stack retrieval augmented generation

Die folgende bereitstellbare Architektur automatisiert die Bereitstellung eines Beispiel-Gen-AI-Patterns in IBM Cloud, einschließlich der gesamten zugrunde liegenden IBM Cloud- und WatsonX-Infrastruktur. Diese Architektur implementiert die Best Practices für die Watsonx-Gen-AI-Pattern-Bereitstellung in IBM Cloud, wie in der Referenzarchitektur beschrieben.

Diese einsetzbare Architektur bietet eine umfassende Grundlage für Vertrauen, Beobachtbarkeit, Sicherheit und Einhaltung gesetzlicher Vorschriften. Die Architektur konfiguriert ein IBM Cloud-Konto so, dass es den Compliance-Einstellungen entspricht. Darüber hinaus werden Schlüsselverwaltungs- und Geheimnisverwaltungsdienste sowie die Infrastruktur bereitgestellt, um Pipelines für kontinuierliche Integration (CI), kontinuierliche Bereitstellung (CD) und kontinuierliche Compliance (CC) für die sichere Verwaltung des Anwendungslebenszyklus zu unterstützen. Außerdem werden die WatsonX-Services-Suite und IBM Cloud Elasticsearch bereitgestellt, um ein RAG-Muster zu ermöglichen. Diese Pipelines erleichtern die Bereitstellung der Anwendung, prüfen auf Schwachstellen und Überprüfbarkeit und tragen dazu bei, eine sichere und vertrauenswürdige Bereitstellung generativer KI-Anwendungen in IBM Cloud sicherzustellen.

Für diese bereitstellbare Architektur stehen zwei Varianten zur Verfügung:

1. Grundvariante:

   • Code Engine-Projekt: Stellt ein Code Engine-Projekt bereit und stellt eine vollständig verwaltete Plattform für Containeranwendungen bereit.
   • Anwendungsbereitstellung: Stellt die Anwendung im bereitgestellten Code Engine-Projekt bereit.
   • Elasticsearch Enterprise: Stellt eine Elasticsearch-Unternehmensinstanz für Such- und Analysefunktionen bereit.

2. Standardvariante:

   • IBM Cloud OpenShift-Cluster: Stellt einen IBM Cloud OpenShift-Cluster bereit
   • VPC-Netzwerkinfrastruktur: Richtet die zugrunde liegende VPC-Netzwerkinfrastruktur zur Unterstützung des OpenShift-Clusters ein.
   • Anwendungsbereitstellung: Stellt die Anwendung auf dem bereitgestellten OpenShift-Cluster bereit.
   • ElasticSearch Platinum-Plan: Nutzt den Platinum-Plan von ElasticSearch, der das ELSER-Modell für erweiterte Funktionen zur Vektorgenerierung umfasst.

Diese bereitstellbare Architektur soll eine vollständig automatisierte Bereitstellung einer abrufbaren Augmented-Generation-Anwendung durch IBM Cloud Projects demonstrieren. Es bietet eine flexible und anpassbare Grundlage für Ihre eigenen Watsonx-Anwendungen in der IBM Cloud. Diese Architektur stellt standardmäßig die folgende Beispielanwendung bereit.

Durch die Verwendung dieser Architektur können Sie Ihre Bereitstellung beschleunigen und sie an Ihre Geschäftsanforderungen und Unternehmensziele anpassen.

Diese Architektur kann Ihnen dabei helfen, die folgenden Ziele zu erreichen:

• Vertrauen herstellen: Die Architektur konfiguriert das IBM Cloud-Konto so, dass es mit den Compliance-Einstellungen übereinstimmt, die im IBM Cloud for Financial Services-Framework und im AI Security Guardrails 2.0-Profil definiert sind.
• Beobachtbarkeit sicherstellen: Die Architektur bietet Beobachtbarkeit durch die Bereitstellung von Services wie IBM Log Analysis, IBM Monitoring, IBM Activity Tracker und Protokollaufbewahrung über IBM Cloud Object Storage-Buckets.
• Sicherheit implementieren: Die Architektur stellt Instanzen von IBM Key Protect und IBM Secrets Manager bereit.
• Erreichen Sie die Einhaltung gesetzlicher Vorschriften: Die Architektur implementiert CI-, CD- und CC-Pipelines zusammen mit IBM Security Compliance Center (SCC) für ein sicheres Anwendungslebenszyklusmanagement.

