注释
无服务器工作区处于私有预览阶段。
此页列出了创建、管理和保护无服务器工作区的重要最佳做法。 这些准则侧重于用例、成本管理、安全性和平台要求。
什么是无服务器工作区?
无服务器工作区是仅支持无服务器计算的轻型快速部署环境。 可以通过帐户控制台、API 或 Terraform 预配它们。 请参阅 “创建无服务器工作区”。
注释
与启用了经典计算的工作区相比,无服务器工作区始终对工作区的根存储使用默认存储,这些工作区使用客户拥有的云存储存储桶。
无服务器工作区的常见用例
分析驱动的工作区:非常适合使用 AI/BI 仪表板、Genie、Databricks Apps、无服务器 SQL 仓库或笔记本的数据分析或可视化工作流,而无需经典计算资源。
完全无服务器工作负荷:依赖无服务器计算的组织可以通过使用无服务器工作区作为默认环境来消除经典计算的开销。
可组合环境:可以轻松创建和销毁无服务器工作区,使其非常适合短期用例,例如内部培训、测试新的 Azure Databricks 功能或载入新团队。
部署没有云权限的工作区:缺少预配传统工作区所需的云权限的 Databricks 帐户管理员仍可部署无服务器工作区。 管理员可以管理工作区,而无需依赖外部云基础结构。
一般最佳实践
查看无服务器计算最佳做法:有关 无服务器计算的最佳做法 ,请参阅详细的指南。
设置预算:若要保持对无服务器工作区内成本的可见性,请设置预算。 可以为单个无服务器工作区和特定标记定义预算。 请参阅创建和监视预算。 若要精细地设置工作负荷成本,请设置无服务器预算策略。 请参阅 无服务器预算策略的属性使用情况。
查看无服务器计算限制:将工作负载迁移到无服务器工作区之前,请查看当前的无服务器计算限制,以确保与用例兼容。 请参阅无服务器计算限制。
默认存储的最佳做法
使用默认存储进行简化的数据管理:无服务器工作区支持创建默认存储支持的目录,使用默认存储不需要单独的存储凭据或外部位置。 这非常适合无法由 Azure Databricks 管理员预配或管理云基础结构的环境。
在 Azure Databricks 客户之间使用默认存储进行 Delta Sharing: 在通过 Delta Sharing 在 Azure Databricks 帐户之间共享数据时,默认存储可作为底层存储层使用。 这样就无需使用自定义网络访问策略配置客户管理的存储。
查看默认存储限制:将数据迁移到默认存储之前,请查看当前限制,以确保与用例兼容。 请参阅 默认存储限制。
安全最佳做法
查看常规安全最佳做法:有关平台范围安全最佳做法的概述,请参阅 Azure Databricks 安全与信任中心的安全最佳做法。
实现工作区访问的入口控制:使用 IP 访问列表将无服务器工作区的访问限制为特定的 IP 地址。 请参阅 “管理 IP 访问列表”。
使用网络策略实施出口控制:无服务器工作区消除了对客户管理的网络的需求。 相反,可以使用 Azure Databricks 网络策略集中控制计算出口。 请参阅 管理无服务器出口控制的网络策略。
有关如何连接到专用网络中的资源的说明,请参阅 配置 VNet 中资源的专用连接。
- 为无服务器工作区配置客户管理的密钥(CMK):在创建工作区期间或之后,可以指定客户管理的密钥来加密托管服务数据。 除了托管服务,此密钥还会加密默认存储支持的工作区特定目录和工作区根存储中的数据。 仅托管服务密钥适用于无服务器工作区。 请参阅为托管服务启用客户管理的密钥。