Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use Azure Policy para controlar qué modelos puede incluir un desarrollador en una implementación de enrutador de modelos en Microsoft Foundry. El enrutador de modelos respeta la misma directiva de implementación de modelos foundry integrada que rige las implementaciones de modelos estándar, pero aplica la directiva al subconjunto de modelos que un desarrollador puede seleccionar durante la configuración del enrutador de modelos. Este control aplicado en el momento de la implementación proporciona a los administradores de la plataforma un único mecanismo basado en directivas para mantener en conformidad las implementaciones del enrutador de modelos a través del portal, la API, la CLI y las plantillas de Azure Resource Manager (ARM).
En este artículo se muestra a los administradores de TI cómo asignar una directiva que rige el enrutador del modelo y se muestra a los desarrolladores qué esperar cuando implementan el enrutador de modelos en un proyecto donde una directiva está activa.
Prerrequisitos
Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta gratuita de Azure.
Un recurso de Foundry en una región que admita el enrutador de modelos. Para obtener más información, consulte Usar el enrutador de modelos para Microsoft Foundry.
Permisos para asignar Azure Policy. Para crear y asignar directivas, debe ser un Owner o Resource Policy Contributor en el nivel de suscripción o de grupo de recursos.
Familiaridad con Azure Policy. Para más información, consulte ¿Qué es Azure Policy?.
Cómo el enrutador de modelos cumple con Azure Policy
Cuando una directiva de Azure que limita los modelos aprobados está activa en el ámbito de la suscripción o del grupo de recursos, el selector de modelos aplica la directiva en el momento de la implementación en todas las interfaces:
- Portal de Foundry: el selector de subconjuntos de modelos enumera todos los modelos compatibles con el enrutador de modelos, pero las casillas para los modelos no aprobados están deshabilitadas. Un banner explica que las selecciones se rigen por Azure Policy.
- REST API, CLI de Azure y plantillas de ARM: una implementación del enrutador de modelos que incluye un modelo no aprobado se rechaza con una infracción de directiva. El comportamiento es coherente con el portal: la misma decisión de directiva se aplica independientemente de cómo se cree la implementación.
- Implementaciones existentes (brownfield): al actualizar o asignar una directiva, Azure Policy vuelve a evaluar las implementaciones existentes del enrutador de modelos y muestra las implementaciones no conformes en el panel de Cumplimiento. Después, puede corregir quitando la implementación no conforme o actualizando el subconjunto de modelos.
Se conserva la detectabilidad del modelo. Los modelos no aprobados permanecen visibles en la lista de subconjuntos de modelos para que los desarrolladores puedan ver el conjunto completo de modelos admitidos y solicitar aprobación a través de su administrador si necesitan un modelo que no esté en la lista de permitidos.
En la captura de pantalla siguiente se muestra el panel de implementación en el portal de Foundry cuando una directiva está activa. El banner de restricción explica que la directiva de la organización excluye determinados modelos del enrutamiento y los desarrolladores pueden seleccionar Ver bloqueado para ver qué modelos están bloqueados.
Asigne una directiva que controla el enrutador de modelos
El enrutador de modelos usa la misma directiva integrada de Foundry que rige otras implementaciones de modelos: las implementaciones de Cognitive Services solo deben usar modelos de registro aprobados. Para asignar o actualizar la directiva, siga los pasos descritos en Directiva integrada para la implementación del modelo. Los nombres del editor y los identificadores de recursos que permita se aplican automáticamente a las selecciones del enrutador de modelos. No se requiere ninguna definición de directiva independiente.
Tip
Aplique la directiva al grupo de recursos o a la suscripción que contiene los recursos de Foundry. El selector de subconjuntos del modelo evalúa la directiva en el ámbito en el que se crea el recurso Foundry.
Después de asignar la directiva, espere hasta 15 minutos para que la asignación se propague antes de probarla en una implementación del enrutador de modelos.
Implementar el enrutador de modelos con una directiva en vigor
En las secciones siguientes se describe lo que un desarrollador experimenta cuando una directiva que restringe los modelos aprobados está activa.
Portal de fundición
En el portal de Foundry, abra el proyecto y vaya al catálogo de modelos.
Busque
model-routeren la lista Modelos y seleccione Implementar.Cuando una directiva está activa, aparece un banner de restricción en la parte superior de la página de detalles del modelo. El banner le informa de que la directiva de su organización excluye determinados modelos del enrutamiento.
Para obtener una vista previa de los modelos que se excluyen, seleccione Ver bloqueado. El cuadro de diálogo Modelos bloqueados por el administrador de TI muestra los modelos que la directiva de su organización excluye del enrutamiento.
