Обновление ключей доступа к учетной записи хранения Azure в кластере HDInsight
Из этой статьи вы узнаете, как сменить ключи доступа к учетной записи хранения Azure для основной или дополнительной учетных записей хранения в Azure HDInsight.
Внимание!
Непосредственная смена ключа доступа на стороне хранилища сделает кластер HDInsight недоступным.
Предварительные требования
Мы будем использовать подход для смены первичного и вторичного ключей доступа учетной записи хранения в последовательном порядке, чтобы обеспечить доступность кластера HDInsight на протяжении всего процесса.
Ниже приведен пример использования первичного и вторичного ключей доступа к хранилищу и настройки политик смены для них:
- При создании кластера HDInsight в учетной записи хранения используйте ключ доступа1.
- Настройте политику смены для ключа доступа 2 каждые N дней. В рамках этого обновления смены HDInsight будет использовать ключ доступа1, а затем сменить ключ доступа 2 в учетной записи хранения.
- Настройте политику смены для ключа доступа 1 каждые N/2 дня. В рамках этого обновления смены HDInsight будет использовать ключ доступа 2, а затем сменить ключ доступа1 в учетной записи хранения.
- При подходе ключ доступа1 будет сменяться N/2, 3N/2 и т. д. days и access key2 будут сменяться N, 2N, 3N и т. д. Дней.
Сведения о настройке периодической смены ключей учетной записи хранения см. в статье Автоматизация смены секретов.
Обновление ключей доступа к учетной записи хранения
Используйте действие скрипта, чтобы обновить ключи, приняв во внимание следующие соображения.
Свойство | Значение |
---|---|
URI bash-скрипта | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
Типы узлов | Head |
Параметры | ACCOUNTNAME ACCOUNTKEY -p (необязательно) |
ACCOUNTNAME
— имя учетной записи хранения в кластере HDInsight.ACCOUNTKEY
— ключ доступа дляACCOUNTNAME
.- Аргумент
-p
является необязательным. Если этот параметр указан, ключ не шифруется и хранится в файле core-site.xml как обычный текст.
Известные проблемы
Приведенный выше скрипт напрямую обновляет ключ доступа только на стороне кластера и не обновляет копию на стороне поставщика ресурсов HDInsight. Поэтому действие скрипта, размещенное в учетной записи хранения, завершится ошибкой после смены ключа доступа.
Обходное решение: используйте универсальные коды ресурса (URI) SAS для действий скрипта или сделайте скрипты общедоступными.