Panoramica delle configurazioni di IA e LLM in Microsoft Cloud for Sovereignty (anteprima)

Importante

Questa è una funzionalità di anteprima. Queste informazioni si riferiscono a una funzionalità non definitiva che potrebbe essere sostanzialmente modificata prima del rilascio. Microsoft non offre alcuna garanzia, esplicita o implicita, relativamente alle informazioni fornite.

Le organizzazioni del settore pubblico possono trarre vantaggio dalla più recente innovazione dell'intelligenza artificiale nel cloud pubblico, gestendo al tempo stesso i propri dati in conformità con le politiche locali e i requisiti normativi mediante Microsoft Cloud for Sovereignty.

Microsoft Cloud for Sovereignty offre agilità e flessibilità, funzionalità avanzate di cybersecurity e accesso alle innovazioni più recenti, come OpenAI di Azure, per accelerare la trasformazione digitale e la fornitura di servizi pubblici essenziali. Questa soluzione consente ai clienti di creare e trasformare digitalmente i carichi di lavoro in Microsoft Cloud soddisfacendo nel contempo molti dei relativi requisiti relativi a conformità, sicurezza e criteri.

Il servizio Azure OpenAI fornisce l'accesso ai potenti modelli linguistici di OpenAI, tra cui le serie di modelli GTP4-o, GPT-4, GPT-3.5-Turbo ed Embeddings. Questi modelli linguistici fondamentali sono stato precedentemente sottoposti a training con grandi quantità di dati per eseguire attività, come la generazione di contenuti, il riepilogo, la ricerca semantica e la traduzione dal linguaggio naturale al codice. Puoi usare il servizio OpenAI di Azure per accedere ai modelli sottoposti a training preliminare e creare applicazioni basata sull'intelligenza artificiale più rapidamente e con il minimo sforzo utilizzando al contempo Microsoft Cloud for Sovereignty per applicare i requisiti relativi a conformità, sicurezza e criteri con controlli sovrani su scala aziendale e architettura cloud.

Benefit

Puoi utilizzare i servizi OpenAI di Azure sui dati per:

  • Aumentare la produttività dei dipendenti riducendo la quantità di tempo di cui hanno bisogno per trovare informazioni critiche nella Knowledge Base collettiva dell'organizzazione.

  • Aumentare la soddisfazione degli utenti semplificando regolamenti o requisiti di programma complessi.

Caso d'uso di esempio

I casi d'uso sovrani sono meglio implementati in base alla zona di destinazione sovrana (SLZ). La SLZ è costituita da una gerarchia di gruppi di gestione e da risorse di piattaforma comuni per facilitare le identità di rete, registrazione e servizio gestito. Il diagramma seguente mostra l'architettura della distribuzione iniziale della zona di atterraggio del Sovereign.

Architettura della zona di atterraggio iniziale del Sovereign.

Il gruppo di gestione radice di una SLZ viene comunemente definito zona di destinazione o zona di destinazione su scala aziendale. Le singole sottoscrizioni che risiedono in uno dei gruppi di gestione figlio sotto quello padre vengono comunemente definite zone di destinazione delle applicazioni o zone di destinazione dei carichi di lavoro. I carichi di lavoro delle applicazioni possono essere distribuiti in un ambiente SLZ in una delle quattro zone di destinazione predefinite:

  • Corp (corporate) - Carichi di lavoro non riservati e non accessibili a Internet

  • Online - Carichi di lavoro non riservati e rivolti a Internet

  • Società riservata - Carichi di lavoro riservati e non accessibili a Internet (consente l'utilizzo solo di risorse informatiche riservate)

  • Riservato online - Carichi di lavoro riservati e accessibili tramite Internet (consente l'utilizzo solo di risorse informatiche riservate)

La differenza principale tra i gruppi di gestione Aziendale e Online è il modo in cui gestiscono gli endpoint pubblici. L'ambiente Online consente l'utilizzo di endpoint pubblici, a differenza dell'ambiente Aziendale. Ulteriori informazioni sull'architettura della SLZ.

In una SLZ ambiente, dovresti distribuire soluzioni basate sull'intelligenza artificiale come carichi di lavoro dedicati nei propri abbonamenti all'interno della gerarchia del gruppo di gestione Corp o Online .

Si consiglia di utilizzare Corp ambiente come modello standard sicuro per l'implementazione di applicazioni basate su Large modello linguistico (LLM) tramite Retrieval Augmented Generation (RAG) come agenti per uso interno all'organizzazione. Occorre che le connessioni ExpressRoute o basate su VPN accedano alle API front-end o alle interfacce utente che si connettono ai servizi di Azure per intelligenza artificiale e forniscono funzionalità LLM agli utenti finali o consumatori.

Per offrire al pubblico applicazioni basate su LLM o RAG, utilizza le zone di destinazione dei carichi di lavoro nella gerarchia del gruppo di gestione Online. Tuttavia, devi accedere a tutti i servizi richiesti per l'implementazione tramite endpoint privati in modo sicuro nella rete virtuale. Specifica solo l'API o l'applicazione Web front-end tramite un endpoint pubblico agli utenti finali o ai consumatori.

In questo caso, è consigliabile che tu protegga l'endpoint pubblico con un Web Application Firewall. Dovresti anche applicare e configurare DDoS appropriati e altri servizi di sicurezza. A seconda delle preferenza, questa configurazione potrebbe avvenire a livello centrale nella rete virtuale dell'hub o in modo decentralizzato nella rete virtuale del carico di lavoro.

Se è necessario integrare dati da zone di destinazione Riservate con carichi di lavoro di intelligenza artificiale, è necessario eseguire i processi di trasformazione che elaborano e archiviano i dati in servizi quali Azure AI Services, come Azure AI Search o Azure OpenAI, all'interno di una zona di destinazione Riservata . Inoltre, questi processi devono filtrare e gestire attivamente i dati per impedire l'invio di dati riservati che devono essere crittografati durante l'utilizzo in servizi e carichi di lavoro non riservati. Devi implementare questo filtro nelle regole business personalizzate caso per caso.

Se hai bisogno di acquisire, trasformare e consumare dati tramite carichi di lavoro di intelligenza artificiale, ti consigliamo di distribuire una zona di destinazione dei dati allineata ai domini dei dati. Una zona di destinazione dei dati presenta diversi livelli che consentono l'agilità per la gestione delle integrazioni dei dati e dei prodotti dati che contiene.

Una data landing zone fa parte dello scenario di analisi su scala cloud del Cloud Adoption Framework, un approccio completo e basato su opinioni, progettato per accelerare e semplificare l'implementazione di soluzioni di analisi avanzate nel cloud. ... Fornisce una metodologia strutturata, che comprende best practice e servizi standardizzati, per facilitare l'acquisizione, la trasformazione e il consumo di dati in vari domini. Utilizzando questo scenario, le organizzazioni possono ottenere maggiore agilità e scalabilità nelle loro operazioni sui dati, garantendo una condivisione e una governance dei dati sicure. Questo framework non solo ottimizza le prestazioni dei carichi di lavoro analitici, ma migliora anche l'integrazione e la gestione fluide dei prodotti dati, favorendo in ultima analisi processi decisionali più approfonditi e informati.

Puoi distribuire una nuova zona di destinazione dei dati con un set standard di servizi che consentono alla zona di destinazione dei dati di iniziare ad acquisire e analizzare i dati. Puoi connettere la zona di destinazione dei dati alla zona di destinazione dei dati LLM e a tutte le altre zone di destinazione dei dati con il peering di reti virtuali. Questo meccanismo ti consente di condividere i dati in modo sicuro attraverso la rete interna di Azure, ottenendo al contempo una latenza inferiore e una velocità effettiva più elevata rispetto alla trasmissione attraverso l'hub.

Alcune implementazioni potrebbero richiedere l'uso di dati sensibili o riservati che richiedono la crittografia in uso, disponibile con il computing riservato. Per questo scenario, puoi eseguire soluzioni di dati basate su macchine virtuali nelle zone di destinazione del gruppo di gestione Riservata. Alcuni servizi di dati PaaS potrebbero non essere eseguiti in macchine virtuali riservate.

Passaggi successivi