Identitas terkelola di Azure HDInsight
Identitas terkelola adalah identitas yang terdaftar di Microsoft Entra yang kredensialnya dikelola oleh Azure. Dengan identitas terkelola, Anda tidak perlu mendaftarkan perwakilan layanan di ID Microsoft Entra. Atau mempertahankan kredensial seperti sertifikat.
Identitas terkelola digunakan di Azure HDInsight untuk mengakses Microsoft Entra Domain Services atau mengakses file di Azure Data Lake Storage Gen2 saat diperlukan.
Ada dua jenis identitas terkelola: ditetapkan pengguna dan ditetapkan sistem. Azure HDInsight hanya mendukung identitas terkelola yang ditetapkan pengguna. HDInsight tidak mendukung identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan pengguna dibuat sebagai sumber daya Azure mandiri, yang kemudian dapat Anda tetapkan ke satu atau lebih instans layanan Azure. Sebaliknya, identitas terkelola yang ditetapkan sistem dibuat di ID Microsoft Entra lalu diaktifkan langsung pada instans layanan Azure tertentu secara otomatis. Umur identitas terkelola yang ditetapkan sistem tersebut terkait dengan umur instans layanan yang diaktifkan.
Implementasi identitas terkelola HDInsight
Di Azure HDInsight, identitas terkelola hanya dapat digunakan oleh layanan HDInsight untuk komponen internal. Saat ini tidak ada metode yang didukung untuk menghasilkan token akses menggunakan identitas terkelola yang dipasang pada simpul kluster HDInsight untuk mengakses layanan eksternal. Untuk beberapa layanan Azure seperti VM komputasi, identitas terkelola diimplementasikan dengan titik akhir yang dapat Anda gunakan untuk memperoleh token akses. Titik akhir saat ini tidak tersedia di simpul HDInsight.
Jika Anda memerlukan bootstrap aplikasi Anda untuk menghindari menempatkan rahasia/kata sandi dalam pekerjaan analitik (misalnya pekerjaan SCALA), Anda dapat mendistribusikan sertifikat Anda sendiri ke simpul kluster menggunakan tindakan skrip dan kemudian menggunakan sertifikat tersebut untuk memperoleh token akses (misalnya untuk mengakses Azure KeyVault).
Buat identitas terkelola
Identitas terkelola dapat dibuat dengan salah satu metode berikut:
Langkah-langkah yang tersisa untuk mengonfigurasi identitas terkelola tergantung pada skenario di mana identitas tersebut akan digunakan.
Skenario identitas terkelola di Azure HDInsight
Identitas terkelola digunakan di Azure HDInsight dalam beberapa skenario. Lihat dokumen terkait untuk instruksi pengaturan dan konfigurasi terperinci:
- Azure Data Lake Storage Gen2
- Enterprise Security Package
- Enkripsi disk kunci yang dikelola pelanggan
HDInsight akan secara otomatis memperbarui sertifikat untuk identitas terkelola yang Anda gunakan untuk skenario ini. Namun, terdapat batasan ketika beberapa identitas terkelola yang berbeda digunakan untuk kluster yang berjalan lama, perpanjangan sertifikat mungkin tidak berfungsi seperti yang diharapkan untuk semua identitas yang dikelola. Karena keterbatasan ini, sebaiknya gunakan identitas terkelola yang sama untuk semua skenario di atas.
Jika Anda telah membuat kluster yang berjalan lama dengan beberapa identitas terkelola yang berbeda dan mengalami salah satu masalah berikut:
- Di kluster ESP, layanan kluster mulai gagal atau peningkatan skala dan operasi lainnya mulai gagal dengan kesalahan autentikasi.
- Di kluster ESP, saat mengubah sertifikasi LDAPS Microsoft Entra Domain Services, sertifikat LDAPS tidak diperbarui secara otomatis dan oleh karena itu sinkronisasi dan peningkatan skala LDAP mulai gagal.
- Akses MSI ke ADLS Gen2 gagal.
- Kunci Enkripsi tidak dapat diputar di skenario CMK.
Maka Anda harus menetapkan peran dan izin yang diperlukan untuk skenario di atas untuk semua identitas terkelola yang digunakan dalam kluster. Misalnya, jika Anda menggunakan identitas terkelola yang berbeda untuk kluster ADLS Gen2 dan ESP maka keduanya harus memiliki peran "Pemilik data blob Penyimpanan" dan peran "Kontributor Layanan Domain HDInsight" yang ditetapkan kepada mereka untuk menghindari berjalan dalam masalah ini.
FAQ
Apa yang terjadi jika saya menghapus identitas terkelola setelah pembuatan kluster?
Kluster Anda akan mengalami masalah ketika identitas terkelola diperlukan. Saat ini tidak ada cara untuk memperbarui atau mengubah identitas terkelola setelah kluster dibuat. Jadi rekomendasi kami adalah memastikan bahwa identitas terkelola tidak dihapus selama runtime bahasa umum kluster. Atau Anda dapat membuat ulang kluster dan menetapkan identitas terkelola baru.