Configuración de recursos de agente estándar

La configuración del agente estándar usa recursos de Azure administrados por el cliente y de un solo inquilino para almacenar el estado del agente y mantener todos los datos del agente bajo su control. Use la configuración estándar cuando necesite una soberanía de datos completa, el cumplimiento de las directivas de seguridad empresarial o el aislamiento de nivel de proyecto.

En esta configuración:

  • Los estados del agente (conversaciones, respuestas) se almacenan en sus propios recursos de Azure.
  • Mantiene un control total sobre la residencia de los datos y el acceso a estos.

Propina

Para obtener una configuración más sencilla que use recursos administrados por Microsoft, consulte Configuración del entorno y elija la opción de configuración básica del agente.

Requisitos previos

Introducción a los recursos

Importante

Las configuraciones estándar requieren que aporte sus propios recursos (BYO) para que todos los datos del agente permanezcan en su suscripción de Azure:

Recurso Lo que almacena
Azure Storage (Storage de archivos BYO) Archivos cargados por desarrolladores y usuarios finales
Búsqueda de Azure AI (Búsqueda BYO) Almacenes de vectores creados por el agente
Azure Cosmos DB (almacenamiento de hilos BYO) Mensajes, historial de conversaciones y metadatos del agente

Todos los datos procesados por foundry Agent Service se almacenan automáticamente en reposo en estos recursos, lo que le ayuda a cumplir los requisitos de cumplimiento y a los estándares de seguridad de la empresa.

Requisitos de rendimiento de Cosmos DB

La cuenta de Azure Cosmos DB para NoSQL debe tener un límite de rendimiento total de al menos 3000 RU/s. Ambos modos, tanto el rendimiento aprovisionado como sin servidor, son compatibles.

La configuración estándar aprovisiona tres contenedores en la cuenta de Cosmos DB, cada una de las cuales requiere 1000 RU/s:

Contenedor Propósito
thread-message-store Conversaciones de usuario final
system-thread-message-store Mensajes internos del sistema
agent-entity-store Metadatos del agente (instrucciones, herramientas, nombre)

Para varios proyectos en la misma cuenta de Foundry, multiplique por el número de proyectos. Por ejemplo, dos proyectos requieren al menos 6000 RU/s (3 contenedores × 1000 RU/s × 2 proyectos).

Aislamiento de datos de nivel de proyecto

La configuración estándar aplica el aislamiento de datos de nivel de proyecto de forma predeterminada. Dos contenedores de Blob Storage se aprovisionan automáticamente en la cuenta de almacenamiento: uno para los archivos y otro para los datos intermedios del sistema (fragmentos, incrustaciones). Se aprovisionan tres contenedores en la cuenta de Cosmos DB: uno para subprocesos de usuario, uno para mensajes del sistema y otro para los datos de configuración del agente, como instrucciones, herramientas y nombres. Este comportamiento predeterminado reduce la complejidad de la configuración mientras se siguen aplicando límites de datos estrictos entre proyectos.

Hosts de funcionalidad

Los hosts de funcionalidad son subrecursos tanto en la cuenta como en el proyecto que habilitan la interacción con el servicio del agente.

  • Host de funcionalidad de la cuenta: tiene un cuerpo de solicitud vacío, excepto para el parámetro capabilityHostKind="Agents".
  • Host de funcionalidad del proyecto: especifica recursos para almacenar el estado del agente, ya sea recursos multiinquilino administrados por Microsoft (configuración básica) o recursos de un solo inquilino (configuración estándar) propiedad del cliente. El host de funcionalidad del proyecto funciona como la configuración del proyecto.

Limitaciones

  • No se puede actualizar el host de funcionalidad después de establecerlo para un proyecto o una cuenta.

Aprovisionamiento de recursos paso a paso

Nota

Actualmente, el portal de Foundry solo admite la configuración básica del agente. Para configurar la configuración del agente estándar, use los pasos manuales o la plantilla de Bicep que se describe en esta sección.

Aprovisionamiento manual

Siga estos pasos para aprovisionar manualmente todos los recursos necesarios para la configuración del agente estándar. Permita aproximadamente entre 30 y 45 minutos para el proceso de aprovisionamiento completo.

Fase 1: Creación de recursos dependientes

  1. Cree o reutilice los siguientes recursos. Puede crear nuevos recursos o pasar el identificador de recurso de los existentes:
    • Cuenta de Azure Cosmos DB para NoSQL
    • Cuenta de Azure Storage
    • Recurso de Búsqueda de Azure AI
    • Recurso de Azure Key Vault (que se usa para administrar secretos y cadenas de conexión para la infraestructura del agente)
    • [Opcional] Recurso de Aplicación de Azure Insights
    • [Opcional] Recurso de fundición existente

Fase 2: Creación de recursos y conexiones de fundición

  1. Cree un recurso de Microsoft Foundry.
  2. Cree conexiones de nivel de cuenta:
    • Cree una conexión de cuenta al recurso de Application Insights.
  3. Despliegue gpt-4o u otro modelo compatible con agentes.
  4. Cree un proyecto.
  5. Crear conexiones de proyecto:
    • [Si se proporciona] Conexión de proyecto al recurso Foundry.
    • Conexión de proyecto a la cuenta de Azure Storage.
    • Conexión de proyecto al recurso de Búsqueda de Azure AI.
    • Conexión de proyecto a la cuenta de Cosmos DB.

Fase 3: Asignación de roles a la identidad administrada del proyecto

La identidad administrada del proyecto incluye la identidad administrada asignada por el sistema (SMI) y la identidad administrada asignada por el usuario (UMI).

  1. Asigne a la identidad administrada del proyecto (para SMI) los roles siguientes:
    • Operador de Cosmos DB en el nivel de cuenta del recurso de Cosmos DB.
    • Colaborador de la cuenta de almacenamiento a nivel de cuenta para el recurso de la cuenta de almacenamiento.

Fase 4: Configuración de hosts de capacidad

  1. Configure el host de capacidad de la cuenta con una sección de propiedades vacía.
  2. Establezca el host de funcionalidad del proyecto con conexiones de Cosmos DB, Azure Storage y AI Search.

Fase 5: Asignación de permisos de recursos granulares

  1. Asigne a la identidad administrada del proyecto (SMI y UMI) los siguientes roles en los ámbitos de recursos especificados:
    • Búsqueda de Azure AI (asignar antes o después de la creación del host de funcionalidad):
      • Colaborador de datos del índice de búsqueda
      • Colaborador del servicio de búsqueda
    • Contenedor de Azure Blob Storage: <workspaceId>-azureml-blobstore
      • Colaborador de datos de Storage Blob
    • Contenedor de Azure Blob Storage: <workspaceId>-agents-blobstore
      • Propietario de datos de Storage Blob
    • Cosmos DB para base de datos NoSQL: enterprise_memory
      • Colaborador de datos integrado de Cosmos DB
      • Ámbito: nivel de base de datos para cubrir todos los contenedores (no se necesita ninguna asignación de roles específica del contenedor individual).

Fase 6: Concesión de acceso para desarrolladores

  1. Asigne a todos los desarrolladores que necesiten crear o editar agentes en el proyecto el rol Usuario de Azure AI en el ámbito del proyecto.

Utiliza una plantilla de Bicep

Utilice una de las siguientes cuentas de Azure: Azure OpenAI, Azure Storage, Azure Cosmos DB para NoSQL, o un recurso de Búsqueda de Azure AI proporcionando el identificador de recurso completo de Azure Resource Manager (ARM) en el archivo de plantilla de agente estándar.

Uso de un recurso de Azure OpenAI existente

  1. Siga los pasos descritos en Configuración del entorno para obtener el identificador de recurso de la cuenta de Foundry Tools.

  2. En el archivo de plantilla del agente estándar, reemplace el siguiente marcador de posición:

    existingAoaiResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{serviceName}

Uso de una cuenta de Azure Storage existente para el almacenamiento de archivos

  1. Inicie sesión en la CLI de Azure y seleccione la suscripción con la cuenta de almacenamiento:

    az login

  2. Ejecute el siguiente comando para obtener el identificador de recurso de la cuenta de almacenamiento:

    az storage account show --resource-group <your-resource-group> --name <your-storage-account> --query "id" --output tsv

    La salida es el aiStorageAccountResourceID valor que necesita en la plantilla.

