Azure HDInsight의 관리 ID

관리 ID는 Azure에서 자격 증명을 관리하는 Microsoft Entra에 등록된 ID입니다. 관리 ID를 사용하면 Microsoft Entra ID에 서비스 주체를 등록할 필요가 없습니다. 또는 인증서와 같은 자격 증명을 유지 관리합니다.

관리 ID는 필요한 경우 Azure HDInsight에서 Microsoft Entra Do기본 Services에 액세스하거나 Azure Data Lake Storage Gen2의 파일에 액세스하는 데 사용됩니다.

관리 ID는 두 가지 형식이 있습니다:시스템 할당과 사용자 할당. Azure HDInsight는 사용자 할당 관리 ID만 지원합니다. HDInsight는 시스템 할당 관리 ID를 지원하지 않습니다. 사용자 할당 관리 ID는 독립 실행형 Azure 리소스로 만들어지며, 이 리소스는 하나 이상의 Azure 서비스 인스턴스에 할당할 수 있습니다. 반면, 시스템 할당 관리 ID는 Microsoft Entra ID에서 만든 다음 특정 Azure 서비스 인스턴스에서 직접 사용하도록 설정됩니다. 그런 다음 시스템 할당 관리 ID의 수명은 사용하도록 설정된 서비스 인스턴스의 수명과 연결됩니다.

HDInsight 관리 ID 구현

Azure HDInsight에서 관리 ID는 내부 구성 요소에 대해 HDInsight 서비스에서만 사용할 수 있습니다. 현재 외부 서비스에 액세스하기 위해 HDInsight 클러스터 노드에 설치된 관리 ID를 사용하여 액세스 토큰을 생성하는 데 지원되는 방법은 없습니다. 컴퓨팅 VM과 같은 일부 Azure 서비스의 경우 관리 ID는 액세스 토큰을 획득하는 데 사용할 수 있는 엔드포인트를 사용하여 구현됩니다. 이 엔드포인트는 현재 HDInsight 노드에서 사용할 수 없습니다.

분석 작업(예: SCALA 작업)에 비밀/암호를 넣지 않도록 애플리케이션을 부트스트랩해야 하는 경우 스크립트 작업을 사용하여 클러스터 노드에 고유한 인증서를 배포한 다음, 해당 인증서를 사용하여 액세스 토큰(예: Azure KeyVault에 액세스)을 획득할 수 있습니다.

관리 ID 만들기

다음 방법 중 어떤 방법으로든 관리 ID를 만들 수 있습니다.

• Azure Portal
• Azure PowerShell
• Azure Resource Manager
• Azure CLI

관리 ID를 구성하기 위한 다시 기본 단계는 사용되는 시나리오에 따라 달라집니다.

Azure HDInsight에서 관리 ID 시나리오

관리 ID는 여러 시나리오에서 Azure HDInsight에서 사용됩니다. 자세한 설정 및 구성 지침은 관련 문서를 참조하세요.

• Azure Data Lake Storage Gen2
• Enterprise Security Package
• 고객 관리형 키 디스크 암호화

HDInsight는 이러한 시나리오에 사용하는 관리 ID에 대한 인증서를 자동으로 갱신합니다. 그러나 장기 실행 클러스터에 여러 관리 ID를 사용하는 경우 인증서 갱신이 모든 관리 ID에 대해 예상대로 작동하지 않을 수 있습니다. 이러한 제한으로 인해 위의 모든 시나리오에 대해 동일한 관리 ID를 사용하는 것이 좋습니다.

여러 관리 ID가 있는 장기 실행 클러스터를 이미 만들었으며 다음 문제 중 하나로 실행 중인 경우:

• ESP 클러스터에서 클러스터 서비스는 실패하거나 확장하기 시작하고 다른 작업은 인증 오류로 실패하기 시작합니다.
• ESP 클러스터에서 Microsoft Entra Do기본 Services LDAPS 인증서를 변경할 때 LDAPS 인증서가 자동으로 업데이트되지 않으므로 LDAP 동기화 및 강화가 실패하기 시작합니다.
• ADLS Gen2에 대한 MSI 액세스가 실패하기 시작합니다.
• CMK 시나리오에서는 암호화 키를 회전할 수 없습니다.

그런 다음, 위의 시나리오에 필요한 역할 및 권한을 클러스터에서 사용되는 모든 관리 ID에 할당해야 합니다. 예를 들어 ADLS Gen2 및 ESP 클러스터에 서로 다른 관리 ID를 사용한 경우 두 클러스터 모두 "Storage Blob 데이터 소유자" 및 "HDInsight Do기본 Services 기여자" 역할이 할당되어 이러한 문제가 발생하지 않도록 해야 합니다.

FAQ

클러스터를 만든 후 관리 ID를 삭제하면 어떻게 되나요?

관리 ID가 필요할 때 클러스터는 문제가 발생합니다. 현재 클러스터를 만든 후 관리 ID를 업데이트하거나 변경할 수 있는 방법은 없습니다. 따라서 클러스터 런타임 중에 관리 ID가 삭제되지 않도록 하는 것이 좋습니다. 또는 클러스터를 다시 만들고 새 관리 ID를 할당할 수 있습니다.

다음 단계

• Azure 리소스에 대한 관리 ID란?