管理群集访问
重要
AKS 上的 Azure HDInsight 已于 2025 年 1 月 31 日停用。 了解此公告的详细信息。
需要将工作负荷迁移到 Microsoft Fabric 或等效的 Azure 产品,以避免工作负荷突然终止。
重要
此功能目前以预览版提供。 Microsoft Azure 预览版补充使用条款 包括适用于测试版、预览版或尚未正式发布的 Azure 功能的更多法律条款。 有关此特定预览版的信息,请参阅 Azure HDInsight on AKS 预览信息 。 有关问题或功能建议,请在 AskHDInsight 提交请求,附上详细信息,并关注我们以获取有关 Azure HDInsight 社区 的更多更新。
本文概述了可用于管理 AKS 群集池和群集上的 HDInsight 访问权限的机制。 它还介绍如何为用户、组、用户分配的托管标识和服务主体分配权限,以启用对群集数据平面的访问。
当用户创建群集时,该用户有权使用群集可访问的数据执行作。 但是,若要允许其他用户在群集上执行查询和作业,需要访问群集数据平面。
管理群集池或群集访问(控制平面)
AKS 和 Azure 内置角色上的以下 HDInsight 可用于群集管理来管理群集池或群集资源。
| 角色 | 描述 |
|---|---|
| 所有者 | 授予管理所有资源的完全访问权限,包括分配 Azure RBAC 中的角色的能力。 |
| 贡献者 | 授予完全访问权限以管理所有资源,但不允许在 Azure RBAC 中分配角色。 |
| 读者 | 查看所有资源,但不允许进行任何更改。 |
| AKS 群集池管理员上的 HDInsight | 授予管理群集池的完全访问权限,包括删除群集池的功能。 |
| AKS 集群上的 HDInsight 管理员 | 授予管理群集的完整访问权限,包括删除群集的功能。 |
可以使用访问控制(IAM)边栏选项卡来管理群集池和控制平面的访问。
请参阅:使用 Azure 门户授予用户对 Azure 资源的访问权限 - Azure RBAC。
管理集群访问(数据平面)
通过此访问权限,可以执行以下作:
- 查看集群和管理作业。
- 所有监视和管理操作。
- 启用自动缩放并更新节点数量。
访问权限限制为:
- 群集删除。
若要为用户、组、用户分配的托管标识和服务主体分配权限,以便访问群集的数据平面,可以使用以下选项:
使用 Azure 门户
如何授予访问权限
以下步骤介绍如何提供对其他用户、组、用户分配的托管标识和服务主体的访问权限。
在 Azure 门户中导航到你的群集的 访问刀片,然后单击 添加。
搜索用户/组/用户指派的托管标识/服务主体以授予访问权限,然后单击 添加。
如何删除访问权限
选择要删除的成员,然后单击 删除。
使用 ARM 模板
先决条件
- 在 AKS 群集上正常运行的 HDInsight。
- 适用于集群的 ARM 模板。
- 熟练掌握 ARM 模板编写和部署。
按照步骤更新群集 ARM 模板中 clusterProfile 节下的 authorizationProfile 对象。
在 Azure 门户搜索栏中,搜索用户/组/用户分配的托管标识/服务主体。
复制 对象 ID 或 主体 ID。
修改群集 ARM 模板中的
authorizationProfile部分。在
userIds属性中添加用户/用户分配的托管标识/服务主体对象 ID 或主体 ID。在
groupIds属性下添加组对象 ID。"authorizationProfile": { "userIds": [ "abcde-12345-fghij-67890", "a1b1c1-12345-abcdefgh-12345" ], "groupIds": [] },
部署更新的 ARM 模板以反映群集中的更改。 了解如何 部署 ARM 模板。