Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Z tego artykułu dowiesz się, jak zmieniać klucze dostępu konta Azure Storage dla głównego lub pomocniczego konta magazynu w usłudze Azure HDInsight.
Uwaga
Bezpośrednia zmiana klucza dostępu po stronie przechowywania spowoduje, że klaster usługi HDInsight będzie niedostępny.
Wymagania wstępne
Użyjemy podejścia do rotacji podstawowych i pomocniczych kluczy dostępu konta magazynu w sposób przesunięty i naprzemienny, aby zapewnić dostępność klastra usługi HDInsight w całym procesie.
Oto przykład użycia podstawowych i pomocniczych kluczy dostępu do magazynu oraz skonfigurowania na nich zasad rotacji:
- Użyj klucza dostępu1 na koncie magazynu podczas tworzenia klastra usługi HDInsight.
- Skonfiguruj zasady rotacji dla klucza dostępu2 każdego N dnia. W ramach tej aktualizacji rotacji usługa HDInsight może używać klucza dostępu 1, a następnie zmieniać klucz dostępu 2 na koncie magazynowym.
- Skonfiguruj zasady rotacji dla klucza dostępu1 co N/2 dzień. W ramach tej aktualizacji rotacji usługa HDInsight może używać klucza dostępu2, a następnie obracać klucz dostępu1 na koncie magazynu.
- W przypadku podejścia klucz dostępu 'approach key1' będzie wymieniany co N/2, 3N/2, itd. dni, a klucz dostępu 'access key2' będzie wymieniany co N, 2N, 3N, itd. dni.
Aby skonfigurować okresową rotację kluczy konta magazynu, zobacz w Automatyzacja rotacji sekretu.
Aktualizacja kluczy dostępu do konta magazynowego
Użyj Script Action, aby zaktualizować klucze, uwzględniając następujące względy:
| Nieruchomość | Wartość |
|---|---|
| Identyfikator URI skryptu powłoki Bash | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Typy węzłów | Głowa |
| Parametry |
ACCOUNTNAME
ACCOUNTKEY
-p (opcjonalnie) |
-
ACCOUNTNAMEto nazwa konta przechowywania w klastrze usługi HDInsight. -
ACCOUNTKEYto klucz dostępu dla elementuACCOUNTNAME. - Element
-pjest opcjonalny. Jeśli zostanie określony, klucz nie jest zaszyfrowany i jest przechowywany w pliku core-site.xml jako zwykły tekst.
Znane problemy
Powyższy skrypt aktualizuje bezpośrednio klucz dostępu tylko po stronie klastra i nie odnawia kopii po stronie dostawcy zasobów usługi HDInsight. W związku z tym akcja skryptu hostowana na koncie magazynu zakończy się niepowodzeniem po zmianie klucza dostępu.
Obejście:
Użyj/utwórz kolejne konto magazynowe w tym samym regionie.
Prześlij skrypt, który chcesz uruchomić na tym koncie storage.
Utworzono sygnaturę SAS URI dla skryptu z dostępem do odczytu.
Jeśli klaster znajduje się w Twojej własnej sieci wirtualnej, upewnij się, że sieć wirtualna zezwala na dostęp do pliku/skryptu z konta przechowywania.
Użyj tego identyfikatora URI sygnatury dostępu współdzielonego, aby uruchomić akcję skryptu.
