Paylaşılan işlemde izin verilenler listesi kitaplıkları ve başlatma betikleri

  • Makale

Databricks Runtime 13.3 LTS ve üzeri sürümlerine Unity Kataloğu'nda kitaplıklar ve başlatma betikleri allowlist ekleyebilirsiniz. Bu, kullanıcıların paylaşılan erişim moduyla yapılandırılmış işlemde bu yapıtlardan yararlanmasına olanak tanır.

Bu dizin veya dosya var olmadan önce bir dizine veya dosya yoluna izin vekleyebilirsiniz. Bkz . Unity Kataloğu birimine dosya yükleme.

Not

Meta veri deposu yöneticisi olmanız veya izin verilenler MANAGE ALLOWLIST listesini değiştirme ayrıcalığına sahip olmanız gerekir. Bkz. ALLOWLIST'I YÖNETME.

Önemli

Unity Kataloğu özellikli paylaşılan işlemde JDBC sürücüleri veya özel Spark veri kaynakları olarak kullanılan kitaplıklar için izinler gerekir ANY FILE .

Bazı yüklü kitaplıklar, tüm kullanıcıların verilerini ortak bir geçici dizinde depolar. Bu kitaplıklar kullanıcı yalıtımını tehlikeye atabilir.

İzin verilenler listesine öğe ekleme

Katalog Gezgini veya REST API ile öğesine allowlist öğe ekleyebilirsiniz.

Katalog Gezgini'nde izin verilenler listesine öğe ekleme iletişim kutusunu açmak için aşağıdakileri yapın:

  1. Azure Databricks çalışma alanınızda Katalog'a tıklayınKatalog simgesi.
  2. Meta veri deposu ayrıntıları ve izinler kullanıcı arabirimini açmak için tıklayın Dişli simgesi .
  3. İzin Verilen JAR'ler/Başlatma Betikleri'ne tıklayın.
  4. Ekle'yi tıklatın.

Önemli

Bu seçenek yalnızca yeterince ayrıcalıklı kullanıcılar için görüntülenir. İzin verilenler listesi kullanıcı arabirimine erişemiyorsanız, izin verilenler listesi kitaplıkları ve başlatma betikleri konusunda yardım için meta veri deposu yöneticinize başvurun.

İzin verilenler listesine bir init betiği ekleme

İzin verilenler listesine bir init betiği eklemek için izin verilenler listesi iletişim kutusunda aşağıdaki adımları tamamlayın:

  1. Tür için Başlatma Betiği'ne tıklayın.
  2. Kaynak Türü için Birim'i veya nesne depolama protokolunu seçin.
  3. İzin verilenler listesine eklenecek kaynak yolu belirtin. Bkz. İzin verilenler listesinde yollardaki izinler nasıl zorlanır?

İzin verilenler listesine JAR ekleme

İzin verilenler listesine JAR eklemek için izin verilenler listesi iletişim kutusunda aşağıdaki adımları tamamlayın:

  1. Tür için JAR'ı seçin.
  2. Kaynak Türü için Birim'i veya nesne depolama protokolunu seçin.
  3. İzin verilenler listesine eklenecek kaynak yolu belirtin. Bkz. İzin verilenler listesinde yollardaki izinler nasıl zorlanır?

İzin verilenler listesine Maven koordinatları ekleme

İzin verilenler listesine Maven koordinatları eklemek için izin verilenler listesi iletişim kutusunda aşağıdaki adımları tamamlayın:

  1. Tür için Maven'ı seçin.
  2. Kaynak Türü için Koordinatlar'ı seçin.
  3. Koordinatları şu biçimde girin: groudId:artifactId:version.
    • Aşağıdaki biçimi izin verilenler listesine ekleyerek kitaplığın tüm sürümlerini ekleyebilirsiniz: groudId:artifactId.
    • Aşağıdaki biçimi izin verilenler listesine ekleyerek tüm yapıtları bir gruba ekleyebilirsiniz: groupId.

İzin verilenler listesinde yollardaki izinler nasıl zorlanır?

Unity Kataloğu birimlerinde ve nesne depolama alanında depolanan JAR'lere veya başlatma betiklerine erişim vermek için izin verilenler listesini kullanabilirsiniz. Dosya yerine dizin için yol eklerseniz, izin verilenler listesi izinleri kapsanan dosyalara ve dizinlere yayılır.

