你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
管理群集访问
注意
我们将于 2025 年 1 月 31 日停用 Azure HDInsight on AKS。 在 2025 年 1 月 31 日之前,你需要将工作负荷迁移到 Microsoft Fabric 或同等的 Azure 产品,以避免工作负荷突然终止。 订阅上的剩余群集会被停止并从主机中移除。
在停用日期之前,仅提供基本支持。
重要
此功能目前以预览版提供。 Microsoft Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的更多法律条款。 有关此特定预览版的信息,请参阅 Azure HDInsight on AKS 预览版信息。 如有疑问或功能建议,请在 AskHDInsight 上提交请求并附上详细信息,并在 Azure HDInsight Community 上关注我们以了解更多更新。
本文概述了可用于管理对 HDInsight on AKS 群集池和群集的访问的机制。 其中还介绍了如何向用户、组、用户分配的托管标识和服务主体分配权限,以启用对群集数据平面的访问。
当用户创建群集时,将授权该用户对群集可访问的数据执行操作。 但是,若要允许其他用户在群集上执行查询和作业,需要对群集数据平面拥有访问权限。
管理群集池或群集访问(控制平面)
可以使用以下 HDInsight on AKS 和 Azure 内置角色进行群集管理,以管理群集池或群集资源。
| 角色 | 描述 |
|---|---|
| 所有者 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 |
| 参与者 | 授予管理所有资源的完全访问权限,但不允许在 Azure RBAC 中分配角色。 |
| 读者 | 查看所有资源,但不允许进行任何更改。 |
| HDInsight on AKS 群集池管理员 | 授予管理群集池的完全访问权限,包括删除群集池的能力。 |
| HDInsight on AKS 群集管理员 | 授予管理群集的完全访问权限,包括删除群集的能力。 |
可以使用“访问控制(IAM)”边栏选项卡来管理对群集池和控制平面的访问。
参阅:使用 Azure 门户授予用户对 Azure 资源的访问权限 - Azure RBAC。
管理群集访问(数据平面)
此访问权限使你能够执行以下操作:
- 查看群集和管理作业。
- 所有监视和管理操作。
- 启用自动缩放和更新节点计数。
该访问权限限制为:
- 群集删除。
若要向用户、组、用户分配的托管标识和服务主体分配权限以启用对群集数据平面的访问,可以使用以下选项:
使用 Azure 门户
如何授予访问权限
以下步骤说明如何向其他用户、组、用户分配的托管标识和服务主体提供访问权限。
在 Azure 门户中导航到群集的“群集访问权限”边栏选项卡,然后单击“添加”。
搜索用户/组/用户分配的托管标识/服务主体以授予访问权限,然后单击“添加”。
如何删除访问权限
选择要删除的成员,然后单击“删除”。
使用 ARM 模板
先决条件
- 可操作的 HDInsight on AKS 群集。
- 群集的 ARM 模板。
- 熟悉 ARM 模板创作和部署。
按照步骤在群集 ARM 模板中的 clusterProfile 部分下更新 authorizationProfile 对象。
在 Azure 门户搜索栏中,搜索用户/组/用户分配的托管标识/服务主体。
复制“对象 ID”或“主体 ID”。
修改群集 ARM 模板中的
authorizationProfile部分。在
userIds属性下添加用户/用户分配的托管标识/服务主体对象 ID 或主体 ID。在
groupIds属性下添加组对象 ID。"authorizationProfile": { "userIds": [ "abcde-12345-fghij-67890", "a1b1c1-12345-abcdefgh-12345" ], "groupIds": [] },
部署已更新的 ARM 模板以反映群集中的更改。 了解如何部署 ARM 模板。