект концентратора наследует учетную запись хранения концентратора. Учетная запись хранения используется для хранения данных и артефактов.
Для защиты общей учетной записи хранения Azure AI Foundry используется как Azure RBAC, так и управление доступом на основе атрибутов Azure (Azure ABAC). Azure ABAC — это модель безопасности, которая определяет управление доступом на основе атрибутов, связанных с пользователем, ресурсом и средой. Каждый проект имеет:
- Субъект-служба, которому назначена роль участника данных BLOB-объектов хранилища в учетной записи хранения.
- Уникальный идентификатор (идентификатор рабочей области).
- Набор контейнеров в учетной записи хранения данных. Каждый контейнер имеет префикс, соответствующий значению идентификатора рабочей области для проекта.
Назначение ролей для субъекта-службы каждого проекта имеет условие, которое разрешает доступ только субъекта-службы к контейнерам с соответствующим значением префикса. Это условие гарантирует, что каждый проект может получить доступ только к собственным контейнерам.
Примечание.
Для шифрования данных в учетной записи хранилища область действия охватывает все хранилище, а не отдельные контейнеры. Поэтому все контейнеры шифруются с помощью одного ключа (предоставленного корпорацией Майкрософт или клиентом).
Дополнительные сведения об управлении доступом на основе доступа Azure см. в статье "Что такое управление доступом на основе атрибутов Azure".
Контейнеры в учетной записи хранения
Учетная запись хранения по умолчанию для концентратора содержит следующие контейнеры. Эти контейнеры создаются для каждого проекта, а {workspace-id} префикс соответствует уникальному идентификатору проекта. Проекты получают доступ к контейнеру с помощью подключения.
Подсказка
Чтобы найти идентификатор проекта, перейдите в проект в портал Azure. Разверните раздел "Параметры" , а затем выберите "Свойства". Отображается идентификатор рабочей области.
| Имя контейнера | Имя подключения | Описание |
|---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Хранилище для ресурсов, таких как метрики, модели и компоненты. |
{workspace-ID}-blobstore |
workspaceblobstore | Хранилище для загрузки данных, снимков кода заданий и кэша потока данных. |
{workspace-ID}-code |
NA | Хранилище записных книжек, вычислительных экземпляров и потока запросов. |
{workspace-ID}-file |
NA | Альтернативный контейнер для отправки данных. |
Шифрование
Azure AI Foundry использует шифрование для защиты неактивных и передаваемых данных. По умолчанию ключи, управляемые корпорацией Майкрософт, используются для шифрования. Однако вы можете использовать собственные ключи шифрования. Дополнительные сведения см. в разделе Ключи, управляемые клиентом.
Виртуальная сеть
Концентратор можно настроить для использования управляемой виртуальной сети. Управляемая виртуальная сеть защищает обмен данными между концентратором, проектами и управляемыми ресурсами, такими как вычисления. Если у служб зависимостей (служба хранилища Azure, Key Vault и Реестра контейнеров) отключен общедоступный доступ, создается частная конечная точка для каждой службы зависимостей для защиты обмена данными между концентратором и проектом и службой зависимостей.
Примечание.
Если вы хотите использовать виртуальную сеть для защиты обмена данными между клиентами и центром или проектом, необходимо использовать виртуальную сеть Azure, которую вы создаете и управляете. Например, виртуальная сеть Azure, использующая VPN-подключение или ExpressRoute к вашей локальной сети.
Дополнительные сведения о настройке управляемой виртуальной сети см. в статье "Настройка управляемой виртуальной сети для Azure AI Foundry".
Azure Monitor
Azure Monitor и Azure Log Analytics обеспечивают мониторинг и ведение журнала базовых ресурсов, используемых Azure AI Foundry. Поскольку Azure AI Foundry основывается на Azure Machine Learning, Azure OpenAI, службах Azure AI и Azure AI Search, используйте следующие статьи, чтобы узнать, как отслеживать службы.
| Ресурс | Мониторинг и ведение журнала |
|---|---|
| Центр и проект Azure AI Foundry | Следите за машинным обучением в Azure |
| Azure OpenAI | Мониторинг Azure OpenAI |
| Службы ИИ Azure | Мониторинг Azure AI (обучение) |
| Поиск с использованием ИИ Azure | Отслеживайте поиск Azure AI |
Цена и квота
Дополнительные сведения о ценах и квотах см. в следующих статьях:
Дальнейшие действия
Создайте концентратор с помощью одного из следующих методов:
- Портал Azure AI Foundry: создание центра для начала работы.
- портал Azure. Создание концентратора с помощью собственной сети.
- Шаблон Бицепса.