SQL Server 大数据群集中的 HDFS 加密区域使用指南
适用范围:
SQL Server 2019 (15.x)
重要
Microsoft SQL Server 2019 大数据群集附加产品将停用。 对 SQL Server 2019 大数据群集的支持将于 2025 年 2 月 28 日结束。 具有软件保障的 SQL Server 2019 的所有现有用户都将在平台上获得完全支持,在此之前,该软件将继续通过 SQL Server 累积更新进行维护。 有关详细信息,请参阅公告博客文章和 Microsoft SQL Server 平台上的大数据选项。
本文介绍如何使用 SQL Server 大数据群集的静态加密功能来使用加密区域对 HDFS 文件夹进行加密。 它还介绍了 HDFS 密钥管理任务。
默认加密区域位于 /securelake,可供使用。 它是使用系统生成的名为 securelakekey 的 256 位密钥创建的。 此密钥可用于创建其他加密区域。
先决条件
- 集成了 Active Directory 的 SQL Server 大数据群集 CU8 及更高版本。
- 具有 Kubernetes 管理权限的 SQL Server 大数据群集用户,即 clusterAdmins 角色的成员。 有关详细信息,请参阅在 Active Directory 模式下管理大数据群集访问权限。
- 在 AD 模式下配置并记录到群集中的 Azure Data CLI (
azdata)。
使用所提供的系统管理的密钥创建加密区域
使用此 azdata 命令创建 HDFS 文件夹:
azdata bdc hdfs mkdir --path /user/zone/folder发出加密区域创建命令,以使用
securelakekey密钥来加密文件夹。azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
使用外部提供程序时管理加密区域
有关 SQL Server 大数据群集静态加密使用密钥版本的方式的详细信息,请参阅 HDFS 的主密钥轮换,获取有关如何使用外部密钥提供程序时管理加密区域的端到端示例。
创建自定义新密钥和加密区域
使用以下模式来创建 256 位密钥。
azdata bdc hdfs key create --name mydatalakekey使用用户密钥创建和加密新的 HDFS 路径。
azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
HDFS 密钥轮换和加密区域重新加密
此方法会创建新版本的
securelakekey,其中包含新的密钥材料。azdata hdfs bdc key roll --name securelakekey重新加密与上述密钥关联的加密区域。
azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
HDFS 密钥和加密区域监视
若要监视加密区域重新加密的状态,请使用以下命令:
azdata bdc hdfs encryption-zone status若要获取有关加密区域中的文件的加密信息,请使用以下命令:
azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv若要列出所有加密区域,请使用以下命令:
azdata bdc hdfs encryption-zone list若要列出 HDFS 的所有可用密钥,请使用以下命令:
azdata bdc hdfs key list若要创建 HDFS 加密的自定义密钥,请使用以下命令:
azdata hdfs key create --name key1 --size 256可能的大小为 128、192、256。 默认值为 256。
后续步骤
将 azdata 与大数据群集一起使用,请参阅 SQL Server 2019 大数据群集简介。
若要使用外部密钥提供程序进行静态加密,请参阅SQL Server 大数据群集 中的外部密钥提供程序。