Udostępnij za pośrednictwem

Aktualizuj klucze dostępu do konta usługi Azure Storage w klastrze usługi HDInsight

  • Artykuł

Z tego artykułu dowiesz się, jak obracać klucze dostępu konta usługi Azure Storage dla kont magazynu podstawowego lub pomocniczego w usłudze Azure HDInsight.

Uwaga

Bezpośrednie obracanie klucza dostępu po stronie magazynu spowoduje, że klaster usługi HDInsight będzie niedostępny.

Wymagania wstępne

  • Użyjemy podejścia do rotacji podstawowych i pomocniczych kluczy dostępu konta magazynu w sposób zdumiewający, naprzemienne w celu zapewnienia dostępności klastra usługi HDInsight w całym procesie.

    Oto przykład użycia podstawowych i pomocniczych kluczy dostępu do magazynu oraz skonfigurowania na nich zasad rotacji:

    1. Użyj klucza dostępu1 na koncie magazynu podczas tworzenia klastra usługi HDInsight.
    2. Skonfiguruj zasady rotacji dla klucza dostępu2 każdego N dnia. W ramach tej aktualizacji rotacji usługa HDInsight może używać klucza dostępu 1, a następnie obracać klucz dostępu2 na koncie magazynu.
    3. Skonfiguruj zasady rotacji dla klucza dostępu1 co N/2 dzień. W ramach tej aktualizacji rotacji usługa HDInsight może używać klucza dostępu2, a następnie obracać klucz dostępu1 na koncie magazynu.
    4. W przypadku klucza dostępu podejścia1 zostanie obrócony N/2, 3N/2 itp. dni, a klucz dostępu2 zostanie obrócony N, 2N, 3N itp. dni.

  • Aby skonfigurować okresową rotację kluczy konta magazynu, zobacz Automatyzowanie rotacji wpisu tajnego.

Aktualizowanie kluczy dostępu do konta magazynu

Użyj akcji skryptu, aby zaktualizować klucze przy użyciu następujących zagadnień:

Właściwości Wartość
Identyfikator URI skryptu powłoki Bash https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Typy węzłów Head
Parametry ACCOUNTNAMEACCOUNTKEY -p (opcjonalnie)
  • ACCOUNTNAME to nazwa konta magazynu w klastrze usługi HDInsight.
  • ACCOUNTKEY to klucz dostępu dla elementu ACCOUNTNAME.
  • Element -p jest opcjonalny. Jeśli zostanie określony, klucz nie jest zaszyfrowany i jest przechowywany w pliku core-site.xml jako zwykły tekst.

Znane problemy

Powyższy skrypt aktualizuje bezpośrednio klucz dostępu tylko po stronie klastra i nie odnawia kopii po stronie dostawcy zasobów usługi HDInsight. W związku z tym akcja skryptu hostowana na koncie magazynu zakończy się niepowodzeniem po rotacji klucza dostępu.

Obejście:

  1. Użyj/utwórz inne konto magazynu w tym samym regionie.

  2. Przekaż skrypt, który chcesz uruchomić na tym koncie magazynu.

  3. Utworzono identyfikator URI sygnatury dostępu współdzielonego dla skryptu z dostępem do odczytu.

  4. Jeśli klaster znajduje się we własnej sieci wirtualnej, upewnij się, że sieć wirtualna zezwala na dostęp do pliku/skryptu konta magazynu.

  5. Użyj tego identyfikatora URI sygnatury dostępu współdzielonego, aby uruchomić akcję skryptu.

    Zrzut ekranu przedstawiający akcję skryptu.

Następne kroki