Uppdatera Åtkomstnycklar för Azure Storage-konto i HDInsight-kluster

  • Artikel

I den här artikeln får du lära dig hur du roterar åtkomstnycklar för Azure Storage-konton för de primära eller sekundära lagringskontona i Azure HDInsight.

Varning

Om du roterar åtkomstnyckeln direkt på lagringssidan blir HDInsight-klustret otillgängligt.

Förutsättningar

  • Vi ska använda en metod för att rotera lagringskontots primära och sekundära åtkomstnycklar på ett förskjutet och alternerande sätt för att säkerställa att HDInsight-klustret är tillgängligt under hela processen.

    Här är ett exempel på hur du använder primära och sekundära lagringsåtkomstnycklar och konfigurerar rotationsprinciper för dem:

    1. Använd åtkomstnyckel1 på lagringskontot när du skapar HDInsight-kluster.
    2. Konfigurera rotationsprincip för åtkomstnyckel2 varje N dag. Som en del av den här rotationsuppdateringen använder HDInsight åtkomstnyckel1 och roterar sedan åtkomstnyckel2 på lagringskontot.
    3. Konfigurera rotationsprincip för åtkomstnyckel1 varje N/2-dag. Som en del av den här rotationsuppdateringen använder HDInsight åtkomstnyckel2 och roterar sedan åtkomstnyckel1 på lagringskontot.
    4. Med metoden kommer åtkomstnyckel1 att roteras N/2, 3N/2 osv. dagar och åtkomstnyckel2 roteras N, 2N, 3N osv. dagar.

  • Information om hur du konfigurerar regelbunden rotation av lagringskontonycklar finns i Automatisera rotationen av en hemlighet.

Uppdatera åtkomstnycklar för lagringskonto

Använd skriptåtgärd för att uppdatera nycklarna med följande överväganden:

Property Värde
Bash-skript-URI https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Nodtyper Head
Parametrar ACCOUNTNAMEACCOUNTKEY -p (valfritt)
  • ACCOUNTNAME är namnet på lagringskontot i HDInsight-klustret.
  • ACCOUNTKEY är åtkomstnyckeln för ACCOUNTNAME.
  • -p är valfritt. Om det anges krypteras inte nyckeln och lagras i den core-site.xml filen som oformaterad text.

Kända problem

Föregående skript uppdaterar åtkomstnyckeln direkt endast på klustersidan och förnyar inte en kopia på HDInsight-resursprovidersidan. Därför misslyckas skriptåtgärden som finns i lagringskontot när åtkomstnyckeln har roterats.

Lösning:

  1. Använd/skapa ett annat lagringskonto i samma region.

  2. Ladda upp skriptet som du vill köra till det här lagringskontot.

  3. Sas-URI skapades för skriptet med läsåtkomst.

  4. Om klustret finns i ditt eget virtuella nätverk kontrollerar du att det virtuella nätverket ger åtkomst till lagringskontofilen/-skriptet.

  5. Använd den här SAS-URI:n för att köra skriptåtgärden.

    Skärmbild som visar skriptåtgärd.

Nästa steg