Senaryo: Disk şifrelemesi olan Azure HDInsight kümeleri Key Vault erişimi kaybeder
Bu makalede, Azure HDInsight kümeleriyle etkileşim kurarken karşılaşılan sorunlara yönelik sorun giderme adımları ve olası çözümler açıklanmaktadır.
Sorun
Kaynak Durumu Merkezi (RHC) uyarısı, The HDInsight cluster is unable to access the key for BYOK encryption at rest
küme düğümlerinin müşteriler Key Vault (KV) erişimini kaybettiği Kendi Anahtarını Getir (BYOK) kümeleri için gösterilir. Benzer uyarılar Apache Ambari kullanıcı arabiriminde de görülebilir.
Nedeni
Uyarı, KV'nin küme düğümlerinden erişilebilir olmasını sağlayarak kullanıcı tarafından atanan Yönetilen Kimlik için ağ bağlantısının, KV durumunun ve erişim ilkesinin sağlanmasını sağlar. Bu uyarı yalnızca sonraki düğüm yeniden başlatmalarında yaklaşan aracı kapatma uyarısıdır, düğümler yeniden başlatılana kadar küme çalışmaya devam eder.
Disk Şifrelemesi Key Vault Durumu'ndan uyarı hakkında daha fazla bilgi edinmek için Apache Ambari kullanıcı arabirimine gidin. Bu uyarı, doğrulama hatasının nedeni hakkında ayrıntılara sahip olacaktır.
Çözüm
KV/AAD kesintisi
Daha fazla ayrıntı için Azure Key Vault kullanılabilirlik ve yedeklilik ile Azure durumu sayfasına bakınhttps://azure.status.microsoft/
KV yanlışlıkla silme
- Otomatik kurtarma için KV'de silinen anahtarı geri yükleyin. Daha fazla bilgi için bkz. Silinmiş Anahtarı Kurtarma.
- Yanlışlıkla yapılan silme işlemlerinden kurtarmak için KV ekibine ulaşın.
KV erişim ilkesi değiştirildi
KV'ye erişmek için HDI kümesine atanan kullanıcı tarafından atanan Yönetilen Kimlik için erişim ilkelerini geri yükleyin.
İzin verilen önemli işlemler
KV'deki her anahtar için izin verilen işlem kümesini seçebilirsiniz. BYOK anahtarı için sarmalama ve açma işlemlerinin etkinleştirildiğinden emin olun
Süresi dolmuş anahtar
Süre sonu geçtiyse ve anahtar döndürülmezse, anahtarı yedek HSM'den geri yükleyin veya bitiş tarihini temizlemek için KV ekibine başvurun.
KV güvenlik duvarı erişimi engelliyor
KV güvenlik duvarı ayarlarını düzelterek BYOK küme düğümlerinin KV'ye erişmesine izin verin.
Sanal ağ üzerindeki NSG kuralları erişimi engelliyor
Kümeye bağlı sanal ağ ile ilişkili NSG kurallarını denetleyin.
Azaltma ve önleme adımları
KV yanlışlıkla silme
- Kaynak Kilidi kümesiyle Key Vault yapılandırın.
- Anahtarları Donanım Güvenlik Modülü'ne yedekleyin.
Anahtar silme
Anahtar silinmeden önce küme silinmelidir.
KV erişim ilkesi değiştirildi
Erişim ilkelerini düzenli olarak denetleme ve test etme.
Süresi dolmuş anahtar
- Anahtarları HSM'nize yedekleyin.
- Herhangi bir süre sonu kümesi olmadan bir anahtar kullanın.
- Süre sonunun ayarlanması gerekiyorsa, anahtarları son kullanma tarihinden önce döndürün.
Sonraki adımlar
Sorununuzu görmediyseniz veya sorununuzu çözemiyorsanız daha fazla destek için aşağıdaki kanallardan birini ziyaret edin:
Azure Topluluk Desteği aracılığıyla Azure uzmanlarından yanıt alın.
müşteri deneyimini geliştirmek için resmi Microsoft Azure hesabı olan @AzureSupport ile bağlantı kurun. Azure topluluğunun doğru kaynaklara bağlanması: yanıtlar, destek ve uzmanlar.
Daha fazla yardıma ihtiyacınız varsa Azure portal bir destek isteği gönderebilirsiniz. Menü çubuğundan Destek'i seçin veya Yardım + destek hub'ını açın. Daha ayrıntılı bilgi için bkz. Azure desteği isteği oluşturma. Abonelik Yönetimi ve faturalama desteğine erişim, Microsoft Azure aboneliğinize dahildir ve Teknik Destek, Azure Destek Planlarından biri aracılığıyla sağlanır.