SQL Server 巨量資料叢集中的 HDFS 加密區域使用指南
適用於:
SQL Server 2019 (15.x)
重要
Microsoft SQL Server 2019 巨量資料叢集附加元件將會淘汰。 SQL Server 2019 巨量資料叢集的支援將於 2025 年 2 月 28 日結束。 平台上將完全支援含軟體保證 SQL Server 2019 的所有現有使用者,而且軟體將會持續透過 SQL Server 累積更新來維護,直到該時間為止。 如需詳細資訊,請參閱公告部落格文章和 Microsoft SQL Server 平台上的巨量資料選項。
本文示範如何使用 SQL Server 巨量資料叢集的待用加密功能,透過加密區域來加密 HDFS 資料夾。 同時描述 HDFS 金鑰管理工作。
位於 /securelake 的預設加密區域已可供使用。 其是使用系統產生的 256 位元金鑰 (名為 securelakekey) 所建立的。 此金鑰可用來建立其他加密區域。
必要條件
- 具有 Active Directory 整合的 SQL Server 巨量資料叢集 CU8+。
- 具有 Kubernetes 系統管理權限的 SQL Server 巨量資料叢集使用者,也就是 clusterAdmins 角色的成員。 如需詳細資訊,請參閱在 Active Directory 模式中管理巨量資料叢集存取。
- Azure Data CLI (
azdata) 會以 AD 模式進行設定並登入叢集。
使用提供的系統管理金鑰建立加密區域
使用下列 azdata 命令建立 HDFS 資料夾:
azdata bdc hdfs mkdir --path /user/zone/folder發出加密區域建立命令,以使用
securelakekey金鑰來加密資料夾。azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
使用外部提供者時管理加密區域
如需在待用 SQL Server 巨量資料叢集加密上使用金鑰版本方式的詳細資訊,請參閱 HDFS 的主要金鑰輪替,以取得有關如何在使用外部金鑰提供者時管理加密區域的端對端範例。
建立自訂的新金鑰和加密區域
使用下列模式建立 256 位元金鑰。
azdata bdc hdfs key create --name mydatalakekey使用使用者金鑰來建立及加密新的 HDFS 路徑。
azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
HDFS 金鑰輪替和加密區域重新加密
此方法會使用新的金鑰內容來建立
securelakekey的新版本。azdata hdfs bdc key roll --name securelakekey重新加密與上述金鑰相關聯的加密區域。
azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
HDFS 金鑰和加密區域監視
若要監視加密區域重新加密的狀態,請使用下列命令:
azdata bdc hdfs encryption-zone status若要取得加密區域中檔案的相關加密資訊,請使用下列命令:
azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv若要列出所有加密區域,請使用下列命令:
azdata bdc hdfs encryption-zone list若要列出 HDFS 的所有可用金鑰,請使用下列命令:
azdata bdc hdfs key list若要建立 HDFS 加密的自訂金鑰,請使用下列命令:
azdata hdfs key create --name key1 --size 256可能的大小為 128、192、256。 預設值是 256。
下一步
若要搭配巨量資料叢集使用 azdata,請參閱 SQL Server 2019 巨量資料叢集簡介。
若要使用外部金鑰提供者進行待用加密,請參閱 SQL Server 巨量資料叢集中的外部金鑰提供者。