Guía de uso de zonas de cifrado de HDFS en Clústeres de macrodatos de SQL Server
Se aplica a: 
SQL Server 2019 (15.x)
Importante
El complemento Clústeres de macrodatos de Microsoft SQL Server 2019 se va a retirar. La compatibilidad con Clústeres de macrodatos de SQL Server 2019 finalizará el 28 de febrero de 2025. Todos los usuarios existentes de SQL Server 2019 con Software Assurance serán totalmente compatibles con la plataforma, y el software se seguirá conservando a través de actualizaciones acumulativas de SQL Server hasta ese momento. Para más información, consulte la entrada de blog sobre el anuncio y Opciones de macrodatos en la plataforma Microsoft SQL Server.
Este artículo muestra cómo usar las funcionalidades de cifrado en reposo de Clústeres de macrodatos de SQL Server para cifrar carpetas de HDFS mediante las zonas de cifrado. También se describen las tareas de administración de claves de HDFS.
Una zona de cifrado predeterminada, en /securelake, está lista para usarse. Se creó con una clave de 256 bits generada por el sistema denominada securelakekey. Esta clave se puede usar para crear otras zonas de cifrado.
Requisitos previos
- Clústeres de macrodatos de SQL Server CU8 (y versiones posteriores) con integración de Active Directory.
- Usuario de Clústeres de macrodatos de SQL Server con privilegios administrativos de Kubernetes (miembro del rol clusterAdmins). Para obtener más información, consulte Administración del acceso al clúster de macrodatos en el modo de Active Directory.
- CLI de datos de Azure (
azdata) configurada y conectada en el clúster en el modo de AD.
Creación de una zona de cifrado con la clave administrada por el sistema proporcionada
Cree la carpeta HDFS mediante este comando azdata:
azdata bdc hdfs mkdir --path /user/zone/folderEmita el comando de creación de zonas de cifrado para cifrar la carpeta mediante la clave
securelakekey.azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
Administración de zonas de cifrado al usar proveedores externos
Para obtener más información sobre cómo se utilizan las versiones de las claves en el cifrado en reposo de los Clústeres de macrodatos de SQL Server, consulte Rotación de la clave principal para HDFS para obtener un ejemplo completo de cómo administrar las zonas de cifrado cuando se utilizan proveedores de claves externos.
Creación de una zona de cifrado y una clave
Use el patrón siguiente para crear una clave de 256 bits.
azdata bdc hdfs key create --name mydatalakekeyCree y cifre una ruta de acceso de HDFS nueva con la clave del usuario.
azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
Recifrado de la zona de cifrado y rotación de claves de HDFS
Este enfoque crea una nueva versión de la clave
securelakekeycon nuevo material de clave.azdata hdfs bdc key roll --name securelakekeyVuelva a cifrar la zona de cifrado asociada con la clave anterior.
azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
Supervisión de la clave y la zona de cifrado de HDFS
Para supervisar el estado de un nuevo cifrado de zona de cifrado, use este comando:
azdata bdc hdfs encryption-zone statusPara obtener la información de cifrado de un archivo en una zona de cifrado, use este comando:
azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csvPara enumerar todas las zonas de cifrado, use este comando:
azdata bdc hdfs encryption-zone listPara enumerar todas las claves disponibles para HDFS, use este comando:
azdata bdc hdfs key listPara crear una clave personalizada para el cifrado de HDFS, use este comando:
azdata hdfs key create --name key1 --size 256Los tamaños posibles son 128, 192 256. El valor predeterminado es 256.
Pasos siguientes
Use azdata con los Clústeres de macrodatos, vea Presentación de Clústeres de macrodatos de SQL Server 2019.
Si quiere usar un proveedor de claves externo para el cifrado en reposo, vea Proveedores de claves externos en Clústeres de macrodatos de SQL Server.