Поделиться через

Обновление ключей доступа к учетной записи хранения Azure в кластере HDInsight

  • Статья

В этой статье вы узнаете, как повернуть ключи доступа к учетной записи служба хранилища Azure для основных или вторичных учетных записей хранения в Azure HDInsight.

Внимание

Непосредственная смена ключа доступа на стороне хранилища сделает кластер HDInsight недоступным.

Необходимые компоненты

  • Мы будем использовать подход для смены первичных и вторичных ключей доступа учетной записи хранения в ошеломленном режиме, чтобы обеспечить доступность кластера HDInsight во всем процессе.

    Ниже приведен пример использования ключей доступа к основному и вторичному хранилищу и настройке политик поворота на них:

    1. При создании кластера HDInsight в учетной записи хранения используйте ключ доступа1.
    2. Настройте политику поворота для ключа доступа2 каждый день N. В рамках этого обновления поворота HDInsight использует ключ доступа 1, а затем смените ключ доступа 2 в учетной записи хранения.
    3. Настройте политику поворота для ключа доступа1 каждые N/2 дня. В рамках этого обновления поворота HDInsight использует ключ доступа 2, а затем смените ключ доступа1 в учетной записи хранения.
    4. С помощью ключа доступа к подходу ключ 1 будет поворачиваться N/2, 3N/2 и т. д., а ключ доступа 2 будет поворачиваться N, 2N, 3N и т. д. дни.

  • Сведения о периодической смене ключей учетной записи хранения см. в статье "Автоматизация смены секрета".

Обновление ключей доступа к учетной записи хранения

Используйте действие скрипта, чтобы обновить ключи, приняв во внимание следующие соображения.

Свойство Значение
URI bash-скрипта https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Типы узлов Head
Параметры ACCOUNTNAME ACCOUNTKEY -p (необязательно)
  • ACCOUNTNAME — имя учетной записи хранения в кластере HDInsight.
  • ACCOUNTKEY — ключ доступа для ACCOUNTNAME.
  • -p является необязательным. Если этот параметр указан, ключ не шифруется и хранится в файле core-site.xml как обычный текст.

Известные проблемы

Приведенный выше скрипт напрямую обновляет ключ доступа только на стороне кластера и не обновляет копию на стороне поставщика ресурсов HDInsight. Поэтому действие скрипта, размещенное в учетной записи хранения, завершится ошибкой после смены ключа доступа.

Решение:

  1. Использование и создание другой учетной записи хранения в том же регионе.

  2. Отправьте скрипт, который вы хотите запустить в эту учетную запись хранения.

  3. Созданный URI SAS для скрипта с доступом на чтение.

  4. Если кластер находится в собственной виртуальной сети, убедитесь, что виртуальная сеть разрешает доступ к файлу или скрипту учетной записи хранения.

  5. Используйте этот универсальный код ресурса (URI) SAS для выполнения действия скрипта.

    Снимок экрана: действие скрипта.

Следующие шаги