Condividi tramite

Aggiornare le chiavi di accesso dell'account di archiviazione di Azure nel cluster HDInsight

  • Articolo

Questo articolo illustra come ruotare le chiavi di accesso dell'account di Archiviazione di Azure per gli account di archiviazione primari o secondari in Azure HDInsight.

Attenzione

Se si esegue la rotazione diretta della chiave di accesso sul lato di archiviazione, il cluster HDInsight non sarà accessibile.

Prerequisiti

  • Verrà usato un approccio per ruotare le chiavi di accesso primarie e secondarie dell'account di archiviazione in modo sfalsato e alternato per garantire che il cluster HDInsight sia accessibile durante l'intero processo.

    Ecco un esempio di come usare le chiavi di accesso alle risorse di archiviazione primarie e secondarie e configurare i criteri di rotazione su di essi:

    1. Usare la chiave di accesso 1 nell'account di archiviazione durante la creazione del cluster HDInsight.
    2. Configurare i criteri di rotazione per la chiave di accesso 2 ogni N giorno. Nell'ambito di questo aggiornamento di rotazione, HDInsight usa la chiave di accesso 1 e quindi ruota la chiave di accesso 2 nell'account di archiviazione.
    3. Configurare i criteri di rotazione per la chiave di accesso 1 ogni N/2 giorno. Nell'ambito di questo aggiornamento di rotazione, HDInsight usa la chiave di accesso 2 e quindi ruota la chiave di accesso 1 nell'account di archiviazione.
    4. Con questo approccio la chiave di accesso 1 verrà ruotata ogni N/2, 3N/2 e così via giorni e la chiave di accesso 2 verrà ruotata ogni N, 2N, 3N e così via giorni.

  • Per configurare la rotazione periodica delle chiavi dell'account di archiviazione, vedere Automatizzare la rotazione di un segreto.

Aggiornare le chiavi di accesso dell'account di archiviazione

Usare Azione script per aggiornare le chiavi con le considerazioni seguenti:

Proprietà valore
URI script Bash https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Tipo/i di nodo Head
Parametri ACCOUNTNAME ACCOUNTKEY -p (facoltativo)
  • ACCOUNTNAME è il nome dell'account di archiviazione nel cluster HDInsight.
  • ACCOUNTKEY è la chiave di accesso per ACCOUNTNAME.
  • -p è facoltativo. Se questo parametro viene specificato, la chiave non viene crittografata e viene archiviata nel file core-site.xml come testo normale.

Problemi noti

Lo script precedente aggiorna direttamente la chiave di accesso solo sul lato cluster e non rinnova una copia sul lato provider di risorse HDInsight. Pertanto, l'azione script ospitata nell'account di archiviazione avrà esito negativo dopo la rotazione della chiave di accesso.

Soluzione alternativa:

  1. Usare/creare un altro account di archiviazione nella stessa area.

  2. Caricare lo script da eseguire in questo account di archiviazione.

  3. L'URI di firma di accesso condiviso per lo script con accesso in lettura è stato creato.

  4. Se il cluster si trova nella propria rete virtuale, accertarsi che sia consentito l'accesso al file/script dell'account di archiviazione.

  5. Usare questo URI di firma di accesso condiviso per eseguire l'azione dello script.

    Screenshot che mostra l'azione dello script.

Passaggi successivi