Kurz: Použití spravované identity přiřazené systémem virtuálního počítače s Linuxem pro přístup k Azure Data Lake Storu
Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.
V tomto kurzu se dozvíte, jak pomocí spravované identity přiřazené systémem pro virtuální počítač s Linuxem získat přístup ke službě Azure Data Lake Store. Získáte informace pro:
V tomto kurzu se naučíte:
- Udělit přístup virtuálnímu počítači k Azure Data Lake Store.
- Získejte přístupový token pomocí spravované identity přiřazené systémem virtuálního počítače s Linuxem pro přístup k Azure Data Lake Storu.
Předpoklady
- Pokud ještě neznáte funkci spravovaných identit pro prostředky Azure, podívejte se na tento přehled.
- Pokud nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.
- K provedení potřebných kroků k vytvoření prostředku a správě rolí potřebuje váš účet oprávnění vlastníka v odpovídajícím oboru (vaše předplatné nebo skupina prostředků). Pokud potřebujete pomoc s přiřazením role, přečtěte si téma Přiřazení rolí Azure ke správě přístupu k prostředkům předplatného Azure.
Udělení přístupu
Tato část ukazuje, jak virtuálnímu počítači udělit přístup k souborům a složkám ve službě Azure Data Lake Store. Pro tento krok můžete použít stávající instanci Data Lake Store nebo vytvořit novou. Pokud chcete vytvořit instanci Data Lake Store na webu Azure Portal, postupujte podle tohoto článku Rychlý start ke službě Azure Data Lake Store. V dokumentaci ke službě Azure Data Lake Store také najdete články Rychlý start pro použití Azure CLI nebo Azure PowerShellu.
V Data Lake Storu vytvořte novou složku a udělte spravované identitě přiřazené systémem virtuálního počítače s Linuxem oprávnění ke čtení, zápisu a spouštění souborů v této složce:
- Na webu Azure Portal vyberte v levém podokně Data Lake Store.
- Vyberte instanci Data Lake Store, kterou chcete použít.
- Na panelu příkazů vyberte Průzkumník dat.
- Vybere se kořenová složka instance Data Lake Store. Na příkazovém řádku vyberte Přístup.
- Vyberte Přidat. Do pole Vybrat zadejte název virtuálního počítače, například DevTestVM. Ve výsledcích hledání vyberte virtuální počítač a pak vyberte Vybrat.
- Vyberte Vybrat oprávnění. Vyberte oprávnění Číst a Spustit, přidejte je k Tato složka a přidejte je jako Položka oprávnění k přístupu. Vyberte OK. Oprávnění by mělo být úspěšně přidané.
- Zavřete podokno Přístup.
- Pro tento kurz vytvořte novou složku. Na panelu příkazů klikněte na Nová složka a zadejte název nové složky, například TestFolder. Vyberte OK.
- Vyberte složku, kterou jste vytvořili, a pak na panelu příkazů vyberte Přístup.
- Podobně jako v 5. kroku vyberte Přidat. Do pole Vybrat zadejte název virtuálního počítače. Ve výsledcích hledání vyberte virtuální počítač a pak vyberte Vybrat.
- Podobně jako v 6. kroku vyberte Vybrat oprávnění. Vyberte oprávnění Číst, Zápis a Spustit, přidejte je k Tato složka a přidejte je jako Položka oprávnění k přístupu a výchozí položka oprávnění. Vyberte OK. Oprávnění by mělo být úspěšně přidané.
Spravované identity pro prostředky Azure teď můžou se soubory ve vytvořené složce provádět všechny operace. Další informace o správě přístupu ke službě Data Lake Store najdete v článku o řízení přístupu v Data Lake Store.
Získání přístupového tokenu
Tato část ukazuje, jak získat přístupový token a volat systém souborů Data Lake Store. Azure Data Lake Store nativně podporuje ověřování Microsoft Entra, takže může přímo přijímat přístupové tokeny získané pomocí spravovaných identit pro prostředky Azure. Pokud se chcete ověřit v systému souborů Data Lake Store, odešlete přístupový token vystavený ID Microsoft Entra do koncového bodu systému souborů Data Lake Store. Přístupový token je v autorizační hlavičce ve formátu „Bearer <HODNOTA_PŘÍSTUPOVÉHO_TOKENU>“. Další informace o podpoře ověřování Microsoft Entra ve službě Data Lake Store najdete v tématu Ověřování ve službě Data Lake Store pomocí MICROSOFT Entra ID.
V tomto kurzu použijete při ověření přístupu k REST API systému souborů Data Lake Store nástroj cURL pro požadavky REST.
Poznámka:
Klientské sady SDK systému souborů Data Lake Store zatím spravované identity pro prostředky Azure nepodporují.
