Bagikan melalui

Memperbarui kunci akses akun Azure Storage di kluster Azure HDInsight

  • Artikel

Dalam artikel ini, Anda mempelajari cara memutar kunci akses akun Azure Storage untuk akun penyimpanan utama atau sekunder di Azure HDInsight.

Perhatian

Memutar langsung tombol akses di sisi penyimpanan akan membuat cluster HDInsight tidak dapat diakses.

Prasyarat

  • Kita akan menggunakan pendekatan untuk memutar kunci akses primer dan sekunder akun penyimpanan dengan cara yang terhuyung-muluk dan bergantian untuk memastikan kluster HDInsight dapat diakses sepanjang proses.

    Berikut adalah contoh cara menggunakan kunci akses penyimpanan primer dan sekunder dan menyiapkan kebijakan rotasi pada kunci tersebut:

    1. Gunakan akses key1 pada akun penyimpanan saat membuat kluster HDInsight.
    2. Siapkan kebijakan rotasi untuk kunci akses2 setiap N hari. Sebagai bagian dari pembaruan rotasi ini, HDInsight untuk menggunakan kunci akses1 lalu putar kunci akses2 pada akun penyimpanan.
    3. Siapkan kebijakan rotasi untuk kunci akses1 setiap N/2 hari. Sebagai bagian dari pembaruan rotasi ini, HDInsight untuk menggunakan kunci akses2 lalu putar kunci akses1 pada akun penyimpanan.
    4. Dengan kunci akses pendekatan1 akan diputar N/2, 3N/2 dll. hari dan kunci akses2 akan diputar N, 2N, 3N dll. hari.

  • Untuk menyiapkan rotasi berkala kunci akun penyimpanan, lihat Mengotomatiskan rotasi rahasia.

Memperbarui kunci akses akun penyimpanan

Menggunakan Tindakan Skrip untuk menerapkan perubahan dengan pertimbangan berikut ini:

Properti Nilai
URI skrip bash https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Jenis node Head
Parameter ACCOUNTNAME ACCOUNTKEY -p (opsional)
  • ACCOUNTNAME adalah nama akun penyimpanan di kluster HDInsight.
  • ACCOUNTKEY adalah kunci akses untuk ACCOUNTNAME.
  • -p bersifat opsional. Jika ditentukan, kunci tidak dienkripsi dan disimpan dalam file core-site.xml sebagai teks biasa.

Masalah umum

Skrip sebelumnya secara langsung memperbarui kunci akses di sisi kluster saja dan tidak memperbarui salinan di sisi penyedia Sumber Daya HDInsight. Oleh karena itu, tindakan skrip yang dihosting di akun penyimpanan akan gagal setelah kunci akses diputar.

Solusi:

  1. Gunakan/buat akun penyimpanan lain di wilayah yang sama.

  2. Unggah skrip yang ingin Anda jalankan ke akun penyimpanan ini.

  3. Membuat URI SAS untuk skrip dengan akses baca.

  4. Jika kluster Anda berada di jaringan virtual Anda sendiri, pastikan jaringan virtual Anda mengizinkan akses ke file/skrip akun penyimpanan.

  5. Gunakan URI SAS ini untuk menjalankan tindakan skrip.

    Cuplikan layar memperlihatkan tindakan skrip.

Langkah berikutnya