Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine verwaltete Identität ist eine in Microsoft Entra registrierte Identität, deren Anmeldeinformationen von Azure verwaltet werden. Bei Verwendung von verwalteten Identitäten müssen Sie in Microsoft Entra ID keine Dienstprinzipale registrieren. Sie müssen auch keine Anmeldeinformationen, z. B. Zertifikate, verwalten.
Verwaltete Identitäten werden in Azure HDInsight verwendet, um bei Bedarf auf Microsoft Entra Domain Services zuzugreifen oder auf Dateien in Azure Data Lake Storage Gen2 zuzugreifen.
Es gibt zwei Arten von verwalteten Identitäten: vom Benutzer zugewiesen und vom System zugewiesen. Azure HDInsight unterstützt nur vom Benutzer zugewiesene verwaltete Identitäten. HDInsight unterstützt keine vom System zugewiesenen verwalteten Identitäten. Eine vom Benutzer zugewiesene verwaltete Identität wird als eigenständige Azure-Ressource erstellt, die Sie dann einer oder mehreren Azure-Dienstinstanzen zuweisen können. Im Gegensatz dazu wird eine vom System zugewiesene verwaltete Identität in der Microsoft Entra-ID erstellt und dann automatisch in einer bestimmten Azure-Dienstinstanz aktiviert. Die Lebensdauer dieser vom System zugewiesenen verwalteten Identität ist dann an die Lebensdauer der Dienstinstanz gebunden, auf der sie aktiviert ist.
Implementierung der verwalteten HDInsight-Identität
In Azure HDInsight können verwaltete Identitäten nur vom HDInsight-Dienst für interne Komponenten verwendet werden. Zurzeit gibt es keine unterstützte Methode zum Generieren von Zugriffstoken mithilfe der verwalteten Identitäten, die auf HDInsight-Clusterknoten für den Zugriff auf externe Dienste installiert sind. Für einige Azure-Dienste wie Compute-VMs werden verwaltete Identitäten mit einem Endpunkt implementiert, den Sie zum Abrufen von Zugriffstokens verwenden können. Dieser Endpunkt ist derzeit in HDInsight-Knoten nicht verfügbar.
Wenn Sie Ihre Anwendungen bootstrapieren müssen, um geheime/Kennwörter in den Analyseaufträgen (z. B. SCALA-Aufträge) zu vermeiden, können Sie ihre eigenen Zertifikate mithilfe von Skriptaktionen an die Clusterknoten verteilen und dann dieses Zertifikat verwenden, um ein Zugriffstoken zu erhalten (z. B. für den Zugriff auf Azure KeyVault).
Erstellen einer verwalteten Identität
Verwaltete Identitäten können mit einer der folgenden Methoden erstellt werden:
Die verbleibenden Schritte zum Konfigurieren der verwalteten Identität hängen vom Szenario ab, in dem sie verwendet werden soll.
Szenarien für verwaltete Identitäten in Azure HDInsight
Verwaltete Identitäten werden in Azure HDInsight in mehreren Szenarien verwendet. Ausführliche Einrichtungs- und Konfigurationsanweisungen finden Sie in den zugehörigen Dokumenten:
- Azure Data Lake Storage Gen2
- Enterprise-Sicherheitspaket
- Vom Kunden verwaltete Festplattenverschlüsselung
HDInsight erneuert automatisch die Zertifikate für die verwalteten Identitäten, die Sie für diese Szenarien verwenden. Es gibt jedoch eine Einschränkung, wenn mehrere verschiedene verwaltete Identitäten für lange ausgeführte Cluster verwendet werden, die Zertifikatverlängerung funktioniert möglicherweise nicht wie erwartet für alle verwalteten Identitäten. Aufgrund dieser Einschränkung empfehlen wir, die gleiche verwaltete Identität für alle oben genannten Szenarien zu verwenden.
Wenn Sie bereits einen lang andauernden Cluster mit mehreren verschiedenen verwalteten Identitäten erstellt haben und auf eines dieser Probleme stoßen:
- In ESP-Clustern tritt beim Start des Clusterdiensts ein Fehler auf, oder dieser wird hochskaliert, und beim Starten anderer Vorgänge treten Authentifizierungsfehler auf.
- In ESP-Clustern wird das LDAPS-Zertifikat beim Ändern des LDAP-Zertifikats von Microsoft Entra Domain Services nicht automatisch aktualisiert, weshalb die LDAP-Synchronisierung und Skalierung fehlschlagen.
- Beim MSI-Zugriff auf ADLS Gen2 treten Fehler auf.
- Verschlüsselungsschlüssel können im CMK-Szenario nicht gedreht werden.
Anschließend sollten Sie allen im Cluster verwendeten verwalteten Identitäten die erforderlichen Rollen und Berechtigungen für die oben genannten Szenarien zuweisen. Wenn Sie z. B. unterschiedliche verwaltete Identitäten für ADLS Gen2- und ESP-Cluster verwendet haben, sollten beide über die Rollen "Besitzer von Speicher-BLOB-Daten" und "HDInsight Domain Services Contributor" verfügen, um diese Probleme zu vermeiden.
Häufig gestellte Fragen
Was geschieht, wenn ich die verwaltete Identität nach der Clustererstellung lösche?
In Ihrem Cluster treten Probleme auf, wenn die verwaltete Identität benötigt wird. Es gibt derzeit keine Möglichkeit, eine verwaltete Identität zu aktualisieren oder zu ändern, nachdem der Cluster erstellt wurde. Daher empfehlen wir, sicherzustellen, dass die verwaltete Identität während der Clusterlaufzeit nicht gelöscht wird. Oder Sie können den Cluster neu erstellen und eine neue verwaltete Identität zuweisen.