Design und Architektur
In diesem Thema werden Entwurf und Architektur einer kundenseitig gehosteten Codebeamer AI Bereitstellung beschrieben.
Kernkomponenten
Eine kundenseitig gehostete Codebeamer AI Bereitstellung besteht aus den folgenden Kernkomponenten.
1. Virtuelles Netzwerk
Das virtuelle Netzwerk stellt eine private Netzwerkisolation für alle bereitgestellten Komponenten bereit.
Es stellt sicher, dass die interne Kommunikation zwischen AKS, Azure OpenAI und anderen Azure-Diensten innerhalb einer sicheren Azure-Netzwerkgrenze erfolgt und nicht über das öffentliche Internet.
Die Ressourcengruppe fungiert als logischer Container für die gesamte bereitgestellte Infrastruktur als Teil der kundenseitig gehosteten Bereitstellung.
Das Gruppieren von Netzwerk-, Rechen-, Überwachungs- und Identitätsressourcen vereinfacht das Lebenszyklusmanagement und ermöglicht eine saubere Entfernung mit Terraform.
◦ Zu den mit Terraform erstellten Azure-Ressourcen gehören:
▪ Ressourcengruppe
▪ Virtuelles Netzwerk mit NSG-Datenflussprotokollen
▪ AKS-Subnetz mit Cognitive Services-Dienstendpunkt
▪ OpenAI-Subnetz
▪ Netzwerksicherheitsgruppe zugeordnet zum AKS-Subnetz
▪ Eingehende NSG-Zulassungsregel (IP-Zulassungsliste)
▪ Eingehende NSG-Verweigerungsregel (Internet-Blockierung)
▪ Private DNS-Zone (privatelink.openai.azure.com)
▪ Verknüpfung der privaten DNS-Zone mit dem virtuellen Netzwerk
▪ Privater Endpunkt (OpenAI)
▪ Benutzerseitig zugewiesene verwaltete Identität
▪ Verbundidentitäts-Anmeldeinformationen (AKS‑Workloadidentität)
▪ Rollenzuweisung – Cognitive Services OpenAI-Benutzer
▪ Rollenzuweisung – Netzwerkmitwirkender (AKS-Subnetz)
▪ Azure OpenAI-Konto
▪ Richtlinie für verantwortungsvolle KI-Inhaltsfilter
▪ OpenAI‑Modellbereitstellung – GPT-5-mini
▪ OpenAI-Modellbereitstellung – GPT-5-nano
▪ AKS-Cluster (System- + Benutzer-Knotenpools)
▪ Kubernetes-Namespace
▪ Log Analytics‑Arbeitsbereich
▪ Diagnoseeinstellungen – AKS
▪ Diagnoseeinstellungen – OpenAI
▪ Azure AD-App-Registrierung
▪ Netzwerkregeln für Speicherkonten (Datenflussprotokolle)
2. Dienst
◦ Führt den auf Kubernetes bereitgestellten cb-ai-service mithilfe von Helm aus
◦ Verwendet Azure OpenAI-Modelle, die in der kundenseitig gehosteten Bereitstellungsinfrastruktur erstellt wurden
3. Azure-Richtlinie
◦ Auf Ressourcengruppenebene (kundenseitig gehostete Bereitstellungsinfrastruktur) angewendete Azure-Richtlinien
◦ Schützt die Infrastruktur vor unbeabsichtigten Ereignissen:
▪ Löschung von Ressourcen,
▪ Änderungen der Netzwerkkonfiguration,
▪ identitätsbezogene Einschränkungen, usw.
Azure Cloud-Infrastruktur für die Dienstbereitstellung von Codebeamer AI
Azure-Ressourcengruppe
Die Ressourcengruppe enthält alle Infrastrukturressourcen, die sich auf die kundenseitig gehostete Bereitstellung beziehen. Diese Struktur vereinfacht das Betriebsmanagement und ermöglicht eine kontrollierte Bereinigung mit Terraform.
