Dela via


Tilldela beräkningsresurser till en grupp

Viktig

Den här funktionen finns i offentlig förhandsversion.

Den här artikeln beskriver hur du skapar en beräkningsresurs som tilldelats en grupp med hjälp av åtkomstläget Dedikerad.

Med det dedikerade åtkomstläget för grupper kan användarna få drifteffektivitet för ett standardkluster för åtkomstläge, samtidigt som de på ett säkert sätt stöder språk och arbetsbelastningar som inte stöds av standardåtkomstläget, till exempel Databricks Runtime för ML, Spark Machine Learning Library (MLlib), RDD-API:er och R.

Genom att aktivera det dedikerade gruppklustret Offentlig förhandsversion har din arbetsyta också åtkomst till det nya förenklade beräkningsgränssnittet. Det nya användargränssnittet uppdaterar namnen på åtkomstlägen och förenklar beräkningsinställningarna. Se Använd det enkla formuläret för att hantera beräkning.

Krav

Så här använder du det dedikerade åtkomstläget för grupper:

  • En arbetsyteadministratör måste aktivera Compute: Dedikerade gruppkluster förhandsversion med hjälp av användargränssnittet för förhandsversioner. Se Hantera Förhandsversioner av Azure Databricks.
  • Arbetsytan måste vara aktiverad för Unity Catalog.
  • Du måste använda Databricks Runtime 15.4 eller senare.
  • Den tilldelade gruppen måste ha CAN MANAGE behörigheter för en arbetsytamapp där de kan behålla anteckningsfiler, ML-experiment och andra arbetsytaartefakter som används av gruppklustret.

Vad är dedikerat åtkomstläge?

Dedikerat åtkomstläge är den senaste versionen av enanvändarläget. Med dedikerad åtkomst kan en beräkningsresurs tilldelas till en enskild användare eller grupp, vilket endast ger de tilldelade användarna åtkomst att använda beräkningsresursen.

När en användare är ansluten till en beräkningsresurs som är dedikerad till en grupp (ett gruppkluster) minskar användarens behörigheter automatiskt till gruppens behörigheter, vilket gör att användaren på ett säkert sätt kan dela resursen med de andra medlemmarna i gruppen.

Skapa en beräkningsresurs som är dedikerad till en grupp

  1. På din Azure Databricks-arbetsyta går du till Compute och klickar på Skapa beräkning.
  2. Expandera avsnittet Avancerat.
  3. Under Åtkomstlägeklickar du på Manuell och väljer sedan Dedicated (tidigare: En användare) på den nedrullningsbara menyn.
  4. I fältet Enskild användare eller grupp väljer du den grupp som du vill tilldela den här resursen.
  5. Konfigurera de andra önskade beräkningsinställningarna och klicka sedan på Skapa.

Metodtips för att hantera gruppkluster

Eftersom användarbehörigheter begränsas till gruppen när du använder gruppkluster rekommenderar Databricks att du skapar en /Workspace/Groups/<groupName> mapp för varje grupp som du planerar att använda med ett gruppkluster. Tilldela sedan CAN MANAGE behörigheter för mappen till gruppen. På så sätt kan grupper undvika behörighetsfel. Alla gruppens notebook-filer och arbetsytetillgångar ska hanteras i gruppmappen.

Du måste också ändra följande arbetsbelastningar så att de körs på gruppkluster:

  • MLflow: Kontrollera att du kör anteckningsboken från gruppmappen eller kör mlflow.set_tracking_uri("/Workspace/Groups/<groupName>").
  • AutoML: Ange den valfria parametern experiment_dir till “/Workspace/Groups/<groupName>” för dina AutoML-körningar.
  • dbutils.notebook.run: Kontrollera att gruppen har READ behörighet för anteckningsboken som utförs.

Exempel på gruppbehörigheter

När du skapar ett dataobjekt med hjälp av gruppklustret tilldelas gruppen som objektets ägare.

Om du till exempel har en notebook-fil kopplad till ett gruppkluster och kör följande kommando:

use catalog main;
create schema group_cluster_group_schema;

Kör sedan den här frågan för att kontrollera schemats ägare:

describe schema group_cluster_group_schema;

Exempel på beskrivning av gruppschema

Granskningsgruppens dedikerade beräkningsaktivitet

Det finns två viktiga identiteter när ett gruppkluster kör en arbetsbelastning:

  1. Den användare som kör arbetsbelastningen i gruppklustret
  2. Den grupp vars behörigheter används för att utföra de faktiska arbetsbelastningsåtgärderna

Systemtabellen revisionslogg registrerar dessa identiteter under följande parametrar:

  • identity_metadata.run_by: Den autentiserande användare som utför åtgärden
  • identity_metadata.run_as: Den auktoriseringsgrupp vars behörigheter används för åtgärden.

I följande exempelfråga hämtas identitetsmetadata för en åtgärd som vidtas med gruppklustret:

select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;

Visa systemtabellreferensen för granskningsloggen för fler exempelfrågor. Se systemtabellreferens för granskningsloggar.

Kända problem

  • Arbetsytans filer och mappar som skapats från gruppkluster leder till att den tilldelade objektägaren blir Unknown. Detta gör att efterföljande åtgärder på dessa objekt, till exempel read, writeoch delete, misslyckas med fel av typen 'åtkomst nekad'.

begränsningar

Den dedikerade gruppåtkomstläget Offentlig förhandsversion har följande kända begränsningar:

  • Linjära systemtabeller registrerar inte identity_metadata.run_as (auktoriseringsgruppen) eller identity_metadata.run_by (autentiserande användaren) identiteter för arbetsbelastningar som körs i ett gruppkluster.
  • Granskningsloggar som levereras till kundlagring registrerar inte identity_metadata.run_as (auktoriseringsgruppen) eller identity_metadata.run_by (den autentiserande användaren) identiteter för arbetsbelastningar som körs i ett gruppkluster. Du måste använda tabellen system.access.audit för att visa identitetsmetadata.
  • När katalogutforskaren är ansluten till ett gruppkluster filtreras den inte efter tillgångar som endast är tillgängliga för gruppen.
  • Gruppchefer som inte är gruppmedlemmar kan inte skapa, redigera eller ta bort gruppkluster. Endast arbetsyteadministratörer och gruppmedlemmar kan göra det.
  • Om en grupp har bytt namn måste du manuellt uppdatera alla beräkningsprinciper som refererar till gruppnamnet.
  • Gruppkluster stöds inte för arbetsytor med ACL:er inaktiverade (isWorkspaceAclsEnabled == false) på grund av den inneboende bristen på säkerhets- och dataåtkomstkontroller när arbetsyte-ACL:er inaktiveras.
  • Kommandot %run använder för närvarande användarens behörigheter i stället för gruppens behörigheter när de körs i ett gruppkluster. Alternativ såsom dbutils.notebook.run() använder korrekt gruppens behörigheter.