Skenario: Kluster Azure HDInsight dengan akses Key Vault kehilangan enkripsi

Artikel ini menjelaskan langkah-langkah pemecahan masalah dan kemungkinan resolusi untuk masalah saat berinteraksi dengan kluster Azure HDInsight.

Masalah

Pemberitahuan Resource Health Center (RHC), The HDInsight cluster is unable to access the key for BYOK encryption at rest, ditampilkan untuk kluster Bring Your Own Key (BYOK) tempat simpul kluster telah kehilangan akses ke Key Vault (KV) pelanggan. Pemberitahuan serupa juga dapat dilihat di Apache Ambari UI.

Penyebab

Pemberitahuan memastikan bahwa KV dapat diakses dari simpul kluster, sehingga memastikan koneksi jaringan, kesehatan KV, dan kebijakan akses untuk Identitas Terkelola yang ditetapkan pengguna. Pemberitahuan ini hanya peringatan penonaktifan broker dipertahankan saat reboot simpul berikutnya, kluster terus berfungsi hingga simpul di-reboot.

Buka Apache Ambari UI untuk menemukan informasi lebih lanjut tentang pemberitahuan dari Disk Encryption Key Vault Status. Pemberitahuan ini akan memiliki detail tentang alasan kegagalan verifikasi.

Resolusi

Gangguan KV/AAD

Untuk mengetahui detail selengkapnya, lihat Ketersediaan dan redundansi Azure Key Vault dan halaman status Azure https://status.azure.com/

Penghapusan yang tidak disengaja KV

  • Pulihkan kunci yang dihapus pada KV untuk pemulihan otomatis. Untuk informasi selengkapnya, lihat Memulihkan Kunci yang Dihapus.
  • Hubungi tim KV untuk pulih dari penghapusan yang tidak disengaja.

Kebijakan Akses KV diubah

Pulihkan kebijakan akses untuk Identitas Terkelola yang ditetapkan pengguna yang ditetapkan untuk kluster HDI guna mengakses KV.

Kunci mengizinkan operasi

Untuk setiap kunci dalam KV, Anda dapat memilih serangkaian operasi yang diizinkan. Pastikan Anda memiliki operasi yang dikemas dan tidak dikemas yang diaktifkan untuk kunci BYOK

Kunci kedaluwarsa

Jika akhir masa berlaku telah berlalu dan kunci tidak dirotasi, pulihkan kunci dari HSM cadangan atau hubungi tim KV untuk menghapus tanggal habis masa berlaku.

Akses pemblokiran firewall KV

Perbaiki pengaturan firewall KV untuk mengizinkan simpul kluster BYOK mengakses KV.

Aturan NSG tentang akses pemblokiran jaringan virtual

Periksa aturan NSG yang terkait dengan jaringan virtual yang terpasang pada kluster.

Langkah mitigasi dan pencegahan

Penghapusan yang tidak disengaja KV

Penghapusan kunci

Kluster harus dihapus sebelum penghapusan kunci.

Kebijakan Akses KV diubah

Audit dan uji kebijakan akses secara teratur.

Masa berlaku kunci berakhir

  • Cadangkan kunci ke HSM Anda.
  • Gunakan kunci tanpa waktu kedaluwarsa yang diatur.
  • Jika akhir masa berlaku perlu diatur, putar kunci sebelum akhir masa berlaku.

Langkah berikutnya

Jika Anda tidak melihat masalah atau tidak dapat menyelesaikan masalah, kunjungi salah satu saluran berikut untuk mendapatkan dukungan lebih lanjut:

  • Dapatkan jawaban dari pakar Azure melalui Dukungan Komunitas Azure.

  • Hubungkan dengan @AzureSupport - akun resmi Microsoft Azure untuk meningkatkan pengalaman pelanggan. Menghubungkan komunitas Azure ke sumber daya yang tepat: jawaban, dukungan, dan pakar.

  • Jika Anda membutuhkan bantuan lebih lanjut, Anda dapat mengirimkan permintaan dukungan dari portal Microsoft Azure. Pilih Dukungan dari bilah menu atau buka hub Bantuan + Dukungan. Untuk informasi selengkapnya, tinjau Cara membuat permintaan dukungan Azure. Akses ke Pengelolaan Langganan dan dukungan penagihan disertakan dengan langganan Microsoft Azure dan Dukungan Teknis diberikan melalui salah satu Paket Dukungan Azure.