Обновление ключей доступа к учетной записи хранения Azure в кластере HDInsight

  • Статья

Из этой статьи вы узнаете, как сменить ключи доступа к учетной записи хранения Azure для основной или дополнительной учетных записей хранения в Azure HDInsight.

Внимание!

Непосредственная смена ключа доступа на стороне хранилища сделает кластер HDInsight недоступным.

Предварительные требования

  • Мы будем использовать подход для смены первичного и вторичного ключей доступа учетной записи хранения в последовательном порядке, чтобы обеспечить доступность кластера HDInsight на протяжении всего процесса.

    Ниже приведен пример использования первичного и вторичного ключей доступа к хранилищу и настройки политик смены для них:

    1. При создании кластера HDInsight в учетной записи хранения используйте ключ доступа1.
    2. Настройте политику смены для ключа доступа 2 каждые N дней. В рамках этого обновления смены HDInsight будет использовать ключ доступа1, а затем сменить ключ доступа 2 в учетной записи хранения.
    3. Настройте политику смены для ключа доступа 1 каждые N/2 дня. В рамках этого обновления смены HDInsight будет использовать ключ доступа 2, а затем сменить ключ доступа1 в учетной записи хранения.
    4. При подходе ключ доступа1 будет сменяться N/2, 3N/2 и т. д. days и access key2 будут сменяться N, 2N, 3N и т. д. Дней.

  • Сведения о настройке периодической смены ключей учетной записи хранения см. в статье Автоматизация смены секретов.

Обновление ключей доступа к учетной записи хранения

Используйте действие скрипта, чтобы обновить ключи, приняв во внимание следующие соображения.

Свойство Значение
URI bash-скрипта https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Типы узлов Head
Параметры ACCOUNTNAMEACCOUNTKEY-p (необязательно)
  • ACCOUNTNAME — имя учетной записи хранения в кластере HDInsight.
  • ACCOUNTKEY — ключ доступа для ACCOUNTNAME.
  • Аргумент -p является необязательным. Если этот параметр указан, ключ не шифруется и хранится в файле core-site.xml как обычный текст.

Известные проблемы

Приведенный выше скрипт напрямую обновляет ключ доступа только на стороне кластера и не обновляет копию на стороне поставщика ресурсов HDInsight. Поэтому действие скрипта, размещенное в учетной записи хранения, завершится ошибкой после смены ключа доступа.

Обходное решение: используйте универсальные коды ресурса (URI) SAS для действий скрипта или сделайте скрипты общедоступными.

Следующие шаги