Управляемые удостоверения в службе Azure HDInsight
Управляемое удостоверение — это удостоверение, зарегистрированное в Microsoft Entra, учетные данные которого управляются Azure. Для управляемых удостоверений вам не нужно регистрировать субъекты-службы в идентификаторе Microsoft Entra. или сохранять учетные данные, например сертификаты.
Управляемые удостоверения используются в Azure HDInsight для доступа к доменным службам Microsoft Entra или доступу к файлам в Azure Data Lake Storage 2-го поколения при необходимости.
Существует два типа управляемых удостоверений: назначаемые пользователем и назначаемые системой. Служба Azure HDInsight поддерживает только назначаемые пользователем управляемые удостоверения. HDInsight не поддерживает назначаемые системой управляемые удостоверения. Назначаемое пользователем управляемое удостоверение создается как автономный ресурс Azure, который затем можно назначить одному или нескольким экземплярам службы Azure. В отличие от этого, управляемое удостоверение, назначаемое системой, создается в идентификаторе Microsoft Entra, а затем включается непосредственно в определенном экземпляре службы Azure автоматически. Жизненный цикл этого управляемого удостоверения, назначенного системой, затем привязывается к жизненному циклу экземпляра службы, на котором он включен.
Реализация управляемого удостоверения HDInsight
В Azure HDInsight управляемые удостоверения можно использовать только для внутренних компонентов в службе HDInsight. В настоящее время нет поддерживаемого метода для создания маркеров доступа с помощью управляемых удостоверений, установленных на узлах кластера HDInsight для доступа к внешним службам. Для некоторых служб Azure, таких как виртуальные машины вычисления, управляемые удостоверения реализуются с помощью конечной точки, которую можно использовать для получения маркеров доступа. Эта конечная точка сейчас недоступна на узлах HDInsight.
Если необходимо выполнить начальную загрузку приложений, чтобы избежать помещения секретов и паролей в задания аналитики (например, задания SCALA), можно распространить собственные сертификаты на узлы кластера с помощью действий сценария, а затем использовать этот сертификат для получения маркера доступа (например, для доступа к Azure KeyVault).
Создание управляемого удостоверения
Управляемые удостоверения можно создавать с помощью любого из следующих методов.
Оставшиеся шаги по настройке управляемого удостоверения зависят от сценария, в котором оно будет использоваться.
Сценарии управляемых удостоверений в Azure HDInsight
Управляемые удостоверения используются в Azure HDInsight в нескольких сценариях. Подробные инструкции по установке и настройке см. в соответствующих документах:
- Azure Data Lake Storage 2-го поколения
- Пакет безопасности корпоративного уровня
- Шифрование управляемых клиентом ключей
HDInsight автоматически обновит сертификаты для управляемых удостоверений, используемых в этих сценариях. Однако существует ограничение, когда для длительно работающих кластеров используется несколько различных управляемых удостоверений. Обновление сертификата может работать не так, как ожидалось для всех управляемых удостоверений. Из-за этого ограничения рекомендуется использовать одно управляемое удостоверение для всех описанных выше сценариев.
Если вы уже создали большой кластер с несколькими управляемыми удостоверениями и столкнулись с одной из этих проблем:
- В кластерах ESP службы кластеров запускаются со сбоем или масштабируются, а другие операции отказывают с ошибками проверки подлинности.
- В кластерах ESP при изменении сертификата LDAPS доменных служб Microsoft Entra сертификат LDAPS не обновляется автоматически, поэтому синхронизация LDAP и масштабирование начинается сбоем.
- Не удается получить доступ MSI к ADLS 2-го поколения.
- Ключи шифрования нельзя изменять в сценарии CMK.
Затем необходимо назначить необходимые роли и разрешения для указанных выше сценариев всем управляемым удостоверениям, используемым в кластере. Например, если вы использовали разные управляемые удостоверения для кластеров ADLS 2-го поколения и ESP, то оба они должны иметь назначенные роли "Владелец данных BLOB-объекта хранилища" и "Участник доменных служб HDInsight", чтобы избежать появления подобных проблем.
Вопросы и ответы
Что произойдет, если удалить управляемое удостоверение после создания кластера?
Когда потребуется управляемое удостоверение, кластер столкнется с проблемами. В настоящее время невозможно обновить или изменить управляемое удостоверение после создания кластера. Поэтому мы рекомендуем убедиться, что управляемое удостоверение не будет удалено во время выполнения кластера. Также можно повторно создать кластер и назначить новое управляемое удостоверение.