Niveau : ★★★★☆
Seconde partie pour cet article dédié aux Landing Zones et plus particulièrement à la Landing Zone Data et la Landing Zone IA. La première partie (Data) est à retrouver sur ce lien : https://thierrybtblog.wordpress.com/2024/01/02/architecture-conceptuelle-qui-mene-a-la-landing-zone-quid-des-briques-data-et-ia-1-2/
Avec l’arrivée en force des services IA en entreprise et la volonté (très claire, voir https://news.microsoft.com/ignite-2023/?WT.mc_id=AZ-MVP-5003759) de Microsoft d’accompagner l’adoption, il faut maintenant penser à déployer ces services dans les règles de l’art. C’est à dire dans une infrastructure conceptuelle classique avec l’ajout d’une Landing Zone dédiée IA.
On trouve quelques pistes de démarrage dans cet article récent, et c’est une très bonne base de départ.
https://techcommunity.microsoft.com/t5/azure-architecture-blog/azure-openai-landing-zone-reference-architecture/ba-p/3882102
Mais également sur cette vidéo : https://learn.microsoft.com/en-us/shows/azure-enablement/integrating-openai-into-your-azure-landing-zone
Voilà tout ce dont il est question en termes de services pour déployer cette LZ. La liste est complète et (peut-être) exhaustive.
-Azure API Management (APIM)
-Azure Web Apps
-Azure AI services
-Azure Managed Identities
-Azure Application Gateway
-Azure Private DNS Zones
-Azure Private DNS Resolver
-Azure Key Vault
-Azure Virtual Network (VNet)
-Azure Private Endpoints
-Azure Private Link
-Azure Network Security Groups (NSGs)
-Azure Application Gateway and Web Application Firewall
-Azure AI services and Network Security
Pas de surprise, ce sont des composants communs, que l’on retrouve dans de nombreuses architecture Azure et auxquels sont ajoutés les services propres à l’IA.
Pour une vue plus globale, tous les scénarios proposent une même image avec une subscription + une interconnexion VNet (peering) comme sur l’image suivante :
Une subscription de services IA (spoke) interconnectée avec la subscription de connectivité, le Hub. Là aussi, c’est une architecture assez classique, les services partagés du hub sont consommés par le spoke : https://learn.microsoft.com/fr-fr/azure/architecture/reference-architectures/hybrid-networking/hub-spoke?tabs=cli/?WT.mc_id=AZ-MVP-5003759
Il manque pourtant une information importante puisque AUCUN LIEN n’est proposé vers les managements groups. Et bien entendu, une subscription ne peut rester « orpheline », il faut donc lui trouver un management groups de rattachement ou créer pour ce besoin IA une nouvelle arborescence.
Solution 1 : Une nouvelle arborescence (depuis Contoso, mon MG intermédiaire).
Pourquoi pas. Ce n’est pas complètement à écarter. Un peu sur le modèle de la LZ Data avec l’ajout d’une branche dans l’arborescence puis éventuellement de sous branches. Un peu comme sur le schéma ci-dessous (voir l’article 1 pour l’intégralité du schéma)..
Un MG (Management groups), c’est un conteneur de RBAC / Stratégies Azure. La question à se poser avant de valider cette nous arborescence est : Ai-je besoin de gouverner l’IA de façon très différente du reste de mes subscriptions ? Si oui, alors il peut être intéressant de positionner un nouveau MG, si non, il est préférable d’utiliser l’arborescence existante. Si pour la Data (voir article 1/2), je considère qu’il y a pas mal de spécifiques, je ne pense pas que ce soit le cas pour l’IA. C’est un choix.
Solution 2 : Une nouvelle sous-arborescence depuis ma LZ applicative.
Ma LZ applicative, c’est cette partie en jaune.
Et une solution envisageable est d’ajouter une sous-arborescence sous le MG Landing Zone et un MG IA.
Pour ma part, je trouve que cette solution est là plus cohérente. C’est ajouter une possibilité de gouvernance supplémentaire, sans trop alourdir l’arborescence.
Ce sont les 2 solutions qui me paraissent les plus évidentes, les plus cohérentes. Avec la possibilité éventuelle de déployer à l’intérieur d’autres MG comme par exemple une IA Offline et une IA Online, sur le modèle d’une LZ traditionnelle.
Reste encore pas mal de travail pour exploiter et sécurisé au mieux cette nouvelle arborescence. Avec quelques stratégies par exemple. Il n’existe pas (encore ?) de policy ou d’initiative dédiées IA, mais on peut déjà trouver des sujets liés comme les services cognitifs.
Du pain sur la planche ! 🙂
Pour en terminer avec ce sujet, le lien vers le Git IA : https://github.com/FreddyAyala/AzureAIServicesLandingZone/tree/main/Workload/AI
On y trouve des informations complémentaires et quelques schémas de mise en œuvre comme celui de l’accès public.
Sujet passionnant que ces LANDING ZONE !
Si ce sujet vous inspire et que vous avez des remarques, ajouts, points contraires, n’hésitez pas à commenter et à partager vos expériences sur ce sujet de l’architecture conceptuelle.
Une techno, des infos. 