Atualizar chaves de acesso da conta de armazenamento do Azure no cluster do HDInsight

  • Artigo

Neste artigo, vai aprender a rodar as chaves de acesso da conta de Armazenamento do Azure para as contas de armazenamento primárias ou secundárias no Azure HDInsight.

Atenção

Rodar diretamente a chave de acesso no lado do armazenamento tornará o cluster do HDInsight inacessível.

Pré-requisitos

  • Vamos utilizar uma abordagem para rodar as chaves de acesso primária e secundária da conta de armazenamento de forma alternada e escalonada para garantir que o cluster do HDInsight está acessível durante todo o processo.

    Eis um exemplo de como utilizar chaves de acesso ao armazenamento primário e secundário e configurar políticas de rotação nas mesmas:

    1. Utilize a chave de acesso1 na conta de armazenamento ao criar o cluster do HDInsight.
    2. Configurar a política de rotação para a chave de acesso2 todos os dias N. Como parte desta atualização de rotação, o HDInsight vai utilizar a chave de acesso1 e, em seguida, rodar a chave de acesso2 na conta de armazenamento.
    3. Configure a política de rotação para a chave de acesso1 a cada N/2 dias. Como parte desta atualização de rotação, o HDInsight vai utilizar a chave de acesso2 e, em seguida, rodar a chave de acesso1 na conta de armazenamento.
    4. Com a chave de acesso de abordagem1 será rodado N/2, 3N/2, etc. dias e chave de acesso2 serão rodados N, 2N, 3N, etc. dias.

  • Para configurar a rotação periódica das chaves da conta de armazenamento, veja Automatizar a rotação de um segredo.

Atualizar chaves de acesso da conta de armazenamento

Utilize a Ação de Script para atualizar as chaves com as seguintes considerações:

Propriedade Valor
Bash script URI https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Tipos de nó Head
Parâmetros ACCOUNTNAMEACCOUNTKEY-p (opcional)
  • ACCOUNTNAME é o nome da conta de armazenamento no cluster do HDInsight.
  • ACCOUNTKEY é a chave de acesso para ACCOUNTNAME.
  • -p é opcional. Se especificado, a chave não é encriptada e é armazenada no ficheiro core-site.xml como texto simples.

Problemas conhecidos

O script anterior atualiza diretamente a chave de acesso apenas no lado do cluster e não renova uma cópia do lado do fornecedor de recursos do HDInsight. Por conseguinte, a ação de script alojada na conta de armazenamento falhará após a rotação da chave de acesso.

Solução: utilize URIs de SAS para ações de script ou torne os scripts acessíveis publicamente.

Passos seguintes