Share via

Toegangssleutels voor Azure Storage-accounts in HDInsight-cluster bijwerken

  • Artikel

In dit artikel leert u hoe u toegangssleutels voor het Azure Storage-account roteert voor de primaire of secundaire opslagaccounts in Azure HDInsight.

Waarschuwing

Als u de toegangssleutel rechtstreeks aan de opslagzijde roteert, wordt het HDInsight-cluster ontoegankelijk.

Vereisten

  • We gaan een benadering gebruiken om de primaire en secundaire toegangssleutels van het opslagaccount op een gespreide, afwisselende manier te roteren om ervoor te zorgen dat het HDInsight-cluster gedurende het hele proces toegankelijk is.

    Hier volgt een voorbeeld van het gebruik van primaire en secundaire toegangssleutels voor opslag en het instellen van rotatiebeleid voor deze sleutels:

    1. Gebruik toegangssleutel1 voor het opslagaccount bij het maken van een HDInsight-cluster.
    2. Stel elke N-dag roulatiebeleid in voor toegangssleutel2. Als onderdeel van deze rotatie-update gebruikt HDInsight toegangssleutel1 en roteert vervolgens toegangssleutel2 in het opslagaccount.
    3. Stel elke N/2 dag roulatiebeleid in voor toegangssleutel1. Als onderdeel van deze rotatie-update gebruikt HDInsight toegangssleutel2 en roteert vervolgens toegangssleutel1 in het opslagaccount.
    4. Met benadering wordt toegangssleutel1 geroteerd N/2, 3N/2 enzovoort. dagen en toegangssleutel2 worden geroteerd N, 2N, 3N enzovoort. Dagen.

  • Zie De rotatie van een geheim automatiseren als u periodieke rotatie van opslagaccountsleutels wilt instellen.

Toegangssleutels voor opslagaccounts bijwerken

Gebruik Scriptactie om de sleutels bij te werken met de volgende overwegingen:

Eigenschap Waarde
Bash-script-URI https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Knooppunttype(n) Head
Parameters ACCOUNTNAMEACCOUNTKEY-p (optioneel)
  • ACCOUNTNAME is de naam van het opslagaccount in het HDInsight-cluster.
  • ACCOUNTKEY is de toegangssleutel voor ACCOUNTNAME.
  • -p is optioneel. Indien opgegeven, wordt de sleutel niet versleuteld en als tekst zonder opmaak opgeslagen in het core-site.xml-bestand.

Bekende problemen

Met het voorgaande script wordt de toegangssleutel alleen rechtstreeks aan de clusterzijde bijgewerkt en wordt er geen kopie vernieuwd aan de zijde van de HDInsight-resourceprovider. Daarom mislukt de scriptactie die wordt gehost in het opslagaccount nadat de toegangssleutel is geroteerd.

Tijdelijke oplossing: gebruik SAS-URI's voor scriptacties of maak de scripts openbaar toegankelijk.

Volgende stappen