Spravované identity ve službě Azure HDInsight

  • Článek

Spravovaná identita je identita registrovaná v Microsoft Entra, jejíž přihlašovací údaje spravuje Azure. U spravovaných identit nemusíte registrovat instanční objekty v Microsoft Entra ID. Nebo udržujte přihlašovací údaje, jako jsou certifikáty.

Spravované identity se v Azure HDInsight používají pro přístup ke službám Microsoft Entra Domain Services nebo k souborům v Azure Data Lake Storage Gen2 v případě potřeby.

Existují dva typy spravovaných identit: přiřazené uživatelem a přiřazené systémem. Azure HDInsight podporuje pouze spravované identity přiřazené uživatelem. HDInsight nepodporuje spravované identity přiřazené systémem. Spravovaná identita přiřazená uživatelem se vytvoří jako samostatný prostředek Azure, který pak můžete přiřadit k jedné nebo více instancím služby Azure. Naproti tomu spravovaná identita přiřazená systémem se vytvoří v Microsoft Entra ID a pak se automaticky povolí přímo na konkrétní instanci služby Azure. Životnost spravované identity přiřazené systémem je pak svázaná s životností instance služby, na které je povolená.

Implementace spravované identity SLUŽBY HDInsight

Ve službě Azure HDInsight jsou spravované identity použitelné pouze službou HDInsight pro interní komponenty. V současné době neexistuje žádná podporovaná metoda generování přístupových tokenů pomocí spravovaných identit nainstalovaných v uzlech clusteru HDInsight pro přístup k externím službám. U některých služeb Azure, jako jsou výpočetní virtuální počítače, se spravované identity implementují s koncovým bodem, který můžete použít k získání přístupových tokenů. Tento koncový bod v současné době není k dispozici v uzlech HDInsight.

Pokud potřebujete své aplikace spustit, abyste se vyhnuli vkládání tajných kódů a hesel do analytických úloh (např. úloh SCALA), můžete distribuovat vlastní certifikáty do uzlů clusteru pomocí akcí skriptu a pak tento certifikát použít k získání přístupového tokenu (například pro přístup ke službě Azure KeyVault).

Vytvoření spravované identity

Spravované identity je možné vytvořit pomocí některé z následujících metod:

Zbývající kroky pro konfiguraci spravované identity závisí na scénáři, ve kterém se bude používat.

Scénáře spravované identity ve službě Azure HDInsight

Spravované identity se ve službě Azure HDInsight používají ve více scénářích. Podrobné pokyny k nastavení a konfiguraci najdete v souvisejících dokumentech:

HDInsight automaticky prodlouží certifikáty pro spravované identity, které v těchto scénářích používáte. Existuje však omezení, pokud se pro dlouhotrvající clustery používá více různých spravovaných identit, obnovení certifikátu nemusí fungovat podle očekávání pro všechny spravované identity. Kvůli tomuto omezení doporučujeme použít stejnou spravovanou identitu pro všechny výše uvedené scénáře.

Pokud jste už vytvořili dlouhotrvající cluster s několika různými spravovanými identitami a dochází k některému z těchto problémů:

  • Vclusterch
  • Při změně certifikátu LDAPS služby Microsoft Entra Domain Services v clusterech ESP se certifikát LDAPS automaticky neaktualizuje, a proto se nezdaří synchronizace a škálování protokolu LDAP.
  • Přístup MSI k ADLS Gen2 selhává.
  • Šifrovací klíče nelze ve scénáři CMK otočit.

potom byste měli přiřadit požadované role a oprávnění pro výše uvedené scénáře všem spravovaným identitám používaným v clusteru. Pokud jste například použili různé spravované identity pro clustery ADLS Gen2 a ESP, měli byste mít přiřazené role Vlastník dat objektů blob úložiště a Přispěvatel služby HDInsight Domain Services, aby nedocházelo k těmto problémům.

Často kladené dotazy

Co se stane, když po vytvoření clusteru odstraním spravovanou identitu?

Váš cluster narazí na problémy, když je potřeba spravovaná identita. Po vytvoření clusteru se momentálně nedá aktualizovat ani změnit spravovaná identita. Doporučujeme proto zajistit, aby spravovaná identita nebyla během modulu runtime clusteru odstraněna. Nebo můžete cluster znovu vytvořit a přiřadit novou spravovanou identitu.

Další kroky