使用帳戶API創建一個工作區

在你開始之前

• 確保你獲得帳戶ID。

• 確定您的工作區將支持以下特性:

  • Customer-managed VPC:提供自己的亞馬遜虛擬公共雲(VPC)如果你想使用AWS PrivateLink對於任何類型的連接。

  • 安全集群連接:網絡架構沒有VPC開放端口,沒有磚運行時工人的公共IP地址。在某些api,這被稱為沒有公共IP或NPIP。注意:安全集群連接是默認啟用所有工作區創建的帳戶API在9月1日,2020年。

  • Customer-managed密鑰進行加密:

    • Customer-managed鍵控製飛機的管理服務:提供公裏Databricks-managed密鑰加密的筆記本和秘密數據控製飛機。

    • Customer-managed鍵工作區存儲:提供公裏密鑰來加密您的工作空間的S3 bucket(工作空間的根DBFS、工作結果和更多)和可選的集群節點EBS卷。

  • AWS PrivateLink:AWS PrivateLink提供私人連接AWS vpc AWS服務和本地網絡沒有向公眾公開交通網絡。

• 確定區域使用的工作區數據平麵(VPC)。的控製飛機地區是由平麵區域的數據。

  在AWS地區工作區數據平麵vpc可以ap-northeast-1,ap-northeast-2,ap-south-1,ap-southeast-1,ap-southeast-2,ca-central-1,一來就,eu-west-2,eu-central-1,us-east-1,us-east-2,us-west-1,us-west-2。然而,您不能使用VPCus-west-1如果你想使用customer-managed鍵為加密。

如何使用API的賬戶嗎

驗證賬戶API,您可以使用磚OAuth的服務主體,磚OAuth用戶,或磚賬戶管理員的用戶名和密碼。磚強烈建議您使用磚OAuth用戶或服務主體。創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。創建一個OAuth令牌,看到的使用OAuth身份驗證服務主體。

用下麵的例子來驗證一個磚帳戶。您可以使用OAuth為服務主體,OAuth用戶或用戶的用戶名和密碼。背景,請參閱:

• OAuth服務主體,明白了OAuth機器對機器(M2M)身份驗證。

• OAuth用戶看到OAuth user-to-machine (U2M)身份驗證。

• 用戶的用戶名和密碼,請參閱基本身份驗證。

用於身份驗證的例子,從以下選擇:

步驟1:配置cross-account身份驗證

磚需要訪問cross-account服務我的角色在你的AWS帳戶,以便在適當的VPC磚可以部署的集群新工作區。

1. 如果尚不存在這樣一個角色,看到為工作區部署創建了我的角色為你創建一個適當的角色和策略部署類型。你提供的是(你的新角色role_arn在這個過程。

   請注意

   你可以與多個工作區分享cross-account我的角色。您不需要創建一個新的cross-account我為每個工作空間的作用。如果你已經有一個cross-account我的角色,你可以跳過這一步。

2. 為你創建一個磚憑據的配置ID AWS的角色。調用創建證書配置API(帖子/賬戶/ < databricks-account-id > /憑證)。這個請求建立cross-account信任和返回一個引用ID來使用,當你創建一個新的工作區。

   請注意

   你可以共享一個憑證與多個工作區配置ID。它不需要創建一個新的工作區。如果你已經有一個了,你可以跳過這一步。

   取代< databricks-account-id >磚帳戶ID。進行驗證,看如何使用API的賬戶嗎。在請求主體:

   • 集credentials_name這些憑證的名稱。在您的帳戶名稱必須是惟一的。

   • 集aws_credentials一個對象,該對象包含一個sts_role財產。必須包含一個對象role_arn屬性指定了AWS您已經創建了角色攻擊的作用。

   身體將包括的響應credentials_id領域,磚憑證的配置ID,您需要創建一個新的工作區。複製和保存價值,您將使用在下一步創建工作區。

   例如:

   curl - x的帖子“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /憑證”\——頭“授權:無記名OAUTH_TOKEN美元”\- d”{:“credentials_name databricks-workspace-credentials-v1”," aws_credentials ": {" sts_role ": {:“role_arn攻擊:aws:我::< aws-account-id >: / my-company-example-role”角色}}}'

   示例響應:

   {“credentials_id”:“< databricks-credentials-id >”,“account_id”:“< databricks-account-id >”,“aws_credentials”:{“sts_role”:{“role_arn”:“攻擊:aws:我::< aws-account-id >: / my-company-example-role”角色,“external_id”:“< databricks-account-id >”}},“credentials_name”:“databricks-workspace-credentials-v1”,“creation_time”:1579753556257}

   複製credentials_id場的響應,供以後使用。

步驟2:配置根存儲

根S3存儲桶在你帳戶儲存的物品,例如集群日誌,筆記本修訂,工作結果。您還可以使用根S3存儲桶存儲非生產數據,如數據需要進行測試。

1. 使用中的說明創建根S3 bucket為工作區中創建一個S3 bucket部署。

2. 創建一個存儲配置記錄代表根S3 bucket。指定根S3 bucket名稱調用創建存儲配置API(帖子/賬戶/ <帳戶id > /存儲配置)。

   請求返回一個代表你的S3 bucket存儲配置ID。

   通過以下幾點:

   • storage_configuration_name:新的獨特的存儲配置名稱。

   • root_bucket_info:一個包含一個JSON對象bucket_name字段包含您的S3 bucket名稱。

   響應體包括一個storage_configuration_id財產,桶的存儲配置ID。複製值,供以後使用。

   例如:

   curl - x的帖子“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /存儲配置”\——頭“授權:無記名OAUTH_TOKEN美元”\- d”{:“storage_configuration_name databricks-workspace-storageconf-v1”," root_bucket_info ": {:“bucket_name my-company-example-bucket”}}'

   回應:

   {“storage_configuration_id”:“< databricks-storage-config-id >”,“account_id”:“< databricks-account-id >”,“root_bucket_info”:{“bucket_name”:“my-company-example-bucket”},“storage_configuration_name”:“databricks-workspace-storageconf-v1”,“creation_time”:1579754875555}

步驟3:配置PrivateLink(可選)

這一步是必要的隻有如果你想使用AWS PrivateLink。

AWS PrivateLink提供私人連接從你AWS VPC AWS服務和本地網絡沒有向公眾公開交通網絡。

磚工作區E2版本的平台上支持添加PrivateLink連接兩個連接類型:Beplay体育安卓版本

• 用戶工作區(前端)

• 數據平麵控製平麵(後端)

為一個新的工作區PrivateLink連接:

1. 仔細讀這篇文章AWS PrivateLink並確認先決條件在繼續之前。

   1. 創建您的AWS VPC端點在AWS控製台或自動化工具。看到步驟2:創建VPC端點。

   2. 審查的步驟使用API來創建VPC端點注冊,網絡配置,和私人設置對象的訪問。看到使用帳戶API。

2. 本文繼續下一步。如果你想實現任何類型的PrivateLink連接(包括前端隻),你必須使用一個customer-managed VPC。

第四步:配置customer-managed VPC(可選的,但是如果你需要使用PrivateLink)

默認情況下,磚中創建一個VPC AWS帳戶為每個工作區。在工作區中磚使用它為運行集群。可選地,您可以使用自己的工作區VPC,使用功能customer-managed VPC。磚建議您提供自己的VPC,以便您可以配置它根據您的組織的企業雲計算標準,同時符合磚要求。你不能將現有的工作空間遷移到自己的VPC。

1. 設置您的VPC,子網和安全組,使用中的說明Customer-managed VPC。複製這些對象的ID為每個下一步,你注冊用磚和網絡ID來表示你的新網絡。

   重要的

   您可以共享一個customer-managed VPC多個工作區在一個帳戶。你不需要創建一個新的VPC每個工作區。然而,你不能與任何其他資源重用子網或安全組,包括其他工作區或non-Databricks資源。如果你計劃共享一個與多個工作區VPC,一定要大小VPC和相應的子網。因為磚網絡ID的封裝了這些信息,你不能重用一個網絡ID在工作區。

2. 與磚注冊您的網絡配置,調用創建網絡配置API(帖子/賬戶/ <帳戶id > /網絡)。

   通過以下幾點:

   • network_name:新的獨特的網絡名稱。

   • vpc_id:VPC ID。

   • subnet_ids:子網id,一個數組。

   • security_group_ids:安全組id,一個數組。

   • vpc_endpoints:僅用於AWS PrivateLink。如果你需要部署一個後端(數據平麵控製平麵)PrivateLink連接,在這種情況下,這個對象必須有兩個屬性引用VPC端點注冊登記。集rest_api數組隻包含工作區VPC端點的磚ID注冊。集dataplane_relay數組隻包含安全集群的磚ID連接VPC端點注冊。為更多的細節在這些對象上,看到的使AWS PrivateLink。這些id返回VPC端點注冊期間,所述步驟3:寄存器VPC端點(前端,後端,或兩者都有)。

     • rest_api:設置一個包含一個元素的JSON數組:後端REST API VPC的Databricks-specific ID注冊端點。這是磚VPC端點注冊ID,而不是AWS VPC端點ID。

       重要的

       在本版本中,當你注冊一個VPC工作區VPC端點服務端點連接前端或後端REST API連接任何工作區,磚使前端(web應用程序和REST API)的訪問,VPC端點中所有PrivateLink-enabled工作區磚在AWS帳戶的地區。

     • dataplane_relay:設置一個包含一個元素的JSON數組:後端SCC VPC的Databricks-specific ID注冊端點。這是磚VPC端點注冊ID,而不是AWS VPC端點ID。

     附加信息在網絡配置PrivateLink後端連接,看到的使用帳戶創建新的網絡配置API在PrivateLink文章。

   例如:

   curl - x的帖子“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /網絡”\——頭“授權:無記名OAUTH_TOKEN美元”\- d”{:“network_name mycompany-vpc-example”,“vpc_id”:“< aws-vpc-id >”,“subnet_ids”:(“< aws-subnet-id-1 >”,“< aws-subnet-id-2 >”),“security_group_ids”:(“< aws-security-group-id >”)," vpc_endpoints ": {“dataplane_relay”:(“< databricks-vpce-id-for-scc >”),“rest_api”:(“< databricks-vpce-id-for-rest-apis >”]}}'

3. 複製network_id從響應身體供以後使用。這是網絡ID代表網絡為您的新工作區。

   示例響應:

   {“network_id”:“< databricks-network-id >”,“account_id”:“< databricks-account-id >”,“vpc_id”:“< aws-vpc-id >”,“subnet_ids”:(“< aws-subnet-id-1 >”,“< aws-subnet-id-2 >”),“security_group_ids”:(“< aws-security-group-id >”),“vpc_status”:“未婚”,“network_name”:“mycompany-vpc-example”,“creation_time”:1579767389544,“vpc_endpoints”:{“dataplane_relay”:(“< databricks-vpce-id-for-scc >”),“rest_api”:(“< databricks-vpce-id-for-rest-apis >”]}}

第五步:配置customer-managed鍵(可選)

有兩種用例customer-managed加密密鑰:

• 加密管理服務,其中包括筆記本和機密數據在控製飛機。

• 工作區存儲加密,其中包括工作空間的根S3 bucket和選擇集群EBS卷。

你可以選擇配置既不,一個,或者兩個。如果你選擇來實現加密的使用情況下,你甚至可以共享一個密鑰和選擇相同的配置對象對這些用例。

這兩個用例之間有重要的區別,當你可以添加的關鍵:

• customer-managed密鑰管理服務,您可以配置它在工作區中創建,添加的關鍵運行工作空間,或旋轉(更新)的關鍵以後。

• customer-managed密鑰存儲,您可以配置它在工作區中創建或添加的關鍵運行工作區,但你不能旋轉(更新)的關鍵。

你可以共享一個customer-managed鍵或其關鍵在工作區配置對象。在創建一個新的工作空間時,一個關鍵的配置可以通過將其用例代表加密use_cases字段包括枚舉值。

實現一個加密用例或使用相同的密鑰,加密用例執行以下程序完全一次。添加用不同的密鑰,加密的加密用例執行過程兩次,一次為每個用例。

1. 創建AWS公裏的關鍵。按照說明在以下部分,隻有不同的人類可讀的描述字段(sid確定用例)的政策。創建的關鍵管理服務或工作區存儲。分享的關鍵和配置這兩個用例,更新sid相應的字段。

2. 注冊你的公裏關鍵數據磚,調用創建customer-managed關鍵配置API(帖子/賬戶/ <帳戶id > / customer-managed-keys)。

   通過以下參數:

   • use_cases——一個數組,指定使用的關鍵的用例,指定一個或兩個以下:

     • MANAGED_SERVICES:這個密鑰加密在控製平麵管理服務,其中包括筆記本和機密數據在控製飛機。

     • 存儲:這個密鑰加密工作區存儲,其中包括工作空間的DBFS根和集群EBS卷。

   • aws_key_info:一個JSON對象有以下屬性:

     • key_arn:AWS公裏鍵攻擊。注意,關鍵是磚推斷AWS的地區。

     • key_alias:(可選AWS公裏)關鍵的別名。

     • reuse_key_for_cluster_volumes:(可選)隻有在使用use_cases數組中包含了存儲,這還指定是否使用加密集群EBS卷的關鍵。默認值是真正的,這意味著磚也使用集群的關鍵卷。如果你設置假,磚不加密EBS卷與你指定的關鍵。在這種情況下,你的磚EBS卷的加密使用默認AWS SSE加密或如果你啟用AWS帳戶級別EBS默認加密,AWS執行帳戶級別EBS使用一個單獨的密鑰加密,你提供給他們。注意,如果reuse_key_for_cluster_volumes是真正的你撤銷許可的關鍵,它不會影響運行集群但影響新並重新啟動集群。

   示例請求:

   curl - x的帖子“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > / customer-managed-keys”\——頭“授權:無記名OAUTH_TOKEN美元”\- d”{“use_cases”:“MANAGED_SERVICES”、“存儲”," aws_key_info ": {:“key_arn攻擊:aws:公裏:us-west-2: < aws-account-id >:鍵/ <鍵id >”,:“key_alias my-example-key”,“reuse_key_for_cluster_volumes”:真的}}'

   示例響應:

   {“use_cases”:(“MANAGED_SERVICES”,“存儲”),“customer_managed_key_id”:“< aws-kms-key-id >”,“creation_time”:1586447506984,“account_id”:“< databricks-account-id >”,“aws_key_info”:{“key_arn”:“攻擊:aws:公裏:us-west-2: < aws-account-id >:鍵/ <鍵id >”,“key_alias”:“my-example-key”,“reuse_key_for_cluster_volumes”:真正的,“key_region”:“us-west-2”}}

3. 從響應JSON,複製customer_managed_key_id。你使用這個ID在下一步設置工作區配置對象的屬性managed_services_customer_managed_key_id,storage_customer_managed_key_id,或兩者兼而有之,這取決於加密這個對象表示用例。

步驟6:創建工作區

創建新的工作區,調用創建工作區API(帖子/賬戶/ <帳戶id > /工作區)。

通過以下參數的值,你複製在之前的步驟:

• aws_region:AWS地區工作空間的數據平麵。

• workspace_name為您的工作區:人類可讀名稱。這是工作區名稱用戶看到的磚UI。

• deployment_name(推薦,但可選)獨特的部署您的工作區。詳情,請參閱指出關於部署的名字。

• credentials_id:您的憑據ID,這代表你cross-account憑證作用。這是憑證配置對象的ID。

• storage_configuration_id:你的存儲配置ID,這代表您的根S3 bucket。這是存儲配置對象的ID。

• network_id:(可選)隻用於customer-managed VPC。這是網絡配置對象的ID。

• managed_services_customer_managed_key_id:(可選)隻用於加密管理服務,比如筆記本和機密數據在控製飛機。這是你的工作空間的關鍵配置ID存儲,這是customer_managed_key_id從一個關鍵配置對象。如果你想支持這個加密用例中,您必須配置在工作區創建時間。

• storage_customer_managed_key_id:(可選)隻用於工作區存儲加密。這是你的工作空間的關鍵配置ID存儲,這是customer_managed_key_id領域的關鍵配置對象。如果你想支持這個加密用例中,您可以配置在工作區創建時間,但你也可以以後添加它對正在運行的工作區。

• private_access_settings_id:(可選)僅用於AWS PrivateLink。這是私人訪問設置對象的ID創建工作區。看到使用帳戶創建一個私人訪問設置配置API在PrivateLink文章。這是一個必需字段PrivateLink訪問所有連接類型(前端,後端,或兩者兼而有之)。

指出關於部署的名字:

• 選擇你的deployment_name仔細地價值。部署的名字定義工作空間的子域的一部分。工作區URL web應用程序和REST api< deployment-name > .cloud.m.eheci.com。例如,如果部署的名字是ABCSales,您的工作區URLhttps://abcsales.cloud.m.eheci.com。此屬性支持字符a - z和0 - 9。連字符也允許但不作為第一個或最後一個字符。

• 賬戶可以部署名稱前綴。聯係你的磚代表部署一個帳戶名稱前綴添加到您的帳戶。如果你的賬戶有一個非空的部署在工作區名稱前綴創建時間、工作部署的名字是更新,始於帳戶前綴和連字符。例如,如果您的帳戶的部署前綴acme和工作部署的名字工作空間1,deployment_name場就acme-workspace-1。在這個例子中,工作區URLacme -工作區- 1. - cloud.m.eheci.com。

• 與帳戶前綴,這個修改後的新值是返回的JSON響應該工作區deployment_name字段。

• 如果你的賬戶有一個非空部署名稱前綴和設置deployment_name的保留關鍵字空,deployment_name隻考慮前綴。例如,如果您的帳戶的部署前綴acme和工作部署的名字空,deployment_name就變成了acme隻有和工作區URLacme.cloud.m.eheci.com。如果你的賬戶還沒有部署的名字前綴,特別部署名稱的值空是無效的。

JSON響應包括財產workspace_id。複製這個值,供以後使用。

例如:

curl - x的帖子“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /工作區”\——頭“授權:無記名OAUTH_TOKEN美元”\- d”{:“workspace_name my-company-example”,:“deployment_name my-company-example”,:“aws_region us-west-2”,“credentials_id”:“< aws-credentials-id >”,“storage_configuration_id”:“< databricks-storage-config-id >”,“network_id”:“< databricks-network-id >”,“managed_services_customer_managed_key_id”:“< aws-kms-managed-services-key-id >”,“storage_customer_managed_key_id”:“< aws-kms-notebook-workspace-storage-id >”,:“private_access_settings_id < private-access-settings-id >”}'

示例響應:

{“workspace_id”:123456789,“workspace_name”:“my-company-example”,“aws_region”:“us-west-2”,“creation_time”:1579768294842,“deployment_name”:“my-company-example”,“workspace_status”:“配置”,“account_id”:“< databricks-account-id >”,“credentials_id”:“< aws-credentials-id >”,“storage_configuration_id”:“< databricks-storage-config-id >”,“workspace_status_message”:“工作區資源”被設置。,“network_id”:“< databricks-network-id >”,“managed_services_customer_managed_key_id”:“< aws-kms-managed-services-key-id >”,“storage_customer_managed_key_id”:“< aws-kms-notebook-workspace-storage-id >”,“private_access_settings_id”:“< private-access-settings-id >”,“pricing_tier”:“企業”}

如果你指定一個customer-managed VPC和工作區創建一步返回一個網絡相關錯誤,您可以調用獲取網絡配置API(端點/網絡/ <網絡id >)來驗證網絡設置。看到排除工作區創建錯誤。

第七步:確認新工作區

檢查工作區狀態,調用得到工作區API(得到/賬戶/ <帳戶id > /工作區/ < workspace-id >)。

使用workspace_id值時返回的JSON響應創建工作區。

在響應中,可能的workspace_status值:

• NOT_PROVISIONED:還沒有提供。

• 供應:仍然供應。等待幾分鍾,重複這個API請求。

• 運行現在:成功部署和運行。

• 失敗的:失敗的部署。

• 禁止:禁止。

• 取消:在取消的過程。

看到排除工作區創建錯誤如何處理失敗的狀態值。

例如:

curl - x得到“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /工作區/ < databricks-workspace-id > '\——頭“授權:無記名OAUTH_TOKEN美元”

回應:

{“workspace_id”:123456789,“workspace_name”:“my-company-example”,“aws_region”:“us-west-2”,“creation_time”:1579768294842,“deployment_name”:“my-company-example”,“workspace_status”:“運行”,“account_id”:“< databricks-account-id >”,“credentials_id”:“< aws-credentials-id >”,“storage_configuration_id”:“< databricks-storage-config-id >”,“workspace_status_message”:“工作空間運行。”,“network_id”:“339 f16b9-b8a3-4d50-9d1b-7e29e49448c3”,“managed_services_customer_managed_key_id”:“< aws-kms-managed-services-key-id >”,“storage_customer_managed_key_id”:“< aws-kms-notebook-workspace-storage-id >”,“pricing_tier”:“企業”}

在這個例子中,工作區狀態(workspace_status)被設置為運行,所以它是成功的。如果它是供應直到成功,重複這個API請求。

定價層默認為與您的帳戶相關聯的計劃。看到AWS平Beplay体育安卓版本台層。

測試你的新工作空間後狀態運行:

• 用戶界麵登錄新工作區——確認你可以登錄到web應用程序的URLhttps:// < deployment-name > .cloud.m.eheci.com。例如,如果部署在工作區中創建指定名稱ABCSales,您的工作區URLhttps://abcsales.cloud.m.eheci.com。使用您的帳戶的用戶名和密碼。

• REST API登錄新工作區——確認你可以訪問REST API。下麵的示例調用SCIM API來獲取一個用戶列表。

  curl - u <用戶名> - x“https:// < deployment-name > .cloud.m.eheci.com . . / api / 2.0 / scim / v2 /用戶的\——頭“授權:無記名OAUTH_TOKEN美元”

  關於使用磚REST api的更多信息,包括其他身份驗證選項,請參閱工作區API。

第八步:部署後PrivateLink配置(可選)

這一步是必要的隻有如果你配置AWS PrivateLink。

創建工作區後:

1. 如果你實現前端PrivateLink連接,實現相關的DNS配置更改中描述第四步:配置內部DNS將用戶請求重定向到web應用程序(前端)。

2. 選擇創建其他VPC端點中描述步驟5:為其他AWS服務添加VPC端點。

第九步:其他可選配置部署後

您可能想要考慮這些可選配置步驟為新工作區。

排除工作區創建錯誤

以下部分為常見的工作區創建錯誤提供解決方案。

地址的最大數量。

curl - x得到“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /網絡/ < databricks-network-id > '\——頭“授權:無記名OAUTH_TOKEN美元”

curl - x片“https://accounts.cloud.m.eheci.com/api/2.0/accounts/ < databricks-account-id > /工作區/ < databricks-workspace-id > '\——頭“授權:無記名OAUTH_TOKEN美元”\- d”{:“aws_region us-west-2”,“credentials_id”:“< aws-credentials-id >”,“storage_configuration_id”:“< databricks-storage-config-id >”,“network_id”:“< databricks-network-id >”,“managed_services_customer_managed_key_id”:“< aws-kms-managed-services-key-id >”,:“storage_customer_managed_key_id < aws-kms-notebook-workspace-storage-id >”}'

{“workspace_id”:123456789,“workspace_name”:“my-company-example”,“aws_region”:“us-west-2”,“creation_time”:1579768294842,“deployment_name”:“my-company-example”,“workspace_status”:“配置”,“account_id”:“< databricks-account-id >”,“credentials_id”:“< aws-credentials-id >”,“storage_configuration_id”:“< databricks-storage-config-id >”,“workspace_status_message”:“工作區資源”被設置。,“network_id”:“< databricks-network-id >”,“managed_services_customer_managed_key_id”:“< aws-kms-managed-services-key-id >”,“storage_customer_managed_key_id”:“< aws-kms-notebook-workspace-storage-id >”,“pricing_tier”:“企業”}