category
AI Studio为AI开发人员和数据科学家提供了一种统一的体验,可以通过门户网站、SDK或CLI构建、评估和部署AI模型。AI Studio建立在其他Azure服务提供的功能和服务之上。
顶级AI Studio资源(中心和项目)基于Azure机器学习。连接的资源,如Azure OpenAI、Azure AI服务和Azure AI搜索,由参考中的中心和项目使用,但遵循其自己的资源管理生命周期。
- AI Studio中心:该中心是AI Studio的顶级资源。中心的Azure资源提供者是Microsoft。机器学习服务/工作区,资源类型为Hub。它提供以下功能:
- 安全配置,包括跨越项目和模型端点的受管网络。
- 用于交互式开发、微调、开源和无服务器模型部署的计算资源。
- 连接到其他Azure服务,如Azure OpenAI、Azure AI服务和Azure AI搜索。集线器范围的连接与从集线器创建的项目共享。
- 项目管理。一个中心可以有多个子项目。
- 用于数据上传和工件存储的关联Azure存储帐户。
- AI Studio项目:项目是中心的子资源。项目的Azure资源提供程序是Microsoft。机器学习服务/工作区,资源类型为项目。该项目提供以下功能:
- 访问用于构建和定制AI应用程序的开发工具。
- 可重用组件,包括数据集、模型和索引。
- 一个用于上传数据的隔离容器(在从集线器继承的存储中)。
- 项目范围的连接。例如,项目成员可能需要对存储在Azure存储帐户中的数据进行私有访问,而不需要对其他项目授予相同的访问权限。
- 从目录和微调的模型端点进行开源模型部署。
AI Studio资源之间的关系图。
集中设置和管理中心(hubs)
中心为团队管理游乐场和项目的安全性、连接性和计算资源提供了一种中心方式。使用中心创建的项目继承相同的安全设置和共享资源访问权限。团队可以根据需要创建尽可能多的项目来组织工作、隔离数据和/或限制访问。
通常,业务领域中的项目需要访问相同的公司资源,如向量索引、模型端点或存储库。作为团队负责人,您可以在中心内预先配置这些资源的连接,这样开发人员就可以从任何新的项目工作区访问它们,而不会在IT上延迟。
连接允许您访问在中心之外管理的AI Studio中的对象。例如,在Azure存储帐户上上传数据,或在现有Azure OpenAI资源上进行模型部署。可以与每个项目共享连接,也可以使一个特定项目可以访问连接。连接可以配置为使用基于密钥的访问或Microsoft Entra ID传递来授权用户访问连接的资源。作为管理员,您可以从AI Studio中的单个视图跟踪、审核和管理整个组织的连接。
AI Studio的屏幕截图显示了一个中心及其项目中所有连接资源的审计视图。
根据团队的需求进行组织
你需要的中心和项目的数量取决于你的工作方式。您可以为具有类似数据访问需求的大型团队创建一个单一的中心。这种配置最大限度地提高了成本效率、资源共享,并最大限度地减少了设置开销。例如,与客户支持相关的所有项目的中心。
如果您需要将开发、测试和生产之间的隔离作为LLMOps或MLOps策略的一部分,请考虑为每个环境创建一个中心。根据您的解决方案是否已准备好投入生产,您可能会决定在每个环境中复制项目工作区,或者只在一个环境中复制。
Azure资源类型和提供程序
Azure AI Studio基于Azure机器学习资源提供商构建,并依赖于其他几个Azure服务。这些服务的资源提供程序必须在Azure订阅中注册。下表列出了资源类型、提供者和种类:
Resource type | Resource provider | Kind |
---|---|---|
Azure AI Studio hub | Microsoft.MachineLearningServices/workspace |
hub |
Azure AI Studio project | Microsoft.MachineLearningServices/workspace |
project |
Azure AI services or Azure AI OpenAI Service |
Microsoft.CognitiveServices/account |
AIServices OpenAI |
当你创建一个新的中心时,需要一组依赖的Azure资源来存储数据、访问模型,并为AI定制提供计算资源。下表列出了依赖的Azure资源及其资源提供程序:
小贴士
如果您在创建中心时没有提供依赖资源,并且这是必需的依赖关系,AI Studio会为您创建资源。
Dependent Azure resource | Resource provider | Optional | Note |
---|---|---|---|
Azure AI Search | Microsoft.Search/searchServices |
✔ | Provides search capabilities for your projects. |
Azure Storage account | Microsoft.Storage/storageAccounts |
Stores artifacts for your projects like flows and evaluations. For data isolation, storage containers are prefixed using the project GUID, and conditionally secured using Azure ABAC for the project identity. | |
Azure Key Vault | Microsoft.KeyVault/vaults |
Stores secrets like connection strings for your resource connections. For data isolation, secrets can't be retrieved across projects via APIs. | |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
✔ | Stores docker images created when using custom runtime for prompt flow. For data isolation, docker images are prefixed using the project GUID. |
Azure Application Insights & Log Analytics Workspace |
Microsoft.Insights/components Microsoft.OperationalInsights/workspaces |
✔ | Used as log storage when you opt in for application-level logging for your deployed prompt flows. |
