Atualizar chaves de acesso da conta de armazenamento do Azure no cluster HDInsight

  • Artigo

Neste artigo, você aprende a girar as chaves de acesso da conta de Armazenamento do Azure para as contas de armazenamento primárias ou secundárias no Azure HDInsight.

Cuidado

Girar diretamente a chave de acesso no lado do armazenamento tornará o cluster do Azure HDInsight inacessível.

Pré-requisitos

  • Vamos usar uma abordagem para girar as chaves de acesso primária e secundária da conta de armazenamento de maneira escalonada e alternada para garantir que o cluster HDInsight seja acessível durante todo o processo.

    Aqui está um exemplo de como usar chaves de acesso de armazenamento primário e secundário e configurar políticas de rotação nelas:

    1. Use a chave de acesso1 na conta de armazenamento ao criar o cluster HDInsight.
    2. Configure a política de rotação para a chave de acesso2 a cada N dia. Como parte dessa rotação, atualize o HDInsight para usar a chave de acesso1 e, em seguida, gire a chave de acesso2 na conta de armazenamento.
    3. Configure a política de rotação para a chave de acesso1 a cada N/2 dia. Como parte dessa rotação, atualize o HDInsight para usar a chave de acesso2 e, em seguida, gire a chave de acesso1 na conta de armazenamento.
    4. Com a abordagem, a chave de acesso1 será girada N/2, 3N/2 etc. dias e a chave de acesso2 será girada N, 2N, 3N etc. dias.

  • Para configurar a rotação periódica de chaves de conta de armazenamento, confira como Automatizar a rotação de um segredo.

Atualizar chaves de acesso da conta de armazenamento

Use a Ação de Script para atualizar as chaves com as seguintes considerações:

Propriedade Valor
URI do script Bash https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Tipo(s) de nó Head
Parâmetros ACCOUNTNAME ACCOUNTKEY -p (opcional)
  • ACCOUNTNAME é o nome da conta de armazenamento no cluster HDInsight.
  • ACCOUNTKEY é a chave de acesso para ACCOUNTNAME.
  • -p é opcional. Se especificada, a chave não será criptografada e será armazenada no arquivo core-site.xml como texto sem formatação.

Problemas conhecidos

O script anterior atualiza diretamente a chave de acesso apenas no lado do cluster e não renova uma cópia no lado do provedor de recursos do HDInsight. Portanto, a ação de script hospedada na conta de armazenamento falhará depois que a chave de acesso for girada.

Solução alternativa:

  1. Use/crie outra conta de armazenamento na mesma região.

  2. Carregue o script que você deseja executar nesta conta de armazenamento.

  3. URI SAS criado para o script com acesso de leitura.

  4. Se o cluster estiver em sua própria rede virtual, verifique se sua rede virtual permite o acesso ao arquivo/script da conta de armazenamento.

  5. Use esse URI SAS para executar a ação do script.

    Captura de tela mostrando a ação do script.

Próximas etapas