Menyiapkan Layanan Sinkronisasi MIM dengan Azure SQL Server

Penyebaran khas Layanan Sinkronisasi MIM mengharuskan Windows Server untuk menghosting perangkat lunak MIM dan database SQL Server untuk menghosting konfigurasi dan data. Artikel ini membimbing Anda melalui opsi penerapan alternatif yang menggunakan Azure SQL alih-alih instans SQL Server di lokasi.

Dalam artikel ini, Anda membuat grup sumber daya Azure, mengonfigurasi komputer virtual, menyebarkan database Azure SQL dengan konektivitas titik akhir privat, dan mengonfigurasi autentikasi identitas terkelola.

Prasyarat

• Langganan Microsoft Azure aktif.
• Grup sumber daya Azure. Jika Anda perlu membuatnya, lihat Membuat grup sumber daya.

Mengonfigurasi peran dan identitas terkelola

Verifikasi bahwa Anda memiliki peran yang diperlukan di grup sumber daya Anda, lalu konfigurasikan identitas terkelola untuk autentikasi ke Azure SQL Server.

1. Pastikan Anda memiliki setidaknya peran Kontributor dan Administrator Akses Pengguna yang ditetapkan pada grup sumber daya. Peran ini diperlukan untuk membuat sumber daya dan menetapkan identitas terkelola. Jika Anda perlu menggunakan peran Pemilik, pertimbangkan untuk menggunakan Privileged Identity Management (PIM) untuk akses tepat waktu.

2. Pilih metode autentikasi Azure SQL. Anda bisa menggunakan salah satu opsi berikut:

   • Opsi 1 - Identitas Terkelola yang Ditetapkan Pengguna (disarankan): Buat Identitas Terkelola yang Ditetapkan Pengguna di grup sumber daya. Identitas ini digunakan untuk mengautentikasi Layanan Sinkronisasi MIM ke instans Azure SQL Server. Misalnya, beri nama contoso-mim-uami.

   • Opsi 2 - Identitas Terkelola yang Ditetapkan Sistem: Aktifkan identitas terkelola yang ditetapkan sistem untuk mesin virtual Layanan Sinkronisasi MIM di tahap selanjutnya dalam proses, selama pembuatan mesin virtual.

Membuat komputer virtual Layanan Sinkronisasi MIM

Siapkan komputer virtual Windows Server untuk menghosting perangkat lunak Layanan Sinkronisasi MIM.

1. Buat komputer virtual baru berdasarkan Windows Server 2019 atau yang lebih baru. Windows Server 2022 disarankan. Ukuran minimum yang direkomendasikan adalah Standard_DS2_v2 (2 vCPU, RAM 7 GB).

2. Selama pembuatan komputer virtual, pilih untuk membuat jaringan virtual baru. Anda memerlukan jaringan virtual ini nanti untuk menambahkan Azure SQL Server ke jaringan yang sama, atau untuk menyiapkan peering antara jaringan komputer virtual Layanan Sinkronisasi MIM dan jaringan virtual Azure SQL Server.

3. Konfigurasikan identitas terkelola untuk komputer virtual Anda berdasarkan opsi yang Anda pilih sebelumnya:

   • Jika Anda memilih Opsi 1 (Identitas Terkelola yang Ditetapkan Pengguna): Setelah komputer virtual dibuat, buka tab Identitas di bawah Pengaturan dan tambahkan Identitas Terkelola yang Ditetapkan Pengguna yang Anda buat sebelumnya (misalnya, contoso-mim-uami).

   • Jika Anda memilih Opsi 2 (Identitas Terkelola yang Ditetapkan Sistem): Selama pembuatan komputer virtual, aktifkan opsi Identitas terkelola yang ditetapkan sistem untuk mengizinkan autentikasi tanpa kata sandi dari komputer virtual ini ke instans Azure SQL Server.

4. (Opsional) Aktifkan Masuk dengan ID Microsoft Entra untuk masuk ke komputer virtual Anda dengan akun ID Microsoft Entra Anda.

5. (Opsional) Alih-alih mengaktifkan akses RDP dari internet, batasi akses RDP ke subnet VPN Anda dan siapkan rute statis ke IP publik komputer virtual Layanan Sinkronisasi MIM melalui terowongan VPN Anda.

6. Pilih Tinjau dan Buat untuk membuat komputer virtual.

7. (Opsional) Setelah komputer virtual dibuat, buka Kontrol Akses (IAM) dan tambahkan penetapan peran. Pilih Masuk Administrator Komputer Virtual dan tetapkan ke akun yang Anda gunakan untuk masuk ke komputer virtual.

Membuat Azure SQL Database

Sebarkan database Azure SQL dengan konektivitas titik akhir privat untuk terhubung dengan aman ke komputer virtual Layanan Sinkronisasi MIM.

1. Buat instans Azure SQL Server baru di grup sumber daya. Pilih Database tunggal sebagai opsi penyebaran SQL.

2. Masukkan nama database dan pilih untuk membuat server baru.

3. Berikan nama dan lokasi Azure SQL Server.

4. Pilih Microsoft Entra-only sebagai metode autentikasi.

5. Tambahkan akun yang Anda gunakan untuk menyambungkan ke mesin virtual Layanan Sinkronisasi MIM sebagai admin Microsoft Entra untuk server Azure SQL.

   Important

   Meskipun konfigurasi Windows Server Layanan Sinkronisasi MIM dan Azure SQL Server yang direkomendasikan telah ditentukan di bawah ini, pengguna harus menguji konfigurasi tersebut di lingkungan praproduksi guna menentukan optimalisasi untuk beban transaksional mereka sebelum diterapkan ke produksi.

6. Pilih lingkungan beban kerja Anda (misalnya, Pengembangan) untuk mengukur instans Azure SQL Server. Sesuaikan konfigurasi database sesuai kebutuhan, seperti menambahkan lebih banyak vCore atau meningkatkan ukuran penyimpanan maksimum. Untuk pengujian, Anda dapat menyimpan pengaturan default yang tersisa.

7. Pada tab Jaringan , pilih Titik akhir privat sebagai metode konektivitas dan pilih + Tambahkan titik akhir privat.

8. Pastikan grup dan lokasi sumber daya yang sama dipilih, dan berikan nama untuk titik akhir privat Anda.

9. Pilih jaringan virtual yang sama dengan yang Anda gunakan saat membuat komputer virtual Layanan Sinkronisasi MIM (atau rencanakan untuk menyiapkan peering antar jaringan nanti).

10. Aktifkan integrasi DNS Privat dan pilih Tambahkan.

11. Pertahankan kebijakan koneksi default dan versi TLS minimum yang diatur ke TLS 1.2, lalu buat database SQL Server dan SQL.

Mengatur izin pada database Azure SQL

Konfigurasikan identitas terkelola sebagai pengguna database dengan peran yang sesuai untuk memungkinkan Layanan Sinkronisasi MIM mengakses database.

Important

Anda mungkin perlu mengaktifkan akses publik untuk sementara waktu di Azure SQL Server untuk menggunakan Editor Kueri SQL dari portal Microsoft Azure. Setelah Anda selesai mengatur izin, nonaktifkan akses publik.

Buka Editor Kueri SQL untuk database baru Anda dan jalankan perintah SQL berikut ini. Ganti <managed-identity-name> dengan nama Identitas Terkelola yang Ditetapkan Pengguna atau Identitas Terkelola yang Ditetapkan Sistem Anda.

create user [<managed-identity-name>] from external provider;
alter role db_owner add member [<managed-identity-name>];

Langkah selanjutnya

Menginstal Layanan Sinkronisasi MIM