有关注册资源提供程序的信息,请参阅注册Azure资源提供程序。
Microsoft托管资源
虽然Azure AI Studio使用的大部分资源都存在于您的Azure订阅中,但也有一些资源位于Microsoft管理的Azure订阅内。这些托管资源的成本在Azure账单上显示为Azure机器学习资源提供商下的行项目。以下资源位于Microsoft管理的Azure订阅中,不会出现在您的Azure订阅上:
- 托管计算资源:由Microsoft订阅中的Azure批处理资源提供。
- 托管虚拟网络:由Microsoft订阅中的Azure虚拟网络资源提供。如果启用了FQDN规则,则会添加Azure防火墙(标准)并向您的订阅收费。有关更多信息,请参阅为Azure AI Studio配置托管虚拟网络。
- 元数据存储:由Microsoft订阅中的Azure存储资源提供。
注:
如果使用客户管理的密钥,则会在订阅中创建元数据存储资源。有关更多信息,请参阅客户管理的密钥。
托管计算资源和托管虚拟网络存在于Microsoft订阅中,但您可以管理它们。例如,您可以控制哪些VM大小用于计算资源,以及为受管虚拟网络配置哪些出站规则。
托管计算资源也需要漏洞管理。漏洞管理是您和Microsoft之间的共同责任。有关更多信息,请参阅漏洞管理。
基于角色的访问控制和控制平面代理
包括Azure OpenAI在内的Azure AI服务为列表模型部署等操作提供控制平面端点。这些端点使用单独的Azure基于角色的访问控制(RBAC)配置进行保护,而不是用于集线器的配置。
为了降低Azure RBAC管理的复杂性,AI Studio提供了一个控制平面代理,允许您对连接的Azure AI服务和Azure OpenAI资源执行操作。通过控制平面代理对这些资源执行操作只需要中心上的Azure RBAC权限。然后,Azure AI Studio服务代表您执行对Azure AI服务或Azure OpenAI控制平面端点的调用。
有关更多信息,请参阅Azure AI Studio中的基于角色的访问控制。
基于属性的访问控制
您创建的每个集线器都有一个默认存储帐户。中心的每个子项目都继承中心的存储帐户。存储帐户用于存储数据和工件。
为了保护共享存储帐户,Azure AI Studio使用Azure RBAC和Azure基于属性的访问控制(Azure ABAC)。Azure ABAC是一种安全模型,它根据与用户、资源和环境相关的属性定义访问控制。每个项目有:
- 在存储帐户上分配存储Blob数据贡献者角色的服务主体。
- 唯一的ID(工作区ID)。
- 存储帐户中的一组容器。每个容器都有一个与项目的工作空间ID值相对应的前缀。
每个项目的服务主体的角色分配都有一个条件,该条件只允许服务主体访问具有匹配前缀值的容器。此条件确保每个项目只能访问其自己的容器。
请注意
对于存储帐户中的数据加密,作用域是整个存储,而不是每个容器。因此,所有容器都使用相同的密钥(由Microsoft或客户提供)进行加密。
有关Azure基于访问的控制的详细信息,请参阅什么是Azure基于属性的访问控制。
存储帐户中的容器
集线器的默认存储帐户包含以下容器。这些容器是为每个项目创建的,{workspace-id}前缀匹配项目的唯一ID。项目通过使用连接访问容器。
提示
要查找项目的ID,请转到Azure门户中的项目。展开设置,然后选择属性。显示“工作区ID”。
Container name | Connection name | Description |
---|---|---|
{workspace-ID}-azureml |
workspaceartifactstore | Storage for assets such as metrics, models, and components. |
{workspace-ID}-blobstore |
workspaceblobstore | Storage for data upload, job code snapshots, and pipeline data cache. |
{workspace-ID}-code |
NA | Storage for notebooks, compute instances, and prompt flow. |
{workspace-ID}-file |
NA | Alternative container for data upload. |
加密
Azure AI Studio使用加密来保护静态和传输中的数据。默认情况下,microsoft管理的密钥用于加密。但是,您可以使用自己的加密密钥。有关详细信息,请参阅客户管理的密钥。
虚拟网络
集线器可以配置为使用托管虚拟网络。托管虚拟网络保护集线器、项目和托管资源(如计算机)之间的通信。如果您的依赖服务(Azure Storage、Key Vault和Container Registry)禁用了公共访问,则为每个依赖服务创建一个私有端点,以确保中心和项目与依赖服务之间的通信安全。
请注意
如果要使用虚拟网络来保护客户端与集线器或项目之间的通信,则必须使用自己创建和管理的Azure虚拟网络。例如,使用VPN或ExpressRoute连接到本地网络的Azure虚拟网络。
有关如何配置托管虚拟网络的详细信息,请参阅为Azure AI Studio配置托管虚拟网络。
Azure监控
Azure monitor和Azure Log Analytics为Azure AI Studio使用的底层资源提供监控和日志记录。由于Azure AI Studio是建立在Azure机器学习、Azure OpenAI、Azure AI服务和Azure AI搜索上的,请使用以下文章来学习如何监控这些服务:
Resource | Monitoring and logging |
---|---|
Azure AI Studio hub and project | Monitor Azure Machine Learning |
Azure OpenAI | Monitor Azure OpenAI |
Azure AI services | Monitor Azure AI (training) |
Azure AI Search | Monitor Azure AI Search |
价格和配额
有关价格和配额的更多信息,请参阅以下文章:
下一个步骤
使用以下方法之一创建hub:
- Azure AI Studio: Create a hub for getting started.
- Azure portal: Create a hub with your own networking.
- Bicep template.
- 登录 发表评论
- 6 次浏览
Tags
最新内容
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week 6 days ago
- 2 weeks ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago