Senaryo: disk şifrelemesi ile Azure HDInsight kümeleri Key Vault erişimi kaybeder

Bu makalede, Azure HDInsight kümeleriyle etkileşim kurarken sorun giderme adımları ve olası çözümleri açıklanmaktadır.

Sorun

Kaynak Durumu Center (RHC) uyarısı, The HDInsight cluster is unable to access the key for BYOK encryption at rest küme düğümlerinin müşterilere kayıp erişimi olan Key Vault (KV) kendi anahtarını getir (BYOK) kümeleri için gösterilir. Benzer uyarılar da Apache ambarı Kullanıcı arabiriminde görülebilir.

Nedeni

Uyarı, KV 'nin küme düğümlerinden erişilebilir olmasını sağlar, böylece ağ bağlantısı, KV sistem durumu ve Kullanıcı tarafından atanan yönetilen kimlik için erişim ilkesini sağlar. Bu uyarı yalnızca sonraki düğüm yeniden başlatıldığında aracı kapatmasından önce gelen bir uyarıdır. düğümler yeniden başlatılıncaya kadar küme çalışmaya devam eder.

Disk şifreleme Key Vault durumu uyarısı hakkında daha fazla bilgi edinmek Için Apache ambarı Kullanıcı arabirimine gidin. Bu uyarı, doğrulama hatasının nedeni hakkında ayrıntılara sahip olacaktır.

Çözüm

KV/AAD kesintisi

Daha fazla ayrıntı için Azure Key Vault kullanılabilirlik ve artıklık ve Azure durum sayfasına bakın https://status.azure.com/

KV yanlışlıkla silme

  • KV içindeki silinen anahtarı otomatik olarak kurtar ' a geri yükleyin. Daha fazla bilgi için bkz. silinen anahtarı kurtarma.
  • Yanlışlıkla silinmelerden kurtulmak için KV ekibine ulaşın.

KV erişim ilkesi değişti

KV öğesine erişmek için HDI kümesine atanan kullanıcı tarafından atanan yönetilen kimliğin erişim ilkelerini geri yükleyin.

Anahtara izin verilen işlemler

KV içindeki her anahtar için izin verilen işlemler kümesini seçebilirsiniz. BYOK anahtarı için sarmalama ve sarmalama işlemlerini etkin duruma aldığınızdan emin olun

Süre dolma anahtarı

Süre geçtikten sonra anahtar döndürülmemişse, yedekleme HSM 'sinden anahtarı geri yükleyin veya süre sonu tarihini temizlemek için KV ekibine başvurun.

KV güvenlik duvarı engelleme erişimi

KV güvenlik duvarı ayarlarını, BYOK kümesi düğümlerinin KV öğesine erişmesine izin verecek şekilde düzeltir.

Sanal ağ engelleme erişimi için NSG kuralları

Kümeye bağlı sanal ağla ilişkili NSG kurallarını denetleyin.

Risk azaltma ve önleme adımları

KV yanlışlıkla silme

Anahtar silme

Anahtar silinmeden önce küme silinmelidir.

KV erişim ilkesi değişti

Erişim ilkelerini düzenli olarak denetleme ve test etme.

Süre dolma anahtarı

  • Anahtarları HSM 'nize yedekleyin.
  • Süre sonu kümesi olmayan bir anahtar kullanın.
  • Süre sonu ayarlanması gerekiyorsa, bitiş tarihinden önce anahtarları döndürün.

Sonraki adımlar

Sorununuzu görmüyorsanız veya sorununuzu çözemediyseniz, daha fazla destek için aşağıdaki kanallardan birini ziyaret edin:

  • Azure topluluk desteğiaracılığıyla Azure uzmanlarından yanıt alın.

  • @AzureSupportMüşteri deneyimini iyileştirmek için resmi Microsoft Azure hesabına bağlanın. Azure Community 'yi doğru kaynaklara bağlama: yanıtlar, destek ve uzmanlar.

  • Daha fazla yardıma ihtiyacınız varsa Azure Portalbir destek isteği gönderebilirsiniz. Menü çubuğundan destek ' i seçin veya Yardım + Destek hub 'ını açın. Daha ayrıntılı bilgi için Azure destek isteği oluşturmakonusunu inceleyin. Abonelik yönetimi ve faturalandırma desteği 'ne erişim Microsoft Azure aboneliğinize dahildir ve Azure destek planlarındanbiri aracılığıyla teknik destek sağlanır.