使用帳戶API創建一個工作區

您可以創建工作區使用賬戶API。賬戶API允許您以編程方式創建多個新磚工作區與單個磚帳戶相關聯。您創建的每個工作區可以有不同的配置設置。或者,您可以創建一個工作空間使用賬戶控製台起程拓殖

默認情況下,磚創建並管理工作空間的VPC的生命周期。可選地,您可以指定您自己的customer-managed VPC。該功能需要溢價層。

使用帳戶創建一個工作區與默認VPC API

這個主題描述了如何使用帳戶API創建一個工作區,Databricks-managed VPC。創建一個工作空間使用customer-managed VPC,而不是聽從指示創建一個工作區customer-managed VPC使用帳戶API

您可以使用賬戶API創建一個工作區。賬戶API是一個戶頭級別API,這意味著認證不同於大多數磚REST API,這是工作空間層API。對於認證帳戶級別API,您必須使用Google ID認證和創建兩個不同類型的令牌(Google ID標記和一個穀歌訪問令牌)中包含HTTP頭在每個帳戶API請求。看到與穀歌身份驗證ID標記

相關操作:

創建一個默認的工作空間VPC使用帳戶API:

  1. 確保服務帳戶,你使用正確的權限用於創建工作區。這是你的主要服務帳戶,稱為- 2,所述與穀歌身份驗證ID標記。服務帳戶需要一個角色或組的角色在穀歌雲項目的工作區創建:

    • 老板(角色/所有者)

    • 這兩個編輯器(角色/編輯器),項目我管理(角色/ resourcemanager.projectIamAdmin)。

    1. 項目我頁麵在穀歌雲控製台。

    2. 如果需要,改變項目從項目選擇頁麵的頂部以匹配您的工作區項目。

    3. 如果服務帳戶已經角色在這個項目中,你可以找到這個頁麵和審查的角色角色列。

    4. 添加新角色的服務帳戶項目:

      1. 在我頁麵的頂部,點擊添加

      2. 主要字段中,輸入服務帳戶的電子郵件地址。

      3. 單擊選擇一個角色字段。選擇所需的角色。主人的角色,查看器和編輯器,你可以找到他們在選擇器中基本類別。

      4. 添加其他角色,點擊添加另一個角色重複前麵的步驟在“添加角色”。

      5. 點擊保存

  2. 如果您還沒有這麼做,或者你的Google ID或訪問令牌過期,創建兩種類型的令牌穀歌身份驗證賬戶的API。

  3. 計算GKE磚工作區所使用的子網。你無法改變他們部署後,您的工作區。如果你的磚子網地址範圍太小,然後工作區耗盡其IP空間,導致磚工作失敗。確定你需要的地址範圍大小,使用Databricks-provided計算器

  4. 使用以下命令創建一個默認的工作空間。

    curl——位置請求“https://accounts.gcp.m.eheci.com/api/2.0/accounts/ <帳戶id > /工作區”\——頭“X-Databricks-GCP-SA-Access-Token: < google-access-token >”\——頭“授權:無記名< google-id-token >”\——頭“application / json內容類型:\——data-raw”{“workspace_name”:“<工作空間名稱>”,“雲”:“豐富”,地區“位置”:“< >”," cloud_resource_container ": {"質量":{:“project_id < workspace-resource-project-id >”}},}
    • 取代< google-id-token >< google-access-token >與你的Google ID和Google訪問令牌。

    • 取代<帳戶id >與你的帳戶ID

    • 取代<工作空間名稱>為您的新工作區可讀名稱。

    • 取代<地區>的名稱支持地區

    • 取代< workspace-resource-project-id >穀歌雲項目,您想要使用。

    • 取代< network-configuration-id >與網絡配置對象的ID從上一步你注冊它。

    設置可選參數:

    • (可選)覆蓋GKE參數默認值,添加一個gke_config對象的請求。例如,切換到公共GKE集群或改變的IP範圍GKE集群主資源。看到創建一個新的工作區

    • (可選)覆蓋管理網絡IP範圍違約,添加一個gcp_managed_network_config對象的請求。例如,改變IP範圍集群豆莢,集群服務,或IP子網範圍CIDR格式使用。看到創建一個新的工作區

      請注意

      豆莢的IP範圍、服務和主IP範圍必須是相互排斥的。這些字段的IP範圍不能重疊,並且所有IP地址必須完全在以下範圍:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

    • (可選)可以添加customer-managed加密密鑰來幫助控製對某些類型的數據的訪問。看到Customer-managed密鑰進行加密。配置鑰匙的工作區,您需要創建一個加密密鑰配置對象可以引用它的ID參數storage_customer_managed_key_id(對於工作區存儲)或managed_services_customer_managed_key_id(管理服務)。看到配置customer-managed鍵使用API需求和上下文。

  5. 確認已經成功地創建了您的工作區。工作區工作空間的列表中,點擊開放。查看工作狀態和測試工作,明白了查看工作狀態

  6. 安全工作空間的GCS桶。看到安全工作空間的GCS桶在您的項目中

    當您創建一個工作區,磚在穀歌的雲創建兩個穀歌雲存儲(GCS)桶在你的穀歌雲項目。磚強烈建議您安全這些GCS水桶,這樣他們不是從外部訪問磚在穀歌的雲

在工作區中創建、磚能使一些要求穀歌api的項目如果他們不是已經啟用。看到使穀歌api在工作區項目

創建一個工作區customer-managed VPC使用帳戶API

創建工作區與customer-managed VPC之前,您必須創建一個磚對象稱為網絡配置,代表您計劃使用的穀歌雲VPC,等相關對象子網。你創建時指定網絡配置數據磚工作區。你不能移動現有Databricks-managed VPC的VPC的工作區。在工作區中創建之後你不能改變這customer-managed VPC工作區使用。

您還可以執行使用了本文中描述的任務賬戶控製台。然而,配置customer-managed VPC,穀歌雲主要需要穀歌雲項目的特定角色取決於你如何執行的操作。使用賬戶控製台,主要是你的管理員用戶帳戶。使用賬戶API,主要是主要的服務帳戶(- 2),您將使用穀歌身份驗證

您可以使用賬戶API添加一個網絡配置和創建一個工作區。賬戶API是一個戶頭級別API,這意味著認證不同於大多數磚REST API,這是工作空間層API。對於認證帳戶級別API,您必須使用Google ID認證和創建兩個不同類型的令牌(Google ID令牌和一個穀歌訪問令牌)中包含HTTP頭在每個帳戶API請求。有關詳細信息,請參見與穀歌身份驗證ID標記

設置您的VPC

執行以下步驟中描述的文章Customer-managed VPC:

  1. 審查所有customer-managed VPC的要求

  2. 創建您的VPC

在那篇文章中不執行其他步驟。

添加角色服務帳戶

主要執行一個操作必須為每個操作有特定要求的角色。項目的主體,需要特定的角色取決於你如何執行的操作。

服務帳戶不會自動繼承從你作為創造者的角色。你必須為項目的服務帳戶添加角色。

通過這篇文章Customer-managed VPC執行這些步驟:

  1. 審查所需的角色項目創建一個工作區和其他相關業務。

  2. 按照指示項目添加特定的角色但有一個修改賬戶API用法:不指定你的管理員用戶帳戶的電子郵件地址作為本金。相反,指定主要作為主要的服務帳戶的電子郵件地址(2),您將使用穀歌身份驗證

注冊一個網絡配置

您可以使用API來添加一個網絡配置。為一個完整的API參考或下載OpenAPI規範,明白了賬戶API

重要的

這兩種類型的身份驗證令牌(Google ID標記和Google訪問令牌)在一小時內到期。考慮最初閱讀穀歌標識文檔,但等到創建您的身份驗證令牌就可以調用API。

  1. 使雲資源管理器API服務帳戶的項目

    1. 雲資源管理器API

    2. 如果需要,使用項目選擇在頁麵的頂部改變項目的穀歌雲項目服務帳戶創建您將使用。在Google ID的例子,這主要服務帳戶也被稱為- 2。

    3. 如果你看到的啟用按鈕,點擊啟用。等待1分鍾之後再繼續。

      如果啟用按鈕不可見,API已經啟用。

  2. 如果您還沒有這樣做,或者你的Google ID或訪問令牌已經過期,需要創建兩種類型的令牌穀歌身份驗證

  3. 使用REST API使用以下命令創建網絡配置。

    curl——位置請求“https://accounts.gcp.m.eheci.com/api/2.0/accounts/ <帳戶id > /網絡”\——頭“X-Databricks-GCP-SA-Access-Token: < google-access-token >”\——頭“授權:無記名< google-id-token >”\——頭“application / json內容類型:\——data-raw”{“network_name”:“< network-configuration-name >”," gcp_network_info ": {“network_project_id”:“< vpc-host-project-id >”,“vpc_id”:“< vpc-id >”,“subnet_id”:“< subnet-id >”,“subnet_region”:“< subnet-region >”,“pod_ip_range_name”:“< name-of-pod-secondary-range >”,:“service_ip_range_name < name-of-svc-secondary-range >”}}'
    • 取代< google-id-token >< google-access-token >與你的Google ID和Google訪問令牌。

    • 取代<帳戶id >與您的帳戶ID。

    • 取代< network-configuration-name >用一個新的人類可讀的網絡配置名稱。

    • 取代< vpc-host-project-id >與你的VPC的項目ID。

      重要的

      如果你使用一個穀歌雲共享VPC,它允許不同的穀歌雲項目工作區資源如計算資源和存儲,設置這個項目ID VPC,不是項目ID工作區資源。

    • 設置< vpc-id >,< subnet-id >,< subnet-region >VPC ID字段,子網ID和子網。子網區域必須匹配的地區你想使用你的新工作區。

    • < name-of-pod-secondary-range >< name-of-svc-secondary-range >、替換與pod中等範圍和服務中等範圍,您在前麵的步驟中創建的。如果使用前麵的例子創建獨立的VPC的gcloudCLI命令,這些次要的IP範圍命名圓莢體svc

      豆莢的IP範圍、服務和主IP範圍必須是相互排斥的。這些字段的IP範圍不能重疊,並且所有IP地址必須完全在以下範圍:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

    這返回一個json格式的網絡配置對象:

    {“account_id”:“e11e38c5-a449-47b9-b37f-0fa36c821612”,“creation_time”:1644388480866,“gcp_network_info”:{“network_project_id”:“< vpc-host-project-id >”,“pod_ip_range_name”:“< name-of-pod-secondary-range >”,“service_ip_range_name”:“< name-of-svc-secondary-range >”,“subnet_id”:“< subnet-id >”,“subnet_region”:“< subnet-region >”,“vpc_id”:“< vpc-id >”},“network_id”:“< network-configuration-id”,“network_name”:“< network-configuration-name >”,“vpc_status”:“未婚”}
  4. 保存network_id字段的結果。這是您的網絡配置對象的ID。您將需要創建工作區。

創建一個與customer-managed VPC工作區

執行以下步驟使用帳戶customer-managed VPC API創建一個工作區。為一個完整的API參考或下載OpenAPI規範,明白了賬戶API。創建工作區Databricks-managed VPC,相反使用帳戶創建一個工作區與默認VPC API

重要的

這兩種類型的身份驗證令牌(Google ID標記和Google訪問令牌)在一小時內到期。考慮最初閱讀穀歌標識文檔,但等到創建您的身份驗證令牌就可以調用API。

  1. 如果您還沒有這樣做,使雲計算資源管理器API服務帳戶的項目。如果你已經這樣做了,跳到下一步在這一節中。

    1. 雲資源管理器API

    2. 如果需要,使用項目選擇在頁麵的頂部改變項目的穀歌雲項目服務帳戶創建您將使用。在Google ID的例子,這主要服務帳戶也被稱為- 2。

    3. 如果你看到的啟用按鈕,點擊啟用。等待1分鍾之後再繼續。

  2. 確保服務帳戶,你使用正確的權限用於創建工作區。這是你的主要服務帳戶,稱為- 2,所述與穀歌身份驗證ID標記。看到角色需求

    重要的

    如果你使用一個穀歌雲共享VPC,它允許不同的穀歌雲項目工作區資源如計算資源和存儲,請注意,你需要兩個項目特定角色。

  3. 如果您還沒有這樣做,或者你的Google ID或訪問令牌已經過期,創建所需的兩個令牌穀歌身份驗證這個API。

  4. 運行以下命令創建一個典型的工作區與私人GKE集群:

    curl——位置請求“https://accounts.gcp.m.eheci.com/api/2.0/accounts/ <帳戶id > /工作區”\——頭“X-Databricks-GCP-SA-Access-Token: < google-access-token >”\——頭“授權:無記名< google-id-token >”\——頭“application / json內容類型:\——data-raw”{“workspace_name”:“<工作空間名稱>”,“雲”:“豐富”,地區“位置”:“< >”," cloud_resource_container ": {"質量":{:“project_id < workspace-resource-project-id >”}},“network_id”:“< network-configuration-id >”," gke_config ": {:“connectivity_type PRIVATE_NODE_PUBLIC_MASTER”,:“master_ip_range 10.103.0.0/28”}}
    • 取代< google-id-token >< google-access-token >與你的Google ID和Google訪問令牌。

    • 取代<帳戶id >與你的帳戶ID

    • 取代<工作空間名稱>為您的新工作區可讀名稱。

    • 取代<地區>的名稱支持地區

    • 取代< workspace-resource-project-id >穀歌雲項目,您想要使用。

      重要的

      如果你使用一個穀歌雲共享VPC,它允許不同的穀歌雲項目工作區資源,如計算資源和存儲設置穀歌雲項目ID場項目工作區資源的ID,而不是項目VPC ID。

    • 取代< network-configuration-id >與網絡配置對象的ID從上一步你注冊它。

    • (可選)覆蓋GKE參數默認值,改變gke_config對象的請求。例如,切換到一個公共GKE集群或改變的IP範圍GKE集群主資源。看到創建一個新的工作區

      豆莢的IP範圍、服務和主IP範圍必須是相互排斥的。這些字段的IP範圍不能重疊,並且所有IP地址必須完全在以下範圍:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

    • (可選)可以用私人安全工作區連接和減少數據漏出風險通過啟用Google私人服務連接(PSC)工作區。配置,您需要創建一個私人訪問設置對象的ID和參考private_access_settings_id參數。添加PSC配置之前,磚強烈建議閱讀這篇文章使私人服務連接您的工作區對需求和上下文。

    • (可選)可以添加customer-managed加密密鑰來幫助控製對某些類型的數據的訪問。看到Customer-managed密鑰進行加密。配置鑰匙的工作區,您需要創建一個加密密鑰配置對象可以引用它的ID參數storage_customer_managed_key_id(對於工作區存儲)或managed_services_customer_managed_key_id(管理服務)。看到配置customer-managed鍵使用API需求和上下文。

  5. 確認已經成功地創建了您的工作區。工作區工作空間的列表中,點擊開放。查看工作狀態和測試工作,明白了查看工作狀態

  6. 安全工作空間的GCS桶。看到安全工作空間的GCS桶在您的項目中

    當您創建一個工作區,磚在穀歌的雲創建兩個穀歌雲存儲(GCS)桶在你的穀歌雲項目。磚強烈建議您安全這些GCS水桶,這樣他們不是從外部訪問磚在穀歌的雲。

在工作區中創建、磚能使一些要求穀歌api的項目如果他們不是已經啟用。看到使穀歌api在工作區項目