工作空间是PAI的顶层概念,为企业和团队提供统一的计算资源管理及人员权限管理能力,为AI开发者提供支持团队协作的全流程开发工具以及AI资产管理能力。本文为您介绍如何创建和配置管理工作空间。
使用限制
仅工作空间管理员或负责人能够修改工作空间配置信息。
事件通知配置中的语音电话、短信和邮件功能只支持在华东1(杭州)、华东2(上海)、华北6(乌兰察布)地域使用。
操作账号和权限要求
阿里云账号(主账号):主账号可完成所有操作,无需额外授权。
RAM用户(子账号):子账号需要授予AliyunPAIFullAccess权限。AliyunPAIFullAccess包含PAI所有权限,请谨慎添加。推荐使用主账号进行操作。
说明若仅需授予 RAM 用户对 PAI 特定工作空间的读写权限,直接将该 RAM 用户添加为目标工作空间的成员即可,无需额外配置 RAM 策略授权。
创建工作空间
前往PAI-工作空间列表,单击新建工作空间。
按照指引配置工作空间名称、阿里云资源组等信息。
说明成员及角色、默认存储、关联资源等可在创建成功后进入工作空间的详情页进行配置。
配置工作空间
计算资源配置
支持关联或解绑以下计算资源:
灵骏智算资源:为用户的模型开发训练场景提供了高性能计算资源组,具备高性能、高效率、高资源利用率等核心优势,详情请参见AI计算资源使用指南。
通用计算资源:使用专属的通用计算资源进行AI开发,以提升AI开发和训练效率,详情请参见新建资源组并购买通用计算资源。
MaxCompute资源:
支持使用的MaxCompute资源为CPU资源,可用于可视化建模Designer部分算法的使用,详情请参见MaxCompute资源配额。
可新建或绑定已有MaxCompute项目。
Flink全托管资源:用于PAI大规模分布式模型训练,详情请参见Flink全托管资源管理。
关于更多AI计算资源详情,请参见AI计算资源。
成员及角色配置
当多个人员(RAM账号)在同一工作空间进行管理、开发、运维时,需要添加对应人员为工作空间成员并配置角色权限。
PAI提供了系统默认角色(基础角色、计算资源角色),您可以查看角色与权限点的映射关系,根据需求授予成员不同角色。如不满足需求还可以自定义角色。
支持的角色类型:
角色类型 | 描述 |
基础角色 | 基础角色包含以下角色:
|
计算资源角色 | 计算资源角色当前特指MaxCompute开发,即DataWorks中的开发角色,拥有MaxCompute数据开发相关权限。您可以为从PAI提交任务至MaxCompute执行的RAM用户添加该角色。 |
自定义角色 |
|
成员和角色关系:
每个成员至少要拥有一个角色。
不能删除负责人角色。创建工作空间的阿里云账号或RAM用户自动成为该工作空间的负责人,拥有编辑工作空间成员、引用和管理资源组、管理工作空间内全部资产的权限。
目前DataWorks和PAI工作空间是互通的,角色上,PAI 的空间管理员、访客和MaxCompute开发对应了DataWorks 的空间管理员、访客和开发。这三个角色是两者共有的。如果某个成员在PAI里被移除了空间管理员、访客或MaxCompute开发角色,且该角色是成员在DataWorks空间中的最后一个角色,则DataWorks会自动删除该成员用户,从而触发实体转交。
资源可见性控制:
PAI 工作空间中的 DSW 实例、DLC 任务和 EAS 服务均支持设置资源的可见性范围:
仅创建者可见:仅资源创建者和工作空间管理员可查看该资源。
工作空间内可见:工作空间内所有成员均可查看该资源。
无论可见性如何设置,工作空间管理员均可查看和管理工作空间内所有资源。
多公司共用安全建议:
工作空间管理员可查看工作空间内所有成员的资源,因此不建议多公司或多团队共享同一工作空间。若确实需要共用,建议:
严格控制成员角色,不授予其他公司成员工作空间管理员角色。
将敏感资源设置为仅创建者可见,以减少资源暴露范围。
调度配置
提供了工作空间维度的资源管理和调度机制,支持管理员根据不同的业务需求和使用场景,灵活进行资源调度配置。详情请参见调度配置。
事件通知配置
配置事件通知来追踪和监控DLC任务、工作流任务和DSW实例的状态,或当模型版本状态变更时自动触发下游操作。详情请参见事件通知配置。
