Die Integration von Azure OpenAI in Unternehmensumgebungen eröffnet neue Möglichkeiten für KI-gestützte Anwendungen. Gleichzeitig stellt sie IT-Architekten und Administratoren vor die Herausforderung, diese Dienste sicher, compliant und skalierbar bereitzustellen. Microsoft hat hierzu eine neue Referenzarchitektur für Landing Zones veröffentlicht, die als Blaupause für den Aufbau einer robusten Umgebung dient.
Eine Landing Zone ist eine strukturierte Umgebung in Azure, die Governance, Sicherheit und Skalierbarkeit von Anfang an berücksichtigt. Für Azure OpenAI bedeutet dies:
- Netzwerkarchitektur mit kontrolliertem Zugriff auf KI-Dienste.
- Identitäts- und Zugriffsmanagement (Azure AD, RBAC).
- Compliance und Datenresidenz für sensible Unternehmensdaten.
- Monitoring und Kostenkontrolle durch integrierte Azure-Dienste.
Kernkomponenten der Referenzarchitektur
Die Architektur basiert auf dem Cloud Adoption Framework (CAF) und erweitert es um KI-spezifische Anforderungen:
- Hub-and-Spoke-Netzwerkmodell für isolierte Workloads.
- Private Endpoints für sichere Kommunikation mit Azure OpenAI.
- Policy-Definitionen zur Einhaltung von Unternehmensrichtlinien.
- Automatisierte Bereitstellung via Infrastructure-as-Code (z. B. Bicep oder Terraform).
Unternehmen, die Azure OpenAI produktiv einsetzen möchten, benötigen eine Umgebung, die:
- Skalierbar für wachsende KI-Workloads ist.
- Sicher gegenüber Datenlecks und unautorisiertem Zugriff bleibt.
- Governance-konform mit regulatorischen Anforderungen arbeitet.
Die Referenzarchitektur bietet einen klaren Einstiegspunkt, um diese Ziele zu erreichen – ohne jedes Detail selbst entwerfen zu müssen.
Die Azure OpenAI Landing Zone ist eine Referenzarchitektur, die eine Vielzahl von Diensten integriert, um eine nahtlose Infrastruktur für die Ausführung von OpenAI-Workloads zu schaffen.
Im Detail umfasst die OpenAI Landing Zone
- Azure API Management (APIM)
- Bietet ein einheitliches API-Gateway für bestehende Back-End-Dienste und APIs. Es wird in der Landing Zone zur Verwaltung und Sicherung von APIs verwendet, die von OpenAI-Anwendungen verwendet werden. APIM kann mit einem Application Gateway als Web Application Firewall (WAF) konfiguriert werden, um die Sicherheit weiter zu verbessern. Das WAF schützt APIs vor gängigen webbasierten Angriffen wie SQL-Injection oder Cross-Site Scripting (XSS) und kann an spezifische Anforderungen angepasst werden.
- Mit APIM können Sie Richtlinien wie Zinsdrosselung und Quoten verwalten und implementieren.
- Azure Web Apps
- Bietet eine vollständig verwaltete Plattform zum Erstellen und Hosten von Webanwendungen. Es wird zum einfachen Hosten von Webanwendungen verwendet, die OpenAI-Dienste in der Landezone nutzen.
- Azure AI-Dienste
- Bietet KI-Dienste wie Azure Semantic Search, die sich problemlos in intelligente Anwendungen integrieren lassen. OpenAI-Dienste, die Teil von Azure AI-Diensten sind, nutzen dies, um erweiterte Sprachmodelle bereitzustellen.
- Verwaltete Azure-Identitäten
- Bietet eine Identität für Anwendungen, die bei der Verbindung mit Ressourcen verwendet werden können. In der Landing Zone ermöglicht es OpenAI-Anwendungen, sich bei jedem Azure-Dienst zu authentifizieren, der die Azure Active Directory-Authentifizierung unterstützt.
- OpenAI unterstützt die Azure Active Directory (Azure AD)-Authentifizierung mit Verwaltete Identitäten für Azure-Ressourcen. Verwaltete Identitäten für Azure-Ressourcen können den Zugriff auf Azure AI-Dienstressourcen mithilfe von Azure AD-Anmeldeinformationen von Anwendungen autorisieren, die in virtuellen Azure-Maschinen (VMs), Funktions-Apps, Skalensätzen virtueller Maschinen und anderen Diensten ausgeführt werden. Durch die Verwendung verwalteter Identitäten für Azure-Ressourcen zusammen mit der Azure AD-Authentifizierung können Sie vermeiden, Anmeldeinformationen bei Ihren Anwendungen zu speichern, die in der Cloud ausgeführt werden.
- Azure Application Gateway
- Ein Application Gateway kann als Web Application Firewall (WAF) fungieren und Schutz vor häufigen webbasierten Angriffen bieten. Das WAF ist mit einem benutzerdefinierten Regelsatz konfiguriert, der den Anforderungen Ihrer OpenAI-Anwendung entspricht, um sicherzustellen, dass nur autorisierter Zugriff gewährleistet ist.
- Azure Private DNS-Zonen
- Dieser Dienst bietet Namensauflösung für VMs innerhalb eines VNet und zwischen VNets. Dies ist wichtig für eine effiziente Kommunikation zwischen Diensten in Azure.
- Azure Private DNS Resolver
- In Kombination mit privaten DNS-Zonen trägt der Azure Private DNS Resolver dazu bei, sicherzustellen, dass die Namensauflösung für Ressourcen in Ihrem virtuellen Netzwerk sicher und privat ist. Dieser Dienst leitet DNS-Abfragen für bestimmte Domänen an Ihre eigenen DNS-Server weiter und verbessert so die Kontrolle über DNS-Ergebnisse.
Die Azure OpenAI Landing Zone integriert alle diese Dienste, um eine sichere und effiziente Umgebung für die Bereitstellung und Ausführung von OpenAI-Workloads bereitzustellen. Diese Architektur ist skalierbar, belastbar und anpassbar, um den individuellen Anforderungen Ihrer Anwendungen gerecht zu werden.
Netzwerk und Sicherheit in Azure
Azure bietet eine Reihe robuster Netzwerk- und Sicherheitsfunktionen, mit denen Sie Ihre OpenAI-Workloads sichern können.
- Azure Key Vault
- Dieser Dienst schützt kryptografische Schlüssel und Geheimnisse, die von Cloud-Anwendungen und -Diensten verwendet werden. In dieser Architektur speichert Key Vault Geheimnisse und Schlüssel für den OpenAI-Dienst und fügt so eine zusätzliche Sicherheitsebene für vertrauliche Daten hinzu.
- Azure Virtual Network (VNet)
- Mit Azure Virtual Network können Sie Azure-Ressourcen mit virtuellen Netzwerken (VNets) sicher miteinander verbinden. Ein VNet ist eine Darstellung Ihres eigenen Netzwerks in der Cloud und Sie können VNets auch mit Ihrem lokalen Netzwerk verbinden.
- Private Azure-Endpunkte
- Bietet sicheren, privaten IP-Adresszugriff über ein virtuelles Netzwerk. Dies wird in der Landezone verwendet, um eine sichere und private Konnektivität zu Azure OpenAI-Diensten sicherzustellen.
- Azure Private Link
- Azure Private Link bietet private Konnektivität von einem virtuellen Netzwerk zu Azure Platform as a Service (PaaS), kundeneigenen oder Microsoft-Partnerdiensten. Es vereinfacht die Netzwerkarchitektur und sichert die Verbindung zwischen Endpunkten in Azure, indem es die Datenexposition im öffentlichen Internet eliminiert.
- Azure Network Security Groups (NSGs)
- Netzwerksicherheitsgruppen (NSGs) sind eine Möglichkeit, den Zugriff zu kontrollieren und Ihre Ressourcen in Azure zu sichern. NSGs fungieren als Firewall und ermöglichen Ihnen die Definition einer Liste von Sicherheitsregeln, die den Netzwerkverkehr zu Ressourcen zulassen oder verweigern können.
- Azure Application Gateway und Web Application Firewall
- Azure Application Gateway ist ein Load Balancer, mit dem Sie den Datenverkehr zu Ihren Webanwendungen verwalten können. Die Web Application Firewall (WAF)-Funktion schützt Ihre Webanwendungen vor gängigen webbasierten Angriffen wie SQL-Injection und Cross-Site-Scripting. Das WAF ist vorkonfiguriert und bietet Schutz vor vielen gängigen Angriffen, kann jedoch basierend auf den Verkehrsmustern Ihrer Anwendung angepasst werden.
- Azure AI-Dienste und Netzwerksicherheit
- Azure AI Services bietet ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie Ihre KI-Dienstkonten für eine bestimmte Teilmenge von Netzwerken sichern. Wenn Netzwerkregeln konfiguriert sind, können nur Anwendungen auf das Konto zugreifen, die Daten über den angegebenen Satz von Netzwerken anfordern. Sie können den Zugriff auf Ihre Ressourcen durch Anforderungsfilterung einschränken und nur Anfragen zulassen, die von bestimmten IP-Adressen, IP-Bereichen oder aus einer Liste von Subnetzen in Azure Virtual Networks stammen.
Überwachung von Azure OpenAI
Wenn kritische Anwendungen und Geschäftsprozesse auf Azure-Ressourcen angewiesen sind, möchten Sie diese Ressourcen auf ihre Verfügbarkeit, Leistung und ihren Betrieb überwachen. Azure OpenAI Service sammelt die gleichen Arten von Überwachungsdaten wie andere Azure-Ressourcen. Plattformmetriken und das Aktivitätsprotokoll werden automatisch erfasst und gespeichert, können jedoch mithilfe einer Diagnoseeinstellung an andere Standorte weitergeleitet werden.
Azure Monitor-Warnungen benachrichtigen Sie proaktiv, wenn wichtige Bedingungen in Ihren Überwachungsdaten gefunden werden. Sie ermöglichen es Ihnen, Probleme in Ihrem System zu identifizieren und zu beheben, bevor Ihre Kunden sie bemerken. Im Kontext von Azure Open AI können Sie Metriken wie blockierte Anrufe, Clientfehler und andere proaktiv analysieren und überwachen.
Fazit
Azure Landing Zones und Azure OpenAI Service und bietet eine solide Grundlage für die Erstellung sicherer und skalierbarer KI-Anwendungen. Wer tiefer in die Umsetzung einsteigen möchte, findet in unserem Schulungs-Portfolio praxisorientierte Trainings zu Azure Governance, Landing Zones und KI-Integration.