此頁面列出建立、管理和保護無伺服器工作區的重要最佳做法。 這些指導方針著重於使用案例、成本管理、安全性和平臺需求。
什麼是無伺服器工作區?
無伺服器工作區是輕量型、快速部署的環境,僅支援無伺服器運算。 它們可以透過帳戶主控台、API 或 Terraform 佈建。 請參閱 建立無伺服器工作區。
備註
無伺服器工作區始終使用預設儲存庫作為工作區根儲存庫,而啟用經典運算的工作區則使用客戶擁有的雲端儲存桶。
無伺服器工作區的常見使用案例
分析導向工作區:非常適合使用 AI/BI 儀表板、Genie、Databricks Apps、無伺服器 SQL 倉儲或筆記本的資料分析或視覺化工作流程,而不需要傳統計算資源。
完全無伺服器工作負載:依賴無伺服器計算的組織可以使用無伺服器工作區作為其默認環境,來消除傳統計算的額外負荷。
Composable environments:無伺服器工作區易於建立與摧毀,非常適合短期使用場景,如內部訓練、測試新功能Azure Databricks或新團隊入職。
部署無雲端權限的工作空間:Databricks 帳號管理員若缺乏雲端權限以配置經典工作空間,仍可部署無伺服器工作空間。 管理員可以管理工作區,而無需依賴外部雲端基礎設施。
一般最佳做法
檢閱無伺服器運算最佳實務:如需詳細指引,請參閱 無伺服器運算的最佳實務 。
設置預算: 要保持對無服務器工作區內成本的可見性,請設置預算。 您可以定義個別無伺服器工作區和特定標籤的預算。 請參閱 建立和監視預算。 要細緻地歸因工作負載成本,可以設定無伺服器使用政策。 請參見 「屬性使用與無伺服器使用政策」。
檢閱無伺服器計算限制:將工作負載移轉至無伺服器工作區之前,請檢閱目前的無伺服器計算限制,以確保與您的使用案例相容。 請參閱 無伺服器計算限制。
預設儲存設置的最佳實務
使用預設儲存體來簡化資料管理:無伺服器工作區支援建立預設儲存體支援的目錄,使用預設儲存體不需要個別的儲存體認證或外部位置。 這對於無法由 Azure Databricks 管理員配置或管理雲端基礎架構的環境非常理想。
在 Azure Databricks 之間使用預設儲存進行 Delta 共享:當使用 Delta 共享在 Azure Databricks 帳戶之間分享資料時,預設儲存可以作為底層儲存層。 這樣就不需要使用自訂網路存取原則來設定客戶管理的儲存設備。
審查預設儲存限制: 在將資料遷移到預設儲存之前,請審查目前的限制,以確保與您的使用案例相容。 請參閱 預設儲存限制。
安全性最佳做法
檢視一般安全最佳實務:如需平台整體安全最佳實務的概覽,請參閱 Azure Databricks 安全與信任中心的安全最佳實務。
實作工作區存取的輸入控制:使用 IP 存取清單將無伺服器工作區的存取限制為特定 IP 位址。 請參閱 管理 IP 存取清單。
使用網路原則實作輸出控制:無伺服器工作區消除了對客戶管理網路的需求。 相反地,運算出口可以透過 Azure Databricks 網路政策集中控制。 請參閱 管理無伺服器輸出控制的網路原則。
如需如何連線到私人網路中資源的指示,請參閱設定 VNet 中資源的私人連線。
- 設定無伺服器工作區的客戶管理金鑰 (CMK):在建立工作區期間或之後,您可以指定客戶管理的金鑰來加密受控服務資料。 除了受管理服務之外,此金鑰還會加密工作區特定的型錄及預設儲存體支援的工作區根儲存體中的資料。 只有受控服務金鑰適用於無伺服器工作區。 請參閱啟用受管理的服務的客戶自控金鑰。