Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve como desabilitar o acesso à raiz legada do Databricks Filesystem (DBFS) e às montagens nos workspaces do Azure Databricks existentes. Para desabilitar a raiz e as montagens do DBFS no nível da conta para novos workspaces, use a configuração de conta Desabilitar recursos herdados.
Após migrar seus fluxos de trabalho baseados em arquivos para volumes do catálogo do Unity, localizações externas ou arquivos do workspace, você pode impedir que usuários façam upload, modifiquem ou acessem dados na raiz do DBFS e nas montagens do DBFS. Desabilitar o acesso à raiz e às montagens do DBFS fortalece sua postura de segurança eliminando o acesso a armazenamentos compartilhados que não são gerenciados pelo catálogo do Unity.
O que são raiz e montagens do DBFS?
O DBFS é um sistema de arquivos distribuído em workspaces do Databricks acessível sob o dbfs: esquema de URI e usado para interagir com o armazenamento na nuvem. O dbfs: esquema de URI é usado para acessar várias áreas de armazenamento em um workspace, incluindo:
-
Raiz DBFS: a área acessível diretamente na raiz do sistema de arquivos, por exemplo, quando você digita
dbfs:/. Todos os usuários do workspace podem acessar o conteúdo criado diretamente na raiz do DBFS, exceto o conteúdo em um dos prefixos reservados abaixo, cada um sujeito a condições especiais. Veja o que é a raiz DBFS?. -
Montagens DBFS: uma abordagem antiga para definir o acesso ao armazenamento em nuvem externo, acessável em
dbfs:/mnt/<mount_name>. Consulte Montar o armazenamento de objetos. -
Prefixos reservados do Azure Databricks: o prefixo utilizado pelos volumes do catálogo do Unity e outros caminhos do sistema Azure Databricks, como
dbfs:/databricks-datasets/e caminhos de ativos do MLflow. Por exemplo,dbfs:/Volumes/.
Todos os caminhos também são acessíveis usando caminhos no estilo POSIX. Veja Se preciso fornecer um esquema de URI para acessar dados?.
Para obter mais informações sobre o DBFS, incluindo a raiz do DBFS e as montagens, consulte O que é DBFS?
O que está sendo desabilitado?
Depois de desabilitar a raiz e as montagens do DBFS:
- Todo o acesso à raiz e às montagens do DBFS em workspaces existentes é desabilitado e bloqueado em todas as interfaces (IU, APIs, CLI e FUSE).
- Tentativas de leitura ou gravação de arquivos na raiz do DBFS e em montagens falham com erro. Por exemplo, a mensagem de erro raiz DBFS pública está desabilitada.
- O navegador DBFS e a opção Carregar no DBFS não estão mais acessíveis na interface do usuário. Trabalhos, notebooks ou scripts que fazem referência à raiz e às montagens do DBFS falham, a menos que a configuração seja revertida.
- A opção DBFS não está mais acessível a partir de recursos comuns, como:
- Bibliotecas de cluster
- Entrega de log do cluster
- Rastreamento/registro de modelos do MLflow (não relacionado ao UC)
- Experimentos de AutoML
- Pipelines Declarativos do Lakeflow Spark
- A inserção de arquivo de notebook estático usando
/filesfalha com um erro 500. Consulte Incorporar imagens estáticas em notebooks. - As operações de montagem/desmontagem são bloqueadas.
- As operações fileStore são bloqueadas.
- Desabilitar a raiz e as montagens do DBFS no seu workspace também desabilita as versões do Databricks Runtime anteriores à 13.3 LTS.
Note
Nos workspaces com DBFS desabilitado, o caminho dbfs:/Workspace fornece acesso aos arquivos no sistema de arquivos do espaço de trabalho. Isso requer o Databricks Runtime 13.3 LTS ou superior.
O que não é afetado?
