Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Foundry organiza las cargas de trabajo de inteligencia artificial a través de una arquitectura superpuesta: un recurso Foundry de nivel superior para la gobernanza, los proyectos para el aislamiento de desarrollo y los servicios de Azure conectados para la administración de almacenamiento, búsqueda y secretos.
En este artículo se proporcionan operaciones de TI y equipos de seguridad con detalles sobre el recurso Foundry y la arquitectura de servicio subyacente de Azure, sus componentes y su relación con otros tipos de recursos de Azure. Use esta información para guiar cómo personalizar la implementación de Foundry en los requisitos de su organización. Para obtener más información sobre cómo implementar Foundry en su organización, consulte Foundry Rollout.
Cuándo usar esta arquitectura
Tenga en cuenta el modelo de recursos foundry cuando el escenario implique lo siguiente:
- Configuración por primera vez: va a iniciar un nuevo proyecto de IA y quiere un único recurso que agrupa el acceso al modelo, el hospedaje del agente y las herramientas de evaluación.
- Acceso a varios equipos: varios equipos necesitan proyectos aislados con implementaciones de modelos compartidos y gobernanza centralizada.
- Diseño controlado por el cumplimiento: su organización requiere redes privadas, cifrado administrado por el cliente o ámbito de RBAC de Azure en los niveles de recursos y proyectos.
- Migración de Azure OpenAI: va a pasar de un recurso de Azure OpenAI independiente y desea mantener las directivas existentes y RBAC al agregar funcionalidades de agente y evaluación.
Para la exploración de un solo desarrollador, un recurso Foundry con un proyecto es el valor predeterminado recomendado. Si la carga de trabajo solo requiere finalizaciones de Azure OpenAI sin hospedaje o evaluación del agente, un recurso independiente de Azure OpenAI podría ser suficiente.
Tipos y proveedores de recursos de Azure AI
Dentro de la familia de productos de IA de Azure, puede usar estos proveedores de recursos de Azure que admiten las necesidades del usuario a diferentes niveles de la estructura.
| Proveedor de recursos | Propósito | Servicios compatibles |
|---|---|---|
| Microsoft.CognitiveServices | Admite el desarrollo de aplicaciones Agentic y GenAI que componen y personalizan modelos precompilados. | Foundry; Azure OpenAI; Azure Speech in Foundry Tools; Azure Language en Foundry Tools; Azure Vision en Foundry Tools |
| Microsoft.Search | Permite la recuperación de información sobre sus datos | Búsqueda de Azure AI |
Para la mayoría de los escenarios de desarrollo de inteligencia artificial, incluidos los flujos de trabajo de creación de agentes, implementación de modelos y evaluación, el recurso Foundry es el punto de partida recomendado. Los recursos de Foundry comparten el espacio de nombres del proveedor Microsoft.CognitiveServices con servicios como Azure OpenAI, Speech, Vision y Language. Este espacio de nombres de proveedor compartido ayuda a alinear las API de administración, los patrones de control de acceso, las redes y el comportamiento de directivas en los recursos de IA relacionados.
Use la tabla siguiente para identificar qué tipo de recurso coincide con la carga de trabajo. Muestra los tipos y funcionalidades de recursos específicos dentro del proveedor Microsoft.CognitiveServices:
| Tipo de recurso | Proveedor de recursos y tipo | Tipo | Funcionalidades admitidas |
|---|---|---|---|
| Microsoft Foundry | Microsoft.CognitiveServices/accounts |
AIServices |
Agentes, evaluaciones, Azure OpenAI, Voz, Visión, Lenguaje y Comprensión del contenido |
| Proyecto de fundición | Microsoft.CognitiveServices/accounts/projects |
AIServices |
Subrecurso del anterior |
| Tecnología de voz de Azure en herramientas de fundición | Microsoft.CognitiveServices/accounts |
Speech |
Voz |
| Lenguaje de Azure en Foundry Tools | Microsoft.CognitiveServices/accounts |
Language |
Idioma |
| Azure Vision en herramientas de Foundry | Microsoft.CognitiveServices/accounts |
Vision |
Visión |
Los tipos de recursos bajo los mismos espacios de nombres de proveedores comparten las mismas APIs de gestión y utilizan acciones, configuraciones de red y alias similares de control de acceso basados en roles de Azure (Azure RBAC ), para la configuración de Azure Policy. Si va a actualizar de Azure OpenAI a Foundry, las directivas de Azure personalizadas existentes y las acciones de RBAC de Azure siguen aplicándose.
Jerarquía de recursos de fundición
En el diagrama siguiente se muestra un recurso Foundry con implementaciones de modelos, configuración de seguridad, conexiones y dos proyectos. Los servicios de Azure conectados, como Storage, Key Vault y Búsqueda de Azure AI, son recursos de Azure independientes en sus propios límites de gobernanza:
Importante
Los recursos conectados, como Storage, Key Vault y Búsqueda de Azure AI, son recursos independientes de Azure con sus propios límites de gobernanza. Puede administrar las redes, las directivas de acceso y la configuración de cumplimiento de estos recursos por separado del recurso Foundry.
Use este modelo al planear la arquitectura y los límites de acceso:
- Recurso de Foundry: recurso general de Azure en el que se administran las configuraciones de gobernanza, como redes, seguridad e implementaciones de modelos.
- Proyecto: límite de desarrollo dentro del recurso Foundry donde los equipos compilan y evalúan casos de uso. Los proyectos permiten a los equipos crear prototipos dentro de un entorno preconfigurado, reutilizar las implementaciones de modelos existentes y las conexiones sin una configuración repetida de TI.
- Recursos del proyecto: archivos, agentes, evaluaciones y artefactos relacionados con ámbito de un proyecto.
- Recursos conectados: servicios de Azure como Storage, Key Vault y Búsqueda de Azure AI a los que hace referencia el recurso Foundry a través de conexiones. Estos recursos tienen límites de gobernanza independientes, por lo que se administran sus directivas de redes y acceso de forma independiente.
Esta separación permite a los equipos de TI aplicar controles centralizados en el nivel de recurso mientras los equipos de desarrollo trabajan dentro de los límites del nivel de proyecto.
Nota
La mayoría de las nuevas API están disponibles en el ámbito del proyecto. Sin embargo, algunas funcionalidades admitidas originalmente en el nivel de cuenta a través de los servicios Azure OpenAI, Speech, Vision y Language solo están disponibles en el nivel de recurso Foundry, no en el ámbito del proyecto. Por ejemplo, Translator API solo está disponible en el nivel de recurso Foundry. Planee la estructura de implementación en función de los ámbitos de API que requieran las cargas de trabajo.
Separación de responsabilidades impulsada por la seguridad
Foundry aplica una separación clara entre las operaciones de administración y desarrollo para garantizar cargas de trabajo de inteligencia artificial seguras y escalables.
Gobernanza de recursos de nivel superior
Las operaciones de gestión en el ámbito de los recursos de Foundry de nivel superior incluyen aspectos como la configuración de la seguridad, el establecimiento de la conectividad con otros servicios de Azure y la gestión de implementaciones. Los contenedores de proyectos dedicados aíslan las actividades de desarrollo y proporcionan límites para el control de acceso, los archivos, los agentes y las evaluaciones.
Control de acceso basado en rol
Las acciones de RBAC de Azure reflejan esta separación de preocupaciones. Las acciones del plano de control, como la creación de implementaciones y proyectos, son distintas de las acciones del plano de datos, como la creación de agentes, la ejecución de evaluaciones y la carga de archivos. Puede definir el ámbito de las asignaciones de RBAC tanto en el nivel de recurso de nivel superior como en el nivel de proyecto individual. Asigne identidades administradas en cualquier ámbito para admitir la automatización segura y el acceso al servicio. Para obtener más información, consulte Control de acceso basado en rol para Microsoft Foundry.
Entre las asignaciones de inicio comunes para la incorporación con privilegios mínimos se incluyen:
Usuario de Foundry para cada entidad de usuario desarrollador en el ámbito del recurso de Foundry.
Importante
Recientemente se cambió el nombre de los roles RBAC de Foundry. Foundry User, Foundry Owner, Foundry Account Owner y Foundry Project Manager se llamaban anteriormente Usuario de Azure AI, Propietario de Azure AI, Propietario de la cuenta de Azure AI y Administrador de proyectos de Azure AI. Es posible que siga viendo los nombres anteriores en algunos lugares mientras se implementa el cambio de nombre. El cambio de nombre no modifica los identificadores de rol y los permisos principales.
Foundry User para cada identidad administrada del proyecto en el ámbito del recurso Foundry.
Para obtener instrucciones de planeamiento de ámbito y definiciones de roles, consulte Control de acceso basado en roles para Microsoft Foundry.
Supervisión y observabilidad
Azure Monitor segmenta las métricas según el ámbito. Puede ver las métricas de administración y uso en el recurso de nivel superior, mientras que las métricas específicas del proyecto, como el rendimiento de evaluación o la actividad del agente, se limitan a los contenedores de proyectos individuales.
Entre las funcionalidades clave de supervisión se incluyen:
- Métricas de nivel de recurso: consumo de tokens, latencia del modelo, recuentos de solicitudes y tasas de errores en todos los proyectos.
- Métricas a nivel de proyecto: resultados de las ejecuciones de evaluación, recuentos de invocaciones de agentes y actividad en las operaciones de archivos.
- Registros de diagnóstico: habilite la configuración de diagnóstico para derivar los registros a Log Analytics, Storage o Event Hubs para analizarlos y conservarlos.
Para más información, consulte Introducción a Azure Monitor.
Infraestructura informática
Foundry administra la infraestructura de proceso para el hospedaje de modelos, la ejecución del agente y el procesamiento por lotes. En esta sección se tratan los tipos de implementación, la infraestructura de agente y evaluación, la integración de red virtual, el aislamiento de inquilinos, los controles de seguridad de contenido y la disponibilidad regional.
Tipos de implementación de modelos
Foundry admite varios tipos de implementación para el hospedaje de modelos, agrupados por ámbito de procesamiento de datos: global (entre regiones), zona de datos (dentro de un límite definido) y regional (única región). Cada tipo equilibra la latencia, el rendimiento y la ubicación de procesamiento de datos de forma diferente:
| Tipo de implementación | Procesamiento de datos | Facturación |
|---|---|---|
| Estándar global | Multirregional, gestionado por Azure | Pago por token |
| Aprovisionado a nivel global | Multirregional, gestionado por Azure | Capacidad reservada por hora |
| Lote global | Multirregional, gestionado por Azure | Precios de token por lote |
| Estándar de zona de datos | Dentro del límite de la zona de datos | Pago por token |
| Zona de datos aprovisionada | Dentro del límite de la zona de datos | Capacidad reservada por hora |
| Lote de zona de datos | Dentro del límite de la zona de datos | Precios de token por lote |
| Estándar | Región única | Pago por token |
| Aprovisionado regional | Región única | Capacidad reservada por hora |
| Desarrollador | Cualquier región de Azure (sin garantía de residencia de datos) | Pago por token (solo evaluación de modelos ajustados; duración de 24 horas; sin Acuerdo de Nivel de Servicio) |
Para obtener más información sobre cómo elegir el tipo de implementación adecuado, consulte Tipos de implementación para modelos de Foundry.
Agentes, evaluaciones y procesamiento por lotes
Microsoft administra completamente los agentes, las evaluaciones y los trabajos por lotes. Las cargas de trabajo del agente se ejecutan dentro de la infraestructura de contenedor de la plataforma, que admite la integración de red virtual para escenarios aislados de red. Las evaluaciones invocan puntos de conexión de modelo, comparan salidas con criterios de calificación y almacenan los resultados dentro del ámbito del proyecto. El procesamiento por lotes crea las solicitudes de inferencia para ejecución asíncrona a precios reducidos por token. Los resultados de los tres tipos de carga de trabajo son accesibles a través del portal o el SDK.
Integración de red virtual
Cuando los agentes se conectan con sistemas externos, puede aislar el tráfico de red mediante la inserción de contenedores, donde la plataforma inserta una subred en la red virtual, lo que permite la comunicación local con los recursos de Azure dentro de la misma red virtual.
Foundry admite dos modelos de red para el aislamiento de salida:
| Modelo | Cómo funciona | Compromiso |
|---|---|---|
| Red virtual administrada por el cliente (BYO) | Proporcionas el VNet y una subred dedicada delegada a Microsoft.App/environments. La plataforma se integra en tu subred, lo que permite la comunicación local con tus recursos privados de Azure. |
Control total sobre la configuración de red; requiere su propia administración de red. |
| Red virtual administrada (versión preliminar) | Foundry administra la red virtual en su nombre. | Configuración más sencilla; limita las opciones de personalización. Para más información, consulte Configuración de una red virtual administrada. |
Nota
Algunos escenarios aislados de red requieren el SDK o la CLI en lugar del portal. Por ejemplo, las implementaciones con puntos de conexión privados que bloquean todo el acceso público no se pueden configurar a través de la interfaz de usuario del portal. Para obtener más información, consulte Configuración de un vínculo privado para Foundry.
Aislamiento de inquilinos
Las cargas de trabajo se ejecutan en entornos lógicamente aislados por recurso de Foundry. El código del cliente no comparte contenedores en tiempo de ejecución con otros inquilinos.
Seguridad y barreras de protección del contenido
Foundry integra controles de seguridad para el contenido en la canalización de inferencia de modelos y agentes. Los límites de protección definen riesgos para detectar, puntos de intervención para examinar (entrada de usuario, salida, llamadas a herramientas (versión preliminar) y respuestas de herramientas (versión preliminar) y acciones de respuesta cuando se detecta un riesgo. Los filtros de contenido se ejecutan en línea con solicitudes de modelo y se pueden configurar por implementación. Para obtener más información, consulte Información general sobre los límites y controles de protección yNiveles de gravedad de filtrado de contenido.
Disponibilidad regional
Las funcionalidades de proceso varían según la región de Azure. La disponibilidad del modelo, las opciones de tipo de implementación y la compatibilidad con características, como agentes o evaluaciones, pueden diferir entre regiones. Confirme que la región de destino admite las funcionalidades necesarias antes del aprovisionamiento. Para obtener la disponibilidad actual, consulte Disponibilidad de características entre regiones en la nube.
Almacenamiento de datos
Foundry proporciona opciones de almacenamiento de datos flexibles y seguras para admitir una amplia gama de cargas de trabajo de inteligencia artificial.
Almacenamiento administrado para la carga de archivos
En la configuración predeterminada, Foundry usa cuentas de almacenamiento administradas por Microsoft que están separadas lógicamente y admiten cargas de archivos directas para casos de uso seleccionados, como modelos y agentes de OpenAI, sin necesidad de una cuenta de almacenamiento proporcionada por el cliente.
Traiga su propio almacenamiento
Opcionalmente, puede conectar sus propias cuentas de Azure Storage. Las herramientas de fundición como evaluaciones y procesamiento por lotes pueden leer entradas y escribir salidas en estas cuentas. Para más detalles sobre escenarios compatibles, consulta Bring-your-own resources with the Agent service.
Almacenamiento de estado del agente
- Con la configuración básica del agente, el servicio agente almacena subprocesos, mensajes y archivos en el almacenamiento multiinquilino administrado por Microsoft, con separación lógica.
