Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете, как обновить ключи доступа к учетной записи службы хранилища Azure для основной или вторичной учетной записи хранения в Azure HDInsight.
Внимание
Непосредственная смена ключа доступа на стороне хранилища сделает кластер HDInsight недоступным.
Предварительные требования
Мы будем использовать подход для поочередной смены первичных и вторичных ключей доступа учетной записи хранения для обеспечения доступности кластера HDInsight на протяжении всего процесса.
Вот пример того, как использовать ключи доступа к первичному и вторичному хранилищам и настраивать для них политики ротации:
- При создании кластера HDInsight в учетной записи хранения используйте ключ доступа1.
- Настройте политику смены для ключа доступа2 каждые N дней. В рамках этого обновления ротации HDInsight должен использовать ключ доступа 1, а затем сменить ключ доступа 2 в учетной записи хранения.
- Настройте политику ротации для ключа доступа 1 каждые N/2 дня. В рамках этого обновления в HDInsight будет использоваться ключ доступа 2, после чего произойдет замена ключа доступа 1 в учетной записи хранения.
- Согласно этому подходу, ключ доступа 1 будет сменяться через N/2, 3N/2 и т. д. дней, а ключ доступа 2 — через N, 2N, 3N и т. д. дней.
Сведения о периодической смене ключей учетной записи хранения см. в статье "Автоматизация смены секрета".
Обновление ключей доступа к учетной записи хранения
Используйте действие скрипта, чтобы обновить ключи, приняв во внимание следующие соображения.
| Свойство | Значение |
|---|---|
| URI bash-скрипта | https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh |
| Типы узлов | Голова |
| Параметры |
ACCOUNTNAME
ACCOUNTKEY
-p (необязательно) |
-
ACCOUNTNAME— имя учетной записи хранения в кластере HDInsight. -
ACCOUNTKEY— ключ доступа дляACCOUNTNAME. -
-pявляется необязательным. Если этот параметр указан, ключ не шифруется и хранится в файле core-site.xml как обычный текст.
Известные проблемы
Приведенный выше скрипт напрямую обновляет ключ доступа только на стороне кластера и не обновляет копию на стороне поставщика ресурсов HDInsight. Поэтому действие скрипта, размещенное в учетной записи хранения, завершится ошибкой после смены ключа доступа.
Решение:
Использование и создание другой учетной записи хранения в том же регионе.
Отправьте скрипт, который вы хотите запустить в эту учетную запись хранения.
Создан SAS URI для скрипта с доступом на чтение.
Если кластер находится в собственной виртуальной сети, убедитесь, что виртуальная сеть разрешает доступ к файлу или скрипту учетной записи хранения.
Используйте этот SAS URI, чтобы запустить действие скрипта.
