Verwaltete Identitäten in Azure HDInsight
Eine verwaltete Identität ist eine in Microsoft Entra registrierte Identität, deren Anmeldeinformationen von Azure verwaltet werden. Bei Verwendung von verwalteten Identitäten müssen Sie in Microsoft Entra ID keine Dienstprinzipale registrieren. Sie müssen auch keine Anmeldeinformationen, z. B. Zertifikate, verwalten.
Verwaltete Identitäten werden in Azure HDInsight bei Bedarf zum Zugreifen auf Microsoft Entra Domain Services oder auf Dateien in Azure Data Lake Storage Gen2 verwendet.
Es gibt zwei Arten von verwalteten Identitäten: benutzerseitig und systemseitig zugewiesene Identitäten. Azure HDInsight unterstützt nur benutzerseitig zugewiesene verwaltete Identitäten. HDInsight unterstützt keine systemseitig zugewiesenen verwalteten Identitäten. Eine benutzerseitig zugewiesene verwaltete Identität wird als eigenständige Azure-Ressource erstellt, die Sie dann einer oder mehreren Azure-Dienstinstanzen zuweisen können. Im Gegensatz dazu wird eine systemseitig zugewiesene verwaltete Identität in Microsoft Entra ID erstellt und dann direkt und automatisch für eine bestimmte Azure-Dienstinstanz aktiviert. Die Lebensdauer dieser systemseitig zugewiesenen verwalteten Identität ist dann an die Lebensdauer der Dienstinstanz gebunden, für die sie aktiviert wurde.
Implementierung verwalteter HDInsight-Identitäten
In Azure HDInsight können verwaltete Identitäten nur vom HDInsight-Dienst für interne Komponenten verwendet werden. Es wird derzeit keine Methode unterstützt, mit der Sie Zugriffstoken anhand der auf HDInsight-Clusterknoten installierten verwalteten Identitäten zum Zugreifen auf externe Dienste generieren können. Für einige Azure-Dienste wie Compute-VMs werden verwaltete Identitäten mit einem Endpunkt implementiert, den Sie zum Beziehen von Zugriffstoken verwenden können. Dieser Endpunkt ist zurzeit nicht in HDInsight-Knoten verfügbar.
Wenn Sie für Ihre Anwendungen einen Bootstrap durchführen müssen, um zu vermeiden, dass Geheimnisse/Kennwörter in Analyseaufträgen (z. B. SCALA-Aufträgen) platziert werden, können Sie Ihre eigenen Zertifikate mithilfe von Skriptaktionen auf die Clusterknoten verteilen und dann mithilfe dieser Zertifikate ein Zugriffstoken abrufen (etwa zum Zugreifen auf Azure Key Vault).
Erstellen einer verwalteten Identität
Verwaltete Identitäten können mit einer der folgenden Methoden erstellt werden:
Die verbleibenden Schritte zum Konfigurieren der verwalteten Identität hängen von dem Szenario ab, in dem sie verwendet werden soll.
Szenarien für verwaltete Identitäten in Azure HDInsight
Verwaltete Identitäten werden in Azure HDInsight in verschiedenen Szenarien verwendet. In den verwandten Dokumenten finden Sie ausführliche Anweisungen zur Einrichtung und Konfiguration:
- Azure Data Lake Storage Gen2
- Enterprise-Sicherheitspaket
- Datenträgerverschlüsselung mit kundenseitig verwalteten Schlüsseln
HDInsight erneuert automatisch die Zertifikate für die verwalteten Identitäten, die Sie in diesen Szenarien verwenden. Es gibt jedoch eine Einschränkung: Wenn mehrere verwaltete Identitäten für zeitintensive Cluster verwendet werden, funktioniert die Zertifikaterneuerung möglicherweise nicht für alle verwalteten Identitäten wie erwartet. Aufgrund dieser Einschränkung empfehlen wir, für alle oben genannten Szenarien dieselbe verwaltete Identität zu verwenden.
Wenn Sie bereits einen zeitintensiven Cluster mit mehreren unterschiedlichen verwalteten Identitäten erstellt haben, können eventuell die folgenden Probleme auftreten:
- In ESP-Clustern tritt beim Start des Clusterdiensts ein Fehler auf, oder dieser wird hochskaliert, und beim Starten anderer Vorgänge treten Authentifizierungsfehler auf.
- In ESP-Clustern wird das LDAPS-Zertifikat beim Ändern des LDAPS-Zertifikats von Microsoft Entra Domain Services nicht automatisch aktualisiert, sodass die LDAP-Synchronisierung und Hochskalierungen nicht mehr gestartet werden.
- Beim MSI-Zugriff auf ADLS Gen2 treten Fehler auf.
- Verschlüsselungsschlüssel können im CMK-Szenario nicht rotiert werden.
In diesen Fällen sollten Sie allen im Cluster verwendeten verwalteten Identitäten die erforderlichen Rollen und Berechtigungen für die obigen Szenarien zuweisen. Wenn Sie z. B. unterschiedliche verwaltete Identitäten für ADLS Gen2 und ESP-Cluster verwenden, sollten beide über die Rollen „Besitzer von Speicherblobdaten“ und „Mitwirkender für die HDInsight-Domänendienste“ verfügen, um diese Probleme zu vermeiden.
Häufig gestellte Fragen
Was geschieht, wenn ich die verwaltete Identität nach der Clustererstellung lösche?
In Ihrem Cluster treten Probleme auf, wenn die verwaltete Identität benötigt wird. Es gibt derzeit keine Möglichkeit, eine verwaltete Identität nach der Clustererstellung zu aktualisieren oder zu ändern. Sie sollten daher unbedingt sicherstellen, dass die verwaltete Identität während der Clusterlaufzeit nicht gelöscht wird. Alternativ können Sie den Cluster neu erstellen und eine neue verwaltete Identität zuweisen.