إدارة الهوية والوصول لمثيل SQL المدار الذي يدعم Azure Arc
توضح هذه المقالة بنية هوية المثيل المدار وإدارة الوصول (IAM) التي تدعم Azure Arc واعتبارات التصميم والتوصيات لسيناريوهات مختلفة.
يعتمد SQL Managed Instance الذي يدعم Arc على ملحق خدمات البيانات الممكنة في Azure Arc الذي يعمل على نظام مجموعة Kubernetes الممكن في Azure Arc. فيما يلي المكونات المختلفة لخدمات البيانات التي تدعم Azure Arc والمهمة لإدارة الهوية والوصول كجزء من منطقة التصميم الهامة هذه.
- وحدة تحكم بيانات Azure Arc
- موصل Azure Arc Active Directory
- مثيل SQL المُدار والمُمكن بواسطة Azure Arc
بناء الأنظمة
مصادقة SQL.
يتم دعم مصادقة SQL لمثيل SQL المدار الذي يدعم Arc باستخدام هويات SQL المحلية. يتم استخدام أسلوب مصادقة SQL أثناء تسجيل الدخول لأول مرة لإنشاء بيانات اعتماد تسجيل الدخول من Windows للمسؤولين ومنح أذونات لقاعدة البيانات للوصول إلى مثيل SQL المدار الذي يدعم Arc باستخدام مصادقة Active Directory. تدعم لوحات معلومات Grafana وKibana المصادقة الأساسية فقط في الوقت الحالي.
مصادقة خدمات Active Directory
بالنسبة للعديد من مؤسسات المؤسسة، تعد مصادقة Active Directory (AD) المعيار لفرض التحكم في الوصول المستند إلى الدور (RBAC) مع خوادم SQL التي تعمل محليا وعلى بيئات السحابة. يدعم مثيل SQL المدار الذي يدعم Azure Arc مصادقة AD لترحيل قواعد بيانات SQL Server الحالية بسلاسة إلى مثيل SQL المدار الممكن بواسطة Arc والبقاء على اطلاع بأحدث إصدار SQL Server وتصحيحات الأمان.
يستخدم مثيل SQL المدار الذي يدعم Arc علامة التبويب الرئيسية Kerberos لدعم مصادقة AD عند التشغيل على مجموعات Kubernetes التي تدعم Arc. موصل Active Directory هو مكون رئيسي في خدمات البيانات التي تدعم Arc لدعم مصادقة AD.
فيما يلي طريقتان لإنشاء وإدارة جدول مفاتيح Kerberos واستخدامه في مثيل SQL المدار الذي يدعم Arc. تشرح الأقسام التالية السيناريوهات ومتى تستخدم وضع جدول المفاتيح المناسب.
ملف keytab يديره النظام
يبسط موصل Active Directory في وضع جدول المفاتيح المدار بواسطة النظام إنشاء حساب AD وإدارة جدول المفاتيح لمثيل SQL المدار الذي يدعم Arc. موصل AD مسؤول عن إنشاء حسابات الخدمة وتعيين كيانات الخدمةوإنشاء علامة التبويب الرئيسية لدعم مصادقة AD. يوصى بهذه الطريقة للعملاء الذين يفضلون تبسيط العمليات على التحكم الدقيق لإدارة علامة التبويب الرئيسية لمصادقة AD تلقائيا.
الشكل 1: رسم تخطيطي للبنية لموصل AD في وضع جدول المفاتيح المدار بواسطة النظام.
ملف keytab مُدار بواسطة العملاء
يوفر موصل Active Directory في وضع جدول المفاتيح المدار من قبل العميل تحكما كاملا في إدارة حسابات الخدمة وكيانات الخدمة وإنشاء علامة المفاتيح للعملاء الذين يتبعون بدقة عملية مكتبة البنية الأساسية لتكنولوجيا المعلومات (ITIL) وفصل الواجبات لتفويض الأنشطة إلى فرق مختلفة.
الشكل 2: رسم تخطيطي للبنية لموصل AD في وضع جدول المفاتيح الذي يديره العميل.
وحدة تحكم بيانات Azure Arc
عند تثبيت ملحق خدمات البيانات الممكنة بواسطة Arc في وضع الاتصال المباشر، يتم إنشاء هوية مدارة لخدمات البيانات الممكنة بواسطة Arc للتفاعل مع مستوى التحكم في واجهات برمجة تطبيقات Azure Resource Manager (ARM) ومستوى البيانات. تستخدم وحدة تحكم بيانات Azure Arc هذه الهوية المدارة لتنفيذ هذه الإجراءات عند إدارة مثيل SQL المدار الذي يدعم Arc.
