Atualizar as chaves de acesso da conta de armazenamento do Azure no cluster do HDInsight
Neste artigo, você aprenderá a alternar as chaves de acesso da conta do Armazenamento do Azure para as contas de armazenamento primário ou secundário no Azure HDInsight.
Atenção
Girar diretamente a chave de acesso no lado do armazenamento tornará o cluster HDInsight inacessível.
Pré-requisitos
Vamos usar uma abordagem para girar as chaves de acesso primária e secundária da conta de armazenamento de forma escalonada e alternada para garantir que o cluster HDInsight esteja acessível durante todo o processo.
Veja um exemplo de como usar chaves de acesso de armazenamento primário e secundário e configurar políticas de rotação nelas:
- Use a tecla de acesso1 na conta de armazenamento ao criar o cluster HDInsight.
- Configure a política de rotação para a chave de acesso2 todos os N dias. Como parte dessa atualização de rotação, o HDInsight deve usar a chave de acesso1 e, em seguida, girar a chave de acesso2 na conta de armazenamento.
- Configure a política de rotação para a chave de acesso1 a cada N/2 dias. Como parte desta atualização de rotação, o HDInsight deve usar a chave de acesso2 e, em seguida, girar a chave de acesso1 na conta de armazenamento.
- Com a chave de acesso de aproximação1 será girada N/2, 3N/2 etc. dias e a chave de acesso2 será girada N, 2N, 3N etc. dias.
Para configurar a rotação periódica de chaves de conta de armazenamento, consulte Automatizar a rotação de um segredo.
Atualizar chaves de acesso à conta de armazenamento
Use a Ação de Script para atualizar as chaves com as seguintes considerações:
| Property | valor |
|---|---|
| Bash script URI | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Tipo(s) de nó(s) | Head |
| Parâmetros | ACCOUNTNAMEACCOUNTKEY -p (facultativo) |
ACCOUNTNAMEé o nome da conta de armazenamento no cluster HDInsight.ACCOUNTKEYé a chave de acesso paraACCOUNTNAME.-pé opcional. Se especificado, a chave não é criptografada e é armazenada no arquivo core-site.xml como texto sem formatação.
Problemas conhecidos
O script anterior atualiza diretamente a chave de acesso apenas no lado do cluster e não renova uma cópia no lado do provedor de Recursos do HDInsight. Portanto, a ação de script hospedada na conta de armazenamento falhará depois que a chave de acesso for girada.
Solução:
Use/crie outra conta de armazenamento na mesma região.
Carregue o script que deseja executar para esta conta de armazenamento.
URI SAS criado para o script com acesso de leitura.
Se o cluster estiver em sua própria rede virtual, verifique se a rede virtual permite o acesso ao arquivo/script da conta de armazenamento.
Use este URI SAS para executar a ação de script.
