Atualizar chaves de acesso da conta de armazenamento do Azure no cluster do HDInsight
Neste artigo, vai aprender a rodar as chaves de acesso da conta de Armazenamento do Azure para as contas de armazenamento primárias ou secundárias no Azure HDInsight.
Atenção
Rodar diretamente a chave de acesso no lado do armazenamento tornará o cluster do HDInsight inacessível.
Pré-requisitos
Vamos utilizar uma abordagem para rodar as chaves de acesso primária e secundária da conta de armazenamento de forma alternada e escalonada para garantir que o cluster do HDInsight está acessível durante todo o processo.
Eis um exemplo de como utilizar chaves de acesso ao armazenamento primário e secundário e configurar políticas de rotação nas mesmas:
- Utilize a chave de acesso1 na conta de armazenamento ao criar o cluster do HDInsight.
- Configurar a política de rotação para a chave de acesso2 todos os dias N. Como parte desta atualização de rotação, o HDInsight vai utilizar a chave de acesso1 e, em seguida, rodar a chave de acesso2 na conta de armazenamento.
- Configure a política de rotação para a chave de acesso1 a cada N/2 dias. Como parte desta atualização de rotação, o HDInsight vai utilizar a chave de acesso2 e, em seguida, rodar a chave de acesso1 na conta de armazenamento.
- Com a chave de acesso de abordagem1 será rodado N/2, 3N/2, etc. dias e chave de acesso2 serão rodados N, 2N, 3N, etc. dias.
Para configurar a rotação periódica das chaves da conta de armazenamento, veja Automatizar a rotação de um segredo.
Atualizar chaves de acesso da conta de armazenamento
Utilize a Ação de Script para atualizar as chaves com as seguintes considerações:
Propriedade | Valor |
---|---|
Bash script URI | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
Tipos de nó | Head |
Parâmetros | ACCOUNTNAME ACCOUNTKEY -p (opcional) |
ACCOUNTNAME
é o nome da conta de armazenamento no cluster do HDInsight.ACCOUNTKEY
é a chave de acesso paraACCOUNTNAME
.-p
é opcional. Se especificado, a chave não é encriptada e é armazenada no ficheiro core-site.xml como texto simples.
Problemas conhecidos
O script anterior atualiza diretamente a chave de acesso apenas no lado do cluster e não renova uma cópia do lado do fornecedor de recursos do HDInsight. Por conseguinte, a ação de script alojada na conta de armazenamento falhará após a rotação da chave de acesso.
Solução: utilize URIs de SAS para ações de script ou torne os scripts acessíveis publicamente.