Сценарий: кластеры Azure HDInsight с шифрованием дисков теряют доступ к Key Vault

В этой статье описаны действия по устранению неполадок и возможные способы решения проблем при взаимодействии с кластерами Azure HDInsight.

Проблема

Предупреждение от центра работоспособности ресурсов (RHC) The HDInsight cluster is unable to access the key for BYOK encryption at rest отображается для кластеров создания собственных ключей (BYOK), узлы которых потеряли доступ к Key Vault (KV) клиентов. Аналогичные предупреждения также можно увидеть в пользовательском интерфейсе Apache Ambari.

Причина

Предупреждение гарантирует, что KV будет доступен с узлов кластера, таким образом обеспечивая подключение к сети, работоспособность KV и политику доступа для управляемого удостоверения, назначенного пользователю. Это предупреждение является лишь уведомлением о предстоящем завершении работы брокера при последующих перезагрузках узла. Работа кластера будет продолжаться до перезагрузки узлов.

Перейдите к пользовательскому интерфейсу Apache Ambari, чтобы получить дополнительные сведения о предупреждении, связанном со статусом шифрования диска Key Vault. Это оповещение будет содержать подробные сведения о причине сбоя проверки.

Решение

Сбой KV/AAD

Дополнительные сведения см. на странице Доступность и избыточность Azure Key Vault и на странице состояния Azure https://status.azure.com/

Случайное удаление KV

  • Восстановите удаленный ключ в KV для автоматического восстановления. Дополнительные сведения см. в разделе Восстановление удаленного ключа.
  • Чтобы восстановить случайно удаленные ключи, обратитесь к специалистам KV.

Изменилась политика доступа к KV

Восстановите политики доступа для назначенного пользователю управляемого удостоверения, назначенного кластеру HDI для доступа к KV.

Разрешенные операции с ключом

Для каждого ключа в KV можно выбрать набор разрешенных операций. Убедитесь, что для ключа BYOK включены операции переноса и запрета переноса

Ключ с истекшим сроком действия

Если срок действия истек, а ключ не был повернут, восстановите ключ из модуля резервного копирования HSM или обратитесь в службу KV, чтобы удалить дату окончания срока действия.

Доступ к блокировке брандмауэра KV

Исправьте параметры брандмауэра KV, чтобы разрешить узлам кластера BYOK доступ к KV.

Правила NSG для доступа к блокировке в виртуальной сети

Проверьте правила NSG, связанные с виртуальной сетью, подключенной к кластеру.

Устранение рисков и профилактические меры

Случайное удаление KV

Удаление ключей

Перед удалением ключа необходимо удалить кластер.

Изменилась политика доступа к KV

Проводите регулярный аудит и тестирование политик доступа.

Ключ с истекшим сроком действия

  • Выполните резервное копирование ключей в HSM.
  • Используйте ключ без указания срока действия.
  • Если необходимо задать срок действия, поворачивайте ключи перед наступлением даты окончания срока действия.

Дальнейшие действия

Если вы не видите своего варианта проблемы или вам не удается ее устранить, дополнительные сведения можно получить, посетив один из следующих каналов.

  • Получите ответы специалистов Azure на сайте поддержки сообщества пользователей Azure.

  • Подпишитесь на @AzureSupport — официальный канал Microsoft Azure для работы с клиентами. Вступайте в сообщество Azure для получения нужных ресурсов: ответов, поддержки и советов экспертов.

  • Если вам нужна дополнительная помощь, отправьте запрос в службу поддержки на портале Azure. Выберите Поддержка в строке меню или откройте центр Справка и поддержка. Дополнительные сведения см. в статье Создание запроса на поддержку Azure. Доступ к управлению подписками и поддержкой выставления счетов уже включен в вашу подписку Microsoft Azure, а техническая поддержка предоставляется в рамках одного из планов Службы поддержки Azure.