Aktualizace přístupových klíčů účtu úložiště Azure v clusteru HDInsight
V tomto článku se dozvíte, jak otočit přístupové klíče účtu služby Azure Storage pro primární nebo sekundární účty úložiště ve službě Azure HDInsight.
Upozornění
Přímá obměně přístupového klíče na straně úložiště způsobí nedostupný cluster HDInsight.
Požadavky
K obměně primárních a sekundárních přístupových klíčů účtu úložiště použijeme střídavě, abychom zajistili přístupnost clusteru HDInsight v celém procesu.
Tady je příklad použití primárních a sekundárních přístupových klíčů k úložišti a nastavení zásad obměnu:
- Při vytváření clusteru HDInsight použijte přístupový klíč1 v účtu úložiště.
- Nastavte zásady obměně pro přístupový klíč2 každý den. V rámci této aktualizace obměna hdInsight použije přístupový klíč1 a pak otočí přístupový klíč 2 v účtu úložiště.
- Nastavte zásady obměně pro přístupový klíč 1 každý N/2 den. V rámci této aktualizace obměna služba HDInsight použije přístupový klíč2 a pak otočí přístupový klíč1 v účtu úložiště.
- S přístupovým klíčem 1 se otočí N/2, 3N/2 atd. dny a přístupový klíč2 se otočí N, 2N, 3N atd.
Pokud chcete nastavit pravidelnou obměnu klíčů účtu úložiště, přečtěte si téma Automatizace obměně tajného kódu.
Aktualizace přístupových klíčů účtu úložiště
Pomocí akce skriptu aktualizujte klíče s následujícími aspekty:
| Vlastnost | Hodnota |
|---|---|
| Identifikátor URI skriptu Bash | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Typy uzlů | Head |
| Parametry | ACCOUNTNAMEACCOUNTKEY -p (volitelné) |
ACCOUNTNAMEje název účtu úložiště v clusteru HDInsight.ACCOUNTKEYje přístupový klíč proACCOUNTNAME.-pje volitelné. Pokud je zadaný, klíč není šifrovaný a je uložený v souboru core-site.xml jako prostý text.
Známé problémy
Předchozí skript přímo aktualizuje přístupový klíč pouze na straně clusteru a neprodlouží kopii na straně poskytovatele prostředků HDInsight. Akce skriptu hostovaná v účtu úložiště proto po obměně přístupového klíče selže.
Alternativní řešení: Použití identifikátorů URI SAS pro akce skriptů nebo veřejně přístupné skripty
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro