Sdílet prostřednictvím

Přiřazení výpočetních prostředků ke skupině

  • Článek

Důležitý

Tato funkce je ve verzi Public Preview.

Tento článek vysvětluje, jak vytvořit výpočetní prostředek přiřazený ke skupině pomocí režimu přístupu Dedicated.

Režim přístupu k vyhrazeným skupinám umožňuje uživatelům get provozní efektivitu clusteru standardního režimu přístupu a zároveň bezpečně podporuje jazyky a úlohy, které nejsou podporovány standardním režimem přístupu, jako je Databricks Runtime pro ML, knihovna Spark Machine Learning Library (MLlib), rozhraní API rdD a R.

Povolením vyhrazeného clusteru skupiny ve verzi Public Preview získá váš pracovní prostor přístup k novému zjednodušenému uživatelskému rozhraní pro výpočty. Toto nové uživatelské rozhraní aktualizuje názvy režimů přístupu a zjednodušuje nastavení výpočetních prostředků. Podívejte se na Použijte jednoduchý formulář ke správě výpočtových prostředků.

Požadavky

Použití režimu přístupu k vyhrazené skupině:

  • Správce pracovního prostoru musí povolit Compute: Vyhrazené skupinové clustery preview pomocí uživatelského rozhraní Preview. Viz Správa služby Azure Databricks Preview.
  • Pracovní prostor musí být povolený pro Unity Catalog.
  • Musíte použít Databricks Runtime 15.4 nebo novější.
  • Přiřazená skupina musí mít CAN MANAGE oprávnění ke složce pracovního prostoru where může uchovávat poznámkové bloky, experimenty ML a další artefakty pracovního prostoru používané clusterem skupiny.

Co je režim vyhrazeného přístupu?

Režim vyhrazeného přístupu je nejnovější verze režimu přístupu jednoho uživatele. S vyhrazeným přístupem je možné výpočetní prostředek přiřadit jednomu uživateli nebo skupině, což umožňuje pouze přiřazeným uživatelům přístup k používání výpočetního prostředku.

Když je uživatel připojený k výpočetnímu prostředku vyhrazenému ke skupině (clusteru skupin), oprávnění uživatele se automaticky sníží na oprávnění skupiny, což uživateli umožní bezpečně sdílet prostředek s ostatními členy skupiny.

Vytvoření výpočetního prostředku vyhrazeného pro skupinu

  1. V pracovním prostoru Azure Databricks přejděte na kartu Compute a klikněte na Vytvořit výpočetní prostředí.
  2. Rozbalte část Pokročilé.
  3. V režimu přístupu klikněte v rozevírací nabídce na Ruční a poté selectVyhrazený (dříve Single-user).
  4. V poli Jeden uživatel nebo skupinaselect skupinu, kterou chcete k tomuto prostředku přiřadit.
  5. Nakonfigurujte další požadovaná nastavení výpočetních prostředků a potom klikněte na Vytvořit.

Osvědčené postupy pro správu clusterů skupin

Vzhledem k tomu, že uživatelská oprávnění jsou při používání skupinových clusterů omezena na skupinu, doporučuje Databricks vytvořit složku /Workspace/Groups/<groupName> pro každou skupinu, kterou chcete použít s clusterem skupin. Potom skupině přiřaďte oprávnění CAN MANAGE ke složce. To umožňuje skupinám vyhnout se chybám oprávnění. Všechny poznámkové bloky skupiny a prostředky pracovního prostoru by se měly spravovat ve složce skupiny.

Musíte také upravit následující úlohy, které se mají spouštět ve skupinových clusterech:

  • MLflow: Ujistěte se, že poznámkový blok spustíte ze složky skupiny, nebo pokud ne, spusťte mlflow.set_tracking_uri("/Workspace/Groups/<groupName>").
  • AutoML: Set volitelný parametr experiment_dir pro “/Workspace/Groups/<groupName>” pro spuštění AutoML.
  • dbutils.notebook.run: Ujistěte se, že skupina má oprávnění READ na poznámkový blok, který je spuštěn.

Ukázková oprávnění skupiny

Při vytváření datového objektu pomocí clusteru skupiny se skupina přiřadí jako vlastník objektu.

Pokud máte například poznámkový blok připojený ke skupinovému clusteru a spusťte následující příkaz:

use catalog main;
create schema group_cluster_group_schema;

Potom spusťte tento dotaz a zkontrolujte vlastníka schema:

describe schema group_cluster_group_schema;

Příklad popisu skupiny schema

skupina pro audit výpočetních činností

Existují dvě klíčové identity, které jsou důležité, když skupinový cluster spouští pracovní zátěž:

  1. Uživatel, který spouští úlohu v clusteru skupiny
  2. Skupina, jejíž oprávnění se používají k provádění skutečných akcí pracovní zátěže

Systém protokolu auditování table tyto identity zaznamenává pod následujícími parameters:

  • identity_metadata.run_by: Ověřování uživatele, který provede akci
  • identity_metadata.run_as: Autorizovaná skupina, jejíž oprávnění se používají pro akci.

Následující příklad dotazu načítá metadata identity pro akci prováděnou s clusterem skupiny:

select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;

Prohlédněte si reference systému auditního protokolu table pro další příkladové dotazy. Viz odkaz systému protokolu auditování table.

Omezení

Režim přístupu k vyhrazené skupině ve verzi Public Preview má následující známá omezení:

  • Systém rodokmenu tables nezaznamená identity_metadata.run_as (skupinu autorizace) ani identity_metadata.run_by (ověřování uživatelů) identit pro úlohy spuštěné v clusteru skupin.
  • Protokoly auditu doručované do zákaznického úložiště nezaznamenávají identity identity_metadata.run_as (autorizující skupinu) ani identity_metadata.run_by (ověřujícího uživatele) pro úlohy spuštěné v clusteru skupiny. Musíte použít system.access.audittable ke zobrazení identifikačních metadat.
  • Když je připojen ke skupinovému clusteru, průzkumník Catalog nefiltruje pouze podle prostředků, které jsou dostupné pouze pro skupinu.
  • Správci skupin, kteří nejsou členy skupiny, nemůžou vytvářet, upravovat ani odstraňovat clustery skupin. To můžou udělat jenom správci pracovního prostoru a členové skupiny.
  • Pokud je skupina přejmenována, musíte ručně update všechny výpočetní zásady, které odkazují na název skupiny.
  • Skupinové clustery nejsou podporovány pro pracovní prostory s vypnutými seznamy ACL (isWorkspaceAclsEnabled == false) kvůli inherentnímu nedostatku zabezpečení a řízení přístupu k datům, když jsou seznamy ACL pracovního prostoru vypnuté.
  • Příkaz %run aktuálně používá oprávnění uživatele místo oprávnění skupiny při spuštění v clusteru skupiny. Alternativy, jako je dbutils.notebook.run(), používají oprávnění skupiny správně.