工作空間是PAI的頂層概念,為企業和團隊提供統一的計算資源管理及人員許可權管理能力,為AI開發人員提供支援小組協作的全流程開發工具以及AI資產管理能力。本文為您介紹如何建立和組態管理工作空間。
使用限制
僅工作空間管理員或負責人能夠修改工作空間配置資訊。
事件通知配置中的語音電話、簡訊和郵件功能只支援在華東1(杭州)、華東2(上海)、華北6(烏蘭察布)地區使用。
操作帳號和許可權要求
阿里雲帳號(主帳號):主帳號可完成所有操作,無需額外授權。
RAM使用者(子帳號):子帳號需要授予AliyunPAIFullAccess許可權。AliyunPAIFullAccess包含PAI所有許可權,請謹慎添加。推薦使用主帳號進行操作。
建立工作空間
前往PAI-工作空間列表,單擊建立工作空間,並進行配置:
基礎資訊配置,關鍵說明:
新增成員:為工作空間新增成員及角色。您也可以暫時先忽略,等工作空間建立成功後再進行添加,詳情請參見成員及角色配置。
工作空間預設儲存:建議配置工作空間預設儲存,可用於儲存訓練等任務過程中產出的臨時資料和模型,方便統一管理。
關聯資源配置,關鍵說明:
靈駿智算資源:為使用者的模型開發訓練情境提供了高效能運算資源群組,具備高效能、高效率、高資源使用率等核心優勢。
通用計算資源:使用專屬的通用計算資源進行AI開發,以提升AI開發和訓練效率,詳情請參見建立資源群組併購買通用計算資源。
MaxCompute資源:支援使用的MaxCompute資源為CPU資源,可用於可視化建模Designer部分演算法的使用,詳情請參見MaxCompute資源配額。
Flink全託管資源:用於PAI大規模分布式模型訓練,詳情請參見Flink全託管資源管理。
關於更多AI計算資源詳情,請參見AI計算資源。
確認資訊,並進入工作空間。
進入工作空間後,左側導覽列展示PAI的全部子產品功能,您可以根據實際需求進行AI全生命週期的開發及管理,詳情請參見AI開發。
管理工作空間
前往工作空間詳情,進入指定工作空間後,單擊右上方工作空間配置:
計算資源配置
查看並關聯計算資源:
目前不支援解除已關聯的計算資源。如需要解除關聯,請聯絡您的商務經理處理。
靈駿智算資源:為使用者的模型開發訓練情境提供了高效能運算資源群組,具備高效能、高效率、高資源使用率等核心優勢。
通用計算資源:使用專屬的通用計算資源進行AI開發,以提升AI開發和訓練效率,詳情請參見建立資源群組併購買通用計算資源。
MaxCompute資源:支援使用的MaxCompute資源為CPU資源,可用於可視化建模Designer部分演算法的使用,詳情請參見MaxCompute資源配額。
Flink全託管資源:用於PAI大規模分布式模型訓練,詳情請參見Flink全託管資源管理。
關於更多AI計算資源詳情,請參見AI計算資源。
成員及角色配置
當多個人員(RAM帳號)在同一工作空間進行管理、開發、營運時,需要添加對應人員為工作空間成員並配置角色許可權。PAI提供了多種角色,您可以查看角色與許可權點的映射關係,根據需求授予成員不同角色以便管理。
新增成員/角色
同一個RAM使用者可以添加多個角色,系統支援以下角色:
角色類型
描述
基礎角色
基礎角色包含以下角色:
管理員:擁有編輯工作空間成員、管理資源群組以及管理工作空間內全部資產的許可權。
演算法開發:擁有在所屬工作空間中進行開發和模型訓練的許可權。
演算法營運:擁有任務優先順序管理、模型發布及線上服務監控等許可權。
標註管理員:擁有智能標註的操作許可權。
訪客:擁有工作空間中各種資產的唯讀許可權。
計算資源角色
計算資源角色當前特指MaxCompute開發,即DataWorks中的開發角色,擁有MaxCompute資料開發相關許可權。您可以為從PAI提交任務至MaxCompute執行的RAM使用者添加該角色。
自訂角色
自訂角色添加入口:
許可權說明:
無許可權:在指定產品模組中沒有任何許可權。
唯讀:在指定產品模組中可查看owner為自己及公開可見的資源。
可編輯運行:在指定產品模組中可編輯運行owner為自己的資源。
完全控制:在指定產品模組中擁有所有資源的系統管理權限。
修改成員角色
成員和角色關係如下:
每個成員至少要擁有一個角色。