Stellen Sie vor der Bereitstellung der bereitstellbaren Architektur sicher, dass Sie die folgenden Aktionen ausführen:

• Erstellen Sie im Zielkonto einen API-Schlüssel mit den erforderlichen Berechtigungen. Das Zielkonto ist das Konto, das die von dieser Architektur bereitgestellten Ressourcen hostet. Weitere Informationen finden Sie unter Benutzer-API-Schlüssel verwalten.

  • Kopieren Sie den Wert des API-Schlüssels. Sie benötigen es in den folgenden Schritten.

  • In Test- oder Evaluierungsumgebungen können Sie die Administratorrolle für die folgenden Dienste zuweisen

    • IAM-Identitätsdienst. Weisen Sie bei der Bereitstellung der Standardvariante der Deployable Architecture zusätzlich zur Administratorrolle explizit die Rolle User API key creator zu, da diese für eine erfolgreiche OpenShift-Clusterbereitstellung obligatorisch ist.
    • Alle identitäts- und zugriffsfähigen Dienste.
    • Alle Kontoverwaltungsdienste.

    Um den Zugriff für eine Produktionsumgebung stärker einzuschränken, sehen Sie sich die Mindestberechtigungsstufe auf der Registerkarte „Berechtigung“ dieser bereitstellbaren Architektur an.

• Generieren und Exportieren eines Signaturschlüssels. Dieser Schritt ist für die Bereitstellung der Anwendung optional, aber für den erfolgreichen Abschluss der CI-Pipeline erforderlich. Ohne diesen Schritt meldet die CI-Pipeline einen Fehler aufgrund des fehlenden Signaturschritts. Wenn Sie einen Signaturschlüssel generieren und exportieren möchten, gehen Sie folgendermaßen vor:
  • Erstellen oder erhalten Sie einen Signaturschlüssel, indem Sie den Befehl gpg --gen-key ohne Passphrase ausführen (falls dieser nicht abgelaufen ist, können Sie einen zuvor generierten Schlüssel verwenden).
  • Exportieren Sie den Signaturschlüssel, indem Sie den Befehl gpg --export-secret-key <email address> | base64 ausführen gpg --export-secret-key <email address> | base64 . Weitere Informationen zum Speichern des Schlüssels finden Sie unter Generieren eines GPG-Schlüssels.
  • Kopieren Sie den Wert des Schlüssels und notieren Sie sich den Schlüssel für später.

1. Rufen Sie die Detailseite „Retrieval Augmented Generation (RAG) Pattern“ in der Community-Registrierung des IBM Cloud-Katalogs auf.
2. Wählen Sie im Abschnitt Architektur die neueste Produktversion aus.
3. Wählen Sie die Variante Basic oder Standard aus. Weitere Einzelheiten zu den beiden Varianten finden Sie im Abschnitt „Variationen“ oben.
4. Klicken Sie auf Zum Projekt hinzufügen
5. Wählen Sie „Neu erstellen“ und geben Sie die folgenden Details ein:

   1. Fügen Sie einen Namen und eine Beschreibung hinzu.

   2. Wählen Sie eine Region und eine Ressourcengruppe für das Projekt aus. Zu Auswertungszwecken können Sie beispielsweise die Region auswählen, die Ihnen am nächsten liegt, und die Standardressourcengruppe.

      Weitere Informationen zu den Unternehmenskontostrukturen finden Sie im Whitepaper zum Zentraladministrationskonto.

   3. Geben Sie einen Konfigurationsnamen ein. Zum Beispiel „RAG“, „dev“ oder „prod“. Der Name kann Ihnen später bei der Zuordnung zu Ihrem Bereitstellungsziel helfen.

6. Klicken Sie auf Erstellen

Sie können nun Ihre Konfiguration erstellen, indem Sie Variablen festlegen.

1. Wählen Sie im Bereich „Sicherheit“ die Authentifizierungsmethode aus, die Sie zum Bereitstellen Ihrer Architektur verwenden möchten.

   Fügen Sie den API-Schlüssel aus den Voraussetzungen unter Bevor Sie beginnen hinzu.

2. Wählen Sie auf der Registerkarte Sicherheit > Authentifizierung im Abschnitt Konfigurieren den API-Schlüssel aus.

3. Geben Sie Werte für erforderliche Felder auf der Registerkarte „Erforderlich“ ein.

   1. Geben Sie ein Präfix ein. Dieses Präfix wird am Anfang des Namens der meisten Ressourcen hinzugefügt, die von der bereitstellbaren Architektur erstellt werden. Das Präfix stellt sicher, dass die Ressourcennamen eindeutig sind, und vermeidet Konflikte mit anderen Ressourcen im selben Konto.

4. Überprüfen Sie die Werte für optionale Felder auf der Registerkarte „Optional“ :

   1. Geben Sie die Variable signing_key aus den Voraussetzungen unter Bevor Sie beginnen an.
   2. Überprüfen Sie die anderen Eingabevariablen.

5. Klicken Sie auf Speichern . Nachdem die Eingabewerte validiert wurden, ändert sich die Schaltfläche zu „Stack-Konfigurationen anzeigen“ .

Sie können eine gestapelte, bereitstellbare Architektur auf zwei Arten über die IBM Cloud-Konsole bereitstellen:

• Durch die Verwendung der automatischen Bereitstellung : Die Bereitstellungsmethode kann für Demonstrations- und Nichtproduktionsumgebungen nützlich sein. Bei der automatischen Bereitstellung werden alle Stack-Mitgliedskonfigurationen validiert und anschließend genehmigt und bereitgestellt.

  Sie können die Einstellung für die automatische Bereitstellung für Ihr Projekt überprüfen, indem Sie auf Verwalten > Einstellungen klicken. Durch Aktivieren der automatischen Bereitstellung aktivieren Sie die Einstellung für alle Konfigurationen im Projekt.

• Einzeln durch Bereitstellung jeder Mitgliedskonfiguration. Die manuelle Methode eignet sich für Projekte, die Produktionsumgebungen enthalten. Sie können die Änderungen in jeder Mitgliedskonfiguration überprüfen, bevor die Automatisierung ausgeführt wird.

1. Klicken Sie auf das Symbol „Optionen“ neben „Stack-Konfigurationen anzeigen“ und dann auf „Validieren“ .

   Wenn die Einstellung „Automatische Bereitstellung“ in Ihrem Projekt deaktiviert ist, werden nur bereite Mitgliedskonfigurationen validiert.

1. Klicken Sie in Ihrem Projekt auf die Registerkarte Konfigurationen .

   Wenn die erste Mitgliedskonfiguration des Stacks ( Account Infrastructure Base ) nicht als Bereit zur Validierung markiert ist, aktualisieren Sie die Seite in Ihrem Browser.

2. Klicken Sie in der Zeile Account Infrastructure Base auf „Im Entwurfsstatus validieren “.

3. Genehmigen Sie die Konfiguration und klicken Sie auf „Bereitstellen“, nachdem die Validierung erfolgreich abgeschlossen wurde.

4. Nachdem Sie die anfängliche Mitgliedskonfiguration bereitgestellt haben, können Sie gleichzeitig die verbleibende Mitgliedskonfiguration validieren und bereitstellen. Wiederholen Sie diese Bereitstellungsschritte für jede Mitgliedskonfiguration in der Architektur.

Die bereitstellbare Architektur „Retrieval Augmented Generation Pattern“ ist jetzt im Zielkonto bereitgestellt.

Nachdem die Architektur bereitgestellt wurde, wird die Beispielanwendung im neu bereitgestellten DevOps-Dienst gestartet.

Führen Sie die folgenden Schritte aus, um die Erstellung und Bereitstellung der Anwendung zu überwachen:

1. Greifen Sie auf die DevOps-Toolchains-Ansicht zu, indem Sie im Zielkonto zu DevOps > Toolchains navigieren.
2. Wählen Sie die Ressourcengruppe und Region aus, in der die Infrastruktur bereitgestellt wurde. Der Ressourcengruppenname basiert auf den Eingaben „Präfix“ und resource_group_name der bereitstellbaren Architektur.
3. Wählen Sie die RAG-Beispiel-App-CI-Toolchain aus.
4. Wählen Sie in der Toolchain-Ansicht die Ci-Pipeline in der Bereitstellungspipeline aus.
5. Suchen Sie im Abschnitt rag-webhook-trigger nach dem Status der CI-Pipeline-Ausführung.

• Code Engine-Bereitstellung (einfach): Nach Abschluss der CI-Pipeline können Sie im erstellten Code Engine-Projekt auf die Anwendung zugreifen.
• OpenShift-Bereitstellung (Standard):
  1. Klicken Sie in Ihrem Projekt auf die Registerkarte Konfigurationen .
  2. Klicken Sie auf die Zeile Workload - Sample RAG App Configuration .
  3. Auf der Registerkarte Outputs wird die URL zur bereitgestellten Anwendung unter der Ausgabe sample_app_public_url aufgeführt.

Um die Kosten zu minimieren, stellt die Automatisierung einen Testpreisplan von Secrets Manager bereit. Sie können nur eine Testinstanz von Secrets Manager erstellen. Sie können eine Standardplaninstanz von Secrets Manager über die optionalen Einstellungen des Stacks bereitstellen.

