Memperbarui kunci akses akun Azure Storage di kluster Azure HDInsight
Dalam artikel ini, Anda mempelajari cara memutar kunci akses akun Azure Storage untuk akun penyimpanan utama atau sekunder di Azure HDInsight.
Perhatian
Memutar langsung tombol akses di sisi penyimpanan akan membuat cluster HDInsight tidak dapat diakses.
Prasyarat
Kita akan menggunakan pendekatan untuk memutar kunci akses primer dan sekunder dari akun penyimpanan dengan cara yang terhuyung-huyung dan bergantian untuk memastikan kluster HDInsight dapat diakses sepanjang proses.
Berikut adalah contoh cara menggunakan kunci akses penyimpanan primer dan sekunder dan menyiapkan kebijakan rotasi pada kunci tersebut:
- Gunakan akses key1 pada akun penyimpanan saat membuat kluster HDInsight.
- Siapkan kebijakan rotasi untuk akses key2 setiap N hari. Sebagai bagian dari pembaruan rotasi ini, HDInsight untuk menggunakan kunci akses1 lalu putar kunci akses2 pada akun penyimpanan.
- Siapkan kebijakan rotasi untuk kunci akses1 setiap N/2 hari. Sebagai bagian dari pembaruan rotasi ini, HDInsight untuk menggunakan kunci akses2 lalu putar kunci akses1 pada akun penyimpanan.
- Dengan pendekatan akses key1 akan diputar N/2, 3N/2 dll. hari dan kunci akses2 akan diputar N, 2N, 3N dll. Hari.
Untuk menyiapkan rotasi berkala kunci akun penyimpanan, lihat Mengotomatiskan rotasi rahasia.
Memperbarui kunci akses akun penyimpanan
Menggunakan Tindakan Skrip untuk menerapkan perubahan dengan pertimbangan berikut ini:
| Properti | Nilai |
|---|---|
| URI skrip bash | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Jenis node | Kepala |
| Parameter | ACCOUNTNAMEACCOUNTKEY-p (opsional) |
ACCOUNTNAMEadalah nama akun penyimpanan di kluster HDInsight.ACCOUNTKEYadalah kunci akses untukACCOUNTNAME.-pbersifat opsional. Jika ditentukan, kunci tidak dienkripsi dan disimpan dalam file core-site.xml sebagai teks biasa.
Masalah yang diketahui
Skrip sebelumnya secara langsung memperbarui kunci akses di sisi kluster saja dan tidak memperbarui salinan di sisi penyedia Sumber Daya HDInsight. Oleh karena itu, tindakan skrip yang dihosting di akun penyimpanan akan gagal setelah kunci akses diputar.
Solusi: Gunakan URI SAS untuk tindakan skrip atau membuat skrip dapat digunakan secara publik.