不能刪除負責人角色。建立工作空間的阿里雲帳號或RAM使用者自動成為該工作空間的負責人,擁有編輯工作空間成員、引用和管理資源群組、管理工作空間內全部資產的許可權。
目前DataWorks和PAI工作空間是互連的,空間管理員、訪客和開發這三個角色是兩者共有的。如果某個成員在PAI裡被移除了空間管理員、訪客或開發角色,且該角色是成員在DataWorks空間中的最後一個角色,則DataWorks會自動刪除該成員使用者,從而觸發實體轉交。
調度配置
提供了工作空間維度資源管理和調度機制,支援管理員根據不同的業務需求和使用情境,靈活進行資源調度配置。詳情請參見調度配置。
事件通知配置
配置事件通知來追蹤和監控DLC任務、工作流程工作和DSW執行個體的狀態,或當模型版本狀態變更時自動觸發下遊操作。詳情請參見事件通知配置。
儲存路徑配置
配置工作空間預設儲存路徑:
建議配置工作空間預設儲存,可用於儲存訓練等任務過程中產出的臨時資料和模型,方便統一管理。
如果Designer中也同時設定了工作流程資料存放區,則在運行工作流程時,工作流程資料存放區路徑將優先生效。
SLS轉寄配置
支援配置當前工作空間中DSW執行個體和DLC任務日誌轉寄至Log ServiceSLS中做自訂分析:
參數 | 描述 |
SLS Project | Log Service中的資源嵌入式管理單元,用於資源隔離和控制。如果沒有可選的專案,您可以建立專案Project。 |
LogStore | Log Service中日誌資料的採集、儲存和查詢單元。如果沒有可選的LogStore,您可以建立Logstore。 |
轉寄SLS儲存的模組 | 支援DSW執行個體和DLC任務日誌轉寄。 |
通用配置
工作空間通用配置提供了如下功能開關,注意開啟或關閉後都需要重啟執行個體。
DLC配置:
进入节点容器:控制使用者是否可以進入 DLC 任務的計算節點容器進行調試或排查。開啟後,授權使用者可使用終端訪問容器。
DSW配置:
从公网SSH登录实例:是否允許使用者可以通過公網SSH登入執行個體。
从公网打开实例:是否允許使用者從公網訪問DSW執行個體。
访问公网限速:在使用專有網關訪問公網時,是否限制DSW執行個體網速。用於防止單個執行個體佔用過多頻寬,從而保障共用資源的穩定性。
常見問題
Q:建立工作空間時提示“名稱已經存在”
如果提示名稱已經存在,而PAI的工作空間列表中沒有同名工作空間,可能是因為在DataWorks中存在一個同名工作空間。由於PAI和DataWorks的工作空間在底層是互連的,建議您修改名稱以確保工作空間名稱的唯一性。
Q:設定SLS日誌轉寄時,列表頁無資料
報錯資訊:denied by sts or ram, action: log:ListProject, resource: acs:log.....
原因:使用者沒有讀取SLS日誌庫的許可權。
解決方案:在RAM控制台為使用者配置日誌庫許可權。
授權主體填入 RAM使用者或RAM角色,授權策略選擇AliyunLogFullAccess。
若使用者需要提供更精細的SLS許可權配置,可進入Log Service控制台,在需要授權的專案中,使用 許可權助手,產生RAM自訂許可權。
Q:設定SLS日誌轉寄時,請求失敗
報錯資訊:Modify configuration configuration failed [SLS] cannot init client for sis service: com.alibaba.pai.workspace.common.exception.ServiceExceptionV2: No Privilege error: {0}
原因:使用者沒有SLS日誌庫開啟/關閉轉寄的許可權。
解決方案:在RAM控制台為使用者配置日誌庫轉寄許可權。自訂授權策略配置如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetProductDataCollection",
"log:CloseProductDataCollection",
"log:OpenProductDataCollection"
],
"Resource": "*"
}
]
}若使用者需要更為精細的管理,需要將其中Resource部分修改為使用者期望的資源。