Önek eşleştirme, Unity Kataloğu birimlerinde veya nesne depolama alanında depolanan tüm yapıtlar için kullanılır. Belirli bir dizin düzeyinde ön ek eşleştirmesini önlemek için, sondaki eğik çizgi ()/ ekleyin. Örneğin: /Volumes/prod-libraries/.

İzinleri aşağıdaki düzeylerde tanımlayabilirsiniz:

  1. Birim veya depolama kapsayıcısı için temel yol.
  2. Temel yoldan herhangi bir derinlikte iç içe yerleştirilmiş bir dizin.
  3. Tek bir dosya.

İzin verilenler listesine yol eklemek, yolun yalnızca başlatma betikleri veya JAR yüklemesi için kullanılabileceğini gösterir. Azure Databricks yine de belirtilen konumdaki verilere erişim izinlerini denetler.

Kullanılan sorumlunun belirtilen birimde izinleri olmalıdır READ VOLUME . Bkz. SELECT.

Tek kullanıcı erişim modunda, atanan sorumlunun kimliği (kullanıcı veya hizmet sorumlusu) kullanılır.

Paylaşılan erişim modunda:

  • Kitaplıklar kitaplık yükleyicisinin kimliğini kullanır.
  • Init betikleri, küme sahibinin kimliğini kullanır.

Not

Yalıtımsız paylaşılan erişim modu birimleri desteklemez, ancak paylaşılan erişim moduyla aynı kimlik atamasını kullanır.

Databricks, salt okunur izinlere sahip başlatma betikleri ve kitaplıklarıyla ilgili tüm nesne depolama ayrıcalıklarının yapılandırılmasını önerir. Bu konumlarda yazma izinlerine sahip kullanıcılar, kitaplık dosyalarındaki veya başlatma betiklerindeki kodu değiştirebilir.

Databricks, Azure Data Lake Storage 2. Nesil depolanan JAR'lere veya başlatma betiklerine erişimi yönetmek için Microsoft Entra ID hizmet sorumlularının kullanılmasını önerir. Bu kurulumu tamamlamak için aşağıdaki bağlantılı belgeleri kullanın:

  1. İstediğiniz bloblarda okuma ve listeleme izinlerine sahip bir hizmet sorumlusu oluşturun. Bkz. Hizmet ilkesi kullanarak depolamaya erişme & Microsoft Entra Id (Azure Active Directory).

  2. Gizli dizileri kullanarak kimlik bilgilerinizi kaydedin. Bkz. Gizli Diziler.

  3. Spark yapılandırmasındaki özellikleri ve ortam değişkenlerini küme oluştururken aşağıdaki örnekte olduğu gibi ayarlayın:

    Spark yapılandırması:

    spark.hadoop.fs.azure.account.auth.type.<storage-account>.dfs.core.windows.net OAuth
spark.hadoop.fs.azure.account.oauth.provider.type.<storage-account>.dfs.core.windows.net org.apache.hadoop.fs.azurebfs.oauth2.ClientCredsTokenProvider
spark.hadoop.fs.azure.account.oauth2.client.id.<storage-account>.dfs.core.windows.net <application-id>
spark.hadoop.fs.azure.account.oauth2.client.secret.<storage-account>.dfs.core.windows.net {{secrets/<secret-scope>/<service-credential-key>}}
spark.hadoop.fs.azure.account.oauth2.client.endpoint.<storage-account>.dfs.core.windows.net https://login.microsoftonline.com/<tenant-id>/oauth2/token

    Ortam değişkenleri:

    SERVICE_CREDENTIAL={{secrets/<secret-scope>/<service-credential-key>}}

  4. (İsteğe bağlı) azcopy veya Azure CLI kullanarak başlatma betiklerini yeniden düzenleme.

    Doğrulama için gizli dizi olarak depolanan kimlik bilgilerini geçirmek için init betiklerinizde küme yapılandırması sırasında ayarlanan ortam değişkenlerine başvurabilirsiniz.

Not

JAR'ler ve başlatma betikleri için izin verilenler listesi izinleri ayrı olarak yönetilir. Her iki nesne türünü de depolamak için aynı konumu kullanırsanız, her biri için izin verilenler listesine konumu eklemeniz gerekir.