存储路径配置
建议将一个OSS路径配置为默认存储路径,用于存储任务过程中的临时数据和模型,方便统一管理。
如果Designer中也同时设置了工作流数据存储,则在运行工作流时,工作流数据存储路径将优先生效。
SLS转发配置
支持配置当前工作空间中的DLC任务日志转发至日志服务SLS中做自定义分析,详情请参见订阅任务日志。
通用配置
工作空间通用配置提供了如下功能开关,注意打开或关闭后都需要重启实例。
公共资源组:
默认网络配置:管理员在工作空间中可配置专有网络、安全组等默认网络配置。通过管理员统一配置,合理控制权限。
DLC配置:
进入节点容器:控制用户是否可以进入 DLC 任务的计算节点容器进行调试或排查。开启后,授权用户可使用终端访问容器。
DSW配置:
从公网SSH登录实例:是否允许用户可以通过公网SSH登录实例。
从公网打开实例:是否允许用户从公网访问DSW实例。
访问公网限速:在使用专有网关访问公网时,是否限制DSW实例网速。用于防止单个实例占用过多带宽,从而保障共享资源的稳定性。
删除工作空间
建议在删除工作空间前,先清理其中的 DSW 实例、EAS 服务等资源,避免资源残留继续计费。
在PAI中删除工作空间时,同名的 DataWorks 工作空间也会被同步删除。
删除工作空间不会删除绑定至本空间的资源配额。
删除后,工作空间将进入回收站,保留 14 天,期间可恢复。超过 14 天,工作空间及其中所有资源(DSW 实例、DLC 任务、EAS 服务、PAIFlow 任务、LangStudio 应用等)将永久删除。
常见问题
Q:创建工作空间时提示“名称已经存在”
如果提示名称已经存在,而PAI的工作空间列表中没有同名工作空间,可能是因为在DataWorks中存在一个同名工作空间。由于PAI和DataWorks的工作空间在底层是互通的,建议您修改名称以确保工作空间名称的唯一性。
Q:设置SLS日志转发时,列表页无数据
报错信息: Unauthorized 错误,提示denied by sts or ram, action: log:ListProject, resource: acs:log.....。
原因:没有读取SLS日志库的权限。
解决方案:为用户配置日志库权限。步骤如下:
Q:设置SLS日志转发时,请求失败
报错信息:Modify configuration failed [SLS] cannot init client for sis service: com.alibaba.pai.workspace.common.exception.ServiceExceptionV2: No Privilege error: {0}
原因:没有开启或关闭SLS日志库转发功能的权限。
解决方案:登录RAM控制台,通过自定义授权策略为用户配置日志库转发权限。
自定义授权策略配置如下,操作请参见创建自定义权限策略:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetProductDataCollection",
"log:CloseProductDataCollection",
"log:OpenProductDataCollection"
],
"Resource": "*"
}
]
}若需要更为精细的管理,将其中Resource部分修改为期望的资源。
Q:如何恢复已删除的工作空间或清理残留资源?
删除工作空间后,工作空间中的数据源、计算资源会进入回收站,保留14天。
如果存在未清理的DSW 实例、DLC 任务、EAS 服务等资源会继续计费,直到14天后随着工作空间一起永久删除。如需立即停止计费,请恢复工作空间后再清理资源。
操作步骤:
通过以下入口进入回收站,找到目标工作空间并恢复。
PAI 工作空间列表页右上角的前往工作空间回收站。
重要进入回收站后,需在左上角将地域切换至被删除工作空间所在的地域,才能找到对应工作空间。
恢复工作空间后,清理该工作空间下的 DSW 实例、EAS 服务等资源。
确认计费资源都删除后,在 PAI 控制台工作空间列表页面,删除目标工作空间。