Senaryo: Disk şifrelemesi olan Azure HDInsight kümeleri Key Vault erişimi kaybeder

Bu makalede, Azure HDInsight kümeleriyle etkileşim kurarken karşılaşılan sorunlara yönelik sorun giderme adımları ve olası çözümler açıklanmaktadır.

Sorun

Kaynak Durumu Merkezi (RHC) uyarısı, The HDInsight cluster is unable to access the key for BYOK encryption at restküme düğümlerinin müşteriler Key Vault (KV) erişimini kaybettiği Kendi Anahtarını Getir (BYOK) kümeleri için gösterilir. Benzer uyarılar Apache Ambari kullanıcı arabiriminde de görülebilir.

Nedeni

Uyarı, KV'nin küme düğümlerinden erişilebilir olmasını sağlayarak kullanıcı tarafından atanan Yönetilen Kimlik için ağ bağlantısının, KV durumunun ve erişim ilkesinin sağlanmasını sağlar. Bu uyarı yalnızca sonraki düğüm yeniden başlatmalarında yaklaşan aracı kapatma uyarısıdır, düğümler yeniden başlatılana kadar küme çalışmaya devam eder.

Disk Şifrelemesi Key Vault Durumu'ndan uyarı hakkında daha fazla bilgi edinmek için Apache Ambari kullanıcı arabirimine gidin. Bu uyarı, doğrulama hatasının nedeni hakkında ayrıntılara sahip olacaktır.

Çözüm

KV/AAD kesintisi

Daha fazla ayrıntı için Azure Key Vault kullanılabilirlik ve yedeklilik ile Azure durumu sayfasına bakınhttps://azure.status.microsoft/

KV yanlışlıkla silme

• Otomatik kurtarma için KV'de silinen anahtarı geri yükleyin. Daha fazla bilgi için bkz. Silinmiş Anahtarı Kurtarma.
• Yanlışlıkla yapılan silme işlemlerinden kurtarmak için KV ekibine ulaşın.

KV erişim ilkesi değiştirildi

KV'ye erişmek için HDI kümesine atanan kullanıcı tarafından atanan Yönetilen Kimlik için erişim ilkelerini geri yükleyin.

İzin verilen önemli işlemler

KV'deki her anahtar için izin verilen işlem kümesini seçebilirsiniz. BYOK anahtarı için sarmalama ve açma işlemlerinin etkinleştirildiğinden emin olun

Süresi dolmuş anahtar

Süre sonu geçtiyse ve anahtar döndürülmezse, anahtarı yedek HSM'den geri yükleyin veya bitiş tarihini temizlemek için KV ekibine başvurun.

KV güvenlik duvarı erişimi engelliyor

KV güvenlik duvarı ayarlarını düzelterek BYOK küme düğümlerinin KV'ye erişmesine izin verin.

Sanal ağ üzerindeki NSG kuralları erişimi engelliyor

Kümeye bağlı sanal ağ ile ilişkili NSG kurallarını denetleyin.

Azaltma ve önleme adımları

KV yanlışlıkla silme

• Kaynak Kilidi kümesiyle Key Vault yapılandırın.
• Anahtarları Donanım Güvenlik Modülü'ne yedekleyin.

Anahtar silme

Anahtar silinmeden önce küme silinmelidir.

KV erişim ilkesi değiştirildi

Erişim ilkelerini düzenli olarak denetleme ve test etme.

Süresi dolmuş anahtar

• Anahtarları HSM'nize yedekleyin.
• Herhangi bir süre sonu kümesi olmadan bir anahtar kullanın.
• Süre sonunun ayarlanması gerekiyorsa, anahtarları son kullanma tarihinden önce döndürün.

Sonraki adımlar

Sorununuzu görmediyseniz veya sorununuzu çözemiyorsanız daha fazla destek için aşağıdaki kanallardan birini ziyaret edin:

• Azure Topluluk Desteği aracılığıyla Azure uzmanlarından yanıt alın.

• müşteri deneyimini geliştirmek için resmi Microsoft Azure hesabı olan @AzureSupport ile bağlantı kurun. Azure topluluğunun doğru kaynaklara bağlanması: yanıtlar, destek ve uzmanlar.

• Daha fazla yardıma ihtiyacınız varsa Azure portal bir destek isteği gönderebilirsiniz. Menü çubuğundan Destek'i seçin veya Yardım + destek hub'ını açın. Daha ayrıntılı bilgi için bkz. Azure desteği isteği oluşturma. Abonelik Yönetimi ve faturalama desteğine erişim, Microsoft Azure aboneliğinize dahildir ve Teknik Destek, Azure Destek Planlarından biri aracılığıyla sağlanır.