K dokončení tohoto postupu potřebujete klienta SSH. Pokud používáte Windows, můžete použít klienta SSH v subsystému Windows pro Linux. Pokud potřebujete pomoc při konfiguraci klíčů klienta SSH, přečtěte si, jak na počítači s Windows v Azure používat klíče SSH nebo jak na linuxových virtuálních počítačích v Azure vytvářet a používat pár veřejného a privátního klíče SSH.
Na portálu přejděte ke svému linuxovému virtuálním počítači. V Přehledu vyberte Připojit.
Připojte se vybraným klientem SSH k virtuálnímu počítači.
V okně terminálu použijte cURL a požádejte místní spravované identity Azure o koncový bod prostředků Azure, abyste získali přístupový token k systému souborů Data Lake Store. Identifikátor prostředku pro Data Lake Store je
https://datalake.azure.net/. V identifikátoru prostředku musí být koncové lomítko.curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fdatalake.azure.net%2F' -H Metadata:trueV úspěšné odpovědi se vrátí přístupový token, který použijete při ověření přístupu k Data Lake Store:
{"access_token":"eyJ0eXAiOiJ...", "refresh_token":"", "expires_in":"3599", "expires_on":"1508119757", "not_before":"1508115857", "resource":"https://datalake.azure.net/", "token_type":"Bearer"}Nástrojem cURL požádejte koncový bod REST systému souborů Data Lake Store o výpis složek v kořenové složce. Je to jednoduchý způsob, jak otestovat, že je vše správně nakonfigurované. Zkopírujte hodnotu přístupového tokenu z předchozího kroku. Je důležité, aby řetězec "Nosný" v autorizační hlavičce má velké písmeno "B". Název instance Data Lake Store najdete v části Přehled podokna Data Lake Store na webu Azure Portal.
curl https://<YOUR_ADLS_NAME>.azuredatalakestore.net/webhdfs/v1/?op=LISTSTATUS -H "Authorization: Bearer <ACCESS_TOKEN>"Úspěšná odpověď vypadá takto:
{"FileStatuses":{"FileStatus":[{"length":0,"pathSuffix":"TestFolder","type":"DIRECTORY","blockSize":0,"accessTime":1507934941392,"modificationTime":1508105430590,"replication":0,"permission":"770","owner":"bd0e76d8-ad45-4fe1-8941-04a7bf27f071","group":"bd0e76d8-ad45-4fe1-8941-04a7bf27f071"}]}}Teď můžete zkusit do instance Data Lake Store nahrát soubor. Nejprve vytvořte soubor, který chcete nahrát.
echo "Test file." > Test1.txtPoužijte cURL a požádejte koncový bod REST vašeho systému souborů Data Lake Store o nahrání souboru do dříve vytvořené složky. Součástí nahrání je i přesměrování. Nástroj cURL provede přesměrování automaticky.
curl -i -X PUT -L -T Test1.txt -H "Authorization: Bearer <ACCESS_TOKEN>" 'https://<YOUR_ADLS_NAME>.azuredatalakestore.net/webhdfs/v1/<FOLDER_NAME>/Test1.txt?op=CREATE'Úspěšná odpověď vypadá takto:
HTTP/1.1 100 Continue HTTP/1.1 307 Temporary Redirect Cache-Control: no-cache, no-cache, no-store, max-age=0 Pragma: no-cache Expires: -1 Location: https://mytestadls.azuredatalakestore.net/webhdfs/v1/TestFolder/Test1.txt?op=CREATE&write=true x-ms-request-id: 756f6b24-0cca-47ef-aa12-52c3b45b954c ContentLength: 0 x-ms-webhdfs-version: 17.04.22.00 Status: 0x0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=15724800; includeSubDomains Date: Sun, 15 Oct 2017 22:10:30 GMT Content-Length: 0 HTTP/1.1 100 Continue HTTP/1.1 201 Created Cache-Control: no-cache, no-cache, no-store, max-age=0 Pragma: no-cache Expires: -1 Location: https://mytestadls.azuredatalakestore.net/webhdfs/v1/TestFolder/Test1.txt?op=CREATE&write=true x-ms-request-id: af5baa07-3c79-43af-a01a-71d63d53e6c4 ContentLength: 0 x-ms-webhdfs-version: 17.04.22.00 Status: 0x0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=15724800; includeSubDomains Date: Sun, 15 Oct 2017 22:10:30 GMT Content-Length: 0
Pomocí jiných rozhraní API systému souborů Data Lake Store můžete přidávat do souborů, stahovat soubory a provádět další akce.
Další kroky
V tomto kurzu jste se dozvěděli, jak použít spravovanou identitu přiřazenou systémem virtuálního počítače s Linuxem pro přístup k Azure Data Lake Storu. Další informace o službě Azure Data Lake Store: