Udostępnij za pośrednictwem


Zarządzanie dostępem do klastra

Uwaga

Wycofamy usługę Azure HDInsight w usłudze AKS 31 stycznia 2025 r. Przed 31 stycznia 2025 r. należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure, aby uniknąć nagłego zakończenia obciążeń. Pozostałe klastry w ramach subskrypcji zostaną zatrzymane i usunięte z hosta.

Tylko podstawowa pomoc techniczna będzie dostępna do daty wycofania.

Ważne

Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje o tej konkretnej wersji zapoznawczej, zobacz Informacje o wersji zapoznawczej usługi Azure HDInsight w usłudze AKS. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie w usłudze AskHDInsight , aby uzyskać szczegółowe informacje i postępuj zgodnie z nami, aby uzyskać więcej aktualizacji w społeczności usługi Azure HDInsight.

Ten artykuł zawiera omówienie mechanizmów dostępnych do zarządzania dostępem do usługi HDInsight w pulach klastrów i klastrach usługi AKS. Opisano również sposób przypisywania uprawnień do użytkowników, grup, tożsamości zarządzanej przypisanej przez użytkownika i jednostek usługi w celu umożliwienia dostępu do płaszczyzny danych klastra.

Gdy użytkownik tworzy klaster, jest autoryzowany do wykonywania operacji z danymi dostępnymi dla klastra. Jednak aby umożliwić innym użytkownikom wykonywanie zapytań i zadań w klastrze, wymagany jest dostęp do płaszczyzny danych klastra.

Zarządzanie dostępem do puli klastra lub klastra (płaszczyzna sterowania)

Następujące role wbudowane usługi HDInsight w usługach AKS i Azure są dostępne do zarządzania klastrem w celu zarządzania pulą klastrów lub zasobami klastra.

Rola Opis
Właściciel Udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
Współautor Udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie umożliwia przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
Czytelnik Wyświetl wszystkie zasoby, ale nie pozwala na wprowadzanie żadnych zmian.
Administrator puli klastrów usługi HDInsight w usłudze AKS Udziela pełnego dostępu do zarządzania pulą klastrów, w tym możliwość usuwania puli klastrów.
Usługa HDInsight w usłudze AKS — administrator klastra Udziela pełnego dostępu do zarządzania klastrem, w tym możliwość usunięcia klastra.

Blok Kontrola dostępu (IAM) umożliwia zarządzanie dostępem do płaszczyzny kontroli i puli klastrów.

Zobacz: Udzielanie użytkownikowi dostępu do zasobów platformy Azure przy użyciu witryny Azure Portal — Azure RBAC.

Zarządzanie dostępem do klastra (płaszczyzna danych)

Ten dostęp umożliwia wykonywanie następujących czynności:

  • Wyświetlanie klastrów i zarządzanie zadaniami.
  • Wszystkie operacje monitorowania i zarządzania.
  • Aby włączyć automatyczne skalowanie i zaktualizować liczbę węzłów.

Dostęp jest ograniczony w następujących celach:

  • Usuwanie klastra.

Aby przypisać uprawnienia do użytkowników, grup, tożsamości zarządzanej przypisanej przez użytkownika i jednostek usługi w celu umożliwienia dostępu do płaszczyzny danych klastra, dostępne są następujące opcje:

Przy użyciu witryny Azure Portal

Jak udzielić dostępu

W poniższych krokach opisano, jak zapewnić dostęp do innych użytkowników, grup, tożsamości zarządzanej przypisanej przez użytkownika i jednostek usługi.

  1. Przejdź do bloku Dostęp do klastra w witrynie Azure Portal i kliknij przycisk Dodaj.

    Zrzut ekranu przedstawiający sposób zapewniania użytkownikowi dostępu do klastra.

  2. Wyszukaj tożsamość zarządzaną/tożsamość zarządzaną przypisaną przez użytkownika/jednostkę usługi, aby udzielić dostępu, a następnie kliknij przycisk Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania elementu członkowskiego na potrzeby dostępu do klastra.

Jak usunąć dostęp

  1. Wybierz członków do usunięcia, a następnie kliknij przycisk Usuń.

    Zrzut ekranu przedstawiający sposób usuwania dostępu do klastra dla członka.

Korzystanie z szablonu usługi ARM

Wymagania wstępne

  • Operacyjna usługa HDInsight w klastrze usługi AKS.
  • Szablon usługi ARM dla klastra.
  • Znajomość tworzenia i wdrażania szablonów usługi ARM.

Wykonaj kroki, aby zaktualizować authorizationProfile obiekt w clusterProfile sekcji w szablonie usługi ARM klastra.

  1. Na pasku wyszukiwania witryny Azure Portal wyszukaj tożsamość zarządzaną przypisaną przez użytkownika/grupę/jednostkę usługi.

    Zrzut ekranu przedstawiający sposób wyszukiwania identyfikatora obiektu.

  2. Skopiuj identyfikator obiektu lub identyfikator podmiotu zabezpieczeń.

    Zrzut ekranu przedstawiający sposób wyświetlania identyfikatora obiektu.

  3. Zmodyfikuj sekcję authorizationProfile w szablonie usługi ARM klastra.

    1. Dodaj tożsamość zarządzaną/tożsamość zarządzaną przypisaną przez użytkownika/identyfikator obiektu jednostki usługi lub identyfikator podmiotu zabezpieczeń w obszarze userIds właściwości .

    2. Dodaj identyfikator obiektu grup w obszarze groupIds właściwości .

      "authorizationProfile": {
      "userIds": [
                   "abcde-12345-fghij-67890",
                   "a1b1c1-12345-abcdefgh-12345"
               ],
      "groupIds": []
           },
      
  4. Wdróż zaktualizowany szablon usługi ARM, aby odzwierciedlić zmiany w klastrze. Dowiedz się, jak wdrożyć szablon usługi ARM.