في وضع الاتصال غير المباشر، يلزم وجود كيان خدمةبأذونات مطلوبة من قبل Azure Arc Data Controller لتصدير معلومات الاستخدام بشكل دوري مثل المخزون واستخدام الموارد إلى Azure.
Azure RBAC على خدمات البيانات التي تدعم Azure Arc
فيما يلي أذونات التحكم في الوصول استنادا إلى الدور المطلوبة لنشر مقاييس المراقبة إلى Azure Monitor.
| الدور | الوصف |
|---|---|
| مقاييس قاعدة بيانات الناشر المتعلقة بالمراقبة | تمكين مقاييس قاعدة بيانات الناشر مقابل موارد Azure. |
الوصول الآمن إلى مثيل SQL المدار الذي يدعم Azure Arc
يوضح الرسم التخطيطي للبنية التالية الوصول الآمن باستخدام مصادقة AD.
يوضح الرسم التخطيطي للبنية التالية الوصول الآمن باستخدام مصادقة SQL.
اعتبارات التصميم
راجع منطقة التصميم الهامة لإدارة الهوية والوصول في مناطق هبوط Azure لتقييم تأثير خدمات البيانات التي تدعم Azure Arc على الهوية العامة ونموذج الوصول.
توزيع خدمات البيانات الممكنة بواسطة Arc
ضع في اعتبارك الهوية المستخدمة لتوزيع خدمات البيانات التي تدعم Azure Arc اعتمادا على نوع التوزيع، مثل يدويا أو تلقائيا، لتوزيع خدمات البيانات الممكنة بواسطة Arc. يمكن أن تكون هذه الهوية حساب Azure Active Directory (Azure AD) أو حساب بروتوكول الوصول إلى الدليل الخفيف (LDAP) من خدمات مجال Active Directory (AD DS) أو موفر LDAP تابع لجهة خارجية استنادا إلى كيفية إدارة عناصر التحكم الأساسية في الوصول إلى Kubernetes الممكنة في Azure Arc في البيئات المحلية أو البيئات السحابية الأخرى.
ضع في اعتبارك ما إذا كان التحكم في الوصول المستند إلى المجموعة أو عناصر التحكم في الوصول الفردية المستندة إلى الهوية أكثر ملاءمة لمؤسسة تكنولوجيا المعلومات (IT) لإدارة خدمات البيانات الممكنة بواسطة Arc استنادا إلى الحمل الزائد للعمليات التي أنشأها كلا الخيارين.
ضع في اعتبارك بين مسؤولي Kubernetes الممكنين في Azure Arc مقابل مجموعة إدارة قاعدة البيانات (DMG) مقابل مجموعة إدارة التطبيقات لنشر خدمات البيانات الممكنة في Azure Arc وإدارتها اعتمادا على متطلبات إدارة الأمان والفصل بين الواجبات لمؤسستك.
ضع في اعتبارك نمط الاستخدام بين علامة التبويب الرئيسية المدارة من قبل النظام ومفتاح مدار من قبل العميل لنشر موصل Azure Arc AD لدعم مصادقة AD في مثيل SQL المدار الذي يدعم Arc. تتمتع كلتا الطريقتين بفوائد العمليات المبسطة مقارنة بالتحكم الكامل للعملاء في إدارة حسابات الخدمة ومفتاح دعم مصادقة AD.
الوصول إلى خدمات البيانات الممكنة بواسطة Arc
عناصر التحكم في الوصول إلى مثيل SQL المدار الممكن بواسطة Arc مستقلة تماما عن عناصر التحكم الأساسية في الوصول إلى Kubernetes الممكنة في Azure Arc. من المهم اتخاذ بعض قرارات التصميم لإدارة مثيل SQL المدار الذي يدعم Arc وتوفير الوصول إلى تطبيقات المستهلك والمستخدمين النهائيين.
اختر بين مصادقة AD وSQL اعتمادا على تطبيقات مؤسستك أو قدرات الخدمة. نظرا لعدم دعم جميع التطبيقات لمصادقة AD، راجع نهج أمان مؤسستك لأنواع المصادقة المسموح بها، وفرض عناصر تحكم أمان إضافية ضرورية عند استخدام مصادقة SQL.
عندما تحتاج الخدمات السحابية الأصلية إلى مصادقة قواعد بيانات SQL Managed Instance الممكنة بواسطة Arc والاتصال بها لاستخراج البيانات واستيعابها في خدمات تحليلات البيانات، ضع في اعتبارك استخدام الأجهزة الظاهرية أو الفعلية لوقت التشغيل المستضاف ذاتيا والمنضمة عبر SQL لمصادقة مثيل SQL المدار الذي يدعم Arc والاتصال به.
