Actualización de las claves de acceso de la cuenta de Azure Storage en el clúster de Azure HDInsight
En este artículo, aprenderá a rotar las claves de acceso de Azure Storage para las cuentas de almacenamiento principales o secundarias de Azure HDInsight.
Precaución
La rotación directa de la clave de acceso en el lado de almacenamiento hará que el clúster de HDInsight no sea accesible.
Requisitos previos
Usaremos un enfoque para rotar las claves de acceso principal y secundaria de la cuenta de almacenamiento de manera escalonada y alternada y así garantizar que el clúster de HDInsight sea accesible a lo largo del proceso.
Este es un ejemplo sobre cómo usar las claves de acceso de almacenamiento principal y secundaria y configurar las directivas de rotación en ellas:
- Use la clave de acceso 1 en la cuenta de almacenamiento al crear un clúster de HDInsight.
- Configure la directiva de rotación para la clave de acceso 2 cada N días. Como parte de esta rotación, actualice HDInsight para usar la clave de acceso 1 y, después, rote la clave de acceso 2 en la cuenta de almacenamiento.
- Configure la directiva de rotación para la clave de acceso 1 cada N/2 días. Como parte de esta rotación, actualice HDInsight para usar la clave de acceso 2 y, después, rote la clave de acceso 1 en la cuenta de almacenamiento.
- Con el enfoque anterior, la clave de acceso 1 se rotará cada N/2, 3N/2 días, etc., y la clave de acceso 2 se rotará cada N, 2N, 3N, etc., días.
Para configurar la rotación periódica de las claves de cuenta de almacenamiento, consulte Automatización de la rotación de un secreto.
Actualización de las claves de acceso de la cuenta de almacenamiento
Use Acción de script para actualizar las claves con las siguientes consideraciones:
| Propiedad | Value |
|---|---|
| URI de script de Bash | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Tipos de nodo | Head |
| Parámetros | ACCOUNTNAME ACCOUNTKEY -p (opcional) |
ACCOUNTNAMEes el nombre de la cuenta de almacenamiento en el clúster de HDInsight.ACCOUNTKEYes la clave de acceso paraACCOUNTNAME.-pes opcional. si se especifica, la clave no se cifra y se almacena en el archivo core-site.xml como texto sin formato.
Problemas conocidos
El script anterior actualiza directamente la clave de acceso solo en el lado del clúster y no renueva ninguna copia en el lado del proveedor de recursos de HDInsight. Por lo tanto, se producirá un error en la acción de script hospedada en la cuenta de almacenamiento después de rotar la clave de acceso.
Solución alternativa:
Use o cree otra cuenta de almacenamiento en la misma región.
Cargue el script que desea ejecutar en esta cuenta de almacenamiento.
Se creó el URI de SAS para el script con acceso de lectura.
Si el clúster está en su propia red virtual, asegúrese de que la red virtual permita el acceso al archivo o script de la cuenta de almacenamiento.
Use este URI de SAS para ejecutar la acción de script.