  3. En el archivo de plantilla del agente estándar, reemplace el siguiente marcador de posición:

    aiStorageAccountResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}

Uso de una cuenta existente de Azure Cosmos DB para NoSQL para el almacenamiento de subprocesos

Se crea una cuenta de Azure Cosmos DB para NoSQL para cada cuenta de Foundry. Para conocer los requisitos de rendimiento y el escalado de varios proyectos, consulte Requisitos de rendimiento de Cosmos DB.

Nota

La capacidad insuficiente de RU/s en la cuenta de Cosmos DB da lugar a fallos de provisión del host de capacidades durante la implementación.

  1. Inicie sesión en la CLI de Azure y seleccione la suscripción con su cuenta de Cosmos DB:

    az login

  2. Ejecute el comando siguiente para obtener el identificador de recurso de la cuenta de Azure Cosmos DB:

    az cosmosdb show --resource-group <your-resource-group> --name <your-cosmosdb-account> --query "id" --output tsv

    La salida es el cosmosDBResourceId valor que necesita en la plantilla.

  3. En el archivo de plantilla del agente estándar, reemplace el siguiente marcador de posición:

    cosmosDBResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosDbAccountName}

Uso de un recurso existente de Búsqueda de Azure AI

  1. Inicie sesión en la CLI de Azure y seleccione la suscripción con el recurso de búsqueda:

    az login

  2. Ejecute el siguiente comando para obtener el identificador de recurso de Búsqueda de Azure AI:

    az search service show --resource-group <your-resource-group> --name <your-search-service> --query "id" --output tsv

  3. En el archivo de plantilla del agente estándar, reemplace el siguiente marcador de posición:

    aiSearchServiceResourceId:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Search/searchServices/{searchServiceName}

Comprobación de la configuración

Después de completar el aprovisionamiento, compruebe que la configuración funciona correctamente:

  1. En Azure Portal, vaya al proyecto foundry y confirme que todas las conexiones (Storage, Cosmos DB, AI Search) aparecen en la configuración del proyecto.
  2. Compruebe que el estado del host de capacidad se muestra como Exitoso para la cuenta y el proyecto.
  3. Para comprobar las asignaciones de roles, vaya a la página Control de acceso (IAM) de cada recurso y confirme que la identidad administrada del proyecto tiene los roles esperados.
  4. Cree un agente de prueba para confirmar la funcionalidad de un extremo a otro.

Solución de problemas comunes

Síntoma Causa Resolución
CapabilityHostProvisioningFailed o el estado del host de capacidad muestra Error Rendimiento insuficiente de Cosmos DB Asegúrese de que la cuenta de Cosmos DB tiene al menos 3000 RU/s (1000 RU/s por contenedor × 3 contenedores). Para varios proyectos, multiplique por el número de proyectos.
403 Forbidden cuando el agente lee o escribe archivos Faltan asignaciones de roles de almacenamiento Compruebe que la identidad administrada del proyecto tiene colaborador de datos de Storage Blob en el <workspaceId>-azureml-blobstore contenedor y propietario de datos de Storage Blob en el <workspaceId>-agents-blobstore contenedor.
SearchIndexNotFound o 403 en las operaciones de búsqueda Faltan funciones de búsqueda Confirme que la identidad administrada del proyecto tiene tanto Colaborador de Datos de Índice de Búsqueda como Colaborador del Servicio de Búsqueda en su recurso de Búsqueda de Azure AI.
AuthorizationFailed al crear o editar agentes Falta el rol de usuario Asigne el rol usuario de Azure AI al desarrollador en el ámbito del proyecto.
Se devuelve la solicitud de actualización al host de funcionalidad 400 BadRequest Actualización no admitida Los hosts de funcionalidad no se pueden actualizar después de la creación. Elimine y vuelva a crear el proyecto si se necesitan cambios de configuración.

Contenido relacionado

  • Last updated on