场景：具有磁盘加密的 Azure HDInsight 群集无法访问 Key Vault

本文介绍在与 Azure HDInsight 群集交互时出现的问题的故障排除步骤和可能的解决方法。

问题

当群集节点无法访问客户 Key Vault (KV) 时，会针对创建自己的密钥 (BYOK) 群集显示资源运行状况中心 (RHC) 警报 The HDInsight cluster is unable to access the key for BYOK encryption at rest。 Apache Ambari UI 上也会显示类似的警报。

原因

此警报确保可从群集节点访问 KV，从而确保用户分配的托管标识的网络连接、KV 运行状况和访问策略。 此警报只是关于后续节点重新启动时即将关闭代理的警告，群集会继续正常运行，直到节点重新启动。

导航到 Apache Ambari UI，从“磁盘加密 Key Vault 状态”中找到关于警报的详细信息。 此警报会提供关于验证失败原因的详细信息。

解决方法

KV/AAD 中断

有关更多详细信息，请查看 Azure Key Vault 可用性和冗余和 Azure 状态页 https://status.azure.com/

KV 意外删除

• 将 KV 上已删除的密钥还原为自动恢复。 有关详细信息，请参阅恢复已删除的密钥。
• 联系 KV 团队以恢复意外删除的密钥。

KV 访问策略已更改

还原已分配到 HDI 群集的用户分配的托管标识的访问策略，以访问 KV。

允许密钥执行的操作

对于 KV 中的每个密钥，可选择一组允许的操作。 确保为 BYOK 密钥启用包装和解包.操作

过期的密钥

如果密钥已过期但尚未轮换，请联系 KV 团队来清除过期日期。

KV 防火墙阻止访问

修复 KV 防火墙设置，以允许 BYOK 群集节点访问 KV。

虚拟网络上的 NSG 规则阻止访问

检查与连接到群集的虚拟网络相关联的 NSG 规则。

缓解和防护步骤

KV 意外删除

• 配置 Key Vault 并设置资源锁。
• 将密钥备份到其硬件安全模块。

密钥删除

删除密钥之前，应先删除群集。

KV 访问策略已更改

定期审核和测试访问策略。

过期的密钥

• 将密钥备份到 HSM。
• 使用未设置任何到期日期的密钥。
• 如果需要设置到期日期，请在到期日期之前轮换密钥。