توصيات التصميم
بالإضافة إلى توصيات التصميم التالية، راجع توصيات تصميم إدارة الهوية والوصول ل Kubernetes الممكنة في Azure Arc نظرا لنشر مثيل SQL المدار الذي يدعم Arc على مجموعة Kubernetes الممكنة بواسطة Arc.
توزيع خدمات البيانات الممكنة بواسطة Arc
بالنسبة للمؤسسات التي تتبع عمليات ITIL الصارمة، اعزل الفرق المسؤولة عن إدارة خدمات البيانات الممكنة بواسطة Arc من Kubernetes الممكنة بواسطة Arc عن طريق إنشاء مجموعات أمان مختلفة، ثم قم بتعيين أذونات لإدارة خدمات البيانات الممكنة بواسطة Arc.
استخدم وضع جدول المفاتيح المدار من قبل النظام لدعم مصادقة AD لإلغاء تحميل حساب المجال والنفقات العامة لإدارة جدول المفاتيح لتبسيط العمليات.
استخدم وضع جدول المفاتيح المدار من قبل العميل لمصادقة AD للتحكم الكامل في إنشاء حساب الخدمة وإنشاء جدول المفاتيح.
إنشاء وحدة مؤسسة AD مخصصة (OU) لتفويض التحكم في الوصول وتبسيط العمليات لجميع حسابات SQL Managed Instance التي تدعم Arc.
استخدم تشفير AES256 لملفات Kerberos keytab وتجنب استخدام شفرات RC4.
الوصول إلى خدمات البيانات الممكنة بواسطة Arc
عند الاقتضاء، استخدم مصادقة AD مع SQL Managed Instance لإلغاء تحميل إدارة دورة حياة المستخدم إلى خدمات الدليل واستخدام مجموعات الأمان في AD لإدارة أذونات المستخدم.
استخدم مصادقة SQL مع مثيل SQL المدار الممكن بواسطة Arc كنوع مصادقة أقل تفضيلاوعندما لا يكون من الممكن استخدام مصادقة AD.
بمجرد أن تصبح مصادقة AD ممكنة لاحتياجاتك التنظيمية، تجنب استخدام مصادقة SQL للعمليات اليومية. استخدم مصادقة SQL فقط للوصول في حالات الطوارئ إلى خادم قاعدة البيانات لإدارة قاعدة البيانات.
في سيناريوهات التوزيع التي لا تدعم مصادقة AD، استخدم مصادقة SQL المدعومة في مثيل SQL المدار الذي يدعم Arc. تأكد من استخدام نهج كلمة مرور قوية وتمكين التدقيق لمراقبة هويات مستخدم SQL والأذونات الممنوحة للوصول إلى خوادم قواعد البيانات وقواعد البيانات.
عناصر تحكم الوصول المستندة إلى الدور (RBAC)
في وضع جدول المفاتيح المدار من قبل النظام، يلزم الحصول على أذونات صريحة لحساب خدمة المجال (DSA) على مستوى الوحدة التنظيمية ل Active Directory لمثيل SQL المدار الذي يدعم Arc.
فيما يلي أذونات التحكم في الوصول استنادا إلى الدور المطلوبة. بالنسبة لوضع جدول المفاتيح المدار من قبل العميل، لا يلزم وجود أذونات صريحة لحساب خدمة المجال على مستوى الوحدة التنظيمية ل Active Directory.
أذونات Azure Arc AD Connector
| الإذن | الوصف |
|---|---|
| قراءة جميع الخصائص | السماح بقراءة كافة خصائص عنصر دليل. |
| كتابة كافة الخصائص | السماح بالتحديثات لجميع خصائص عنصر الدليل. |
| إنشاء كائنات المستخدم | السماح بإنشاء كائنات الدليل في الوحدة التنظيمية. |
| حذف كائنات المستخدم | السماح بحذف عناصر الدليل في الوحدة التنظيمية. |
| إعادة تعيين كلمة المرور | السماح بإعادة تعيين كلمة المرور لعناصر المستخدم في الوحدة التنظيمية. |
أدوار SQL Server
الخطوات التالية
لمزيد من المعلومات حول هوية مثيل SQL المدار الذي يدعم Azure Arc وإدارة الوصول، راجع المقالات التالية:
- مثيل SQL المدار الذي يدعم Azure Arc مع مصادقة Active Directory
- مثيل SQL المدار الذي يدعم Azure Arc في المتطلبات المسبقة لمصادقة Active Directory
- البرنامج التعليمي: نشر موصل Active Directory باستخدام Azure CLI
- نشر مثيل SQL المدار المتكامل الذي يدعم Azure Arc في Active Directory
- جرب سيناريوهات SQL Managed Instance التي تدعم Azure Arc باستخدام Azure Arc Jumpstart.
- لمعرفة المزيد حول Azure Arc، راجع مسار تعلم Azure Arc على Microsoft Learn.