[Azure AI Studio]Azure AI Studio架构

AI Studio为AI开发人员和数据科学家提供了一种统一的体验，可以通过门户网站、SDK或CLI构建、评估和部署AI模型。AI Studio建立在其他Azure服务提供的功能和服务之上。

顶级AI Studio资源（中心和项目）基于Azure机器学习。连接的资源，如Azure OpenAI、Azure AI服务和Azure AI搜索，由参考中的中心和项目使用，但遵循其自己的资源管理生命周期。

• AI Studio中心：该中心是AI Studio的顶级资源。中心的Azure资源提供者是Microsoft。机器学习服务/工作区，资源类型为Hub。它提供以下功能：
  • 安全配置，包括跨越项目和模型端点的受管网络。
  • 用于交互式开发、微调、开源和无服务器模型部署的计算资源。
  • 连接到其他Azure服务，如Azure OpenAI、Azure AI服务和Azure AI搜索。集线器范围的连接与从集线器创建的项目共享。
  • 项目管理。一个中心可以有多个子项目。
  • 用于数据上传和工件存储的关联Azure存储帐户。
• AI Studio项目：项目是中心的子资源。项目的Azure资源提供程序是Microsoft。机器学习服务/工作区，资源类型为项目。该项目提供以下功能：
  • 访问用于构建和定制AI应用程序的开发工具。
  • 可重用组件，包括数据集、模型和索引。
  • 一个用于上传数据的隔离容器（在从集线器继承的存储中）。
  • 项目范围的连接。例如，项目成员可能需要对存储在Azure存储帐户中的数据进行私有访问，而不需要对其他项目授予相同的访问权限。
  • 从目录和微调的模型端点进行开源模型部署。

AI Studio资源之间的关系图。

集中设置和管理中心(hubs)

中心为团队管理游乐场和项目的安全性、连接性和计算资源提供了一种中心方式。使用中心创建的项目继承相同的安全设置和共享资源访问权限。团队可以根据需要创建尽可能多的项目来组织工作、隔离数据和/或限制访问。

通常，业务领域中的项目需要访问相同的公司资源，如向量索引、模型端点或存储库。作为团队负责人，您可以在中心内预先配置这些资源的连接，这样开发人员就可以从任何新的项目工作区访问它们，而不会在IT上延迟。

连接允许您访问在中心之外管理的AI Studio中的对象。例如，在Azure存储帐户上上传数据，或在现有Azure OpenAI资源上进行模型部署。可以与每个项目共享连接，也可以使一个特定项目可以访问连接。连接可以配置为使用基于密钥的访问或Microsoft Entra ID传递来授权用户访问连接的资源。作为管理员，您可以从AI Studio中的单个视图跟踪、审核和管理整个组织的连接。

AI Studio的屏幕截图显示了一个中心及其项目中所有连接资源的审计视图。

根据团队的需求进行组织

你需要的中心和项目的数量取决于你的工作方式。您可以为具有类似数据访问需求的大型团队创建一个单一的中心。这种配置最大限度地提高了成本效率、资源共享，并最大限度地减少了设置开销。例如，与客户支持相关的所有项目的中心。

如果您需要将开发、测试和生产之间的隔离作为LLMOps或MLOps策略的一部分，请考虑为每个环境创建一个中心。根据您的解决方案是否已准备好投入生产，您可能会决定在每个环境中复制项目工作区，或者只在一个环境中复制。

Azure资源类型和提供程序

Azure AI Studio基于Azure机器学习资源提供商构建，并依赖于其他几个Azure服务。这些服务的资源提供程序必须在Azure订阅中注册。下表列出了资源类型、提供者和种类：

当你创建一个新的中心时，需要一组依赖的Azure资源来存储数据、访问模型，并为AI定制提供计算资源。下表列出了依赖的Azure资源及其资源提供程序：

小贴士

如果您在创建中心时没有提供依赖资源，并且这是必需的依赖关系，AI Studio会为您创建资源。

有关注册资源提供程序的信息，请参阅注册Azure资源提供程序。

Microsoft托管资源

虽然Azure AI Studio使用的大部分资源都存在于您的Azure订阅中，但也有一些资源位于Microsoft管理的Azure订阅内。这些托管资源的成本在Azure账单上显示为Azure机器学习资源提供商下的行项目。以下资源位于Microsoft管理的Azure订阅中，不会出现在您的Azure订阅上：

• 托管计算资源：由Microsoft订阅中的Azure批处理资源提供。
• 托管虚拟网络：由Microsoft订阅中的Azure虚拟网络资源提供。如果启用了FQDN规则，则会添加Azure防火墙（标准）并向您的订阅收费。有关更多信息，请参阅为Azure AI Studio配置托管虚拟网络。
• 元数据存储：由Microsoft订阅中的Azure存储资源提供。

注：

如果使用客户管理的密钥，则会在订阅中创建元数据存储资源。有关更多信息，请参阅客户管理的密钥。

托管计算资源和托管虚拟网络存在于Microsoft订阅中，但您可以管理它们。例如，您可以控制哪些VM大小用于计算资源，以及为受管虚拟网络配置哪些出站规则。

托管计算资源也需要漏洞管理。漏洞管理是您和Microsoft之间的共同责任。有关更多信息，请参阅漏洞管理。

基于角色的访问控制和控制平面代理

包括Azure OpenAI在内的Azure AI服务为列表模型部署等操作提供控制平面端点。这些端点使用单独的Azure基于角色的访问控制（RBAC）配置进行保护，而不是用于集线器的配置。

为了降低Azure RBAC管理的复杂性，AI Studio提供了一个控制平面代理，允许您对连接的Azure AI服务和Azure OpenAI资源执行操作。通过控制平面代理对这些资源执行操作只需要中心上的Azure RBAC权限。然后，Azure AI Studio服务代表您执行对Azure AI服务或Azure OpenAI控制平面端点的调用。

有关更多信息，请参阅Azure AI Studio中的基于角色的访问控制。

基于属性的访问控制

您创建的每个集线器都有一个默认存储帐户。中心的每个子项目都继承中心的存储帐户。存储帐户用于存储数据和工件。

为了保护共享存储帐户，Azure AI Studio使用Azure RBAC和Azure基于属性的访问控制(Azure ABAC)。Azure ABAC是一种安全模型，它根据与用户、资源和环境相关的属性定义访问控制。每个项目有:

• 在存储帐户上分配存储Blob数据贡献者角色的服务主体。
• 唯一的ID(工作区ID)。
• 存储帐户中的一组容器。每个容器都有一个与项目的工作空间ID值相对应的前缀。

每个项目的服务主体的角色分配都有一个条件，该条件只允许服务主体访问具有匹配前缀值的容器。此条件确保每个项目只能访问其自己的容器。

请注意

对于存储帐户中的数据加密，作用域是整个存储，而不是每个容器。因此，所有容器都使用相同的密钥(由Microsoft或客户提供)进行加密。

有关Azure基于访问的控制的详细信息，请参阅什么是Azure基于属性的访问控制。

存储帐户中的容器

集线器的默认存储帐户包含以下容器。这些容器是为每个项目创建的，{workspace-id}前缀匹配项目的唯一ID。项目通过使用连接访问容器。

提示
要查找项目的ID，请转到Azure门户中的项目。展开设置，然后选择属性。显示“工作区ID”。

加密

Azure AI Studio使用加密来保护静态和传输中的数据。默认情况下，microsoft管理的密钥用于加密。但是，您可以使用自己的加密密钥。有关详细信息，请参阅客户管理的密钥。

虚拟网络

集线器可以配置为使用托管虚拟网络。托管虚拟网络保护集线器、项目和托管资源(如计算机)之间的通信。如果您的依赖服务(Azure Storage、Key Vault和Container Registry)禁用了公共访问，则为每个依赖服务创建一个私有端点，以确保中心和项目与依赖服务之间的通信安全。

请注意
如果要使用虚拟网络来保护客户端与集线器或项目之间的通信，则必须使用自己创建和管理的Azure虚拟网络。例如，使用VPN或ExpressRoute连接到本地网络的Azure虚拟网络。

有关如何配置托管虚拟网络的详细信息，请参阅为Azure AI Studio配置托管虚拟网络。

Azure监控

Azure monitor和Azure Log Analytics为Azure AI Studio使用的底层资源提供监控和日志记录。由于Azure AI Studio是建立在Azure机器学习、Azure OpenAI、Azure AI服务和Azure AI搜索上的，请使用以下文章来学习如何监控这些服务:

价格和配额

有关价格和配额的更多信息，请参阅以下文章:

• Plan and manage costs
• Quota management

下一个步骤

使用以下方法之一创建hub:

• Azure AI Studio: Create a hub for getting started.
• Azure portal: Create a hub with your own networking.
• Bicep template.