工作空間是PAI的頂層概念,為企業和團隊提供統一的計算資源管理及人員許可權管理能力,為AI開發人員提供支援小組協作的全流程開發工具以及AI資產管理能力。本文為您介紹如何建立和組態管理工作空間。
使用限制
僅工作空間管理員或負責人能夠修改工作空間配置資訊。
事件通知配置中的語音電話、簡訊和郵件功能只支援在華東1(杭州)、華東2(上海)、華北6(烏蘭察布)地區使用。
操作帳號和許可權要求
阿里雲帳號(主帳號):主帳號可完成所有操作,無需額外授權。
RAM使用者(子帳號):子帳號需要授予AliyunPAIFullAccess許可權。AliyunPAIFullAccess包含PAI所有許可權,請謹慎添加。推薦使用主帳號進行操作。
說明若僅需授予 RAM 使用者對 PAI 特定工作空間的讀寫權限,直接將該 RAM 使用者添加為目標工作空間的成員即可,無需額外配置 RAM 策略授權。
建立工作空間
前往PAI-工作空間列表,單擊新建工作空间。
按照指引配置工作空间名称、阿里云资源组等資訊。
說明成員及角色、預設儲存、關聯資源等可在建立成功後進入工作空間的詳情頁進行配置。
配置工作空間
計算資源配置
支援關聯或解除綁定以下計算資源:
靈駿智算資源:為使用者的模型開發訓練情境提供了高效能運算資源群組,具備高效能、高效率、高資源使用率等核心優勢。
通用計算資源:使用專屬的通用計算資源進行AI開發,以提升AI開發和訓練效率,詳情請參見建立資源群組併購買通用計算資源。
MaxCompute資源:
支援使用的MaxCompute資源為CPU資源,可用於可視化建模Designer部分演算法的使用,詳情請參見MaxCompute資源配額。
可建立或綁定已有MaxCompute專案。
Flink全託管資源:用於PAI大規模分布式模型訓練,詳情請參見Flink全託管資源管理。
關於更多AI計算資源詳情,請參見AI計算資源。
成員及角色配置
當多個人員(RAM帳號)在同一工作空間進行管理、開發、營運時,需要添加對應人員為工作空間成員並配置角色許可權。
PAI提供了系統預設角色(基礎角色、計算資源角色),您可以查看角色與許可權點的映射關係,根據需求授予成員不同角色。如不滿足需求還可以自訂角色。
支援的角色類型:
角色類型 | 描述 |
基礎角色 | 基礎角色包含以下角色:
|
計算資源角色 | 計算資源角色當前特指MaxCompute開發,即DataWorks中的開發角色,擁有MaxCompute資料開發相關許可權。您可以為從PAI提交任務至MaxCompute執行的RAM使用者添加該角色。 |
自訂角色 |
|
成員和角色關係:
每個成員至少要擁有一個角色。
不能刪除负责人角色。建立工作空間的阿里雲帳號或RAM使用者自動成為該工作空間的负责人,擁有編輯工作空間成員、引用和管理資源群組、管理工作空間內全部資產的許可權。
目前DataWorks和PAI工作空間是互連的,角色上,PAI 的空間管理員、訪客和MaxCompute開發對應了DataWorks 的空間管理員、訪客和開發。這三個角色是兩者共有的。如果某個成員在PAI裡被移除了空間管理員、訪客或MaxCompute開發角色,且該角色是成員在DataWorks空間中的最後一個角色,則DataWorks會自動刪除該成員使用者,從而觸發實體轉交。
資源可見度控制:
PAI 工作空間中的 DSW 執行個體、DLC 任務和 EAS 服務均支援設定資源的可見度範圍:
仅创建者可见:僅資源建立者和工作空間管理員可查看該資源。
工作空间内可见:工作空間內所有成員均可查看該資源。
無論可見度如何設定,工作空間管理員均可查看和管理工作空間內所有資源。
多公司共用安全建議:
工作空間管理員可查看工作空間內所有成員的資源,因此不建議多公司或多團隊共用同一工作空間。若確實需要共用,建議:
嚴格控製成員角色,不授予其他公司成員工作空間管理員角色。
將敏感資源設定為仅创建者可见,以減少資源暴露範圍。
調度配置
提供了工作空間維度資源管理和調度機制,支援管理員根據不同的業務需求和使用情境,靈活進行資源調度配置。詳情請參見調度配置。
事件通知配置
配置事件通知來追蹤和監控DLC任務、工作流程工作和DSW執行個體的狀態,或當模型版本狀態變更時自動觸發下遊操作。詳情請參見事件通知配置。
儲存路徑配置
建議將一個OSS路徑配置為預設儲存路徑,用於儲存任務過程中的臨時資料和模型,方便統一管理。
如果Designer中也同時設定了工作流数据存储,則在運行工作流程時,工作流数据存储路徑將優先生效。
SLS轉寄配置
支援配置當前工作空間中的DLC任務日誌轉寄至Log ServiceSLS中做自訂分析,詳情請參見訂閱任務日誌。
通用配置
工作空間通用配置提供了如下功能開關,注意開啟或關閉後都需要重啟執行個體。
公共资源组:
默认网络配置:管理員在工作空間中可配置專用網路、安全性群組等預設網路配置。通過管理員統一配置,合理控制許可權。
DLC配置:
进入节点容器:控制使用者是否可以進入 DLC 任務的計算節點容器進行調試或排查。開啟後,授權使用者可使用終端訪問容器。
DSW配置:
从公网SSH登录实例:是否允許使用者可以通過公網SSH登入執行個體。
从公网打开实例:是否允許使用者從公網訪問DSW執行個體。
访问公网限速:在使用專有網關訪問公網時,是否限制DSW執行個體網速。用於防止單個執行個體佔用過多頻寬,從而保障共用資源的穩定性。
刪除工作空間
建議在刪除工作空間前,先清理其中的 DSW 執行個體、EAS 服務等資源,避免資源殘留繼續計費。
在PAI中刪除工作空間時,同名的 DataWorks 工作空間也會被同步刪除。
刪除工作空間不會刪除綁定至本空間的資源配額。
刪除後,工作空間將進入資源回收筒,保留 14 天,期間可恢複。超過 14 天,工作空間及其中所有資源(DSW 執行個體、DLC 任務、EAS 服務、PAIFlow 任務、LangStudio 應用等)將永久刪除。
常見問題
Q:建立工作空間時提示“名稱已經存在”
如果提示名稱已經存在,而PAI的工作空間列表中沒有同名工作空間,可能是因為在DataWorks中存在一個同名工作空間。由於PAI和DataWorks的工作空間在底層是互連的,建議您修改名稱以確保工作空間名稱的唯一性。
Q:設定SLS日誌轉寄時,列表頁無資料
報錯資訊: Unauthorized 錯誤,提示denied by sts or ram, action: log:ListProject, resource: acs:log.....。
原因:沒有讀取SLS日誌庫的許可權。
解決方案:為使用者配置日誌庫許可權。步驟如下:
登入RAM控制台,在左側導覽列選擇 許可權管理 > 授權,然後單擊新增授權。
授權主體填入 RAM使用者或RAM角色,授權策略選擇
AliyunLogFullAccess。若使用者需要提供更精細的SLS許可權配置,可進入Log Service控制台,在需要授權的專案中,單擊更多應用表徵圖,在彈出的菜單中選擇許可權助手,產生RAM自訂許可權。
Q:設定SLS日誌轉寄時,請求失敗
報錯資訊:Modify configuration failed [SLS] cannot init client for sis service: com.alibaba.pai.workspace.common.exception.ServiceExceptionV2: No Privilege error: {0}
原因:沒有開啟或關閉SLS日誌庫轉寄功能的許可權。
解決方案:登入RAM控制台,通過自訂授權策略為使用者配置日誌庫轉寄許可權。
自訂授權策略配置如下,操作請參見建立自訂權限原則:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetProductDataCollection",
"log:CloseProductDataCollection",
"log:OpenProductDataCollection"
],
"Resource": "*"
}
]
}若需要更為精細的管理,將其中Resource部分修改為期望的資源。
Q:如何恢複已刪除的工作空間或清理殘留資源?
刪除工作空間後,工作空間中的資料來源、計算資源會進入資源回收筒,保留14天。
如果存在未清理的DSW 執行個體、DLC 任務、EAS 服務等資源會繼續計費,直到14天后隨著工作空間一起永久刪除。如需立即停止計費,請恢複工作空間後再清理資源。
操作步驟:
通過以下入口進入資源回收筒,找到目標工作空間並恢複。
PAI 工作空間列表頁右上方的前往工作空间回收站。
重要進入資源回收筒後,需在左上方將地區切換至被刪除工作空間所在的地區,才能找到對應工作空間。
恢複工作空間後,清理該工作空間下的 DSW 執行個體、EAS 服務等資源。
確認計費資源都刪除後,在 PAI 控制台工作空间列表頁面,刪除目標工作空間。