Toegangssleutels voor Azure Storage-accounts in HDInsight-cluster bijwerken
In dit artikel leert u hoe u toegangssleutels voor het Azure Storage-account roteert voor de primaire of secundaire opslagaccounts in Azure HDInsight.
Waarschuwing
Als u de toegangssleutel rechtstreeks aan de opslagzijde roteert, wordt het HDInsight-cluster ontoegankelijk.
Vereisten
We gaan een benadering gebruiken om de primaire en secundaire toegangssleutels van het opslagaccount op een gespreide, afwisselende manier te roteren om ervoor te zorgen dat het HDInsight-cluster gedurende het hele proces toegankelijk is.
Hier volgt een voorbeeld van het gebruik van primaire en secundaire toegangssleutels voor opslag en het instellen van rotatiebeleid voor deze sleutels:
- Gebruik toegangssleutel1 voor het opslagaccount bij het maken van een HDInsight-cluster.
- Stel elke N-dag roulatiebeleid in voor toegangssleutel2. Als onderdeel van deze rotatie-update gebruikt HDInsight toegangssleutel1 en roteert vervolgens toegangssleutel2 in het opslagaccount.
- Stel elke N/2 dag roulatiebeleid in voor toegangssleutel1. Als onderdeel van deze rotatie-update gebruikt HDInsight toegangssleutel2 en roteert vervolgens toegangssleutel1 in het opslagaccount.
- Met benadering wordt toegangssleutel1 geroteerd N/2, 3N/2 enzovoort. dagen en toegangssleutel2 worden geroteerd N, 2N, 3N enzovoort. Dagen.
Zie De rotatie van een geheim automatiseren als u periodieke rotatie van opslagaccountsleutels wilt instellen.
Toegangssleutels voor opslagaccounts bijwerken
Gebruik Scriptactie om de sleutels bij te werken met de volgende overwegingen:
Eigenschap | Waarde |
---|---|
Bash-script-URI | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
Knooppunttype(n) | Head |
Parameters | ACCOUNTNAME ACCOUNTKEY -p (optioneel) |
ACCOUNTNAME
is de naam van het opslagaccount in het HDInsight-cluster.ACCOUNTKEY
is de toegangssleutel voorACCOUNTNAME
.-p
is optioneel. Indien opgegeven, wordt de sleutel niet versleuteld en als tekst zonder opmaak opgeslagen in het core-site.xml-bestand.
Bekende problemen
Met het voorgaande script wordt de toegangssleutel alleen rechtstreeks aan de clusterzijde bijgewerkt en wordt er geen kopie vernieuwd aan de zijde van de HDInsight-resourceprovider. Daarom mislukt de scriptactie die wordt gehost in het opslagaccount nadat de toegangssleutel is geroteerd.
Tijdelijke oplossing: gebruik SAS-URI's voor scriptacties of maak de scripts openbaar toegankelijk.