Tilldela beräkningsresurser till en grupp
Viktig
Den här funktionen finns i offentlig förhandsversion.
Den här artikeln beskriver hur du skapar en beräkningsresurs som tilldelats en grupp med hjälp av åtkomstläget Dedikerad.
Med det dedikerade åtkomstläget för grupper kan användarna få drifteffektivitet för ett standardkluster för åtkomstläge, samtidigt som de på ett säkert sätt stöder språk och arbetsbelastningar som inte stöds av standardåtkomstläget, till exempel Databricks Runtime för ML, Spark Machine Learning Library (MLlib), RDD-API:er och R.
Genom att aktivera det dedikerade gruppklustret Offentlig förhandsversion har din arbetsyta också åtkomst till det nya förenklade beräkningsgränssnittet. Det nya användargränssnittet uppdaterar namnen på åtkomstlägen och förenklar beräkningsinställningarna. Se Använd det enkla formuläret för att hantera beräkning.
Krav
Så här använder du det dedikerade åtkomstläget för grupper:
- En arbetsyteadministratör måste aktivera Compute: Dedikerade gruppkluster förhandsversion med hjälp av användargränssnittet för förhandsversioner. Se Hantera Förhandsversioner av Azure Databricks.
- Arbetsytan måste vara aktiverad för Unity Catalog.
- Du måste använda Databricks Runtime 15.4 eller senare.
- Den tilldelade gruppen måste ha
CAN MANAGE
behörigheter för en arbetsytamapp där de kan behålla anteckningsfiler, ML-experiment och andra arbetsytaartefakter som används av gruppklustret.
Vad är dedikerat åtkomstläge?
Dedikerat åtkomstläge är den senaste versionen av enanvändarläget. Med dedikerad åtkomst kan en beräkningsresurs tilldelas till en enskild användare eller grupp, vilket endast ger de tilldelade användarna åtkomst att använda beräkningsresursen.
När en användare är ansluten till en beräkningsresurs som är dedikerad till en grupp (ett gruppkluster) minskar användarens behörigheter automatiskt till gruppens behörigheter, vilket gör att användaren på ett säkert sätt kan dela resursen med de andra medlemmarna i gruppen.
Skapa en beräkningsresurs som är dedikerad till en grupp
- På din Azure Databricks-arbetsyta går du till Compute och klickar på Skapa beräkning.
- Expandera avsnittet Avancerat.
- Under Åtkomstlägeklickar du på Manuell och väljer sedan Dedicated (tidigare: En användare) på den nedrullningsbara menyn.
- I fältet Enskild användare eller grupp väljer du den grupp som du vill tilldela den här resursen.
- Konfigurera de andra önskade beräkningsinställningarna och klicka sedan på Skapa.
Metodtips för att hantera gruppkluster
Eftersom användarbehörigheter begränsas till gruppen när du använder gruppkluster rekommenderar Databricks att du skapar en /Workspace/Groups/<groupName>
mapp för varje grupp som du planerar att använda med ett gruppkluster. Tilldela sedan CAN MANAGE
behörigheter för mappen till gruppen. På så sätt kan grupper undvika behörighetsfel. Alla gruppens notebook-filer och arbetsytetillgångar ska hanteras i gruppmappen.
Du måste också ändra följande arbetsbelastningar så att de körs på gruppkluster:
- MLflow: Kontrollera att du kör anteckningsboken från gruppmappen eller kör
mlflow.set_tracking_uri("/Workspace/Groups/<groupName>")
. - AutoML: Ange den valfria parametern
experiment_dir
till“/Workspace/Groups/<groupName>”
för dina AutoML-körningar. -
dbutils.notebook.run
: Kontrollera att gruppen harREAD
behörighet för anteckningsboken som utförs.
Exempel på gruppbehörigheter
När du skapar ett dataobjekt med hjälp av gruppklustret tilldelas gruppen som objektets ägare.
Om du till exempel har en notebook-fil kopplad till ett gruppkluster och kör följande kommando:
use catalog main;
create schema group_cluster_group_schema;
Kör sedan den här frågan för att kontrollera schemats ägare:
describe schema group_cluster_group_schema;
Granskningsgruppens dedikerade beräkningsaktivitet
Det finns två viktiga identiteter när ett gruppkluster kör en arbetsbelastning:
- Den användare som kör arbetsbelastningen i gruppklustret
- Den grupp vars behörigheter används för att utföra de faktiska arbetsbelastningsåtgärderna
Systemtabellen revisionslogg registrerar dessa identiteter under följande parametrar:
-
identity_metadata.run_by
: Den autentiserande användare som utför åtgärden -
identity_metadata.run_as
: Den auktoriseringsgrupp vars behörigheter används för åtgärden.
I följande exempelfråga hämtas identitetsmetadata för en åtgärd som vidtas med gruppklustret:
select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;
Visa systemtabellreferensen för granskningsloggen för fler exempelfrågor. Se systemtabellreferens för granskningsloggar.
Kända problem
- Arbetsytans filer och mappar som skapats från gruppkluster leder till att den tilldelade objektägaren blir
Unknown
. Detta gör att efterföljande åtgärder på dessa objekt, till exempelread
,write
ochdelete
, misslyckas med fel av typen 'åtkomst nekad'.
begränsningar
Den dedikerade gruppåtkomstläget Offentlig förhandsversion har följande kända begränsningar:
- Linjära systemtabeller registrerar inte
identity_metadata.run_as
(auktoriseringsgruppen) elleridentity_metadata.run_by
(autentiserande användaren) identiteter för arbetsbelastningar som körs i ett gruppkluster. - Granskningsloggar som levereras till kundlagring registrerar inte
identity_metadata.run_as
(auktoriseringsgruppen) elleridentity_metadata.run_by
(den autentiserande användaren) identiteter för arbetsbelastningar som körs i ett gruppkluster. Du måste använda tabellensystem.access.audit
för att visa identitetsmetadata. - När katalogutforskaren är ansluten till ett gruppkluster filtreras den inte efter tillgångar som endast är tillgängliga för gruppen.
- Gruppchefer som inte är gruppmedlemmar kan inte skapa, redigera eller ta bort gruppkluster. Endast arbetsyteadministratörer och gruppmedlemmar kan göra det.
- Om en grupp har bytt namn måste du manuellt uppdatera alla beräkningsprinciper som refererar till gruppnamnet.
- Gruppkluster stöds inte för arbetsytor med ACL:er inaktiverade (isWorkspaceAclsEnabled == false) på grund av den inneboende bristen på säkerhets- och dataåtkomstkontroller när arbetsyte-ACL:er inaktiveras.
- Kommandot
%run
använder för närvarande användarens behörigheter i stället för gruppens behörigheter när de körs i ett gruppkluster. Alternativ såsomdbutils.notebook.run()
använder korrekt gruppens behörigheter.