Aggiornare le chiavi di accesso dell'account di archiviazione di Azure nel cluster HDInsight
In questo articolo viene illustrato come ruotare le chiavi di accesso all'account di archiviazione di Azure per gli account di archiviazione primari o secondari in Azure HDInsight.
Attenzione
Ruotando direttamente la chiave di accesso sul lato di archiviazione, il cluster HDInsight non sarà accessibile.
Prerequisiti
Verrà usato un approccio per ruotare le chiavi di accesso primarie e secondarie dell'account di archiviazione in modo alternativo per garantire che il cluster HDInsight sia accessibile in tutto il processo.
Ecco un esempio di come usare chiavi di accesso di archiviazione primarie e secondarie e configurare i criteri di rotazione su di essi:
- Usare la chiave di accesso1 nell'account di archiviazione durante la creazione di cluster HDInsight.
- Configurare i criteri di rotazione per la chiave di accesso2 ogni giorno N. Come parte di questo aggiornamento di rotazione, HDInsight per usare la chiave di accesso1 e quindi ruotare la chiave di accesso2 nell'account di archiviazione.
- Configurare i criteri di rotazione per la chiave di accesso1 ogni giorno N/2. Come parte di questo aggiornamento di rotazione, HDInsight per usare la chiave di accesso2 e quindi ruotare la chiave di accesso1 nell'account di archiviazione.
- Con l'approccio access key1 verrà ruotato N/2, 3N/2 e così via. giorni e chiave di accesso2 saranno ruotati N, 2N, 3N e così via. Giorni.
Per configurare la rotazione periodica delle chiavi dell'account di archiviazione, vedere Automatizzare la rotazione di un segreto.
Aggiornare le chiavi di accesso dell'account di archiviazione
Usare l'azione script per aggiornare le chiavi con le considerazioni seguenti:
| Proprietà | Valore |
|---|---|
| URI script Bash | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Tipo/i di nodo | Head |
| Parametri | ACCOUNTNAMEACCOUNTKEY-p (facoltativo) |
ACCOUNTNAMEè il nome dell'account di archiviazione nel cluster HDInsight.ACCOUNTKEYè la chiave di accesso perACCOUNTNAME.-pè facoltativo. Se specificato, la chiave non è crittografata e viene archiviata nel file core-site.xml come testo normale.
Problemi noti
Lo script precedente aggiorna direttamente la chiave di accesso solo sul lato cluster e non rinnova una copia sul lato provider di risorse HDInsight. Pertanto, l'azione script ospitata nell'account di archiviazione avrà esito negativo dopo la rotazione della chiave di accesso.
Soluzione alternativa: usare gli URI di firma di accesso condiviso per le azioni script o rendere gli script accessibili pubblicamente.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per