Felügyelt identitások az Azure HDInsightban
A felügyelt identitás a Microsoft Entra-ban regisztrált identitás, amelynek hitelesítő adatait az Azure kezeli. Felügyelt identitások esetén nem kell szolgáltatásneveket regisztrálnia a Microsoft Entra ID-ban. Vagy megőrizheti a hitelesítő adatokat, például a tanúsítványokat.
A felügyelt identitások az Azure HDInsightban használhatók a Microsoft Entra Domain Services eléréséhez, vagy szükség esetén az Azure Data Lake Storage Gen2-ben tárolt fájlok eléréséhez.
A felügyelt identitások két típusa létezik: felhasználó által hozzárendelt és rendszer által hozzárendelt. Az Azure HDInsight csak a felhasználó által hozzárendelt felügyelt identitásokat támogatja. A HDInsight nem támogatja a rendszer által hozzárendelt felügyelt identitásokat. A felhasználó által hozzárendelt felügyelt identitás önálló Azure-erőforrásként jön létre, amelyet aztán hozzárendelhet egy vagy több Azure-szolgáltatáspéldányhoz. Ezzel szemben a rendszer által hozzárendelt felügyelt identitás a Microsoft Entra-azonosítóban jön létre, majd automatikusan engedélyezve van egy adott Azure-szolgáltatáspéldányon. A rendszer által hozzárendelt felügyelt identitás élettartama ezután annak a szolgáltatáspéldánynak az élettartamához lesz kötve, amelyen engedélyezve van.
HDInsight felügyelt identitás implementálása
Az Azure HDInsightban a felügyelt identitásokat csak a HDInsight szolgáltatás használható belső összetevőkhöz. Jelenleg nincs támogatott módszer hozzáférési jogkivonatok létrehozására a HDInsight-fürtcsomópontokon telepített felügyelt identitások használatával a külső szolgáltatások eléréséhez. Egyes Azure-szolgáltatások, például számítási virtuális gépek esetében a felügyelt identitások olyan végponttal vannak implementálva, amellyel hozzáférési jogkivonatokat szerezhet be. Ez a végpont jelenleg nem érhető el a HDInsight-csomópontokban.
Ha el kell indítania az alkalmazásokat, hogy ne helyezzen titkos kulcsokat/jelszavakat az elemzési feladatokba (például SCALA-feladatokba), a saját tanúsítványait szkriptműveletekkel terjesztheti a fürtcsomópontokra, majd ezt a tanúsítványt használva beszerezhet egy hozzáférési jogkivonatot (például az Azure KeyVault eléréséhez).
Felügyelt identitás létrehozása
A felügyelt identitások az alábbi módszerek bármelyikével hozhatók létre:
A felügyelt identitás konfigurálásának további lépései attól a forgatókönyvtől függenek, ahol a rendszer használni fogja.
Felügyelt identitásforgatókönyvek az Azure HDInsightban
A felügyelt identitások az Azure HDInsightban több forgatókönyvben is használhatók. Részletes beállítási és konfigurációs utasításokért tekintse meg a kapcsolódó dokumentumokat:
- Azure Data Lake Storage Gen2
- Enterprise Security Package
- Ügyfél által felügyelt kulcslemez titkosítása
A HDInsight automatikusan megújítja az ilyen helyzetekben használt felügyelt identitások tanúsítványait. Van azonban egy korlátozás, ha több különböző felügyelt identitást használnak a hosszú ideig futó fürtökhöz, előfordulhat, hogy a tanúsítványmegújítás nem a várt módon működik az összes felügyelt identitás esetében. A korlátozás miatt javasoljuk, hogy a fenti forgatókönyvek mindegyikéhez ugyanazt a felügyelt identitást használja.
Ha már létrehozott egy hosszú ideig futó fürtöt több különböző felügyelt identitással, és a következő problémák egyikébe ütközik:
- Az ESP-fürtökben a fürtszolgáltatások meghiúsulnak vagy felskálázhatók, és más műveletek hitelesítési hibákkal kezdenek meghiúsulni.
- Esp-fürtökben a Microsoft Entra Domain Services LDAPS-tanúsítványának módosításakor az LDAPS-tanúsítvány nem frissül automatikusan, ezért az LDAP szinkronizálása és vertikális felskálázása meghiúsul.
- Az ADLS Gen2 MSI-hozzáférése meghiúsul.
- A titkosítási kulcsok nem forgathatók a CMK-forgatókönyvben.
ezután ki kell osztania a fenti forgatókönyvekhez szükséges szerepköröket és engedélyeket a fürtben használt összes felügyelt identitáshoz. Ha például különböző felügyelt identitásokat használt az ADLS Gen2- és ESP-fürtökhöz, akkor mindkettőhöz hozzá kell rendelni a "Storage blobadatok tulajdonosa" és a "HDInsight Domain Services-közreműködő" szerepkört, hogy ne fusson be ezekbe a problémákba.
GYIK
Mi történik, ha a fürt létrehozása után törölöm a felügyelt identitást?
A fürt problémákba ütközik, ha szükség van a felügyelt identitásra. A fürt létrehozása után jelenleg nincs mód felügyelt identitás frissítésére vagy módosítására. Ezért azt javasoljuk, hogy győződjön meg arról, hogy a felügyelt identitás nem törlődik a fürt futásideje alatt. Vagy újra létrehozhatja a fürtöt, és hozzárendelhet egy új felügyelt identitást.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: