通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在整个组织中推出 Azure AI Foundry

本指南概述了推出 Azure AI Foundry 的关键决策,包括环境设置、数据隔离、与其他 Azure 服务集成、容量管理和监视。 每个组织都是不同的。 使用本指南作为起点,使其适应你的需求。 有关实现详细信息,请参阅链接的文章以获取进一步的指导。

示例组织

Contoso 是一家全球企业,探索跨五个业务组采用 GenAI,每个业务组都有不同的需求和技术成熟度。

为了在保持监督的同时加快采用速度,Contoso Enterprise IT 旨在启用具有常见共享资源的模型,包括网络和集中式数据管理,同时为受治理的安全环境中的每个团队启用对 AI Foundry 的自助访问,以管理其用例。

推出注意事项

Azure AI Foundry 资源定义用于配置、保护和监视团队环境的范围。 项目类似于文件夹,用于在此资源上下文中组织工作。 项目还授予对 Foundry 开发人员 API 和工具的访问权限。

显示 Azure AI Foundry 资源的图表的屏幕截图。

为了确保跨团队的一致性、可伸缩性和治理,在推出 Azure AI Foundry 时,请考虑以下环境设置做法:

  • 为开发、测试和生产建立不同的环境 使用单独的资源组或订阅和 AI Foundry 资源来隔离工作流、管理访问权限和支持使用受控版本的试验。

  • 为每个业务组创建单独的 Azure AI Foundry 资源 使部署与逻辑边界(如数据域或业务功能)保持一致,以确保自治、治理和成本跟踪。

  • 根据用例定义项目 Foundry 项目旨在表示一个特定的用例。 它们是用于组织一个应用程序的组件(如代理、文件)的容器。 虽然它们从父资源继承安全设置,但它们还实现自己的访问控制、数据集成和其他治理控制。

保护 AI Foundry 环境

AI Foundry 基于 Azure 平台构建,允许自定义安全控制以满足组织的需求。 关键配置区域包括:

  • 标识:使用 Microsoft Entra ID 来管理用户和服务访问。 AI Foundry 支持托管标识,以允许对其他 Azure 服务进行安全无密码身份验证。 可以在 AI Foundry 资源级别 分配托管标识,还可以选择在 项目级别 进行精细控制。  详细了解托管标识。

  • 网络:将 AI Foundry 部署到虚拟网络(VNet),以使用网络安全组(NSG)隔离流量和控制访问。  详细了解网络安全。

  • Customer-Managed 密钥(CMK):Azure 支持 CMK 来加密静态数据。 AI Foundry 支持合规性要求较严格的客户选择性地使用 CMK。  详细了解 CMK

  • 身份验证和授权:AI Foundry 支持 基于 API 密钥的访问 ,以便进行简单集成,使用 Azure RBAC 进行精细控制。 Azure 强制在 控制平面 (资源管理)与 数据平面 (模型和数据访问)之间明确分离。 从内置角色开始,并根据需要定义自定义角色。  了解有关身份验证的详细信息。

  • 模板:使用 ARM 模板或 Bicep 自动执行安全部署。 浏览 示例模板

  • 存储资源:可以选择在 AI Foundry 中使用内置存储功能或使用自己的存储资源。 特别是对于代理服务,线程和消息可以选择存储在 你管理的资源中。

示例:Contoso 的安全方法

Contoso 使用专用网络保护其 AI Foundry 部署并通过企业 IT 管理中央的中心网络,每个业务组通过分支 VNet 进行连接。 他们使用内置的基于角色的访问控制(RBAC)来分隔访问权限。

  • 管理员 管理部署/连接/共享资源
  • 项目经理 监督特定项目
  • 用户 与 GenAI 工具交互

对于大多数用例,Contoso 不会使用 Customer-Managed 密钥,默认情况下依赖于Microsoft管理的加密。

规划用户访问

有效的访问管理是安全且可缩放的 AI Foundry 设置的基础。

  • 定义所需的访问角色和职责
    • 确定哪些用户组需要访问 AI Foundry 环境的各个方面。
    • 根据如下职责分配内置或自定义 Azure RBAC 角色:
      • 帐户所有者:管理顶级配置,例如安全性和共享资源连接。
      • 项目经理:创建和管理 AI Foundry 项目及其参与者。
      • 项目用户:参与现有项目。
  • 确定访问范围
    • 选择适当的访问分配范围:
      • 订阅级别:最广泛的访问权限,通常用于中心 IT 或平台团队或小型组织。
      • 资源组级别:对具有共享访问策略的相关资源进行分组非常有用。 例如,遵循与 AI Foundry 环境相同的应用程序生命周期的 Azure 函数。
      • 资源或项目级别:非常适合精细控制,尤其是在处理敏感数据或启用自助服务时。
  • 对齐标识策略
    • 对于与 AI Foundry 集成在一起的数据源和工具,请决定用户是否应进行身份验证:
      • 使用托管标识或 API 密钥:适用于自动化服务和跨用户共享访问。
      • 用户标识:需要用户级责任或可审核性时首选。
    • 使用 Microsoft Entra ID 组来简化访问管理并确保环境之间的一致性。

与其他 Azure 服务建立连接

Azure AI Foundry 支持 连接,这些连接是可重用的配置,可用于访问 Azure 和非 Azure 服务上的应用程序组件。 这些连接还充当 标识代理,允许 Foundry 代表项目用户使用托管标识或服务主体向外部系统进行身份验证。

可以在 AI Foundry 资源级别(非常适合 Azure 存储或 Key Vault 等共享服务)创建连接,或限定为 特定项目,建议用于敏感集成或特定于项目的集成。 这种灵活性使团队能够根据自己的需求平衡重用和隔离。 详细了解 AI Foundry 中的连接

可将连接身份验证配置为使用共享访问令牌(例如Microsoft Entra ID 托管标识或 API 密钥),以便简化管理和载入,或通过 Entra ID 直通访问来使用用户令牌,从而在访问敏感数据源时提供更大的控制。

显示 Azure AI Foundry 项目连接与其他 Azure 服务的集成的关系图的屏幕截图。

示例:Contoso 的连接策略

  • Contoso 为每个业务组创建一个 Azure AI Foundry 资源,确保具有类似数据需求的项目可以共享相同的连接资源。
  • 默认情况下,连接的资源使用共享身份验证令牌,并且在所有项目中共享。
  • 使用敏感数据工作负载的项目通过项目范围的连接和 EntraID 直通身份验证连接到数据源。

治理

Azure AI Foundry 中的有效治理可确保跨业务组的安全、合规和经济高效的运营。

  • 使用 Azure Policy 对访问控制进行模型控制 Azure Policy 允许跨 Azure 资源强制实施规则。 在 AI Foundry 中,可以使用策略来限制特定业务组可以访问的模型或模型系列。 示例:Contoso 的 财务和风险 组通过在其业务组的订阅级别应用策略来限制使用预览模型或不符合模型。
  • 按业务组划分的成本管理 通过为每个业务组部署 AI Foundry,Contoso 可以独立跟踪和管理成本。 使用Microsoft成本管理查看每个 Foundry 部署或项目的详细使用情况和支出。
  • 使用 Azure Monitor 进行使用情况跟踪 Azure Monitor 提供指标和仪表板来跟踪 AI Foundry 资源的使用模式、性能和运行状况。
  • 使用 Azure Log Analytics 进行详细日志记录 通过 Azure Log Analytics 可以深入检查日志,以获取操作见解。 例如,日志请求使用情况、令牌使用情况和延迟,以支持审核和优化。

配置和优化模型部署

在 AI Foundry 中部署模型时,团队可以在标准和预配 的部署类型之间进行选择。 标准部署非常适合开发和试验,提供灵活性和易于设置。 对于需要可预测的性能、成本控制和模型版本固定的生产方案,建议使用预配的部署。

为了支持跨区域场景并便于访问现有的模型部署,AI Foundry 允许 连接至 在其他 Foundry 或 Azure 开放AI 实例中托管的模型的部署。 连接使团队能够集中部署进行试验,同时仍允许从分布式项目进行访问。 对于生产工作负载,请考虑用于管理其自身部署的用例,以确保更严格地控制模型生命周期、版本控制和回滚策略。

若要防止过度使用并确保公平资源分配,可以在 部署级别应用每分钟令牌数(TPM)限制。 TPM 限制有助于控制消耗,防止意外峰值,并与项目预算或配额保持一致。 请考虑为共享部署设置保守限制,并为关键生产服务设置更高的阈值。

使用 Azure AI 中心访问扩展功能

虽然仅 Azure AI Foundry 资源即可访问大多数 AI Foundry 功能,但选择的功能目前仅与 Azure 机器学习提供支持的 Azure AI 中心资源结合使用。 这些功能在 AI 开发堆栈中较低,侧重于模型自定义。

中心资源需要自己的项目类型,也可以使用 Azure 机器学习工作室/SDK/CLI 访问这些类型。 若要帮助规划部署,请参阅 此表 并选择 资源类型,了解支持的功能的概述。

中心资源与 AI Foundry 资源并排部署,并依赖 AI Foundry 资源来提供对选择工具和模型的访问权限。

了解详细信息