Virtuelles Azure-Netzwerk (VNet)
Das virtuelle Netzwerk stellt eine private Netzwerkisolation für alle bereitgestellten Komponenten bereit.
Es stellt sicher, dass die interne Kommunikation zwischen AKS, Azure OpenAI und anderen Diensten innerhalb einer sicheren Azure-Netzwerkgrenze erfolgt und nicht über das öffentliche Internet.
Subnetze
Innerhalb des virtuellen Netzwerks werden zwei dedizierte Subnetze erstellt:
◦ AKS-Subnetz – Hostet die virtuellen Maschinen für den AKS-Knotenpool, die vom Kubernetes-Cluster verwendet werden. Dieses Subnetz ermöglicht die sichere Kommunikation zwischen dem AKS-Cluster und anderen Azure-Ressourcen.
◦ Azure OpenAI-Subnetz – Wird für die private Azure-OpenAI-Endpunktverbindung verwendet. Dadurch wird sichergestellt, dass der Azure OpenAI API-Datenverkehr über das private Azure‑Netzwerk und nicht über öffentliche Endpunkte fließt.
◦ Netzwerksicherheitsgruppe (NSG) – Eine Netzwerksicherheitsgruppe wird erstellt und dem AKS-Subnetz zugeordnet, um den ein- und ausgehenden Netzwerkverkehr auf Subnetzebene zu steuern.
Wenn eine IP-Zulassungsliste konfiguriert ist, werden zwei benutzerdefinierte Regeln für eingehenden Datenverkehr angewendet:
▪ Zulassungsregel (Priorität 100) – Erlaubt TCP‑Datenverkehr auf den Ports 80, 443 und 8000 ausschließlich von den angegebenen IP‑Adressen, z. B. Beispiel: ausgehende Codebeamer AI Plugin-IPs, VPN, Zscaler usw.
▪ Verweigerungsregel (Priorität 200) – Blockiert den gesamten verbleibenden TCP‑Datenverkehr aus dem Internet auf denselben Ports.
Wenn keine IP-Zulassungsliste bereitgestellt wird, werden keine benutzerdefinierten Regeln erstellt, und die standardmäßigen NSG‑Regeln von Azure kommen zur Anwendung.
Azure Kubernetes Service (AKS)
Der AKS-Cluster hostet die cb-ai-service Anwendung, den OpenTelemetry-Sammler und alle Observability- und Überwachungstools. Der Cluster stellt folgende Funktionen bereit:
• Container-Orchestrierung
• Workloadskalierung
• Kubernetes-native Bereitstellung und Verwaltung
Der Cluster ist konfiguriert mit:
• Workloadidentität
• Integration verwalteter Identitäten
• Azure CNI-Netzwerk
• Überwachung mit Container Insights
• Aktiviert mit Azure RBAC (Role-based access control) und autorisierten IP-Bereichen für AKS-APIs
Verwaltete Identität
Für den AKS-Cluster wird eine dem Benutzer zugewiesene verwaltete Identität erstellt. Diese Identität ermöglicht es Workloads, die innerhalb von Kubernetes ausgeführt werden, sich sicher mit Azure-Diensten zu authentifizieren, ohne Anmeldeinformationen oder Geheimnisse speichern zu müssen.
Die verwaltete Identität wird anschließend über Verbundidentitäts-Anmeldeinformationen mit dem Kubernetes‑Dienstkonto verbunden.
Verbundidentitäts-Anmeldeinformationen
Die Anmeldeinformationen der Verbundidentität verknüpfen das von cb-ai-service verwendete Kubernetes-Dienstkonto mit Azure Managed Identity.
Dies ermöglicht die Authentifizierung über Azure Workload Identity und erlaubt der Anwendung einen sicheren Zugriff auf Azure‑Dienste wie Azure OpenAI.
Azure OpenAI Cognitive Services
Ein Azure OpenAI Cognitive Services-Konto wird bereitgestellt, um den Zugriff auf große Sprachmodelle zu ermöglichen. Die kundenseitig gehostete Bereitstellung umfasst:
• GPT–5-mini
• GPT–5-nano
Der öffentliche Netzwerkzugriff ist deaktiviert, um sicherzustellen, dass Anfragen nur private Netzwerkkonnektivität verwenden.
OpenAI-Inhaltsfilter (RAI-Richtlinie)
Für den Azure OpenAI-Dienst ist eine Richtlinie für verantwortungsvolle KI (RAI) konfiguriert. Die Richtlinie definiert Inhaltssicherheitsregeln für Prompts und Antworten und umfasst unter anderem folgende Filterkategorien:
• Hass
• Gewalt
• Sexuelle Inhalte
• Selbstverletzung
Dadurch wird sichergestellt, dass KI-Antworten den Microsoft-Richtlinien für verantwortungsvolle KI entsprechen.
Privater Endpunkt
Für den Azure OpenAI-Dienst wird ein privater Endpunkt erstellt. Dadurch erhält der AKS‑Cluster Zugriff auf Azure OpenAI über das interne Azure‑Netzwerk, und Anforderungen werden nicht über das öffentliche Internet weitergeleitet.
Zu den Vorteilen gehören:
• Verbesserte Sicherheit
• Netzwerk-Isolation
• Einhaltung von Unternehmensnetzwerkrichtlinien
Private DNS-Zone
Für privatelink.openai.azure.com wird eine private DNS-Zone erstellt.
Dies ermöglicht es Ressourcen innerhalb des virtuellen Netzwerks (VNet), wie z. B. AKS, die Adresse des privaten Endpunkts des Azure OpenAI‑Diensts aufzulösen.
Ohne diese DNS‑Konfiguration würde die Konnektivität über private Endpunkte nicht ordnungsgemäß funktionieren.
Log Analytics‑Arbeitsbereich
Ein Log Analytics-Arbeitsbereich wird bereitgestellt, um Protokolle und Metriken aus dem AKS-Cluster zu sammeln.
Dieser Arbeitsbereich ermöglicht:
• Cluster-Überwachung
• Betriebliche Diagnosen
• Protokollabfragen und Problembehandlung
Container Insights
Container Insights wird für AKS-Cluster über den Log Analytics-Arbeitsbereich aktiviert.
Dies bietet Einblicke in Folgendes:
• Integrität von Containern
• Leistung von Knoten
• Ressourcennutzung
• Kubernetes-Ereignisse
Diagnostikeinstellungen
Für den AKS‑Cluster werden Diagnostikeinstellungen konfiguriert.
Diese Einstellungen leiten die folgenden Informationen zur Überwachung und Problembehandlung an den Log Analytics‑Arbeitsbereich weiter:
• Plattformprotokolle
• Metriken
• Cluster-Auditinformationen
Rollenzuweisung
Es wird eine Rollenzuweisung erstellt, um der verwalteten Identität die erforderlichen Berechtigungen für die Azure OpenAI-Ressource zu gewähren.
Konkret erhält die Identität die Rolle Cognitive Services OpenAI-Benutzer.
Dadurch ist die Anwendung in der Lage, die Azure OpenAI‑APIs mithilfe ihrer verwalteten Identität aufzurufen.
Azure AD-App-Registrierung
Damit wird eine OAuth-Clientidentität für externe Systeme bereitgestellt, um sich beim Dienst zu authentifizieren. Der für eine Anwendungsregistrierung erstellte Dienstprinzipal wird für die Authentifizierung des Codebeamer KI Plugins gegenüber dem cb-ai-service verwendet.
KI-Dienst
Der KI-Dienst, der auf dem Cluster bereitgestellt wird, der wiederum durch eine kundenseitig gehostete Bereitstellung IaC erstellt wurde, verwendet Microsoft Entra ID für die Authentifizierung von Anfragen des Codebeamer KI Plugins. OTel muss auf der kundenseitig gehosteten Bereitstellungsinfrastruktur bereitgestellt werden. Der KI-Dienst sendet OpenTelemetry-kompatible Protokolle, Traces, Spans und Metriken an einen OpenTelemetry Collector. Dieser Sammler kann mit jedem Exportprogramm konfiguriert werden, um Daten in den vom Kunden gewählten Observability‑ und Überwachungstools zu erfassen.
Die im Image-Archiv enthaltenen Beispiel‑Helm‑Chart‑Vorlagen geben Hinweise zu produktionsreifen Standardeinstellungen.
• Ressourcen- und Anforderungsgrenzwerte für HPA
• Pod-Affinitätsrichtlinie
• Verwendung von schreibgeschützten Root‑Dateisystemen, wo möglich
• Dienstkonfiguration vom Typ LoadBalancer
• Platzhalter für Tenant‑ID und Objekt‑ID der verwalteten Identität
Governance der für Codebeamer AI bereitgestellten Infrastruktur mithilfe von Azure‑Richtlinien
Die kundenseitig gehostete Codebeamer KI Bereitstellung implementiert Azure Policy-basierte Governance, um Sicherheits- und Compliancekontrollen auf Ressourcengruppenebene durchzusetzen. Das Design ermöglicht die kontrollierte Ausführung der anfänglichen Bereitstellung und von Aktualisierungen oder Upgrades und verhindert eine langfristige Umgehung von Governance‑Kontrollen.
Verweigerungsrichtlinien dienen dazu, das Risiko unbeabsichtigter Änderungen oder Löschungen von Ressourcen zu verringern und Compliance‑Anforderungen zu erfüllen.
Richtliniendefinitionen
◦ pro Umgebung erstellt
◦ enthalten die erforderlichen Governance‑Regeln
Richtlinieninitiative (Richtliniensatz)
◦ gruppiert mehrere Richtliniendefinitionen
◦ stellt eine einzige Governance-Baseline bereit
◦ vereinfacht Zuweisung und Verwaltung
Richtlinienzuweisung
◦ auf Ressourcengruppenebene zugewiesen
◦ erzwingt alle in der Initiative definierten Richtlinien
Zeitlich begrenzte Ausnahme
◦ wird während der Richtlinienbereitstellung automatisch erstellt
◦ mit einem kurzen Ablaufzeitraum konfiguriert
Zentrale Designprinzipien
◦ Richtlinien werden immer standardmäßig durchgesetzt
◦ Ausnahmen:
▪ temporär
▪ kontrolliert
▪ zeitlich begrenzt
◦ Governance-Ebene:
▪ unabhängig
▪ wird nach der Bereitstellung der Infrastruktur und der Dienste angewendet
▪ Die Richtliniendefinition wird pro Umgebung erstellt und enthält die erforderlichen Governance‑Regeln.
▪ Verhalten bei Ressourcen-Upgrades – Für Upgrade‑Fenster ist ein Modul für temporäre Ausnahmegenehmigungen enthalten; anschließend kehren die Richtlinien zur regulären Durchsetzung zurück.
Liste der Richtlinien
|
Nr.
|
|
Richtlinie
|
Auswirkung
|
Zweck
|
Fehlermeldung
|
|
1
|
Cognitive Services
|
deny_cognitive_account_sku_downgrade
|
Deny
|
Verhindert SKU‑Downgrade unterhalb der zulässigen Stufe
|
SKU-Änderungen für Cognitive Services-Konten sind nicht zulässig.
|
|
2
|
deny_cognitive_account_kind_change
|
Deny
|
Sperrt den Kontotyp auf OpenAI
|
Das Ändern des Typs (Diensttyps) für bestehende Cognitive Services‑Konten ist nicht zulässig.
|
|
3
|
deny_public_network_access
|
Deny
|
Blockiert die Aktivierung des öffentlichen Zugriffs
|
Der öffentliche Netzwerkzugriff muss für Cognitive Services‑Konten deaktiviert sein. Zur Erfüllung der Netzwerksicherheitsanforderungen sind private Endpunkte zu aktivieren und publicNetworkAccess auf Disabled zu setzen.
|
|
4
|
deny_cognitive_deployment_deletion
|
DenyAction
|
Verhindert das Löschen von KI-Modellbereitstellungen
|
Das Löschen von Modellbereitstellungen für Cognitive Services ist nicht zulässig.
|
|
5
|
deny_cognitive_deployment_model_change
|
DenyAction
|
Sperrt die Modellkonfiguration
|
Das Erstellen oder Ändern von Bereitstellungen für Cognitive Services ist nicht zulässig.
|
|
6
|
Allgemein
|
deny_resource_deletion
|
DenyAction
|
Blockiert das Löschen von Ressourcen und Ressourcengruppen
|
Das Löschen dieser Ressource oder Ressourcengruppe ist in diesem geschützten Bereich nicht zulässig.
|
|
7
|
Netzwerk
|
deny_vnet_address_space_change
|
Deny
|
Sperrt den CIDR‑Adressraum des virtuellen Netzwerks
|
Änderungen am Adressraum des virtuellen Netzwerks sind nicht zulässig.
|
|
8
|
deny_vnet_peering
|
Deny
|
Schränkt die Initiierung von VNet‑Peerings aus kundenseitig gehosteten Bereitstellungs-verwalteten VNets ein und erlaubt gleichzeitig eingehende (Reverse‑)Peerings aus kundenverwalteten VNets.
|
Das Erstellen von VNet‑Peerings ist nicht zulässig.
|
|
9
|
deny_subnet_address_prefix_change
|
Deny
|
Sperrt Subnetz-CIDRs
|
Änderungen an Subnetz‑Adresspräfixen sind nicht zulässig.
|
|
10
|
deny_subnet_service_endpoint_removal
|
Deny
|
Verhindert das Entfernen von Endpunkten
|
Das aks-subnet muss mit dem Dienstendpunkt Microsoft.CognitiveServices konfiguriert sein. Das Entfernen dieses Endpunkts unterbricht die AKS‑zu‑OpenAI‑Konnektivität.
|
|
11
|
deny_private_endpoint_subnet_change
|
Deny
|
Beschränkt private Endpunkte auf das zulässige Subnetz
|
Das Ändern des Subnetzes eines privaten Endpunkts wird durch die Richtlinie verweigert. Der Endpunkt muss auf dem vorgesehenen Subnetz verbleiben, um Netzwerksegmentierung und Routing‑Integrität aufrechtzuerhalten.
|
|
12
|
AKS
|
deny_aks_rbac_disabled
|
Deny
|
Erzwingt die rollenbasierte Zugriffssteuerung von Kubernetes.
|
"Deny" verhindert das Deaktivieren von RBAC, "Audit" protokolliert Verstöße, "Disabled" deaktiviert die Richtlinie.
|
|
13
|
deny_aks_network_policy_removal
|
Deny
|
Verhindert das Entfernen von Netzwerkrichtlinien
|
Für AKS-Cluster muss ein Netzwerkrichtlinien-Plugin konfiguriert sein.
|
|
14
|
deny_aks_workload_identity_disabled
|
Deny
|
Erzwingt die Workloadidentität
|
Für AKS-Cluster müssen Workloadidentität und OIDC-Aussteller aktiviert sein. Das Deaktivieren dieser Funktionen unterbricht die Pod‑zu‑Azure‑Authentifizierung (Verbund-Anmeldeinformationen) und erzwingt unsichere Alternativen.
|
|
15
|
deny_aks_azure_policy_addon_disabled
|
Deny
|
Stellt sicher, dass das Azure-Richtlinien-Add-On aktiviert bleibt
|
Das Azure-Richtlinien-Add-On muss in AKS-Clustern aktiviert bleiben.
|
|
16
|
AKS in Cluster
|
deny_aks_privileged_containers
|
Deny
|
Stellt sicher, dass Kubernetes-Pods in AKS keine privilegierten Container ausführen können.
|
Blockiert privilegierte Container
|
|
17
|
Verwaltete Identität
|
deny_federated_credential_modification
|
Deny
|
Sperrt Aussteller, Subjekt oder Zielgruppe
|
Die Richtlinie verweigert die Änderung von Verbundidentitäts-Anmeldeinformationen. Diese Anmeldeinformationen stellen die Vertrauenskette zwischen der AKS-Workloadidentität und Azure AD her. Durch Manipulation des Ausstellers, Subjekts oder der Zielgruppe wird die Pod-zu-Azure-Authentifizierung unterbrochen.
|
|
18
|
deny_federated_credential_deletion
|
DenyAction
|
Verhindert das Löschen von Verbundidentitäts-Anmeldeinformationen.
|
Das Löschen von Verbundidentitäts-Anmeldeinformationen wird durch die Richtlinie verweigert. Diese Anmeldeinformationen aktivieren den AKS-Workload-Identitätsverbund. Wenn sie entfernt werden, wird die Authentifizierung von Pods gegenüber Azure‑Diensten, einschließlich Azure OpenAI, unterbrochen.
|
Zentrale Konzepte
Trennung von Infrastruktur und Dienst
Infrastruktur und Dienste werden unabhängig bereitgestellt, was flexible Upgrades und Wartung ermöglicht.
Terraform als "Single Source of Truth"
Die Konfiguration von Infrastruktur und Richtlinien wird über Terraform verwaltet, wobei separate Konfigurationen mit unterschiedlichen Rollen und Berechtigungen verwendet werden.
Vollständige Kontrolle durch den Kunden
Der Kunde ist vollständig verantwortlich für die Bereitstellung, die Sicherheit, den Betrieb und die Überwachung aller Azure-Ressourcen sowie die KI-Dienstbereitstellung.
Authentifizierung
◦ Codebeamer AI Plugin für Codebeamer AI Dienste in der Kundenumgebung
▪ Die PTC Produktbereitstellung des Kunden, Plugin für Codebeamer AI, verwendet eine Microsoft Entra ID‑Dienstprinzipal‑API, um sich gegenüber dem Codebeamer AI Dienst zu authentifizieren.
▪ Die Authentifizierung wird mithilfe von JWT‑Token durchgesetzt, wobei der Codebeamer AI Dienst Token‑Claims (z. B. OID, Audience) vor der Verarbeitung von Anforderungen überprüft.
◦ Authentifizierung zwischen Codebeamer AI Dienst und Open AI Bereitstellung im Kundenmandanten
▪ Der KI‑Dienst kommuniziert mit den OpenAI‑Modellen unter Verwendung einer benutzerzugewiesenen verwalteten Azure‑Identität über einen Private Link. Diese Konfiguration wird durch eine private DNS‑Zone unterstützt, um sicherzustellen, dass der Datenverkehr innerhalb der privaten Netzwerkgrenze verbleibt.
Telemetrie, Überwachung und Observability
◦ Der KI-Dienst sendet OpenTelemetry-kompatible Protokolle, Traces, Spans und Metriken an einen OpenTelemetry Collector. Dieser Collector kann mit jedem Exportprogramm konfiguriert werden, um Daten in den vom Kunden gewählten Observability‑ und Überwachungstools zu erfassen.
◦ Azure-Ressourcen enthalten standardmäßig Aktivitätsprotokolle. Zusätzlich werden Protokolle für den Log Analytics‑Arbeitsbereich, AKS‑Containerprotokolle, Diagnostikeinstellungen (AKS und Azure OpenAI) sowie virtuelle Netzwerkflussprotokolle für per IaC verwaltete Ressourcen konfiguriert. Die Protokolle werden 90 Tage aufbewahrt.
◦ Zur Problembehandlung auf Dienstebene können Kunden Protokolle, Traces und Spans in ihrem ausgewählten Observability‑ und Überwachungstool einsehen.
◦ Zur Problembehandlung auf Ressourcenebene können Kunden Aktivitätsprotokolle und persistierte Protokolle im Log Analytics‑Arbeitsbereich einsehen. Zusätzlich stehen Netzwerk‑ oder Datenflussprotokolle im konfigurierten Speicherkonto zur Verfügung.
◦ Das Produkt‑Plugin kann Daten an die vorkonfigurierte PTC SaaS‑Plattform-Analyse senden bzw. diese – im Fall von Codebeamer KI – weiterhin verwenden und ist nicht Teil der kundenseitig gehosteten Bereitstellungs‑Lösung.
Infrastruktur‑ und Auditprotokolle
Die Sichtbarkeit von Infrastruktur‑ und Auditdaten wird in der Kundenabonnementumgebung zentral über Azure Monitor und Azure Policy bereitgestellt. Betriebsprotokolle für AKS und Azure OpenAI werden an den konfigurierten Log Analytics‑Arbeitsbereich gesendet, wo Teams die Plattformaktivitäten abfragen und überwachen können. Audit‑ und Governance‑Nachweise stehen über Azure-Aktivitätsprotokolle, Änderungen an der Ressourcen-/Steuerungsebene, Azure Policy-Compliance, Verweigerungs- oder Auditergebnisse und Network Watcher-Datenflussprotokolle, wenn aktiviert, zur Verfügung.
Annahmen
• Der Kunde verfügt über ein erfahrenes DevOps‑Team.
◦ AKS/Kubernetes – Betrieb von AKS und Workloads, einschließlich Upgrades, Konfiguration des Image‑Pulls, Helm‑Bereitstellungen sowie Day‑2‑Betrieb wie Rollouts, Rollbacks oder Konfigurationsänderungen
◦ Terraform – Ausführen und Wartung von Terraform einschließlich sicherer Statusverwaltung, z. B. mit einem Blob‑Backend unter Verwendung von RBAC, Versionierung oder Soft Delete, sowie Abstimmung von IaC‑Änderungen mit internen SDLC‑ oder Governance‑Prozessen
◦ Container-Registry – Verwaltung einer Azure Container Registry (ACR) oder einer OCI‑kompatiblen Registry, einschließlich Image‑Veröffentlichung oder ‑Spiegelung, Zugriffskontrolle, Lebenszyklusverwaltung und AKS‑Konnektivität
◦ Verwaltung von Microsoft Entra ID – Der Kunde ist in der Lage, App‑Registrierungen, Dienstprinzipale, verwaltete Identitäten sowie die erforderlichen Rollen‑, Gruppen‑ und Berechtigungszuweisungen zu verwalten.
• Azure-Bereitschaft – Der Kunde verfügt über ein Azure‑Abonnement sowie über ausreichende Berechtigungen bzw. RBAC‑Rechte, um die Lösung bereitzustellen und zu betreiben.
Regionaler Support
Zur Erfüllung von Compliance‑Anforderungen in Bezug auf Datenresidenz, Governance usw. wird die gesamte Infrastruktur in einer einzelnen Region nach Wahl des Kunden bereitgestellt. Bei der Auswahl der Region ist die Verfügbarkeit der erforderlichen Azure‑OpenAI‑Modelle zu berücksichtigen. Der Kunde kann Data‑Zone‑Standardmodelle entweder als PAY-AS-YOU-GO oder PTU konfigurieren.
Notfallwiederherstellung
Kundenseitig gehostete Bereitstellungen sind vollständig zustandslos. Weder die erstellten Azure-Ressourcen noch der bereitgestellte Codebeamer AI Dienst behalten einen Status bei. Angesichts dieser Zustandslosigkeit sind Sicherung und Speicherung nicht anwendbar. Im Falle einer Notfallwiederherstellung muss das gesamte Setup gemäß den neuen Bereitstellungsrichtlinien neu erstellt werden.