Verwaltete Identitäten in Azure HDInsight

Eine verwaltete Identität ist eine in Azure Active Directory (Azure AD) registrierte Identität, deren Anmeldeinformationen von Azure verwaltet werden. Bei Verwendung von verwalteten Identitäten müssen Sie in Azure AD keine Dienstprinzipale registrieren. Sie müssen auch keine Anmeldeinformationen, z. B. Zertifikate, verwalten.

Verwaltete Identitäten werden in Azure HDInsight bei Bedarf zum Zugreifen auf Azure AD Domain Services oder auf Dateien in Azure Data Lake Storage Gen2 verwendet.

Es gibt zwei Arten von verwalteten Identitäten: benutzerseitig und systemseitig zugewiesene Identitäten. Azure HDInsight unterstützt nur benutzerseitig zugewiesene verwaltete Identitäten. HDInsight unterstützt keine systemseitig zugewiesenen verwalteten Identitäten. Eine benutzerseitig zugewiesene verwaltete Identität wird als eigenständige Azure-Ressource erstellt, die Sie dann einer oder mehreren Azure-Dienstinstanzen zuweisen können. Im Gegensatz dazu wird eine systemseitig zugewiesene verwaltete Identität in Azure AD erstellt und dann direkt und automatisch für eine bestimmte Azure-Dienstinstanz aktiviert. Die Lebensdauer dieser systemseitig zugewiesenen verwalteten Identität ist dann an die Lebensdauer der Dienstinstanz gebunden, für die sie aktiviert wurde.

Implementierung verwalteter HDInsight-Identitäten

In Azure HDInsight können verwaltete Identitäten nur vom HDInsight-Dienst für interne Komponenten verwendet werden. Es wird derzeit keine Methode unterstützt, mit der Sie Zugriffstoken anhand der auf HDInsight-Clusterknoten installierten verwalteten Identitäten zum Zugreifen auf externe Dienste generieren können. Für einige Azure-Dienste wie Compute-VMs werden verwaltete Identitäten mit einem Endpunkt implementiert, den Sie zum Beziehen von Zugriffstoken verwenden können. Dieser Endpunkt ist zurzeit nicht in HDInsight-Knoten verfügbar.

Wenn Sie für Ihre Anwendungen einen Bootstrap durchführen müssen, um zu vermeiden, dass Geheimnisse/Kennwörter in Analyseaufträgen (z. B. SCALA-Aufträgen) platziert werden, können Sie Ihre eigenen Zertifikate mithilfe von Skriptaktionen auf die Clusterknoten verteilen und dann mithilfe dieser Zertifikate ein Zugriffstoken abrufen (etwa zum Zugreifen auf Azure Key Vault).

Erstellen einer verwalteten Identität

Verwaltete Identitäten können mit einer der folgenden Methoden erstellt werden:

Die verbleibenden Schritte zum Konfigurieren der verwalteten Identität hängen von dem Szenario ab, in dem sie verwendet werden soll.

Szenarien für verwaltete Identitäten in Azure HDInsight

Verwaltete Identitäten werden in Azure HDInsight in verschiedenen Szenarien verwendet. In den verwandten Dokumenten finden Sie ausführliche Anweisungen zur Einrichtung und Konfiguration:

HDInsight erneuert automatisch die Zertifikate für die verwalteten Identitäten, die Sie in diesen Szenarien verwenden. Es gibt jedoch eine Einschränkung: Wenn mehrere verwaltete Identitäten für zeitintensive Cluster verwendet werden, funktioniert die Zertifikaterneuerung möglicherweise nicht für alle verwalteten Identitäten wie erwartet. Wenn Sie planen, zeitintensive Cluster (die z. B. länger als 60 Tage ausgeführt werden) zu verwenden, empfiehlt es sich aufgrund dieser Einschränkung, für alle genannten Szenarien dieselbe verwaltete Identität zu verwenden.

Wenn Sie bereits einen zeitintensiven Cluster mit mehreren unterschiedlichen verwalteten Identitäten erstellt haben, können eventuell die folgenden Probleme auftreten:

  • In ESP-Clustern tritt beim Start des Clusterdiensts ein Fehler auf, oder dieser wird hochskaliert, und beim Starten anderer Vorgänge treten Authentifizierungsfehler auf.
  • In ESP-Clustern wird das LDAPS-Zertifikat beim Ändern des LDAPS-Zertifikats von AAD DS nicht automatisch aktualisiert, sodass die LDAP-Synchronisierung und Hochskalierungen nicht mehr gestartet werden.
  • Beim MSI-Zugriff auf ADLS Gen2 treten Fehler auf.
  • Verschlüsselungsschlüssel können im CMK-Szenario nicht rotiert werden.

In diesen Fällen sollten Sie allen im Cluster verwendeten verwalteten Identitäten die erforderlichen Rollen und Berechtigungen für die obigen Szenarien zuweisen. Wenn Sie z. B. unterschiedliche verwaltete Identitäten für ADLS Gen2 und ESP-Cluster verwenden, sollten beide über die Rollen „Besitzer von Speicherblobdaten“ und „Mitwirkender für die HDInsight-Domänendienste“ verfügen, um diese Probleme zu vermeiden.

Häufig gestellte Fragen

Was geschieht, wenn ich die verwaltete Identität nach der Clustererstellung lösche?

In Ihrem Cluster treten Probleme auf, wenn die verwaltete Identität benötigt wird. Es gibt derzeit keine Möglichkeit, eine verwaltete Identität nach der Clustererstellung zu aktualisieren oder zu ändern. Sie sollten daher unbedingt sicherstellen, dass die verwaltete Identität während der Clusterlaufzeit nicht gelöscht wird. Alternativ können Sie den Cluster neu erstellen und eine neue verwaltete Identität zuweisen.

Nächste Schritte