Um das Problem zu beheben, löschen Sie die Testinstanz. Löschen Sie nach dem Löschen auch den Dienst aus dem Wiederherstellungsstatus.

Wenn Sie in IBM Cloud eine Ressource löschen, verschwindet sie nicht sofort. Stattdessen geht es in einen Wiederherstellungszustand über, in dem es für kurze Zeit (normalerweise 7 Tage) verbleibt, bevor es endgültig gelöscht wird. Während des Wiederherstellungsstatus können Sie die Ressource bei Bedarf wiederherstellen.

Führen Sie die folgenden IBM Cloud-CLI-Befehle aus, um den Service aus dem Wiederherstellungsstatus zu löschen.

Der erste Befehl listet alle Ressourcen im Wiederherstellungsstatus auf.

 # List all the resources in reclamation state with its reclamation ID
ibmcloud resource reclamations

Suchen Sie die Wiederherstellungs-ID des Secrets Manager-Dienstes. Verwenden Sie diese ID im folgenden Befehl.

ibmcloud resource reclamation-delete < reclamation-id >

Dieses spezielle Problem kann auftreten, wenn Ihre ALM-/Toolchain-Bereitstellung mehr als 14 Tage alt ist und die Anwendungskonfigurations-DA deployiert/neu bereitgestellt wurde. Dies liegt daran, dass der Continuous Delivery-Dienst zum Erstellen und Löschen von Pipeline-Eigenschaften erforderlich ist und die Bereitstellung erfolgt, wenn der CD-Dienst möglicherweise nicht vorhanden ist. Wir arbeiten an einer langfristigen Lösung für diesen Fehler, aber in der Zwischenzeit kann er gemildert werden, indem sichergestellt wird, dass in der Ressourcengruppe, in der Toolchains erstellt werden sollen, ein CD-Dienst vorhanden ist.

Das Problem tritt in der bereitstellbaren Architektur Workload - Sample RAG App Configuration sowohl in der Code Engine- als auch in der OCP-Variante auf. Der Fehler enthält normalerweise diese Meldung:

 "errors": [
  {
    "code": 403,
    "message": "Continuous Delivery service required"
  }
]

Mit dieser Architektur sind viele Anpassungen möglich. Dies sind einige gängige Optionen.

Jede Mitgliedskonfiguration umfasst eine große Anzahl von Eingabeparametern. Sie können die Konfiguration bearbeiten, um die Standardwerte zu ändern.

Durch Bearbeiten der Mitgliederkonfiguration können Sie beispielsweise Folgendes erreichen:

• Passen Sie die Kontoeinstellungen an
• Stellen Sie weitere Watson-Komponenten bereit, z. B. watsonx.governance
• Bereitstellung für eine vorhandene Ressourcengruppe
• Vorhandene Key Protect-Schlüssel wiederverwenden
• Vorhandene IBM Cloud-Serviceinstanzen wiederverwenden (Secrets Manager, Key Protect, Event Notifications, Watsonx-Services)
• Passen Sie die Parameter Ihres bereitgestellten Code Engine-Projekts oder OpenShift-Clusters an, um bestimmte Anforderungen zu erfüllen.

Um die Mitgliedskonfiguration zu bearbeiten, wählen Sie Bearbeiten aus dem Optionssymbol in der Mitgliedskonfigurationszeile.

Sie können eine Mitgliedskonfiguration aus dem Stapel entfernen, von der andere Konfigurationen nicht abhängen.

Sie können die folgenden Konfigurationen in dieser Architektur entfernen:

• Sicherheits- und Kontrollzentrum
• Beispiel-RAG-App-Konfiguration

Um eine Mitgliedskonfiguration zu entfernen, wählen Sie „Vom Stapel entfernen“ aus dem Optionssymbol in der Mitgliedskonfigurationszeile aus.

Sie können Eingabe- und Ausgabevariablen auf Stack-Ebene hinzufügen oder entfernen, indem Sie die folgenden Schritte ausführen:

1. Klicken Sie in der IBM Cloud-Konsole auf das Navigationsmenüsymbol > Projekte .
2. Klicken Sie auf das Projekt mit der gestapelten bereitstellbaren Architektur, die Sie aktualisieren möchten.
3. Klicken Sie auf die Registerkarte Konfigurationen .
4. Wählen Sie eine Mitgliedskonfiguration aus.
5. Im Fenster mit den bereitgestellten Details können Sie alle Konfigurationseingaben oder -ausgaben heraufstufen.

Sie können Observability-Ressourcen wie Activity Tracker-Routen und -Ziele sowie Cloud Monitoring-Instanzen selektiv bereitstellen, indem Sie die folgenden Schritte ausführen:

1. Klicken Sie in der IBM Cloud-Konsole auf das Navigationsmenüsymbol > Projekte .
2. Klicken Sie auf das Projekt mit der gestapelten bereitstellbaren Architektur, die Sie aktualisieren möchten.
3. Klicken Sie auf die Registerkarte Konfigurationen .
4. Navigieren Sie zu den Konfigurationen : Greifen Sie auf die Konfiguration „Essential Security – Logging Monitoring Activity Tracker“ zu, indem Sie darauf klicken.
5. Mitgliederkonfiguration bearbeiten : Klicken Sie oben rechts auf die drei Punkte und wählen Sie dann die Option Bearbeiten, um auf die Mitgliederkonfigurationsseite zuzugreifen.
6. Suchen Sie nach optionalen Variablen : Auf der Registerkarte „Optional“ finden Sie die spezifischen Variableneinstellungen.
7. Im Fenster mit den bereitgestellten Details können Sie die Bereitstellung bestimmter Observability-Ressourcen aktivieren oder deaktivieren. Zum Beispiel:
   • IBM Cloud Logs-Instanz ( cloud_logs_provision ): Legen Sie dies fest, um eine IBM Cloud Logs-Instanz bereitzustellen oder die Bereitstellung zu überspringen.
   • IBM Cloud Monitoring-Instanz ( cloud_monitoring_provision ): Legen Sie dies fest, um eine IBM Cloud Monitoring-Instanz bereitzustellen oder die Bereitstellung zu überspringen.
   • Ereignisweiterleitung vom Activity Tracker zum Object Storage ( enable_at_event_routing_to_cos_bucket ): Legen Sie dies fest, um die Ereignisweiterleitung vom Activity Tracker zum Object Storage-Bucket zu aktivieren oder zu deaktivieren.
   • Ereignisweiterleitung vom Activity Tracker zu Cloud Logs ( enable_at_event_routing_to_cloud_logs ): Legen Sie dies fest, um die Ereignisweiterleitung vom Activity Tracker zu Cloud Logs zu aktivieren oder zu deaktivieren.
8. Nachdem Sie die erforderlichen Änderungen vorgenommen haben, klicken Sie auf „Speichern“, validieren Sie die Einstellungen und stellen Sie sie bereit, um die aktualisierte Konfiguration anzuwenden.

Nachdem Sie Ihre bereitstellbare Architektur in Projekten geändert haben, können Sie sie über einen privaten IBM Cloud-Katalog mit anderen teilen. Um Ihre bereitstellbare Architektur freizugeben, befolgen Sie die Schritte unter Freigeben Ihrer bereitstellbaren Architektur für Ihr Unternehmen.

Sie können den Code dieser Beispielautomatisierung als Leitfaden verwenden, um die Beispiel-App an Ihre Anforderungen anzupassen. Der Code ist unter https://github.com/terraform-ibm-modules/terraform-ibm-rag-sample-da verfügbar.

Um Ihre eigene App zu verwenden, entfernen Sie die Mitgliedskonfiguration Workload - Sample RAG App Configuration aus dem Stapel. Diese Mitgliedskonfiguration ist spezifisch für die Standardbeispiel-App.

1. Bereinigen Sie die Konfiguration

   Dieser Schritt ist optional, wenn Sie planen, alle Watson-Ressourcen zu zerstören. Die von der Anwendung erstellten Artefakte werden im Rahmen der Aufhebung der Bereitstellung der Watson-Ressourcen gelöscht.

   Befolgen Sie die in der Datei „cleanup.md“ beschriebenen Schritte, um die Konfiguration für die Beispiel-App zu entfernen.

2. Löschen Sie von der CI-Toolchain erstellte Ressourcen

   Die folgenden Ressourcen, die von der Toolchain erstellt werden, werden im Rahmen der Aufhebung der Bereitstellung des Stacks in Project nicht zerstört.

   • Code-Engine-Projekt
     • Löschen Sie das für die Beispielanwendung erstellte Code-Engine-Projekt.
   • Container Registry-Namespace
     • Löschen Sie den vom CI takechain erstellten Container-Registrierungs-Namespace.

3. Löschen Sie das Projekt.

   Um die Bereitstellung der von der bereitstellbaren Architektur erstellten Infrastruktur aufzuheben, befolgen Sie die Schritte unter „Löschen eines Projekts“ in den IBM Cloud-Dokumenten.