Руководство по использованию зон шифрования HDFS в Кластерах больших данных SQL Server
Область применения: SQL Server 2019 (15.x)
Внимание
Поддержка надстройки "Кластеры больших данных" Microsoft SQL Server 2019 будет прекращена. Мы прекратим поддержку Кластеров больших данных SQL Server 2019 28 февраля 2025 г. Все существующие пользователи SQL Server 2019 с Software Assurance будут полностью поддерживаться на платформе, и программное обеспечение будет продолжать поддерживаться с помощью накопительных обновлений SQL Server до этого времени. Дополнительные сведения см. в записи блога объявлений и в статье о параметрах больших данных на платформе Microsoft SQL Server.
В этой статье показано, как использовать возможности шифрования неактивных данных Кластеров больших данных SQL Server для шифрования папок HDFS с помощью зон шифрования. В ней также описываются задачи управления ключами HDFS.
Зона шифрования по умолчанию, в /securelake, готова к использованию. Он был создан с помощью системы с именем securelakekey
256-разрядного ключа. Этот ключ можно использовать для создания других зон шифрования.
Необходимые компоненты
- Кластер больших данных SQL Server CU8+ с интеграцией Active Directory.
- Пользователь Кластеров больших данных SQL Server с правами администратора Kubernetes (член роли clusterAdmins). Дополнительные сведения см. в разделе Управление доступом к кластеру больших данных в режиме AD DS.
- Azure Data CLI (
azdata
) настроен и вошел в кластер в режиме AD.
Создание зоны шифрования с помощью предоставленного системой управляемого ключа
Создайте папку HDFS с помощью этой команды azdata:
azdata bdc hdfs mkdir --path /user/zone/folder
Выполните команду создания зоны шифрования, чтобы зашифровать папку с помощью
securelakekey
ключа.azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
Управление зонами шифрования при использовании внешних поставщиков
Дополнительные сведения об использовании версий ключей при шифровании неактивных данных в Кластерах больших данных SQL Server см. в разделе Смена главного ключа для HDFS. В нем содержится полный пример управления зонами шифрования при использовании внешних поставщиков ключей.
Создание нового ключа пользователя и зоны шифрования
Используйте следующий шаблон для создания 256-битного ключа.
azdata bdc hdfs key create --name mydatalakekey
Создайте и зашифруйте новый путь HDFS с помощью ключа пользователя.
azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
Смена ключей HDFS и повторное шифрование зоны шифрования
Этот подход позволяет создать новую версию
securelakekey
с новым материалом ключа.azdata hdfs bdc key roll --name securelakekey
Повторно зашифруйте зону шифрования, связанную с указанным выше ключом.
azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
Мониторинг ключей HDFS и зоны шифрования
Для наблюдения за состоянием повторного шифрования зоны шифрования используйте эту команду:
azdata bdc hdfs encryption-zone status
Для получения сведений о шифровании файла в зоне шифрования используйте эту команду:
azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv
Чтобы получить список всех зон шифрования, используйте эту команду:
azdata bdc hdfs encryption-zone list
Чтобы получить список всех доступных ключей HDFS, используйте эту команду:
azdata bdc hdfs key list
Чтобы создать пользовательский ключ для шифрования HDFS, используйте эту команду:
azdata hdfs key create --name key1 --size 256
Возможные размеры: 128, 192, 256. Значение по умолчанию равно 256.
Следующие шаги
Используйте azdata
с Кластерами больших данных. См. статью Общие сведения о Кластерах больших данных SQL Server 2019.
Сведения об использовании внешнего поставщика ключей для шифрования неактивных данных см. в разделе "Поставщики внешних ключей" в Кластеры больших данных SQL Server.