Azure HDInsight'ta yönetilen kimlikler
Yönetilen kimlik, Kimlik bilgileri Azure tarafından yönetilen Microsoft Entra'da kayıtlı bir kimliktir. Yönetilen kimliklerle hizmet sorumlularını Microsoft Entra Id'ye kaydetmeniz gerekmez. Veya sertifikalar gibi kimlik bilgilerini koruyun.
Yönetilen kimlikler, Gerektiğinde Microsoft Entra Domain Services'a erişmek veya Azure Data Lake Storage 2. Nesil dosyalarına erişmek için Azure HDInsight'ta kullanılır.
İki tür yönetilen kimlik vardır: kullanıcı tarafından atanan ve sistem tarafından atanan. Azure HDInsight yalnızca kullanıcı tarafından atanan yönetilen kimlikleri destekler. HDInsight, sistem tarafından atanan yönetilen kimlikleri desteklemez. Kullanıcı tarafından atanan yönetilen kimlik, tek başına bir Azure kaynağı olarak oluşturulur ve bunu bir veya daha fazla Azure hizmet örneğine atayabilirsiniz. Buna karşılık, Microsoft Entra Id'de sistem tarafından atanan bir yönetilen kimlik oluşturulur ve ardından doğrudan belirli bir Azure hizmet örneğinde otomatik olarak etkinleştirilir. Bu sistem tarafından atanan yönetilen kimliğin ömrü, etkinleştirildiği hizmet örneğinin ömrüne bağlıdır.
HDInsight yönetilen kimlik uygulaması
Azure HDInsight'ta yönetilen kimlikler yalnızca iç bileşenler için HDInsight hizmeti tarafından kullanılabilir. Şu anda dış hizmetlere erişmek için HDInsight küme düğümlerinde yüklü yönetilen kimlikleri kullanarak erişim belirteçleri oluşturmak için desteklenen bir yöntem yoktur. İşlem VM'leri gibi bazı Azure hizmetleri için, yönetilen kimlikler erişim belirteçleri almak için kullanabileceğiniz bir uç nokta ile uygulanır. Bu uç nokta şu anda HDInsight düğümlerinde kullanılamıyor.
Gizli dizileri/parolaları analiz işlerine (örneğin SCALA işleri) yerleştirmekten kaçınmak için uygulamalarınızı önyüklemeniz gerekiyorsa, betik eylemlerini kullanarak küme düğümlerine kendi sertifikalarınızı dağıtabilir ve ardından bu sertifikayı kullanarak erişim belirteci alabilirsiniz (örneğin Azure KeyVault'a erişmek için).
Yönetilen kimlik oluşturma
Yönetilen kimlikler aşağıdaki yöntemlerden herhangi biriyle oluşturulabilir:
Yönetilen kimliği yapılandırmanın kalan adımları, kullanılacağı senaryoya bağlıdır.
Azure HDInsight'ta yönetilen kimlik senaryoları
Yönetilen kimlikler Azure HDInsight'ta birden çok senaryoda kullanılır. Ayrıntılı kurulum ve yapılandırma yönergeleri için ilgili belgelere bakın:
- Azure Data Lake Storage 2. Nesil
- Kurumsal Güvenlik Paketi
- Müşteri tarafından yönetilen anahtar disk şifrelemesi
HDInsight, bu senaryolarda kullandığınız yönetilen kimliklerin sertifikalarını otomatik olarak yeniler. Ancak, uzun süre çalışan kümeler için birden çok farklı yönetilen kimlik kullanıldığında, sertifika yenileme tüm yönetilen kimlikler için beklendiği gibi çalışmayabilir. Bu sınırlama nedeniyle, yukarıdaki senaryoların tümü için aynı yönetilen kimliği kullanmanızı öneririz.
Birden çok farklı yönetilen kimlikle uzun süre çalışan bir küme oluşturduysanız ve şu sorunlardan biriyle karşılanıyorsanız:
- ESP kümelerinde küme hizmetleri başarısız oluyor veya ölçeği artırıyor ve diğer işlemler kimlik doğrulama hataları ile başarısız oluyor.
- ESP kümelerinde, Microsoft Entra Domain Services LDAPS sertifikasını değiştirirken LDAPS sertifikası otomatik olarak güncelleştirilmez ve bu nedenle LDAP eşitleme ve ölçek artırma işlemleri başarısız olur.
- ADLS 2. Nesil'e MSI erişimi başarısız oluyor.
- Şifreleme Anahtarları CMK senaryosunda döndürülemez.
ardından yukarıdaki senaryolar için gerekli rolleri ve izinleri kümede kullanılan tüm yönetilen kimliklere atamanız gerekir. Örneğin, ADLS 2. Nesil ve ESP kümeleri için farklı yönetilen kimlikler kullandıysanız, bu sorunlarda çalışmamak için her ikisinde de "Depolama blob veri Sahibi" ve "HDInsight Etki Alanı Hizmetleri Katkıda Bulunanı" rolleri atanmış olmalıdır.
SSS
Küme oluşturulduktan sonra yönetilen kimliği silersem ne olur?
Yönetilen kimlik gerektiğinde kümeniz sorunlarla karşılaşır. Şu anda küme oluşturulduktan sonra yönetilen kimliği güncelleştirmenin veya değiştirmenin bir yolu yoktur. Bu nedenle, yönetilen kimliğin küme çalışma zamanı sırasında silinmediğinden emin olmak önerimizdir. Ya da kümeyi yeniden oluşturabilir ve yeni bir yönetilen kimlik atayabilirsiniz.