Scénář: clustery Azure HDInsight se ztrátou šifrování disku Key Vault přístup

Tento článek popisuje postup řešení potíží a možná řešení potíží při komunikaci s clustery Azure HDInsight.

Problém

Výstraha centra Resource Health (RHC) se The HDInsight cluster is unable to access the key for BYOK encryption at rest zobrazuje pro clustery Bring Your Own Key (BYOK), ve kterých uzly clusteru ztratily přístup ke zákazníkům Key Vault (KV). Podobné výstrahy je také možné zobrazit v uživatelském rozhraní Apache Ambari.

Příčina

Výstraha zajišťuje, že je KV přístupný z uzlů clusteru, a zajišťuje tak síťové připojení, stav KV a zásady přístupu pro spravovanou identitu přiřazenou uživateli. Tato výstraha je jenom upozornění na blížící se vypnutí zprostředkovatele při následném restartování uzlu. cluster bude dál fungovat, dokud se uzly nerestartují.

Přejděte na uživatelské rozhraní Apache Ambari, kde najdete další informace o upozornění ze stavu šifrování disku Key Vault. Tato výstraha bude obsahovat podrobnosti o příčině selhání ověřování.

Řešení

KV/výpadek AAD

Další podrobnosti najdete v Azure Key Vault dostupnosti a redundanci a na stránce stavu Azure. https://status.azure.com/

Nepředvídatelné odstranění KV

  • Obnovte odstraněný klíč v KV na automatické obnovení. Další informace najdete v tématu Obnovení odstraněné klíče.
  • Vyzkoušením týmu KV se můžete zotavit z neúmyslných odstranění.

KV – zásady přístupu se změnily

Obnovte zásady přístupu pro spravovanou identitu přiřazenou uživatelem, která je přiřazená HDI clusteru pro přístup ke KV.

Klíč – povolené operace

Pro každý klíč v KV můžete zvolit sadu povolených operací. Ujistěte se, že máte pro klíč BYOK povolené zabalení a rozbalení operací.

Klíč vypršení platnosti

Pokud uplynula platnost a klíč se neotočí, obnovte klíč ze zálohy HSM nebo kontaktujte tým KV a vymažte datum vypršení platnosti.

KV brány firewall blokující přístup

Opravte nastavení brány firewall KV, aby uzly clusteru BYOK měly přístup k KV.

Pravidla NSG pro blokování přístupu k virtuální síti

Ověřte pravidla NSG přidružená k virtuální síti připojené ke clusteru.

Postup zmírnění a prevence

Nepředvídatelné odstranění KV

Odstranění klíče

Cluster by měl být před odstraněním klíče odstraněn.

KV – zásady přístupu se změnily

Pravidelné audit a zásady přístupu k testování.

Klíč vypršení platnosti

  • Zálohujte klíče do modulu HARDWAROVÉho zabezpečení.
  • Použijte klíč bez nastavené platnosti.
  • Pokud je potřeba nastavit vypršení platnosti, otočte klíče před datem vypršení platnosti.

Další kroky

Pokud jste se nedostali k problému nebo jste nedokázali problém vyřešit, přejděte k jednomu z následujících kanálů, kde najdete další podporu:

  • Získejte odpovědi od odborníků na Azure prostřednictvím podpory komunity Azure.

  • Připojte se k @AzureSupport oficiálnímu Microsoft Azuremu účtu pro zlepšení prostředí pro zákazníky. Propojování komunity Azure se správnými zdroji informací: odpovědi, podpora a odborníci.

  • Pokud potřebujete další pomoc, můžete odeslat žádost o podporu z Azure Portal. V řádku nabídek vyberte Podpora a otevřete centrum pro pomoc a podporu . Podrobnější informace najdete v tématu jak vytvořit žádost o podporu Azure. Přístup ke správě předplatných a fakturační podpoře jsou součástí vašeho předplatného Microsoft Azure a technická podpora je poskytována prostřednictvím některého z plánů podpory Azure.