En el panel de implementación, elija Configuración personalizada para expandir la configuración del subconjunto de modelos.
En la sección Subconjunto de modelos , seleccione Enrutar a un subconjunto de modelos.
Cuando una directiva está activa, aparece un banner informativo en la parte superior de la lista de modelos que indica que la selección se rige por la Azure Policy de su organización. El banner le pide que se comunique con el administrador de TI para solicitar cambios.
Seleccione en los modelos habilitados (aprobados). Los modelos no aprobados permanecen visibles, pero sus casillas están deshabilitadas.
Para revisar la lista completa de modelos bloqueados en el panel de implementación, seleccione Ver bloqueado en el banner de restricción.
Seleccione Implementar. La implementación usa el subconjunto de modelos compatible.
Para ver el tutorial completo de implementación que no incluye pasos de directiva, consulte Usar el enrutador de modelos para Microsoft Foundry.
API REST, CLI de Azure y plantillas de ARM
Al crear una implementación de enrutador de modelo desde fuera del portal, Azure Policy se evalúa en el plano de control. Si la solicitud de implementación incluye un modelo que no está en la lista de permitidos, la solicitud se rechaza con una respuesta de infracción de directiva y no se crea ninguna implementación del enrutador de modelos.
Para mantener la conformidad en la línea de comandos:
Identifique los Id. de recursos del modelo aprobado y los nombres de los editores desde la asignación de directivas o de su administrador de TI.
Al crear el cuerpo de la solicitud para la implementación del enrutador de modelos, incluya solo los modelos aprobados en el subconjunto de modelos.
Envíe la implementación con los ejemplos de la API REST de Usar el enrutador de modelos para Microsoft Foundry.
Si se produce un error en la solicitud, inspeccione el mensaje de respuesta para ver qué modelo desencadenó la directiva. Actualice el cuerpo de la solicitud para quitar el modelo no conforme y volver a enviar.
Auditar implementaciones de enrutador de modelos existentes
Al asignar una nueva directiva o al actualizar una directiva existente para no permitir que un modelo que ya esté en uso, Azure Policy vuelva a evaluar las implementaciones existentes del enrutador de modelos en el siguiente ciclo de evaluación de cumplimiento. Siga estos pasos para buscar y corregir implementaciones no conformes:
En el portal de Azure, seleccione Policy.
Seleccione Cumplimiento y busque su asignación de directiva. Las implementaciones del enrutador de modelos no conformes aparecen en la vista Cumplimiento de recursos.
Para cada implementación no compatible, elija una de las siguientes rutas de corrección:
- Actualice la implementación del enrutador de modelos para quitar el modelo no permitido del subconjunto de modelos.
- Elimine la implementación del enrutador de modelos y cree una que use solo modelos aprobados.
Los resultados de cumplimiento pueden tardar hasta 24 horas en aparecer después de un cambio de directiva. Para forzar la evaluación antes, desencadene un análisis de evaluación a petición.
Troubleshoot
| Síntoma | Causa | Resolution |
|---|---|---|
| Las casillas del subconjunto de modelos están deshabilitadas inesperadamente en el portal de Foundry | Una asignación de directiva en el ámbito de suscripción o grupo de recursos restringe los modelos afectados. | Compruebe el banner en la parte superior de la lista de subconjuntos de modelos. Póngase en contacto con el administrador de TI para solicitar una aprobación de modelo o una actualización de directiva. |
| Se produce un error en la implementación de la API o la CLI con una infracción de directiva, pero los mismos modelos funcionan en el portal para un proyecto diferente. | El ámbito de asignación de directiva o los parámetros difieren entre los proyectos. | Compare el ámbito de asignación de la directiva y los valores del parámetro IDs de recurso permitidos de ambos proyectos en la vista Directiva>Asignaciones. |
| El modelo aprobado se bloquea inesperadamente | El identificador de recurso del modelo o el nombre del publicador en los parámetros de directiva no coincide exactamente con el modelo. | Los ID de recursos y los nombres de editores distinguen entre mayúsculas y minúsculas. Compare los valores de parámetro con la tarjeta de modelo en el catálogo de modelos. |
| El panel de cumplimiento no muestra un cambio reciente | La evaluación de cumplimiento aún no se ha completado. | Espere al siguiente ciclo de evaluación (hasta 24 horas) o desencadene un examen de evaluación a petición. |
| El banner de directiva no aparece en el selector de subconjuntos del modelo | La asignación de directivas no se ha propagado, o no hay ninguna directiva asignada en el ámbito del recurso. | Espere hasta 15 minutos para que se propague una nueva asignación. Compruebe que existe una asignación en el ámbito de la suscripción o del grupo de recursos. |