Поделиться через

Руководство по использованию зон шифрования HDFS в Кластерах больших данных SQL Server

  • Статья

Область применения: SQL Server 2019 (15.x)

Важно!

Поддержка надстройки "Кластеры больших данных" Microsoft SQL Server 2019 будет прекращена. Мы прекратим поддержку Кластеров больших данных SQL Server 2019 28 февраля 2025 г. Все существующие пользователи SQL Server 2019 с Software Assurance будут полностью поддерживаться на платформе, а программное обеспечение будет продолжать поддерживаться через SQL Server накопительных обновлений до этого времени. Дополнительные сведения см. в записи блога объявлений и в статье о параметрах больших данных на платформе Microsoft SQL Server.

В этой статье показано, как использовать возможности шифрования неактивных данных Кластеров больших данных SQL Server для шифрования папок HDFS с помощью зон шифрования. В ней также описываются задачи управления ключами HDFS.

Зона шифрования по умолчанию, в /securelake, готова к использованию. Она создана с помощью созданного системой 256-битного ключа с именем securelakekey. Этот ключ можно использовать для создания других зон шифрования.

Предварительные требования

Создание зоны шифрования с помощью предоставленного системой управляемого ключа

  1. Создайте папку HDFS с помощью этой команды azdata:

    azdata bdc hdfs mkdir --path /user/zone/folder

  2. Выдайте команду на создание зоны шифрования, чтобы зашифровать папку с помощью ключа securelakekey.

    azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey

Управление зонами шифрования при использовании внешних поставщиков

Дополнительные сведения об использовании версий ключей при шифровании неактивных данных в Кластерах больших данных SQL Server см. в разделе Смена главного ключа для HDFS. В нем содержится полный пример управления зонами шифрования при использовании внешних поставщиков ключей.

Создание нового ключа пользователя и зоны шифрования

  1. Используйте следующий шаблон для создания 256-битного ключа.

    azdata bdc hdfs key create --name mydatalakekey

  2. Создайте и зашифруйте новый путь HDFS с помощью ключа пользователя.

    azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey

Смена ключей HDFS и повторное шифрование зоны шифрования

  1. Этот подход позволяет создать новую версию securelakekey с новым материалом ключа.

    azdata hdfs bdc key roll --name securelakekey

  2. Повторно зашифруйте зону шифрования, связанную с указанным выше ключом.

    azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start

Мониторинг ключей HDFS и зоны шифрования

  • Для наблюдения за состоянием повторного шифрования зоны шифрования используйте эту команду:

    azdata bdc hdfs encryption-zone status

  • Для получения сведений о шифровании файла в зоне шифрования используйте эту команду:

    azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv

  • Чтобы получить список всех зон шифрования, используйте эту команду:

    azdata bdc hdfs encryption-zone list

  • Чтобы получить список всех доступных ключей HDFS, используйте эту команду:

    azdata bdc hdfs key list

  • Чтобы создать пользовательский ключ для шифрования HDFS, используйте эту команду:

    azdata hdfs key create --name key1 --size 256

    Возможные размеры: 128, 192, 256. Значение по умолчанию равно 256.

Дальнейшие действия

Используйте azdata с Кластерами больших данных. См. статью Общие сведения о Кластерах больших данных SQL Server 2019.

Сведения об использовании внешнего поставщика ключей для шифрования неактивных данными см. в статье Внешние поставщики ключей в Кластеры больших данных SQL Server.