Bagikan melalui


Tutorial – Menyebarkan konektor Active Directory (AD) dalam mode keytab yang dikelola pelanggan

Artikel ini menjelaskan cara menyebarkan konektor Active Directory (AD) dalam mode keytab yang dikelola pelanggan. Konektor adalah komponen utama untuk mengaktifkan autentikasi Direktori Aktif pada SQL Managed Instance yang diaktifkan oleh Azure Arc.

Konektor Direktori Aktif dalam mode keytab yang dikelola pelanggan

Dalam mode keytab yang dikelola pelanggan, konektor Direktori Aktif menyebarkan layanan proksi DNS yang memproksi permintaan DNS yang berasal dari instans terkelola ke salah satu dari dua layanan DNS upstream:

  • Server DNS Direktori Aktif
  • Server DNS Kubernetes

Konektor AD memfasilitasi lingkungan yang diperlukan oleh SQL untuk mengautentikasi login AD.

Diagram berikut menunjukkan fungsionalitas layanan Konektor AD dan Proksi DNS dalam mode keytab yang dikelola pelanggan:

Konektor Direktori Aktif

Prasyarat

Sebelum melanjutkan, Anda harus memiliki:

  • Instans Pengontrol Data yang disebarkan pada versi Kubernetes yang didukung
  • Domain Active Directory (AD)

Input untuk menyebarkan Konektor Direktori Aktif (AD)

Untuk menyebarkan instans konektor Direktori Aktif, beberapa input diperlukan dari lingkungan domain Direktori Aktif.

Input ini disediakan dalam spesifikasi YAML instans Konektor AD.

Metadata berikut tentang domain AD harus tersedia sebelum menyebarkan instans Konektor AD:

  • Nama domain Direktori Aktif
  • Daftar pengendali domain (nama domain yang sepenuhnya memenuhi syarat)
  • Daftar alamat IP server DNS

Bidang input berikut diekspos ke pengguna dalam spesifikasi konektor Direktori Aktif:

  • Diperlukan

    • spec.activeDirectory.realm Nama domain Direktori Aktif dalam huruf besar. Ini adalah domain AD yang akan dikaitkan dengan instans Ad Connector ini.

    • spec.activeDirectory.dns.nameserverIpAddresses Daftar alamat IP server DNS Direktori Aktif. Layanan proksi DNS akan meneruskan kueri DNS dalam nama domain yang disediakan ke server ini.

  • Opsional

    • spec.activeDirectory.netbiosDomainName Nama NetBIOS domain Direktori Aktif. Ini adalah nama domain pendek (nama pra-Windows 2000) dari domain Direktori Aktif Anda. Ini sering digunakan untuk memenuhi syarat akun di domain AD. misalnya jika akun di domain disebut sebagai CONTOSO\admin, maka CONTOSO adalah nama domain NETBIOS.

      Bidang ini bersifat opsional. Ketika tidak disediakan, nilainya default ke label spec.activeDirectory.realm pertama bidang.

      Di sebagian besar lingkungan domain, ini diatur ke nilai default tetapi beberapa lingkungan domain mungkin memiliki nilai non-default. Anda harus menggunakan bidang ini hanya ketika nama NetBIOS domain Anda tidak cocok dengan label pertama dari nama yang sepenuhnya memenuhi syarat.

    • spec.activeDirectory.dns.domainName Nama domain DNS tempat pencarian DNS harus diteruskan ke server DNS Direktori Aktif.

      Pencarian DNS untuk nama apa pun milik domain ini atau domain turunannya akan diteruskan ke Direktori Aktif.

      Bidang ini bersifat opsional. Ketika tidak disediakan, nilai default yang disediakan untuk spec.activeDirectory.realm dikonversi ke huruf kecil.

    • spec.activeDirectory.dns.replicas Jumlah replika untuk layanan proksi DNS. Bidang ini bersifat opsional dan default ke 1 jika tidak disediakan.

    • spec.activeDirectory.dns.preferK8sDnsForPtrLookups Bendera yang menunjukkan apakah akan lebih memilih respons server DNS Kubernetes daripada respons server DNS AD untuk pencarian alamat IP.

      Layanan proksi DNS bergantung pada bidang ini untuk menentukan grup upstream server DNS mana yang lebih disukai untuk pencarian alamat IP.

      Bidang ini bersifat opsional. Ketika tidak disediakan, defaultnya adalah true pencarian DNS alamat IP akan terlebih dahulu diteruskan ke server DNS Kubernetes. Jika server DNS Kubernetes gagal menjawab pencarian, kueri kemudian diteruskan ke server DNS AD. Ketika diatur ke false, pencarian DNS ini akan diteruskan ke server DNS AD terlebih dahulu dan setelah kegagalan, kembali ke Kubernetes.

Menyebarkan konektor Active Directory (AD) keytab yang dikelola pelanggan

Untuk menyebarkan konektor AD, buat file spesifikasi .yaml yang disebut active-directory-connector.yaml.

Contoh berikut adalah contoh konektor AD keytab yang dikelola pelanggan menggunakan domain ad nama CONTOSO.LOCAL. Pastikan untuk mengganti nilai dengan nilai untuk domain AD Anda.

apiVersion: arcdata.microsoft.com/v1beta1
kind: ActiveDirectoryConnector
metadata:
  name: adarc
  namespace: <namespace>
spec:
  activeDirectory:
    realm: CONTOSO.LOCAL
  dns:
    preferK8sDnsForPtrLookups: false
    nameserverIPAddresses:
      - <DNS Server 1 IP address>
      - <DNS Server 2 IP address>

Perintah berikut menyebarkan instans konektor AD. Saat ini, hanya pendekatan kube-native penyebaran yang didukung.

kubectl apply –f active-directory-connector.yaml

Setelah mengirimkan penyebaran instans Ad Connector, Anda dapat memeriksa status penyebaran menggunakan perintah berikut.

kubectl get adc -n <namespace>