使用帐户API创建一个工作区

您可以创建工作区使用账户API。账户API允许您以编程方式创建多个新砖工作区与单个砖帐户相关联。您创建的每个工作区可以有不同的配置设置。或者,您可以创建一个工作空间使用账户控制台起程拓殖

默认情况下,砖创建并管理工作空间的VPC的生命周期。可选地,您可以指定您自己的customer-managed VPC。该功能需要溢价层。

使用帐户创建一个工作区与默认VPC API

这个主题描述了如何使用帐户API创建一个工作区,Databricks-managed VPC。创建一个工作空间使用customer-managed VPC,而不是听从指示创建一个工作区customer-managed VPC使用帐户API

您可以使用账户API创建一个工作区。账户API是一个户头级别API,这意味着认证不同于大多数砖REST API,这是工作空间层API。对于认证帐户级别API,您必须使用Google ID认证和创建两个不同类型的令牌(Google ID标记和一个谷歌访问令牌)中包含HTTP头在每个帐户API请求。看到与谷歌身份验证ID标记

相关操作:

创建一个默认的工作空间VPC使用帐户API:

  1. 确保服务帐户,你使用正确的权限用于创建工作区。这是你的主要服务帐户,称为- 2,所述与谷歌身份验证ID标记。服务帐户需要一个角色或组的角色在谷歌云项目的工作区创建:

    • 老板(角色/所有者)

    • 这两个编辑器(角色/编辑器),项目我管理(角色/ resourcemanager.projectIamAdmin)。

    1. 项目我页面在谷歌云控制台。

    2. 如果需要,改变项目从项目选择页面的顶部以匹配您的工作区项目。

    3. 如果服务帐户已经角色在这个项目中,你可以找到这个页面和审查的角色角色列。

    4. 添加新角色的服务帐户项目:

      1. 在我页面的顶部,点击添加

      2. 主要字段中,输入服务帐户的电子邮件地址。

      3. 单击选择一个角色字段。选择所需的角色。主人的角色,查看器和编辑器,你可以找到他们在选择器中基本类别。

      4. 添加其他角色,点击添加另一个角色重复前面的步骤在“添加角色”。

      5. 点击保存

  2. 如果您还没有这么做,或者你的Google ID或访问令牌过期,创建两种类型的令牌谷歌身份验证账户的API。

  3. 计算GKE砖工作区所使用的子网。你无法改变他们部署后,您的工作区。如果你的砖子网地址范围太小,然后工作区耗尽其IP空间,导致砖工作失败。确定你需要的地址范围大小,使用Databricks-provided计算器

  4. 使用以下命令创建一个默认的工作空间。

    curl——位置请求“https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区”\——头“X-Databricks-GCP-SA-Access-Token: < google-access-token >”\——头“授权:无记名< google-id-token >”\——头“application / json内容类型:\——data-raw”{“workspace_name”:“<工作空间名称>”,“云”:“丰富”,地区“位置”:“< >”," cloud_resource_container ": {"质量":{:“project_id < workspace-resource-project-id >”}},}

    • 取代< google-id-token >< google-access-token >与你的Google ID和Google访问令牌。

    • 取代<帐户id >与你的帐户ID

    • 取代<工作空间名称>为您的新工作区可读名称。

    • 取代<地区>的名称支持地区

    • 取代< workspace-resource-project-id >谷歌云项目,您想要使用。

    • 取代< network-configuration-id >与网络配置对象的ID从上一步你注册它。

    设置可选参数:

    • (可选)覆盖GKE参数默认值,添加一个gke_config对象的请求。例如,切换到公共GKE集群或改变的IP范围GKE集群主资源。看到创建一个新的工作区

    • (可选)覆盖管理网络IP范围违约,添加一个gcp_managed_network_config对象的请求。例如,改变IP范围集群豆荚,集群服务,或IP子网范围CIDR格式使用。看到创建一个新的工作区

      请注意

      豆荚的IP范围、服务和主IP范围必须是相互排斥的。这些字段的IP范围不能重叠,并且所有IP地址必须完全在以下范围:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

    • (可选)可以添加customer-managed加密密钥来帮助控制对某些类型的数据的访问。看到Customer-managed密钥进行加密。配置钥匙的工作区,您需要创建一个加密密钥配置对象可以引用它的ID参数storage_customer_managed_key_id(对于工作区存储)或managed_services_customer_managed_key_id(管理服务)。看到配置customer-managed键使用API需求和上下文。

  5. 确认已经成功地创建了您的工作区。工作区工作空间的列表中,点击开放。查看工作状态和测试工作,明白了查看工作状态

  6. 安全工作空间的GCS桶。看到安全工作空间的GCS桶在您的项目中

    当您创建一个工作区,砖在谷歌的云创建两个谷歌云存储(GCS)桶在你的谷歌云项目。砖强烈建议您安全这些GCS水桶,这样他们不是从外部访问砖在谷歌的云

在工作区中创建、砖能使一些要求谷歌api的项目如果他们不是已经启用。看到使谷歌api在工作区项目

创建一个工作区customer-managed VPC使用帐户API

创建工作区与customer-managed VPC之前,您必须创建一个砖对象称为网络配置,代表您计划使用的谷歌云VPC,等相关对象子网。你创建时指定网络配置数据砖工作区。你不能移动现有Databricks-managed VPC的VPC的工作区。在工作区中创建之后你不能改变这customer-managed VPC工作区使用。

您还可以执行使用了本文中描述的任务账户控制台。然而,配置customer-managed VPC,谷歌云主要需要谷歌云项目的特定角色取决于你如何执行的操作。使用账户控制台,主要是你的管理员用户帐户。使用账户API,主要是主要的服务帐户(- 2),您将使用谷歌身份验证

您可以使用账户API添加一个网络配置和创建一个工作区。账户API是一个户头级别API,这意味着认证不同于大多数砖REST API,这是工作空间层API。对于认证帐户级别API,您必须使用Google ID认证和创建两个不同类型的令牌(Google ID令牌和一个谷歌访问令牌)中包含HTTP头在每个帐户API请求。有关详细信息,请参见与谷歌身份验证ID标记

设置您的VPC

执行以下步骤中描述的文章Customer-managed VPC:

  1. 审查所有customer-managed VPC的要求

  2. 创建您的VPC

在那篇文章中不执行其他步骤。

添加角色服务帐户

主要执行一个操作必须为每个操作有特定要求的角色。项目的主体,需要特定的角色取决于你如何执行的操作。

服务帐户不会自动继承从你作为创造者的角色。你必须为项目的服务帐户添加角色。

通过这篇文章Customer-managed VPC执行这些步骤:

  1. 审查所需的角色项目创建一个工作区和其他相关业务。

  2. 按照指示项目添加特定的角色但有一个修改账户API用法:不指定你的管理员用户帐户的电子邮件地址作为本金。相反,指定主要作为主要的服务帐户的电子邮件地址(2),您将使用谷歌身份验证

注册一个网络配置

您可以使用API来添加一个网络配置。为一个完整的API参考或下载OpenAPI规范,明白了账户API

重要的

这两种类型的身份验证令牌(Google ID标记和Google访问令牌)在一小时内到期。考虑最初阅读谷歌标识文档,但等到创建您的身份验证令牌就可以调用API。

  1. 使云资源管理器API服务帐户的项目

    1. 云资源管理器API

    2. 如果需要,使用项目选择在页面的顶部改变项目的谷歌云项目服务帐户创建您将使用。在Google ID的例子,这主要服务帐户也被称为- 2。

    3. 如果你看到的启用按钮,点击启用。等待1分钟之后再继续。

      如果启用按钮不可见,API已经启用。

  2. 如果您还没有这样做,或者你的Google ID或访问令牌已经过期,需要创建两种类型的令牌谷歌身份验证

  3. 使用REST API使用以下命令创建网络配置。

    curl——位置请求“https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /网络”\——头“X-Databricks-GCP-SA-Access-Token: < google-access-token >”\——头“授权:无记名< google-id-token >”\——头“application / json内容类型:\——data-raw”{“network_name”:“< network-configuration-name >”," gcp_network_info ": {“network_project_id”:“< vpc-host-project-id >”,“vpc_id”:“< vpc-id >”,“subnet_id”:“< subnet-id >”,“subnet_region”:“< subnet-region >”,“pod_ip_range_name”:“< name-of-pod-secondary-range >”,:“service_ip_range_name < name-of-svc-secondary-range >”}}'

    • 取代< google-id-token >< google-access-token >与你的Google ID和Google访问令牌。

    • 取代<帐户id >与您的帐户ID。

    • 取代< network-configuration-name >用一个新的人类可读的网络配置名称。

    • 取代< vpc-host-project-id >与你的VPC的项目ID。

      重要的

      如果你使用一个谷歌云共享VPC,它允许不同的谷歌云项目工作区资源如计算资源和存储,设置这个项目ID VPC,不是项目ID工作区资源。

    • 设置< vpc-id >,< subnet-id >,< subnet-region >VPC ID字段,子网ID和子网。子网区域必须匹配的地区你想使用你的新工作区。

    • < name-of-pod-secondary-range >< name-of-svc-secondary-range >、替换与pod中等范围和服务中等范围,您在前面的步骤中创建的。如果使用前面的例子创建独立的VPC的gcloudCLI命令,这些次要的IP范围命名圆荚体svc

      豆荚的IP范围、服务和主IP范围必须是相互排斥的。这些字段的IP范围不能重叠,并且所有IP地址必须完全在以下范围:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

    这返回一个json格式的网络配置对象:

    {“account_id”:“e11e38c5-a449-47b9-b37f-0fa36c821612”,“creation_time”:1644388480866,“gcp_network_info”:{“network_project_id”:“< vpc-host-project-id >”,“pod_ip_range_name”:“< name-of-pod-secondary-range >”,“service_ip_range_name”:“< name-of-svc-secondary-range >”,“subnet_id”:“< subnet-id >”,“subnet_region”:“< subnet-region >”,“vpc_id”:“< vpc-id >”},“network_id”:“< network-configuration-id”,“network_name”:“< network-configuration-name >”,“vpc_status”:“未婚”}

  4. 保存network_id字段的结果。这是您的网络配置对象的ID。您将需要创建工作区。

创建一个与customer-managed VPC工作区

执行以下步骤使用帐户customer-managed VPC API创建一个工作区。为一个完整的API参考或下载OpenAPI规范,明白了账户API。创建工作区Databricks-managed VPC,相反使用帐户创建一个工作区与默认VPC API

重要的

这两种类型的身份验证令牌(Google ID标记和Google访问令牌)在一小时内到期。考虑最初阅读谷歌标识文档,但等到创建您的身份验证令牌就可以调用API。

  1. 如果您还没有这样做,使云计算资源管理器API服务帐户的项目。如果你已经这样做了,跳到下一步在这一节中。

    1. 云资源管理器API

    2. 如果需要,使用项目选择在页面的顶部改变项目的谷歌云项目服务帐户创建您将使用。在Google ID的例子,这主要服务帐户也被称为- 2。

    3. 如果你看到的启用按钮,点击启用。等待1分钟之后再继续。

  2. 确保服务帐户,你使用正确的权限用于创建工作区。这是你的主要服务帐户,称为- 2,所述与谷歌身份验证ID标记。看到角色需求

    重要的

    如果你使用一个谷歌云共享VPC,它允许不同的谷歌云项目工作区资源如计算资源和存储,请注意,你需要两个项目特定角色。

  3. 如果您还没有这样做,或者你的Google ID或访问令牌已经过期,创建所需的两个令牌谷歌身份验证这个API。

  4. 运行以下命令创建一个典型的工作区与私人GKE集群:

    curl——位置请求“https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区”\——头“X-Databricks-GCP-SA-Access-Token: < google-access-token >”\——头“授权:无记名< google-id-token >”\——头“application / json内容类型:\——data-raw”{“workspace_name”:“<工作空间名称>”,“云”:“丰富”,地区“位置”:“< >”," cloud_resource_container ": {"质量":{:“project_id < workspace-resource-project-id >”}},“network_id”:“< network-configuration-id >”," gke_config ": {:“connectivity_type PRIVATE_NODE_PUBLIC_MASTER”,:“master_ip_range 10.103.0.0/28”}}

    • 取代< google-id-token >< google-access-token >与你的Google ID和Google访问令牌。

    • 取代<帐户id >与你的帐户ID

    • 取代<工作空间名称>为您的新工作区可读名称。

    • 取代<地区>的名称支持地区

    • 取代< workspace-resource-project-id >谷歌云项目,您想要使用。

      重要的

      如果你使用一个谷歌云共享VPC,它允许不同的谷歌云项目工作区资源,如计算资源和存储设置谷歌云项目ID场项目工作区资源的ID,而不是项目VPC ID。

    • 取代< network-configuration-id >与网络配置对象的ID从上一步你注册它。

    • (可选)覆盖GKE参数默认值,改变gke_config对象的请求。例如,切换到一个公共GKE集群或改变的IP范围GKE集群主资源。看到创建一个新的工作区

      豆荚的IP范围、服务和主IP范围必须是相互排斥的。这些字段的IP范围不能重叠,并且所有IP地址必须完全在以下范围:10.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16,240.0.0.0/4

    • (可选)可以用私人安全工作区连接和减少数据漏出风险通过启用Google私人服务连接(PSC)工作区。配置,您需要创建一个私人访问设置对象的ID和参考private_access_settings_id参数。添加PSC配置之前,砖强烈建议阅读这篇文章使私人服务连接您的工作区对需求和上下文。

    • (可选)可以添加customer-managed加密密钥来帮助控制对某些类型的数据的访问。看到Customer-managed密钥进行加密。配置钥匙的工作区,您需要创建一个加密密钥配置对象可以引用它的ID参数storage_customer_managed_key_id(对于工作区存储)或managed_services_customer_managed_key_id(管理服务)。看到配置customer-managed键使用API需求和上下文。

  5. 确认已经成功地创建了您的工作区。工作区工作空间的列表中,点击开放。查看工作状态和测试工作,明白了查看工作状态

  6. 安全工作空间的GCS桶。看到安全工作空间的GCS桶在您的项目中

    当您创建一个工作区,砖在谷歌的云创建两个谷歌云存储(GCS)桶在你的谷歌云项目。砖强烈建议您安全这些GCS水桶,这样他们不是从外部访问砖在谷歌的云。

在工作区中创建、砖能使一些要求谷歌api的项目如果他们不是已经启用。看到使谷歌api在工作区项目