- Con la configuración del agente estándar, proporcionas tus propios recursos de Azure para gestionar todos los datos del cliente, incluidos los archivos, las conversaciones y los almacenes de vectores. En esta configuración, el proyecto aísla los datos dentro de las cuentas de almacenamiento.
Cifrado de claves administradas por el cliente
De forma predeterminada, los servicios de Azure cifran los datos en reposo y en tránsito mediante claves administradas por Microsoft con cifrado AES compatible con FIPS 140-2 compatible con 256 bits. No se requieren cambios en el código.
Para usar sus propias claves en su lugar, confirme estos requisitos previos antes de habilitar las claves administradas por el cliente para Foundry:
- Key Vault se implementa en la misma región de Azure que el recurso Foundry.
- La eliminación temporal y la protección de purga están habilitadas en el Key Vault.
- Las identidades administradas tienen permisos de clave necesarios, como el rol de usuario criptográfico de Key Vault al usar RBAC de Azure.
Traiga su propio almacén de claves
De forma predeterminada, Foundry almacena todos los secretos de conexión basados en claves de API en una instancia administrada de Azure Key Vault. Si prefiere administrar los secretos usted mismo, conecte su bóveda de claves al recurso Foundry. Una conexión de Azure Key Vault administra todos los secretos de conexión de nivel de proyecto y de recurso. Para obtener más información, consulte cómo configurar una conexión de Azure Key Vault a Foundry.
Para más información sobre el cifrado de datos, consulte Claves administradas por el cliente para el cifrado con Foundry.
Residencia de datos y cumplimiento
Foundry almacena todos los datos en reposo en la geografía de Azure designada. Los datos de inferencia (avisos y finalizaciones) se procesan según el tipo de implementación: las implementaciones globales pueden enrutarse a cualquier región de Azure, las implementaciones de zona de datos están limitadas a la zona estadounidense o europea, y las implementaciones estándar o regionales se procesan dentro de su respectiva región de implementación. Para obtener más información, consulte Tipos de implementación. Foundry no soporta conmutación automática entre regiones. Si su organización requiere disponibilidad en varias regiones, implemente recursos de Foundry independientes en cada región de destino y administre la sincronización y el enrutamiento de datos en el nivel de aplicación. Para más información sobre la certificación de cumplimiento, consulte la documentación de cumplimiento de Azure.
Validar decisiones de arquitectura
Antes de la implementación, valide lo siguiente para el entorno de destino:
- Compruebe que los modelos y características necesarios están disponibles en las regiones de implementación. Para más información, consulte Disponibilidad de características entre regiones en la nube.
- Compruebe que las asignaciones de roles tienen un ámbito correcto en los niveles de recursos y proyectos de Foundry. Para obtener más información, consulte Control de acceso basado en rol para Microsoft Foundry.
- Valide los requisitos de aislamiento de red y las rutas de acceso privado. Para obtener más información, consulte Configuración de un vínculo privado para Foundry.
- Confirme los requisitos de cifrado y administración de secretos, incluidas las claves administradas por el cliente y la integración de Azure Key Vault. Para más información, consulte Claves administradas por el cliente para el cifrado con Foundry y cómo configurar una conexión de Azure Key Vault a Foundry.
- Revise las cuotas y los límites de los recursos de destino, incluidos los límites de implementación del modelo y los límites de velocidad. Para más información, consulte Cuotas y límites de Azure OpenAI y límites, cuotas y regiones del servicio del agente.
Contenido relacionado
- Despliegue de Foundry en mi organización
- Control de acceso basado en rol para Microsoft Foundry
- Claves administradas por el cliente para el cifrado con Foundry
- Configuración de un vínculo privado para Foundry
- Use sus propios recursos con el servicio de agente
- Introducción a Azure Monitor
- Límites y cuotas de Azure OpenAI
- Tipos de implementación para Modelos Foundry
- Información general sobre los límites de protección y los controles
- Disponibilidad de características en regiones de la nube