Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um plano estruturado de implementação ajuda-o a evitar falhas de segurança, estouros de custos e expansão de acessos ao adotar o Microsoft Foundry em larga escala. Este guia descreve decisões-chave para a implementação do Foundry, incluindo configuração do ambiente, isolamento de dados, integração com outros serviços Azure, gestão de capacidade e monitorização. Use este guia como ponto de partida e adapte-o às suas necessidades. Para detalhes da implementação, consulte os artigos ligados.
Pré-requisitos
Antes de começar o planeamento do lançamento, confirme que dispõe de:
- Uma estratégia para subscrições e grupos de recursos do Azure para ambientes de desenvolvimento, teste e produção.
- Grupos Microsoft Entra ID (ou grupos de identidade equivalentes) definidos para administradores, gestores de projeto e utilizadores de projetos.
- Um plano regional inicial baseado na disponibilidade de modelos e funcionalidades. Para mais detalhes, consulte Disponibilidade de funcionalidades em regiões cloud.
- Acordo sobre os requisitos de segurança para redes, encriptação e isolamento de dados na sua organização.
Lista de verificação de desdobramento básica
Use esta lista de verificação antes do seu primeiro lançamento em produção:
- Defina os limites do ambiente entre desenvolvimento, testes e produção.
- Atribuir a propriedade de cada recurso da Foundry e âmbito do projeto.
- Determina as funcionalidades da Foundry que planeias usar. Nem todas as APIs de funcionalidades estão disponíveis no contexto do projeto. Se planeias atribuir permissões no âmbito mais baixo do projeto para isolamento de casos de uso, isto pode não ser suportado para APIs clássicas de IA do Azure, como o Tradutor. Estas exigem que todos os utilizadores tenham permissões ao nível do recurso principal da Foundry. Para esses casos, recomenda-se a segregação por recurso da Foundry.
- Defina atribuições RBAC para administradores, gestores de projeto e utilizadores de projetos.
- Defina a abordagem de rede para cada ambiente (acesso público, ponto final privado ou híbrido).
- Decida se as chaves geridas pelo cliente são exigidas pela política.
- Defina custos e propriedade de monitorização para cada grupo de negócios.
- Identificar as ligações partilhadas necessárias e as ligações com âmbito de projeto.
Exemplo de organização
A Contoso é uma empresa global que explora a adoção de GenAI em cinco grupos empresariais, cada um com necessidades distintas e maturidade técnica.
Para acelerar a adoção, mantendo a supervisão, a Contoso Enterprise IT pretende permitir um modelo com recursos comuns e partilhados, incluindo rede e gestão centralizada de dados, ao mesmo tempo que possibilita acesso self-service ao Foundry para cada equipa num ambiente governado e seguro para gerir os seus casos de uso.
Considerações sobre a implementação
O recurso Foundry define o âmbito para configurar, proteger e monitorizar o ambiente da sua equipa. Está disponível no portal Foundry e através das APIs do Azure. Os projetos são como pastas para organizar o teu trabalho dentro deste contexto de recursos. Os projetos também controlam o acesso e as permissões às APIs e ferramentas de programador do Foundry.
Importante
Os projetos fornecem um ambiente sandbox pré-configurado, otimizado para criação de agentes e capacidades nativas da Foundry. No entanto, como o Foundry é construído sobre vários Serviços de IA do Azure clássicos, nem todas as APIs clássicas estão disponíveis no contexto do projeto. Identifique as funcionalidades que as suas equipas planeiam usar e verifique se suportam acesso ao nível do projeto. Para serviços como o Tradutor que requerem permissões ao nível do recurso principal da Foundry, considere usar recursos Foundry separados para isolamento de custos e controlo de acesso.
Para garantir consistência, escalabilidade e governação entre equipas, considere as seguintes práticas de configuração de ambiente ao implementar o Foundry:
Estabelecer ambientes distintos para desenvolvimento, testes e produção. Use grupos de recursos ou subscrições separados, e recursos Foundry para isolar fluxos de trabalho, gerir o acesso e apoiar a experimentação com lançamentos controlados.
Crie um recurso Foundry separado para cada grupo de negócios. Alinhe as implementações com limites lógicos, como domínios de dados ou funções de negócio, para garantir autonomia, governação e acompanhamento de custos. Considera também recursos separados do Foundry quando as equipas precisam de APIs clássicas de IA do Azure que não suportam acesso com âmbito de projeto.
Associe projetos a casos de uso. Os projetos de fundição representam casos de uso específicos e fornecem contentores para organizar componentes como agentes ou ficheiros para uma aplicação. Embora herdem definições de segurança do seu recurso principal, também podem implementar os seus próprios controlos de acesso, integração de dados e outros controlos de governação. Antes de atribuir permissões com âmbito de projeto, verifique se as APIs que a sua equipa planeia usar suportam o acesso ao nível do projeto.
Proteger o ambiente da Foundry
O Foundry é construído sobre a plataforma Azure, por isso pode personalizar os controlos de segurança para satisfazer as necessidades da sua organização.
Identidade
Use o Microsoft Entra ID para gerir o acesso de utilizadores e serviços. O Foundry suporta identidades geridas para permitir autenticação segura e sem palavra-passe para outros serviços do Azure. Pode atribuir identidades geridas ao nível dos recursos da Foundry e, opcionalmente, ao nível do projeto para um controlo detalhado. Para mais detalhes, consulte Controlo de acesso baseado em funções no Foundry.
Rede
Implementar o Foundry numa Rede Virtual para isolar o tráfego e controlar o acesso utilizando Grupos de Segurança de Rede (NSGs). Para cenários de conectividade privada, use endpoints privados e valide o DNS e o estado de aprovação do endpoint. Para detalhes e limitações da implementação, veja Como configurar um link privado para o Foundry.
Importante
Algumas funcionalidades, como agentes e avaliações, requerem configuração adicional da rede para isolamento de ponta a ponta. Para detalhes de implementação e limitações atuais, veja Como configurar o isolamento de rede para o Foundry.
Chaves geridas pelo cliente
O Azure suporta chaves geridas pelo cliente (CMK) para encriptar dados em repouso. A Foundry suporta CMK opcionalmente para clientes com necessidades rigorosas de conformidade. Para mais detalhes, veja Chaves geridas pelo cliente no Foundry.
Autenticação e autorização
O Foundry suporta tanto o acesso baseado em chaves API para integração simples como Azure RBAC para controlo detalhado. As chaves API podem simplificar a configuração, mas não oferecem a mesma granularidade baseada em funções que o Microsoft Entra ID com RBAC. Azure impõe uma separação clara entre o plano de controlo (operações de gestão de recursos como criar ou configurar recursos) e o plano de dados (operações de execução como chamar modelos e aceder a dados). Comece com funções incorporadas e defina funções personalizadas conforme necessário. Para mais detalhes, consulte Controlo de acesso baseado em funções no Foundry.
Modelos
Utilizar templates do ARM ou do Bicep para automatizar implementações seguras. Explore os modelos de infraestrutura de exemplo.
Armazenamento
Podes optar por usar capacidades de armazenamento integradas no Foundry ou usar os teus próprios recursos de armazenamento. Para o Serviço de Agente, threads e mensagens podem opcionalmente ser armazenados em recursos geridos por si.
Exemplo: abordagem de segurança de Contoso
A Contoso assegura as suas implementações no Foundry utilizando redes privadas, com o TI empresarial a gerir uma rede central central. Cada grupo empresarial liga-se através de uma rede virtual de raios. Utilizam controlo de acesso baseado em funções (RBAC) incorporado para separar o acesso.
- Os administradores gerem implementações, ligações e recursos partilhados
- Gestores de Projeto supervisionam projetos específicos
- Os utilizadores interagem com as ferramentas GenAI
Para a maioria dos casos de uso, a Contoso baseia-se por defeito em encriptação gerida por Microsoft e não utiliza Customer-Managed Keys.
Acesso dos utilizadores do plano
Uma gestão eficaz de acessos é fundamental para uma configuração Foundry segura e escalável.
Defina os papéis e responsabilidades de acesso
Identifique que grupos de utilizadores necessitam de acesso a vários aspetos do ambiente Foundry. Atribuir funções Azure RBAC incorporadas ou personalizadas com base em responsabilidades tais como:
- Proprietário da conta: Gerir configurações de topo, como segurança e ligações de recursos partilhados.
- Gestores de Projetos: Criar e gerir projetos Foundry e os seus colaboradores.
- Utilizadores do Project: Contribuir para projetos existentes.
Use este mapeamento inicial de funções para âmbitos no planeamento de implementação.
| Persona | Papel de Iniciante | Âmbito recomendado |
|---|---|---|
| Administradores | Proprietário ou Proprietário da Conta Azure AI | Recurso de subscrição ou recurso Foundry |
| Gestores de Projetos | Gestor de Projetos de IA Azure | Recurso da fundição |
| Utilizadores do Project | Utilizador do Azure AI | Projeto da fundição |
Ajuste as atribuições com base nos requisitos de privilégio mínimo e nas políticas empresariais.
Determinar o âmbito do acesso
Escolha o âmbito apropriado para atribuições de acesso:
- Nível de subscrição: Acesso mais amplo, normalmente adequado para equipas centrais de TI ou plataforma, ou organizações mais pequenas.
- Nível de grupo de recursos: Útil para agrupar recursos relacionados com políticas de acesso partilhado. Por exemplo, uma Função Azure que segue o mesmo ciclo de vida da aplicação do seu ambiente Foundry.
- Nível de recurso ou projeto: Ideal para controlo minucioso, especialmente ao lidar com dados sensíveis ou ao permitir autoatendimento.
Alinhar a estratégia de identidade
Para fontes de dados e ferramentas integradas com o Foundry, determine se os utilizadores devem autenticar-se utilizando:
- Identidades geridas ou chave API: Adequadas para serviços automatizados e acesso partilhado entre utilizadores.
- Identidades dos utilizadores: Preferenciais quando é necessária responsabilidade ou auditoria a nível do utilizador.
Use grupos Microsoft Entra ID para simplificar a gestão de acessos e garantir consistência entre os ambientes.
Para a integração com privilégios mínimos, comece com o papel Azure AI User para programadores e identidades geridas de projetos e, em seguida, adicione funções elevadas apenas onde necessário. Para mais detalhes, consulte Controlo de acesso baseado em funções no Foundry.
Estabelecer conectividade com outros serviços Azure
O Foundry suporta conexões, que são configurações reutilizáveis que permitem o acesso a componentes de aplicação em serviços do Azure e não pertencentes ao Azure. Estas ligações também funcionam como intermediários de identidade, permitindo à Foundry autenticar-se em sistemas externos através de identidades geridas ou principais de serviço em nome dos utilizadores do projeto.
Crie ligações ao nível de recurso do Foundry para serviços partilhados como o Armazenamento do Azure ou o Key Vault. Restringir as ligações a um projeto específico para integrações sensíveis ou específicas do projeto. Esta flexibilidade permite às equipas equilibrar reutilização e isolamento com base nas suas necessidades. Saiba mais sobre ligações na Foundry.
Configure a autenticação de ligação para usar tokens de acesso partilhados, como identidades geridas pelo Microsoft Entra ID ou chaves API, para uma gestão e integração simplificadas, ou tokens de utilizador via Entra ID passthrough, que oferecem maior controlo ao aceder a fontes de dados sensíveis.
Exemplo: estratégia de conectividade de Contoso
- A Contoso cria um recurso Foundry para cada grupo empresarial, garantindo que projetos com necessidades de dados semelhantes partilham os mesmos recursos conectados.
- Por defeito, os recursos ligados utilizam tokens de autenticação partilhados e são partilhados entre todos os projetos.
- Projetos que utilizam cargas de trabalho de dados sensíveis ligam-se a fontes de dados com ligações delimitadas por projeto e autenticação por passagem direta do Microsoft Entra ID.
Governação
Uma governação eficaz na Foundry assegura operações seguras, conformes e eficientes em termos de custos em todos os grupos empresariais.
- Modelo de Controlo de Acesso com Azure Policy Azure Policy aplica regras nos recursos Azure. No Foundry, utilize políticas para restringir quais modelos ou famílias de modelos os grupos empresariais específicos podem aceder. Exemplo: O grupo de Finanças & Risco da Contoso está restringido a utilizar modelos de pré-visualização ou não conformes ao aplicar uma política ao nível de subscrição do seu grupo de negócio.
- Gestão de Custos pelo Grupo Empresarial Ao implementar o Foundry por grupo de negócio, a Contoso pode acompanhar e gerir custos de forma independente. Use a calculadora de preços do Azure para estimativas pré-implementação e o Microsoft Cost Management para utilização real contínua e acompanhamento de tendências. Trate os custos da fundição como uma parte do custo total da solução.
- O Acompanhamento de Utilização com Azure Monitor Azure Monitor fornece métricas e dashboards para acompanhar padrões de utilização, desempenho e saúde dos recursos da Foundry.
- Verbose Logging com Azure Log Analytics Azure Log Analytics permite uma inspeção profunda dos registos para obter insights operacionais. Por exemplo, utilização de pedidos de log, utilização de tokens e latência para suportar auditoria e otimização.
Validar decisões de implementação
Depois de definir o seu plano de implementação, valide os seguintes resultados:
- Identidade e acesso: As atribuições de papéis correspondem às personas e âmbitos aprovados.
- Rede: O caminho de conectividade e o modelo de isolamento são documentados para cada ambiente.
- Verificação de rede: O estado da ligação ao endpoint privado é Aprovado, e o DNS resolve os endpoints Foundry para endereços IP privados a partir do interior da rede virtual.
- Proteção de dados: A abordagem de encriptação (chaves geridas pela Microsoft ou geridas pelo cliente) é documentada e aprovada.
- Operações: Os responsáveis pelos custos e pela monitorização são atribuídos por cada grupo empresarial.
- Verificação de operações: As vistas de custos e os dashboards são definidos no Microsoft Cost Management e a monitorização está ligada ao Application Insights para cada projeto de produção.
- Operações do modelo: A estratégia de implementação (padrão ou provisionada) é documentada por caso de uso.
- Prontidão da região: Os modelos e serviços necessários são confirmados nas regiões-alvo antes da implementação.
Configurar e otimizar implementações de modelos
Ao implementar modelos no Foundry, as equipas podem escolher entre tipos de implementação padrão e provisionados. Implementações padrão são ideais para desenvolvimento e experimentação, oferecendo flexibilidade e facilidade de configuração. As implementações provisionadas são recomendadas para cenários de produção onde são necessários desempenhos previsíveis, controlo de custos e fixação da versão do modelo.
Para suportar cenários interregionais e permitir aceder a implementações de modelos existentes, o Foundry permite que connections modelem implementações alojadas noutras instâncias Foundry ou Azure OpenAI. Ao usar ligações, as equipas podem centralizar implementações para experimentação, permitindo ainda assim o acesso a partir de projetos distribuídos. Para cargas de trabalho em produção, considere ter os casos de uso a gerir as suas próprias implementações para garantir um controlo mais rigoroso sobre o ciclo de vida do modelo, gestão de versões e estratégias de rollback.
Para evitar o uso excessivo e garantir uma alocação justa de recursos, pode aplicar limites de Tokens Por Minuto (TPM) ao nível da implementação. Os limites de TPM ajudam a controlar o consumo, protegem contra picos acidentais e alinham o uso com orçamentos ou quotas do projeto. Considere definir limites conservadores para implantações partilhadas e limiares mais elevados para serviços críticos de produção.
Saiba mais
Proteger o ambiente da Fundição
- Autenticação e RBAC: Controlo de acesso baseado em funções na Foundry
- Rede: Utilize uma rede virtual com a Foundry
- Chaves geridas pelo cliente (CMK): Chaves geridas pelo cliente na Foundry
- Exemplo de infraestrutura: repositório de modelos com modelos de infraestrutura de exemplo
- Recuperar ou eliminar recursos eliminados da Foundry
Estabelecer conectividade com outros serviços Azure
- Visão geral das ligações: Adicionar uma nova ligação no Foundry