Arquitectura de referencia de Azure OpenAI Landing Zone
Azure Landing Zones proporciona una base sólida para tu entorno de nube. Al desplegar servicios de IA complejos como Azure OpenAI, el uso de un enfoque de Landing Zone te ayuda a gestionar tus recursos de forma estructurada y coherente, garantizando que la gobernanza, el cumplimiento y la seguridad se mantienen adecuadamente.
Hoy profundizaremos en la sinergia de Azure Landing Zones y Azure OpenAI Service, construyendo un entorno de IA seguro y escalable. Desgranaremos la arquitectura de Azure OpenAI Landing Zone, que integra numerosos servicios de Azure para cargas de trabajo de IA óptimas. Además, también exploraremos las medidas de seguridad y la importancia de la monitorización para el éxito operativo.
Introducción a Azure OpenAI Service
Azure OpenAI Service es un servicio de IA gestionado que permite desplegar y gestionar modelos de IA basados en tecnologías OpenAI como GPT-4. Este servicio está integrado con Azure Machine Learning, lo que le permite construir, entrenar e implementar modelos de IA con la escalabilidad, seguridad y eficiencia de Azure. Además, Azure OpenAI ofrece opciones de precios flexibles, lo que lo hace rentable para diversos casos de uso.
Azure OpenAI Service se integra perfectamente con otros servicios de Azure, lo que le proporciona la flexibilidad necesaria para crear e implementar aplicaciones de IA complejas con facilidad.
Arquitectura de referencia
Azure OpenAI Landing Zone es una arquitectura de referencia que integra una variedad de servicios para crear una infraestructura perfecta para ejecutar cargas de trabajo de OpenAI.
Gestión de API de Azure (Azure API Management: APIM)
Proporciona una pasarela de API unificada para los servicios de back-end y API existentes. Se utiliza en la zona de aterrizaje para gestionar y proteger las API utilizadas por las aplicaciones OpenAI. APIM puede configurarse con un Application Gateway como Web Application Firewall (WAF) para mejorar aún más la seguridad. El WAF protege las API de ataques comunes basados en web como la inyección SQL o el Cross-Site Scripting (XSS) y puede personalizarse para adaptarse a necesidades específicas.
Con APIM puedes gestionar y aplicar políticas como la limitación de velocidad y las cuotas.
Azure Web Apps
Proporciona una plataforma totalmente gestionada para crear y alojar aplicaciones web. Se utiliza para alojar de forma sencilla aplicaciones web que consumen servicios OpenAI en la Landing Zone.
Servicios Azure AI
Ofrece servicios de IA como Azure Semantic Search que pueden integrarse fácilmente en aplicaciones inteligentes. Los servicios OpenAI, al formar parte de los servicios Azure AI, aprovechan esto para ofrecer modelos lingüísticos avanzados.
Identidades gestionadas de Azure
Proporciona una identidad para que las aplicaciones la utilicen al conectarse a los recursos. En la zona de aterrizaje, permite a las aplicaciones de OpenAI autenticarse en cualquier servicio de Azure que admita la autenticación de Azure Active Directory.
OpenAI admite la autenticación de Azure Active Directory (Azure AD) con identidades gestionadas para recursos Azure. Las identidades gestionadas para recursos Azure pueden autorizar el acceso a recursos de servicios Azure AI utilizando credenciales Azure AD desde aplicaciones que se ejecutan en máquinas virtuales (VM) Azure, aplicaciones de funciones, conjuntos de escalado de máquinas virtuales y otros servicios. Al utilizar las identidades gestionadas para los recursos de Azure junto con la autenticación de Azure AD, puede evitar almacenar credenciales con sus aplicaciones que se ejecutan en la nube.
Puerta de enlace de aplicaciones Azure
Un Application Gateway puede funcionar como un Web Application Firewall (WAF) que proporciona protección contra ataques comunes basados en la web. El WAF se configura con un conjunto personalizado de reglas que coinciden con los requisitos de su OpenAI Applicartion para garantizar sólo el acceso autorizado.
Zonas DNS privadas de Azure
Este servicio proporciona resolución de nombres para máquinas virtuales dentro de una red virtual y entre redes virtuales. Esto es importante para una comunicación eficiente entre servicios en Azure.
Resolución DNS Privado Azure
En combinación con Private DNS Zones, Azure Private DNS Resolver ayuda a garantizar que la resolución de nombres para los recursos en su red virtual sea segura y privada. Este servicio reenvía las consultas DNS para dominios específicos a sus propios servidores DNS, mejorando el control sobre los resultados DNS.