O esquema de URI dbfs: continua sendo central no Azure Databricks, e desabilitar a raiz e as montagens do DBFS não desabilita o próprio URI dbfs:. O seguinte continua funcionando conforme o esperado:
-
Volumes do catálogo do Unity: os volumes continuam acessíveis usando o prefixo
dbfs:/Volumese o caminho no estilo POSIX/Volumes. Veja Se preciso fornecer um esquema de URI para acessar dados? E o que são volumes do Catálogo do Unity? Para obter mais informações. Consulte Conectar-se a um local externo raiz do DBFS (herdado). -
Caminhos do Sistema: os dados de leitura somente permanecem acessíveis usando
dbfs:/databricks-datasets/e outros caminhos do sistema do Azure Databricks, como os caminhos de recurso do MLflow. - Dados internos do sistema de workspace: isso inclui conteúdo gerado automaticamente pelo Azure Databricks, como revisões de notebooks, detalhes da execução de tarefas, resultados de comandos e logs do Spark. Consulte o armazenamento do Workspace.
Note
Os dados pré-existentes na raiz e nas montagens do DBFS não são excluídos. Se a raiz e as montagens do DBFS forem reativadas por meio da configuração em nível de workspace Desativar raiz e montagens do DBFS, os dados voltam a ficar acessíveis.
A seguir, alguns exemplos de caminhos que permanecem acessíveis e não são afetados pela desativação da raiz e das montagens do DBFS:
| Category | Path | Description |
|---|---|---|
| Volumes do Catálogo do Unity | dbfs:/Volumes/<catalog>/<schema>/<volume>/<path>/<file_name> |
Reservado para os volumes UC e acessível apenas por meio de APIs específicas da UC e sujeito a regras de governança da UC. Para obter mais informações, consulte Caminho para acessar arquivos em um volume. |
| Caminho do sistema | dbfs:/databricks/mlflow-registry dbfs:/databricks/mlflow-tracking |
Caminhos somente leitura que apontam para conteúdo gravado pelas APIs internas do Azure Databricks em dados de sistema do workspace. |
| Caminho do sistema | dbfs:/databricks-datasets/ |
Uma coleção somente leitura de conjuntos de dados montados por padrão nos workspaces do Azure Databricks. Consulte Navegar pelos conjuntos de dados do Databricks montados no DBFS. |
O dbfs: prefixo (esquema de URI) é opcional e pode ser omitido na maioria dos casos. Veja Se preciso fornecer um esquema de URI para acessar dados?.
Quando é possível desabilitar a raiz e as montagens do DBFS?
Você pode desabilitar o DBFS a qualquer momento. No entanto, se os fluxos de trabalho existentes ainda dependerem dele, eles poderão ser interrompidos. O Databricks recomenda desabilitar a raiz e as montagens do DBFS apenas em ambientes não críticos e somente após:
- Você ter migrado todos os workflows que dependem da raiz ou de montagens do DBFS para volumes do catálogo do Unity, locais externos ou arquivos do workspace.
- Você atualizou todos os trabalhos e clusters para o Databricks Runtime 13.3 LTS ou superior.
Note
Antes de continuar, você pode usar os scripts de observabilidade para verificar o uso restante da raiz e das montagens do DBFS.
Desabilitar raiz e montagens do DBFS
É possível desabilitar a raiz e as montagens do DBFS tanto em workspaces existentes quanto em novos.
Como administrador do workspace, siga estas etapas para desabilitar a raiz e as montagens do DBFS:
Faça login no workspace do Azure Databricks.
Clique no ícone de perfil do usuário no canto superior direito e selecione Configurações.
Navegue até o administrador do Workspace e clique em Segurança.
Defina Desativar raiz e montagens do DBFS como Desativado: não é possível usar a raiz e as montagens do DBFS.
Aguarde até 20 minutos para que a configuração entre em vigor.
Reinicie todos os clusters em execução.
- Atraso de propagação: pode levar até 20 minutos para que a raiz do DBFS e a desabilitação das montagens sejam totalmente propagadas.
- Reinicialização do cluster: quaisquer recursos de computação multifuncional em execução e SQL warehouses devem ser reiniciados MANUALmente, isso deve ser feito após o tempo de propagação de 20 minutos para que as alterações entrem em vigor. Se não forem reiniciados, esses clusters continuarão acessando a raiz e as montagens do DBFS.
Consulte Exemplo de notebook: encontre computação de longa duração para um exemplo de como identificar e reiniciar computação para todas as finalidades de longa duração.