الهويات المدارة في Azure HDInsight

الهوية المدارة هي هوية مسجلة في Microsoft Entra التي تتم إدارة بيانات اعتمادها بواسطة Azure. مع الهويات المدارة، لا تحتاج إلى تسجيل كيانات الخدمة في معرف Microsoft Entra. أو الاحتفاظ ببيانات الاعتماد مثل الشهادات.

يتم استخدام الهويات المدارة في Azure HDInsight للوصول إلى خدمات مجال Microsoft Entra أو الوصول إلى الملفات في Azure Data Lake Storage Gen2 عند الحاجة.

هناك نوعان من الهويات المُدارة: المُعيَّنة من قبل المستخدم والمخصصة للنظام. يدعم Azure HDInsight الهويات المدارة المعينة من قبل المستخدم فقط. لا يدعم HDInsight الهويات المدارة المعينة من قبل النظام. يتم إنشاء الهوية المدارة المعينة من قبل المستخدم كمورد Azure مستقل، والتي يمكنك تعيينها بعد ذلك إلى مثيل خدمة Azure واحد أو أكثر. في المقابل، يتم إنشاء هوية مدارة معينة من قبل النظام في معرف Microsoft Entra ثم تمكينها مباشرة على مثيل خدمة Azure معين تلقائيا. ثم يتم ربط عمر تلك الهوية المدارة المعينة من قبل النظام بعمر مثيل الخدمة الذي تم تمكينه عليه.

تطبيق الهوية المدارة في HDInsight

في Azure HDInsight، الهويات المدارة قابلة للاستخدام فقط من خلال خدمة HDInsight للمكونات الداخلية. لا يوجد حاليًا أي أسلوب معتمد لإنشاء رموز مميزة للوصول باستخدام الهويات المدارة المثبتة على عقد نظام مجموعة HDInsight للوصول إلى الخدمات الخارجية. بالنسبة لبعض خدمات Azure مثل حساب VMs، يتم تطبيق الهويات المدارة باستخدام نقطة نهاية يمكنك استخدامها للحصول على رموز مميزة للوصول. نقطة النهاية هذه غير متوفرة حاليًا في عقد HDInsight.

إذا كنت بحاجة إلى نظام تمهيد تشغيل الكمبيوتر للتطبيقات لتجنب وضع أسرار/كلمات المرور في وظائف التحليلات (مثل وظائف SCALA)، يمكنك توزيع الشهادات الخاصة بك إلى عقد أنظمة المجموعات باستخدام إجراءات البرنامج النصي ومن ثم استخدام تلك الشهادة للحصول على رمز مميز للوصول (على سبيل المثال للوصول إلى Azure KeyVault).

إنشاء هوية مدارة

يمكن إنشاء الهويات المدارة بأي من الطرق التالية:

• مدخل Microsoft Azure
• Azure PowerShell
• Azure Resource Manager
• Azure CLI

تعتمد الخطوات المتبقية لتكوين الهوية المدارة على السيناريو الذي سيتم استخدامها فيه.

سيناريوهات الهوية المدارة في Azure HDInsight

يتم استخدام الهويات المدارة في Azure HDInsight في سيناريوهات متعددة. راجع المستندات ذات الصلة للحصول على إرشادات الإعداد والتكوين التفصيلية:

• Azure Data Lake Storage Gen2
• حزمة أمان المؤسسات
• تشفير القرص باستخدام المفاتيح التي يديرها العملاء

ستقوم HDInsight تلقائيًا بتجديد الشهادات للهويات المدارة التي تستخدمها لهذه السيناريوهات. ومع ذلك، هناك قيود عند استخدام العديد من الهويات المُدارة المختلفة لأنظمة المجموعات طويلة الأمد، وقد لا يعمل تجديد الشهادة كما هو متوقع لجميع الهويات المُدارة. نظرا لهذا القيد، نوصي باستخدام نفس الهوية المدارة لجميع السيناريوهات المذكورة أعلاه.

إذا كنت قد أنشأت بالفعل نظام مجموعة طويل الأمد بهويات مُدارة متعددة ومختلفة وتواجه إحدى هذه المشكلات:

• في أنظمة مجموعات ESP، تبدأ خدمات نظام المجموعة بالفشل أو توسيع نطاقها وتبدأ العمليات الأخرى بالفشل مع أخطاء المصادقة.
• في مجموعات ESP، عند تغيير شهادة Microsoft Entra Domain Services LDAPS، لا يتم تحديث شهادة LDAPS تلقائيا وبالتالي تبدأ مزامنة LDAP وتكبير الحجم في الفشل.
• بدء فشل وصول MSI إلى ADLS Gen2.
• لا يمكن تدوير مفاتيح التشفير في سيناريو CMK.

ثم يجب تعيين الأدوار والأذونات المطلوبة للسيناريوهات المذكورة أعلاه لجميع تلك الهويات المدارة المستخدمة في نظام المجموعة. على سبيل المثال، إذا استخدمت هويات مُدارة مختلفة لأنظمة مجموعات ADLS Gen2 وESP، فيجب أن يكون لكل منهما دور "مالك بيانات تخزين البيانات الثنائية الكبيرة" و"مساهم خدمات مجال HDInsight" المعينين لهما لتجنب الدخول في هذه المشكلات.

الأسئلة المتداولة

ماذا يحدث إذا حذفت الهوية المدارة بعد إنشاء نظام المجموعة؟

ستحدث مشكلات في نظام المجموعة عند الحاجة إلى الهوية المدارة. لا توجد حاليًا طريقة لتحديث هوية مدارة أو تغييرها بعد إنشاء نظام المجموعة. لذلك نوصي بالتأكد من عدم حذف الهوية المدارة أثناء وقت تشغيل نظام المجموعة. أو يمكنك إعادة إنشاء نظام المجموعةوتعيين هوية مدارة جديدة.

الخطوات التالية

• ماذا يُقصد بالهويات المُدارة لموارد Azure؟