Delen via

Toegangssleutels voor Azure Storage-accounts bijwerken in het HDInsight-cluster

  • Artikel

In dit artikel leert u hoe u toegangssleutels voor Azure Storage-accounts kunt roteren voor de primaire of secundaire opslagaccounts in Azure HDInsight.

Let op

Door de toegangssleutel aan de opslagzijde rechtstreeks te draaien, is het HDInsight-cluster niet toegankelijk.

Vereisten

  • We gebruiken een benadering om de primaire en secundaire toegangssleutels van het opslagaccount op een verspringende, afwisselende manier te roteren om ervoor te zorgen dat het HDInsight-cluster gedurende het hele proces toegankelijk is.

    Hier volgt een voorbeeld van het gebruik van primaire en secundaire toegangssleutels voor opslag en het instellen van rotatiebeleid op deze sleutels:

    1. Gebruik toegangssleutel1 in het opslagaccount bij het maken van een HDInsight-cluster.
    2. Draaibeleid instellen voor toegangssleutel2 elke N dag. Als onderdeel van deze rotatie-update gebruikt HDInsight toegangssleutel1 en draait u vervolgens toegangssleutel2 op het opslagaccount.
    3. Draaibeleid instellen voor toegangssleutel1 elke N/2-dag. Als onderdeel van deze rotatie-update gebruikt HDInsight toegangssleutel2 en roteert u vervolgens toegangssleutel1 in het opslagaccount.
    4. Met toegangssleutel1 wordt N/2, 3N/2 enzovoort gedraaid en wordt toegangssleutel2 geroteerd N, 2N, 3N, enzovoort.

  • Zie De rotatie van een geheim automatiseren om periodieke rotatie van opslagaccountsleutels in te stellen.

Toegangssleutels voor opslagaccounts bijwerken

Gebruik scriptactie om de sleutels bij te werken met de volgende overwegingen:

Eigenschappen Weergegeven als
Bash-script-URI https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Knooppunttype(n) Head
Parameters ACCOUNTNAMEACCOUNTKEY -p (optioneel)
  • ACCOUNTNAME is de naam van het opslagaccount in het HDInsight-cluster.
  • ACCOUNTKEY is de toegangssleutel voor ACCOUNTNAME.
  • -p is optioneel. Indien opgegeven, wordt de sleutel niet versleuteld en opgeslagen in het core-site.xml bestand als tekst zonder opmaak.

Bekende problemen

Het voorgaande script werkt de toegangssleutel alleen aan de clusterzijde bij en vernieuwt geen kopie aan de zijde van de HDInsight-resourceprovider. Daarom mislukt de scriptactie die wordt gehost in het opslagaccount nadat de toegangssleutel is geroteerd.

Tijdelijke oplossing:

  1. Gebruik/maak een ander opslagaccount in dezelfde regio.

  2. Upload het script dat u wilt uitvoeren naar dit opslagaccount.

  3. Sas-URI gemaakt voor het script met leestoegang.

  4. Als uw cluster zich in uw eigen virtuele netwerk bevindt, moet u ervoor zorgen dat uw virtuele netwerk toegang heeft tot het opslagaccountbestand/-script.

  5. Gebruik deze SAS-URI om scriptactie uit te voeren.

    Schermopname van scriptactie.

Volgende stappen