Freigeben über


Azure KI Foundry-Architektur

Azure KI Foundry bietet KI-Entwicklern und wissenschaftlichen Fachkräften für Daten eine einheitliche Umgebung für die Erstellung, Auswertung und Bereitstellung von KI-Modellen per Webportal, SDK oder CLI. Azure KI Foundry basiert auf Funktionen und Diensten, die von anderen Azure-Diensten bereitgestellt werden.

Abbildung: Übersicht über die Architektur von Azure KI Foundry

Auf oberster Ebene bietet Azure KI Foundry Zugriff auf die folgenden Ressourcen:

  • Azure OpenAI: Bietet Zugriff auf die neuesten Open AI-Modelle. Sie können sichere Bereitstellungen erstellen, Playgrounds ausprobieren und Modelle, Inhaltsfilter und Batchaufträge optimieren. Der Azure OpenAI-Ressourcenanbieter ist Microsoft.CognitiveServices/account, und es handelt sich um eine Ressource vom Typ OpenAI. Sie können auch eine Verbindung mit Azure OpenAI herstellen, indem Sie eine Art von AIServices-Instanz verwenden, die auch andere Azure KI Services enthält.

    Wenn Sie das Azure KI Foundry-Portal verwenden, können Sie direkt mit Azure OpenAI ohne ein Azure Studio-Projekt arbeiten oder Azure OpenAI über ein Projekt verwenden.

    Weitere Informationen finden Sie unter Azure OpenAI im Azure KI Foundry-Portal.

  • Verwaltungscenter: Das Verwaltungscenter optimiert die Governance und Verwaltung von Azure KI Foundry-Ressourcen wie Hubs, Projekte, verbundene Ressourcen und Bereitstellungen.

    Weitere Informationen finden Sie im Verwaltungscenter.

  • Azure KI Foundry Hub: Der Hub ist die Ressource der obersten Ebene im Azure KI Foundry-Portal und basiert auf dem Azure Machine Learning Service. Der Azure-Ressourcenanbieter für einen Hub ist Microsoft.MachineLearningServices/workspaces, und es handelt sich um eine Ressource vom Typ Hub. Er zeichnet sich durch Folgendes aus:

    • Sicherheitskonfiguration einschließlich eines verwalteten Netzwerks, das sich über Projekte und Modellendpunkte erstreckt.
    • Computeressourcen für die interaktive Entwicklung, die Optimierung sowie die Bereitstellung von Open-Source-Modellen und serverlosen Modellen
    • Verbindungen zu anderen Azure Services wie Azure OpenAI, Azure KI Services und der Azure KI-Suche. Verbindungen im Hub-Bereich werden für Projekte freigegeben, die über den Hub erstellt wurden.
    • Projektverwaltung. Ein Hub kann über mehrere untergeordnete Projekte verfügen.
    • Ein zugehöriges Azure-Speicherkonto zum Hochladen von Daten und Speichern von Artefakten.

    Weitere Informationen finden Sie unter Übersicht über Hubs und Projekte.

  • Azure KI Foundry-Projekt: Ein Projekt ist eine untergeordnete Ressource des Hubs. Der Azure-Ressourcenanbieter für ein Projekt ist Microsoft.MachineLearningServices/workspaces, und es handelt sich um eine Ressource vom Typ Project. Das Projekt bietet folgende Features:

    • Zugriff auf Entwicklungstools zum Erstellen und Anpassen von KI-Anwendungen.
    • Wiederverwendbare Komponenten wie Datasets, Modelle und Indizes.
    • Ein isolierter Container, in den Daten hochgeladen werden (innerhalb des vom Hub geerbten Speichers).
    • Auf das Projekt ausgerichtete Verbindungen. Zum Beispiel könnten Projektmitglieder privaten Zugriff auf Daten benötigen, die in einem Azure Storage-Konto gespeichert sind, ohne anderen Projekten denselben Zugriff zu gewähren.
    • Open Source-Modellimplementierungen aus dem Katalog und optimierte Modellendpunkte

    Diagramm: Beziehung zwischen Azure KI Foundry-Ressourcen.

    Weitere Informationen finden Sie unter Übersicht über Hubs und Projekte.

  • Connections: Azure KI Foundry-Hubs und -Projekte verwenden Verbindungen, um auf Ressourcen zuzugreifen, die von anderen Diensten bereitgestellt werden. Beispiele hierfür sind Daten in einem Azure Storage-Konto, Azure OpenAI oder anderen Azure KI-Diensten.

    Weitere Informationen finden Sie unter Verbindungen.

Azure-Ressourcentypen und -anbieter

Azure KI Foundry basiert auf dem Azure Machine Learning-Ressourcenanbieter und ist von mehreren anderen Azure-Diensten abhängig. Die Ressourcenanbieter für diese Dienste müssen in Ihrem Azure-Abonnement registriert sein. In der folgenden Tabelle sind die Ressourcentypen, Anbieter und Arten aufgeführt:

Ressourcentyp Ressourcenanbieter Variante
Azure KI Foundry-Hub Microsoft.MachineLearningServices/workspace hub
Azure KI Foundry-Projekt Microsoft.MachineLearningServices/workspace project
Azure KI Services oder
Azure KI OpenAI Service
Microsoft.CognitiveServices/account AIServices
OpenAI

Wenn Sie einen neuen Hub erstellen, ist eine Reihe von abhängigen Azure-Ressourcen erforderlich, um Daten zu speichern, Zugriff auf Modelle zu erhalten und Computeressourcen für die KI-Anpassung bereitzustellen. In der folgenden Tabelle werden die abhängigen Azure-Ressourcen und die zugehörigen Ressourcenanbieter aufgeführt:

Tipp

Wenn Sie beim Erstellen eines Hubs keine abhängige Ressource bereitstellen und es sich um eine erforderliche Abhängigkeit handelt, wird die Ressource von Azure KI Foundry für Sie erstellt.

Abhängige Azure-Ressource Ressourcenanbieter Optional Hinweis
Azure KI Cognitive Search Microsoft.Search/searchServices Stellt Suchfunktionen für Ihre Projekte bereit.
Azure Storage-Konto Microsoft.Storage/storageAccounts Speichert Artefakte für Ihre Projekte wie Flüsse und Auswertungen. Für die Datenisolation werden Speichercontainer mit der Projekt-GUID vorangestellt und mit Azure ABAC für die Projektidentität bedingt gesichert.
Azure Key Vault Microsoft.KeyVault/vaults Speichert Geheimnisse wie Verbindungszeichenfolgen für Ihre Ressourcenverbindungen. Bei der Datenisolation können Geheimnisse nicht projektübergreifend über APIs abgerufen werden.
Azure Container Registry Microsoft.ContainerRegistry/registries Speichert Docker-Images, die bei Verwendung der benutzerdefinierten Laufzeit für den Prompt Flow erstellt werden. Für die Datenisolation werden Docker-Images mit der Projekt-GUID vorangestellt.
Azure Application Insights und
Log Analytics-Arbeitsbereich
Microsoft.Insights/components
Microsoft.OperationalInsights/workspaces
Wird als Protokollspeicher verwendet, wenn Sie sich für die Protokollierung auf Anwendungsebene für Ihre bereitgestellten Prompt Flows entscheiden.

Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Registrieren des Ressourcenanbieters.

Von Microsoft gehostete Ressourcen

Die meisten von Azure KI Foundry verwendeten Ressourcen befinden sich zwar in Ihrem Azure-Abonnement, einige Ressourcen befinden sich jedoch in einem von Microsoft verwalteten Azure-Abonnement. Die Kosten für diese verwalteten Ressourcen erscheinen auf Ihrer Azure-Rechnung als Einzelposten unter dem Azure Machine Learning-Ressourcenanbieter. Die folgenden Ressourcen befinden sich im von Microsoft verwalteten Azure-Abonnement und werden nicht in Ihrem Azure-Abonnement angezeigt:

  • Verwaltete Computeressourcen: Bereitgestellt von Azure Batch-Ressourcen im Microsoft-Abonnement

  • Verwaltetes virtuelles Netzwerk: Bereitgestellt von Azure Virtual Network-Ressourcen im Microsoft-Abonnement Wenn FQDN-Regeln aktiviert werden, wird eine Azure Firewall-Instanz (Standard) hinzugefügt und für Ihr Abonnement in Rechnung gestellt. Weitere Informationen finden Sie unter Konfigurieren eines verwalteten Netzwerks für Azure KI Foundry.

  • Metadatenspeicher: Bereitgestellt von Azure Storage-Ressourcen im Microsoft-Abonnement.

    Hinweis

    Bei Verwendung kundenseitig verwalteter Schlüssel werden die Metadatenspeicherressourcen in Ihrem Abonnement erstellt. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel.

Verwaltete Computeressourcen und verwaltete virtuelle Netzwerke sind zwar im Microsoft-Abonnement vorhanden, aber Sie verwalten sie. Sie steuern beispielsweise, welche VM-Größen für Computeressourcen verwendet und welche Ausgangsregeln für das verwaltete virtuelle Netzwerk konfiguriert werden.

Verwaltete Computeressourcen erfordern auch die Verwaltung von Sicherheitsrisiken. Die Verwaltung von Sicherheitsrisiken ist eine gemeinsame Verantwortung zwischen Ihnen und Microsoft. Weitere Informationen finden Sie unter Sicherheitsrisikoverwaltung für Azure KI Studio.

Zentrale Einrichtung und Verwaltung über Hubs

Hubs bieten eine zentrale Möglichkeit für ein Team, Sicherheit, Konnektivität und Rechenressourcen über Playgrounds und Projekte hinweg zu verwalten. Projekte, die mithilfe eines Hubs erstellt werden, erhalten dieselben Sicherheitseinstellungen und den freigegebenen Ressourcenzugriff. Teams können so viele Projekte wie nötig erstellen, um Arbeit zu organisieren, Daten zu isolieren und/oder den Zugriff zu beschränken.

Häufig benötigen Projekte in einer Geschäftsdomäne Zugriff auf dieselben Unternehmensressourcen wie Vektorindizes, Modellendpunkte oder Repositorys. Als Teamleiter können Sie die Konnektivität mit diesen Ressourcen innerhalb eines Hubs vorkonfigurieren, sodass Entwickler von jedem neuen Projektarbeitsbereich aus ohne Verzögerung durch die IT auf diese Ressourcen zugreifen können.

Mit Connections können Sie auf Objekte in Azure KI Foundry zugreifen, die außerhalb Ihres Hubs verwaltet werden. Zum Beispiel hochgeladene Daten auf einem Azure-Speicherkonto oder Modellbereitstellungen auf einer bestehenden Azure OpenAI-Ressource. Eine Verbindung kann für jedes Projekt freigegeben oder für ein bestimmtes Projekt zugänglich gemacht werden. Verbindungen können für die Verwendung des schlüsselbasierten Zugriffs oder Passthrough von Microsoft Entra ID konfiguriert werden, um den Zugriff für Benutzer in der verbundenen Ressource zu autorisieren. Als Administrator können Sie Verbindungen im gesamten Unternehmen von einer einzigen Ansicht in Azure KI Foundry aus verfolgen, prüfen und verwalten.

Screenshot: Azure KI Foundry mit einer Überwachungsansicht aller verbundenen Ressourcen in einem Hub und seinen Projekten.

Organisieren der Anforderungen Ihres Teams

Die Anzahl der benötigten Hubs und Projekte hängt von Ihrer Arbeitsweise ab. Möglicherweise erstellen Sie einen einzelnen Hub für ein großes Team mit ähnlichen Datenzugriffsanforderungen. Diese Konfiguration maximiert die Kosteneffizienz, die Ressourcenfreigabe und minimiert den Einrichtungsaufwand. Beispielsweise ein Hub für alle Projekte im Zusammenhang mit dem Kundensupport.

Wenn Sie im Rahmen Ihrer LLMOps- oder MLOps-Strategie eine Isolation zwischen Entwicklung, Tests und Produktion benötigen, sollten Sie einen Hub für jede Umgebung erstellen. Je nach Bereitschaft Ihrer Lösung für die Produktion können Sie sich dazu entscheiden, Ihre Projektarbeitsbereiche in jeder Umgebung oder nur in einer Umgebung replizieren.

Rollenbasierte Zugriffssteuerung und Steuerungsebenenproxy

Azure KI Services einschließlich Azure OpenAI bieten Steuerungsebenen-Endpunkte für Vorgänge wie das Auflisten von Modellimplementierungen. Die für den Schutz dieser Endpunkte verwendete Konfiguration der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure unterscheidet sich von der Konfiguration, die für einen Hub verwendet wurde.

Zur Vereinfachung der Azure RBAC-Verwaltung bietet Azure KI Foundry einen Steuerungsebenenproxy, der die Ausführung von Vorgängen für verbundene Azure KI Services- und Azure OpenAI-Ressourcen ermöglicht. Um Vorgänge für diese Ressourcen über den Steuerungsebenenproxy ausführen zu können, werden lediglich Azure RBAC-Berechtigungen für den Hub benötigt. Der Azure KI Foundry-Dienst führt dann den Aufruf des Azure KI Services- oder Azure OpenAI-Steuerungsebenen-Endpunkts in Ihrem Namen aus.

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung im Azure KI Foundry-Portal.

Attributbasierte Zugriffssteuerung

Jeder von Ihnen erstellte Hub enthält ein Standardspeicherkonto. Jedes untergeordnete Projekt des Hubs erbt das Speicherkonto des Hubs. Das Speicherkonto wird zum Speichern von Daten und Artefakten verwendet.

Um das freigegebene Speicherkonto zu schützen, verwendet Azure KI Foundry sowohl Azure RBAC als auch Azure ABAC (Azure Attribute-Based Access Control, attributbasierte Zugriffssteuerung in Azure). Azure ABAC ist ein Sicherheitsmodell, das die Zugriffssteuerung basierend auf Attributen definiert, die dem Benutzer, der Ressource und der Umgebung zugeordnet sind. Jedes Projekt verfügt über Folgendes:

  • Einen Dienstprinzipal, dem die Rolle „Mitwirkender an Speicherblobdaten“ für das Speicherkonto zugewiesen ist
  • Eine eindeutige ID (Arbeitsbereichs-ID)
  • Verschiedene Container im Speicherkonto. Jeder Container weist ein Präfix auf, das dem Arbeitsbereichs-ID-Wert für das Projekt entspricht.

Die Rollenzuweisung für den Dienstprinzipal der einzelnen Projekte hat eine Bedingung, die dem Dienstprinzipal nur den Zugriff auf Container mit dem entsprechenden Präfixwert erlaubt. Diese Bedingung stellt sicher, dass jedes Projekt nur auf seine eigenen Container zugreifen kann.

Hinweis

Bei der Datenverschlüsselung im Speicherkonto gilt der Bereich für den gesamten Speicher und nicht pro Container. Daher werden alle Container mit demselben Schlüssel verschlüsselt (entweder von Microsoft oder vom Kunden bereitgestellt).

Weitere Informationen zur Zugriffssteuerung in Azure finden Sie unter Was ist die attributbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.

Container im Speicherkonto

Das Standardspeicherkonto für einen Hub verfügt über die folgenden Container. Diese Container werden für jedes Projekt erstellt, und das Präfix {workspace-id} entspricht der eindeutigen ID für das Projekt. Projekte greifen mithilfe einer Verbindung auf einen Container zu.

Tipp

Um die ID für Ihr Projekt zu suchen, wechseln Sie im Azure-Portal zum Projekt. Erweitern Sie Einstellungen, und wählen Sie Eigenschaften aus. Die Arbeitsbereich-ID wird angezeigt.

Containername Verbindungsname Beschreibung
{workspace-ID}-azureml workspaceartifactstore Speicher für Ressourcen wie Metriken, Modelle und Komponenten.
{workspace-ID}-blobstore workspaceblobstore Speicher für Datenupload, Auftragscode-Momentaufnahmen und Pipelinedatencache.
{workspace-ID}-code Nicht verfügbar Speicher für Notebooks, Compute-Instanzen und prompt flow.
{workspace-ID}-file Nicht verfügbar Alternativer Container für den Datenupload.

Verschlüsselung

Azure KI Foundry nutzt Verschlüsselung, um sowohl ruhende Daten als auch Daten während der Übertragung zu schützen. Standardmäßig werden von Microsoft verwaltete Schlüssel für die Verschlüsselung verwendet. Sie können jedoch Ihre eigenen Verschlüsselungsschlüssel verwenden. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel.

Virtuelles Netzwerk

Ein Hub kann für die Verwendung eines verwalteten virtuellen Netzwerks konfiguriert werden. Das verwaltete virtuelle Netzwerk schützt die Kommunikation zwischen Hub, Projekten und verwalteten Ressourcen (beispielsweise Computeressourcen). Wenn der öffentliche Zugriff für Ihre Abhängigkeitsdienste (Azure Storage, Key Vault und Container Registry) deaktiviert ist, wird für jeden Abhängigkeitsdienst ein privater Endpunkt erstellt, um die Kommunikation zwischen Hub und Projekt und Abhängigkeitsdienst zu schützen.

Hinweis

Wenn Sie ein virtuelles Netzwerk verwenden möchten, um die Kommunikation zwischen Ihren Clients und dem Hub oder dem Projekt zu schützen, müssen Sie ein virtuelles Azure-Netzwerk verwenden, das Sie selbst erstellen und verwalten. beispielsweise ein virtuelles Azure-Netzwerk, das eine VPN-/ExpressRoute-Verbindung mit Ihrem lokalen Netzwerk verwendet.

Weitere Informationen zum Konfigurieren eines verwalteten virtuellen Netzwerks finden Sie unter Konfigurieren eines verwalteten Netzwerks für Azure KI Foundry.

Azure Monitor

Azure Monitor und Azure Log Analytics bieten Überwachungs- und Protokollierungsfunktionen für die zugrunde liegenden Ressourcen, die von Azure KI Foundry verwendet werden. Azure KI Foundry basiert auf Azure Machine Learning, Azure OpenAI, Azure KI Services und Azure KI-Suche. Informationen zur Überwachung dieser Dienste finden Sie in den folgenden Artikeln:

Resource Überwachung und Protokollierung
Azure KI Foundry-Hub und -Projekt Überwachen von Azure Machine Learning
Azure OpenAI Überwachen von Azure OpenAI Service
Azure KI Services Überwachen von Azure KI Services
Azure KI Search Überwachen von Azure AI Search

Preis und Kontingent

Weitere Preis- und Kontingentinformationen finden Sie in den folgenden Artikeln:

Nächste Schritte

Verwenden Sie zum Erstellen eines Hubs eine der folgenden Methoden: