Voraussetzungen

Willkommen beim Codebeamer AI Hilfe-Center > Codebeamer AI einrichten > Codebeamer AI (kundenseitig gehostet) > Kundenseitig gehostetes Codebeamer AI bereitstellen > Voraussetzungen

Voraussetzungen

Dieser Abschnitt listet alle erforderlichen Setups, Zugriffsberechtigungen und Konfigurationen auf, bevor mit der Bereitstellung von Codebeamer KI (kundenseitig gehostet) begonnen werden kann.

Erforderliche Tools installieren

Tool	Version
Azure CLI (az)	Neueste
Terraform	>= 1.5
kubectl	Neueste
Helm	>= 3.x
Rancher/Docker	>=1.20.0

Open-Source-Informationen finden Sie unter Universal Base Images (UBI): Images, repositories, packages and source code - Red Hat Customer Portal.

Dienstprinzipale zum Ausführen von IaC erstellen

Speichern Sie die folgenden Werte für jeden Dienstprinzipal nach der Erstellung sicher.

• client_id

• client_secret

• tenant_id

Variable	Beschreibung	Ausgabeschlüssel
ARM_CLIENT_ID	Azure-Dienstprinzipal-Client-ID	appId
ARM_CLIENT_SECRET	Clientgeheimnis für Azure-Dienstprinzipal	password
ARM_TENANT_ID	Azure-Mandanten-ID	tenant_id
ARM_SUBSCRIPTION_ID	Azure-Abonnement-ID für die Zielumgebung	subscription_id. Aus dem Befehl zum Erstellen des Dienstprinzipals

1. Erstellen Sie einen Infrastruktur-Dienstprinzipal.

az ad sp create-for-rbac \
  --name "ptc-cbai-infra-sp" \
  --role Contributor \
  --scopes /subscriptions/<subscription_id>

2. Erstellen Sie einen Richtlinien-Dienstprinzipal.

az ad sp create-for-rbac \
  --name "ptc-cbai-policy-sp" \
  --role Contributor \
  --scopes /subscriptions/
  --scopes /subscriptions/>

Beispielausgabe:

{
  "appId": "<client_id>",
  "password": "<client_secret>",
  "tenant": "<tenant_id>"
}

Azure-Rollenzuweisungen für Bereitstellungsidentitäten

Infrastruktur-Dienstprinzipal

Weisen Sie dem Infrastruktur-Dienstprinzipal über das Azure-Portal lediglich die folgenden Rollen zu:

Rolle	Zweck
Mitwirkender an Storage-Blobdaten	Terraform-Status Lesen und Schreiben, virtuelle VNet-Datenflussprotokolle
Netzwerkmitwirkender	VNet, Subnetze, NSG, privates DNS, privater Endpunkt
Mitwirkender an Azure Kubernetes Service	AKS-Cluster und Knotenpools
Mitwirkender an Cognitive Services	Azure OpenAI-Konto, Modellbereitstellungen, RAI-Richtlinien
Mitwirkender an verwalteten Identitäten	Vom Benutzer zugewiesene Identität und Verbund-Anmeldeinformationen
Operator für verwaltete Identitäten	Zuweisung der Identität
Mitwirkender an Log Analytics	Log Analytics-Arbeitsbereich und Container Insights
Benutzerzugriffs-Administrator	RBAC-Rollenzuweisungen erstellen und verwalten

Weitere Informationen finden Sie unter Zuweisen von Azure RBAC-Rollen oder Microsoft Entra Rollen zu Azure Virtual Desktop-Dienstprinzipalen

Weitere erforderliche Berechtigungen

Der Infrastruktur-Dienstprinzipal muss außerdem über die folgenden Berechtigungen verfügen:

◦ Ressourcengruppenberechtigungen

▪ Microsoft.Resources/subscriptions/resourceGroups/read

▪ Microsoft.Resources/subscriptions/resourceGroups/write

▪ Microsoft.Resources/subscriptions/resourceGroups/delete

◦ Azure-Anwendungsberechtigungen

▪ Microsoft.Solutions/applications/read

▪ Microsoft.Solutions/applications/write

▪ Anwendungsadministrator

Richtlinien-Dienstprinzipal

Weisen Sie dem Richtlinien-Dienstprinzipal lediglich die folgenden Rollen zu:

Rolle	Umfang	Zweck
Mitwirkender bei Ressourcenrichtlinien	Abonnement	Erstellen von Richtliniendefinitionen, Initiativen, Zuweisungen und Ausnahmen

Azure AD‑Gruppe für die Verwaltung von AKS und ACR

Erstellen Sie eine Azure AD-Benutzergruppe, und fügen Sie Benutzer hinzu, die für die Bereitstellung des cb‑ai‑service und den Zugriff auf die AKS-API verantwortlich sind.

Fügen Sie die folgenden Rollen für die Azure AD-Benutzergruppe hinzu.

◦ AKS-Zugriffsrollen

Rolle	Umfang	Zweck
Azure Kubernetes Service - RBAC-Schreiber	Ressourcengruppe und AKS	Bereitstellen und Verwalten von Workloads, empfohlenes Minimum.
Azure Kubernetes Service - RBAC-Administrator	Ressourcengruppe und AKS	Vollständiger administrativer Zugriff auf den Cluster, bei Bedarf verwenden.

◦ Container Registry-Zugriffsrollen

Rolle	Umfang	Zweck
AcrPull	ACR	Pull von Images für die Bereitstellung.
AcrPush	ACR	Pushen von Images, falls zutreffend.
Container-Registry-Mitwirkender	Ressourcengruppe	Verwalten von ACR-Ressourcen.
Administrator für die Konfiguration des Datenzugriffs auf eine Container Registry	Ressourcengruppe	Verwalten von ACR-Token und Zugriff.

Weitere Informationen finden Sie unter Schritte zum Zuweisen einer Azure-Rolle.

AKS-Hostverschlüsselung

1. Aktivieren Sie die Verschlüsselung auf dem Host.

az feature register --namespace Microsoft.Compute --name EncryptionAtHost

2. Aktualisieren Sie den Anbieter.

az provider register --namespace Microsoft.Compute

3. Vergewissern Sie sich, dass die Verschlüsselung aktiviert ist.

az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query properties.state -o tsv

Erwartetes Ergebnis

Registered

Weitere Informationen finden Sie unter Verschlüsselung am Host – Ende-zu-Ende-Verschlüsselung für Ihre VM-Daten.

Bereitstellungsregion bestimmen

Wählen Sie die Azure-Bereitstellungsregion aus, indem Sie die Verfügbarkeit der erforderlichen Azure OpenAI-Modellversion, das verfügbare Kontingent für den Bereitstellungstyp und das Abrechnungsmodell (PAY-AS-YOU-GO oder PTU) sowie den erwarteten Workloaddurchsatz bestätigen.

• Weitere Informationen finden Sie in der Microsoft-Dokumentation: Verfügbarkeit des Data Zone-Standardmodells.

◦ Verfügbare Regionen für erforderliche Modelle prüfen.

◦ Verfügbare SKUs identifizieren und anschließend die SKU auswählen, die Ihrem erforderlichen Durchsatz, Ihrer Latenz und Ihrem Budget (PAYGO oder PTU) am besten entspricht

◦ DatazoneStandard-Modelle werden für regionale Compliance-Anforderungen bevorzugt.

Terraform-Backend-Setup

Lesen Sie vor dem Erstellen des Speicherkontos und der Ressourcengruppe Empfehlungen und optimale Vorgehensweisen.

Anforderung

Erstellen Sie ein Speicherkonto, um Terraform‑Status in der Region der kundenseitig gehosteten Bereitstellung zu speichern.

Erstellen Sie innerhalb dieses Speicherkontos Folgendes:

◦ Container für den Infrastruktur-Status (IaC). Beispiel: resource-tfstate.

◦ Container für den Azure Richtlinien-Status. Beispiel: policy-tfstate.

Konfiguration

Aktivieren Sie Folgendes:

◦ Blob-Versionierung

◦ Soft Delete (Zustandsschutz)

Speicher für VNet-Datenflussprotokolle

Muss in derselben Region wie die Bereitstellung sein.

Speicher erstellen

Erstellen Sie ein separates Speicherkonto für VNet-Datenflussprotokolle.

Weitere Informationen finden Sie unter den folgenden Links.

• Erstellen eines Azure-Speicherkontos

• Speichern des Terraform-Zustands in Azure Storage

• Aktivieren und Verwalten von Blobversionsverwaltung – Azure Storage

Azure Container Registry (ACR)/Container Registry-Zugriff

Sie können Container Registries mit den folgenden zwei Optionen erstellen und konfigurieren:

Option 1: Azure Container Registry (ACR)

1. Erstellen Sie eine Azure Container Registry.

Weitere Informationen finden Sie unter Schnellstart: Erstellen einer Azure-Containerregistrierung mithilfe des Azure-Portals.

2. Erstellen Sie ein ACR-Token.

Weitere Informationen finden Sie unter

▪ az acr token

▪ Nicht von Microsoft bereitgestellte Entra-Token-basierte Repository-Berechtigungen in der Azure Container Registry.

3. Speichern Sie Benutzername und Passwort sicher.

Option 2: Andere Container-Registrys

Kunden können eine beliebige Container Registry ihrer Wahl verwenden, die von dem im Rahmen der kundenseitig gehosteten Bereitstellungsinfrastruktur erstellten AKS aus erreichbar ist. Erstellen Sie als Teil der Voraussetzungen ein Token für die Container Registry.

War dies hilfreich?