Dela via

Tilldela beräkningsresurser till en grupp

  • Artikel

Viktig

Den här funktionen finns i offentlig förhandsversion.

Den här artikeln beskriver hur du skapar en beräkningsresurs som tilldelats en grupp med hjälp av åtkomstläget Dedikerad.

Med dedikerat gruppåtkomstläge kan användarna get den operativa effektiviteten hos ett standardåtkomstkluster, samtidigt som de på ett säkert sätt stöder språk och arbetsbelastningar som inte stöds av standardåtkomstläget, till exempel Databricks Runtime för ML, Spark Machine Learning Library (MLlib), RDD-API:er och R.

Genom att aktivera det dedikerade gruppklustret Offentlig förhandsversion har din arbetsyta också åtkomst till det nya förenklade beräkningsgränssnittet. Det nya användargränssnittet uppdaterar namnen på åtkomstlägen och förenklar beräkningsinställningarna. Se Använd det enkla formuläret för att hantera beräkning.

Krav

Så här använder du det dedikerade åtkomstläget för grupper:

  • En arbetsyteadministratör måste aktivera Compute: Dedikerade gruppkluster förhandsversion med hjälp av användargränssnittet för förhandsversioner. Se Hantera Förhandsversioner av Azure Databricks.
  • Arbetsytan måste vara aktiverad för Unity Catalog.
  • Du måste använda Databricks Runtime 15.4 eller senare.
  • Den tilldelade gruppen måste ha CAN MANAGE behörigheter för en arbetsytemapp where de kan behålla notebook-filer, ML-experiment och andra arbetsytefakter som används av gruppklustret.

Vad är dedikerat åtkomstläge?

Dedikerat åtkomstläge är den senaste versionen av enanvändarläget. Med dedikerad åtkomst kan en beräkningsresurs tilldelas till en enskild användare eller grupp, vilket endast ger de tilldelade användarna åtkomst att använda beräkningsresursen.

När en användare är ansluten till en beräkningsresurs som är dedikerad till en grupp (ett gruppkluster) minskar användarens behörigheter automatiskt till gruppens behörigheter, vilket gör att användaren på ett säkert sätt kan dela resursen med de andra medlemmarna i gruppen.

Skapa en beräkningsresurs som är dedikerad till en grupp

  1. På din Azure Databricks-arbetsyta går du till Compute och klickar på Skapa beräkning.
  2. Expandera avsnittet Avancerat.
  3. Under Åtkomstlägeklickar du på Manuell och sedan selectDedikerad (tidigare: En användare) från listmenyn.
  4. I fältet Enskild användare eller gruppselect den grupp som du vill tilldela den här resursen.
  5. Konfigurera de andra önskade beräkningsinställningarna och klicka sedan på Skapa.

Metodtips för att hantera gruppkluster

Eftersom användarbehörigheter begränsas till gruppen när du använder gruppkluster rekommenderar Databricks att du skapar en /Workspace/Groups/<groupName> mapp för varje grupp som du planerar att använda med ett gruppkluster. Tilldela sedan CAN MANAGE behörigheter för mappen till gruppen. På så sätt kan grupper undvika behörighetsfel. Alla gruppens notebook-filer och arbetsytetillgångar ska hanteras i gruppmappen.

Du måste också ändra följande arbetsbelastningar så att de körs på gruppkluster:

  • MLflow: Kontrollera att du kör anteckningsboken från gruppmappen eller kör mlflow.set_tracking_uri("/Workspace/Groups/<groupName>").
  • AutoML: Set den valfria experiment_dir-parametern “/Workspace/Groups/<groupName>” av dina AutoML-körningar.
  • dbutils.notebook.run: Kontrollera att gruppen har READ behörighet för anteckningsboken som utförs.

Exempel på gruppbehörigheter

När du skapar ett dataobjekt med hjälp av gruppklustret tilldelas gruppen som objektets ägare.

Om du till exempel har en notebook-fil kopplad till ett gruppkluster och kör följande kommando:

use catalog main;
create schema group_cluster_group_schema;

Kör sedan den här frågan för att kontrollera ägaren till schema:

describe schema group_cluster_group_schema;

Exempel på beskrivning av grupp schema

Granskningsgruppens dedikerade beräkningsaktivitet

Det finns två viktiga identiteter när ett gruppkluster kör en arbetsbelastning:

  1. Den användare som kör arbetsbelastningen i gruppklustret
  2. Den grupp vars behörigheter används för att utföra de faktiska arbetsbelastningsåtgärderna

Det granskningsloggsystemet table registrerar dessa identiteter under följande parameters:

  • identity_metadata.run_by: Den autentiserande användare som utför åtgärden
  • identity_metadata.run_as: Den auktoriseringsgrupp vars behörigheter används för åtgärden.

I följande exempelfråga hämtas identitetsmetadata för en åtgärd som vidtas med gruppklustret:

select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;

Visa granskningsloggsystemet table referens för fler exempelfrågor. Se granskningsloggsystem table referens.

begränsningar

Den dedikerade gruppåtkomstläget Offentlig förhandsversion har följande kända begränsningar:

  • Ursprungssystemet tables inte registrerar identity_metadata.run_as -identiteterna (auktoriseringsgruppen) eller identity_metadata.run_by (den autentiserande användaren) för arbetsbelastningar som körs i ett gruppkluster.
  • Granskningsloggar som levereras till kundlagring registrerar inte identity_metadata.run_as (auktoriseringsgruppen) eller identity_metadata.run_by (den autentiserande användaren) identiteter för arbetsbelastningar som körs i ett gruppkluster. Du måste använda system.access.audittable för att visa identitetsmetadata.
  • När den är ansluten till ett gruppkluster filtrerar Catalog Explorer inte efter tillgångar som endast är tillgängliga för gruppen.
  • Gruppchefer som inte är gruppmedlemmar kan inte skapa, redigera eller ta bort gruppkluster. Endast arbetsyteadministratörer och gruppmedlemmar kan göra det.
  • Om en grupp har bytt namn måste du manuellt update alla beräkningsprinciper som refererar till gruppnamnet.
  • Gruppkluster stöds inte för arbetsytor med ACL:er inaktiverade (isWorkspaceAclsEnabled == false) på grund av den inneboende bristen på säkerhets- och dataåtkomstkontroller när arbetsyte-ACL:er inaktiveras.
  • Kommandot %run använder för närvarande användarens behörigheter i stället för gruppens behörigheter när de körs i ett gruppkluster. Alternativ såsom dbutils.notebook.run() använder korrekt gruppens behörigheter.