Azure OpenAI Landing Zone
Azure OpenAI Landing Zone integra todos estos servicios para proporcionar un entorno seguro y eficiente para desplegar y ejecutar cargas de trabajo de OpenAI. Esta arquitectura está diseñada para ser escalable, resistente y personalizable para adaptarse a las necesidades únicas de sus aplicaciones.
Redes y seguridad
Azure proporciona un sólido conjunto de funciones de red y seguridad que pueden utilizarse para proteger las cargas de trabajo de OpenAI.
Azure Key Vault
Este servicio protege las claves criptográficas y los secretos utilizados por las aplicaciones y servicios en la nube. En esta arquitectura, Key Vault almacena secretos y claves para el servicio OpenAI, añadiendo una capa extra de seguridad para los datos sensibles.
Red virtual Azure (VNet)
Azure Virtual Network le permite conectar de forma segura los recursos de Azure entre sí con redes virtuales (VNets). Una VNet es una representación de su propia red en la nube y también puede conectar VNets a su red local.
Azure Private Endpoints
Proporciona acceso seguro y privado a direcciones IP a través de una red virtual. Se utiliza en la Zona de Aterrizaje para garantizar una conectividad segura y privada a los servicios Azure OpenAI.
Azure Private Link
Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma Azure como servicio (PaaS), propiedad del cliente o servicios de socios de Microsoft. Simplifica la arquitectura de red y asegura la conexión entre puntos finales en Azure eliminando la exposición de datos a la Internet pública.
Grupos de seguridad de red de Azure (Network Security Groups: NSG)
Los grupos de seguridad de red (NSG) son una forma de controlar el acceso y proteger tus recursos en Azure. Los NSG actúan como un cortafuegos, permitiéndote definir una lista de reglas de seguridad que pueden permitir o denegar el tráfico de red a los recursos.
Azure Application Gateway y Web Application Firewall
Azure Application Gateway es un equilibrador de carga que le permite gestionar el tráfico hacia tus aplicaciones web. La función Web Application Firewall (WAF) protege tus aplicaciones web de ataques comunes basados en web como SQL injection y cross-site scripting. El WAF viene preconfigurado con protección contra muchos ataques comunes, pero se puede personalizar en función de los patrones de tráfico de su aplicación.
Servicios Azure AI y seguridad de la red
Azure AI Services ofrece un modelo de seguridad por capas. Este modelo te permite proteger tus cuentas de servicios de IA a un subconjunto específico de redes. Cuando se configuran las reglas de red, sólo las aplicaciones que solicitan datos a través del conjunto especificado de redes pueden acceder a la cuenta. Puedes limitar el acceso a tus recursos con el filtrado de solicitudes, permitiendo sólo solicitudes originadas desde direcciones IP especificadas, rangos de IP o desde una lista de subredes en Azure Virtual Networks.
Supervisión del servicio Azure OpenAI
Cuando tienes aplicaciones y procesos empresariales críticos que dependen de los recursos de Azure, deseas supervisar dichos recursos para comprobar su disponibilidad, rendimiento y funcionamiento.
Azure OpenAI Service recopila los mismos tipos de datos de supervisión que otros recursos de Azure. Las métricas de la plataforma y el registro de actividad se recopilan y almacenan automáticamente, pero pueden dirigirse a otras ubicaciones mediante una configuración de diagnóstico.
Las alertas de Azure Monitor le notifican proactivamente cuando se encuentran condiciones importantes en sus datos de supervisión. Te permiten identificar y abordar problemas en tu sistema antes de que sus clientes los detecten. En el contexto de Azure Open AI puede analizar y supervisar de forma proactiva métricas como llamadas bloqueadas, errores de cliente y otras.
Azure Landing Zones y Azure OpenAI Service trabajan juntos
En conclusión te hemos ofrecido una breve exploración de cómo Azure Landing Zones y Azure OpenAI Service trabajan juntos, proporcionando una base sólida para crear aplicaciones de IA seguras y escalables. Profundiza en los detalles de la arquitectura de referencia de Azure OpenAI Landing Zone, destacando cómo combina varios servicios de Azure para mejorar y agilizar las tareas de OpenAI.
Por último, la combinación de Azure Landing Zones y Azure OpenAI Service ofrece un potente conjunto de herramientas que facilita la creación, despliegue y gestión de aplicaciones de IA. Con Azure Landing Zones, puedes estar seguro de que tus despliegues de Azure OpenAI están preparados para el éxito, satisfaciendo tus necesidades de gobernanza, cumplimiento y seguridad.
¿Quieres saber más sobre Azure OpenAI Landing Zone? En DQS/ te asesoramos. ¿Por qué no nos preguntas cómo podemos ayudarte?
Esta información está basada en la publicación de Freddy Ayala «Azure OpenAI Landing Zone reference architecture» en Microsoft Tech Community.