如何创建和管理 Azure AI Foundry 中心

注释

本文中提供的信息特定于 基于中心的项目,不适用于 Foundry 项目。 有关详细信息,请参阅 项目类型

Azure AI Foundry 门户中,中心为团队提供协作和组织工作的环境,并帮助你作为团队主管或 IT 管理员集中设置安全设置并管理使用情况和支出。 可以从 Azure 门户创建和管理中心,然后开发人员可以从中心创建项目。

本文介绍如何使用默认设置在 Azure AI Foundry 门户中创建和管理中心,以便助你快速入门。 是否需要自定义中心的安全性或依赖资源? 然后使用 Azure 门户模板选项

小窍门

如果你是个人开发人员而不是管理员、开发主管或需要中心的大型项目团队的成员,你可以直接从 Azure AI Foundry 门户创建项目,而无需首先创建中心。 有关详细信息,请参阅 创建项目

如果你是管理员或开发主管,并且想要使用模板创建 Azure AI Foundry 中心,请参阅有关使用 BicepTerraform 的文章。

在 Azure 门户中创建安全中心

如果组织使用 Azure Policy,请设置满足组织要求的中心,而不是使用 Azure AI Foundry 创建资源。

  1. 在 Azure 门户中,搜索 Azure AI Foundry。 从左侧菜单中选择AI 中心,然后选择+ 创建,最后选择中心

    Azure AI Foundry 门户的屏幕截图。

  2. 输入中心名称、订阅、资源组和位置详细信息。 对于“Azure AI 服务基础模型”,选择现有的 AI 服务资源或创建新资源。 Azure AI 服务包括多个用于语音、内容安全和 Azure OpenAI 的 API 终结点。

    设置中心基本信息的选项的屏幕截图。

  3. 选择“存储”选项卡以指定存储帐户设置。 若要存储凭据,请提供你的 Azure Key Vault 或使用 Microsoft 托管凭据存储(预览版)

    “创建中心”的屏幕截图,其中包含用于设置存储资源信息的选项。

  4. 选择“ 入站访问出站访问 ”选项卡以设置网络隔离。 有关详细信息,请参阅 网络隔离 文章。

  5. 选择“加密”选项卡以设置数据加密。 默认情况下,会使用“Microsoft 管理的密钥”来加密数据。 你也可以选择“使用客户管理的密钥来加密数据”

    “创建中心”的屏幕截图,其中包含用于选择加密类型的选项。

  6. 选择“标识”选项卡。默认情况下,“系统分配的标识”处于启用状态,但如果在“存储”中选择了现有的存储、密钥保管库和容器注册表,则可切换到“用户分配的标识”。 还可以选择是要使用“基于凭据”还是“基于标识”来访问存储帐户

    “创建中心”的屏幕截图,其中包含用于选择托管标识的选项。

    注释

    如果选择“用户分配的标识”,则标识需要具有 Cognitive Services Contributor 角色才能成功创建新的中心。

  7. 选择“审核 + 创建”>创建

从 Azure 门户管理中心

管理访问控制

可以从 Azure AI Foundry 门户管理中心添加和删除用户。 中心和中心内的项目在左侧菜单中均有一个用于添加和删除用户的“用户”菜单项。 添加用户时,可为其分配内置角色。

中心管理中心的用户区域的屏幕截图。

要进行自定义角色分配,请使用 Azure 门户中的“访问控制(IAM)”

若要从 Azure 门户添加授予用户权限,请参阅 Azure 角色分配 文章。

网络

可在创建资源期间设置中心网络设置,也可在 Azure 门户视图中的“网络”选项卡中更改该设置。 创建新的中心会调用托管虚拟网络。 这可使用内置的托管虚拟网络简化并自动执行网络隔离配置。 托管虚拟网络设置应用于在中心内创建的所有项目。

在创建中心时,在以下网络隔离模式中进行选择:“公共”、“Internet 出站专用”和“已批准出站专用”。 若要保护资源,请选择“Internet 出站专用”或“已批准的出站专用”,以满足网络需求。 对于专用隔离模式,应创建专用终结点进行入站访问。 有关网络隔离的详细信息,请参阅托管虚拟网络隔离。 若要创建安全中心,请参阅创建安全中心

在 Azure 门户中创建中心时,可创建关联的 Azure AI 服务、存储帐户、密钥保管库(可选)、应用程序见解(可选)和容器注册表(可选)。 创建期间,可以在“资源”选项卡上找到这些资源。

若要连接到 Azure AI 服务(Azure OpenAI、Azure AI 搜索和 Azure AI 内容安全)或 Azure AI Foundry 门户中的存储帐户,请在虚拟网络中创建专用终结点。 确保在创建专用终结点连接时已禁用公用网络访问 (PNA) 标志。 有关 Azure AI 服务连接的详细信息,请参阅 Azure AI 服务的虚拟网络。 可以选择自带 Azure AI 搜索,但这需要虚拟网络中的专用终结点连接。

加密

使用相同中心的项目共享其加密配置。 加密模式只能在创建中心时在 Microsoft 管理的密钥和客户管理的密钥 (CMK) 之间设置。

在 Azure 门户视图中,导航到“加密”选项卡,找到中心的加密设置。

对于使用 CMK 加密模式的中心,可将加密密钥更新为新的密钥版本。 此更新操作仅限于与原始密钥相同的密钥保管库实例中的密钥和密钥版本。

Azure 门户内中心的“加密”页的屏幕截图。

更新 Azure Application Insights 和 Azure 容器注册表

要对提示流使用自定义环境,需要为中心配置 Azure 容器注册表。 要使用 Azure Application Insights 部署提示流,中心需要已配置的 Azure Application Insights 资源。 更新附加了工作区的 Azure 容器注册表或 ApplicationInsights 资源可能会破坏先前作业、部署的推理终结点的世系,或你在工作区中重新运行先前作业的能力。 与 Azure AI Foundry 中心关联后,无法取消关联 Azure 容器注册表和 Application Insights 资源(设置为 null)。

可以使用 Azure 门户、Azure SDK/CLI 选项或基础结构即代码模板来更新中心的 Azure Application Insights 和 Azure 容器注册表。

可在创建期间或创建后更新期间为这些资源配置中心。

要从 Azure 门户更新 Azure Application Insights,请在 Azure 门户中导航到中心的“属性”,然后选择“更改 Application Insights”。

Azure 门户内中心资源的“属性”页的屏幕截图。

选择凭据的存储方式

在 Azure AI Foundry 门户中选择代表你存储凭据的场景。 例如,在 Azure AI Foundry 门户中创建一个连接,以使用存储的帐户密钥访问 Azure 存储帐户或使用管理员密码访问 Azure 容器注册表时,或者创建启用了 SSH 密钥的计算实例时。 选择基于 Microsoft Entra ID 标识的身份验证时,不会连同连接一起存储任何凭据。

可选择存储凭据的位置:

  • 你的 Azure Key Vault:这要求你管理自己的 Azure Key Vault 实例,并为每个中心配置它。 这使你能够更好地控制机密生命周期,例如设置过期策略。 还可与 Azure 中的其他应用程序共享存储的机密。

  • Microsoft托管凭据存储(预览版):在此变体中,Microsoft 代表你管理每个中心的 Azure Key Vault 实例。。 你不需要进行资源管理,保管库不会显示在你的 Azure 订阅中。 机密数据生命周期遵循中心和项目的资源生命周期。 例如,删除一个项目的存储连接时,也会删除其存储的机密。

创建中心后,无法在你的 Azure Key Vault 与使用 Microsoft 托管凭据存储之间进行切换。

删除 Azure AI Foundry 中心

若要从 Azure AI Foundry 中删除中心,请选择该中心,然后从页面的“中心属性”部分选择“删除中心”

中心属性中的“删除中心”链接的屏幕截图。

注释

还可从 Azure 门户删除中心。

删除中心会删除所有关联的项目。 删除一个项目后,也会删除该项目的所有嵌套终结点。 可选择性地删除连接的资源;但是,请确保没有其他应用程序在使用此连接。 例如,另一个 Azure AI Foundry 部署可能在使用它。