Menyebarkan beberapa SQL Server Kluster Big Data dalam domain Direktori Aktif yang sama

Berlaku untuk: SQL Server 2019 (15.x)

Artikel ini menjelaskan pembaruan untuk SQL Server Pembaruan Kumulatif 5 (CU5) 2019, yang memungkinkan konfigurasi beberapa Kluster Big Data SQL Server 2019. Berbagai Kluster Big Data sekarang dapat disebarkan dan diintegrasikan dengan Domain Direktori Aktif yang sama.

Penting

Add-on Kluster Big Data Microsoft SQL Server 2019 akan dihentikan. Dukungan untuk Kluster Big Data SQL Server 2019 akan berakhir pada 28 Februari 2025. Untuk informasi selengkapnya, lihat Opsi big data di platform Microsoft SQL Server.

Sebelum SQL Server 2019 CU5, dua masalah mencegah penyebaran beberapa kluster big data di domain AD.

  • Konflik penamaan untuk nama perwakilan layanan dan domain DNS
  • Nama prinsipal akun domain

Apa itu tabrakan nama objek?

Nama perwakilan layanan (SPN) dan konflik penamaan domain DNS

Nama domain yang disediakan saat penyebaran digunakan sebagai domain DNS Active Directory (AD) Anda. Ini berarti bahwa pod dapat terhubung satu sama lain dalam jaringan internal menggunakan domain DNS ini. Pengguna juga terhubung ke titik akhir kluster big data menggunakan domain DNS ini. Akibatnya, setiap Nama Prinsipal Layanan (SPN) yang dibuat untuk layanan dalam kluster big data memiliki pod, layanan, atau nama titik akhir Kube yang memenuhi syarat dengan domain DNS AD ini. Jika pengguna menyebarkan kluster kedua di domain, SPN yang dihasilkan memiliki FQDN yang sama, karena nama pod serta nama domain DNS tidak berbeda di antara kluster. Pertimbangkan kasus di mana domain AD DNS adalah contoso.local. Salah satu SPN yang dihasilkan untuk kumpulan master SQL Server dalam pod master-0 adalah MSSQLSvc/master-0.contoso.local:1433. Di kluster kedua pengguna mencoba untuk menyebarkan, nama pod untuk master-0 adalah sama. Pengguna menyediakan domain DNS AD yang sama (contoso.local) yang menghasilkan string SPN yang sama. Direktori Aktif melarang pembuatan SPN yang bertentangan yang mengarah ke kegagalan penyebaran untuk kluster kedua.

Nama prinsipal akun domain

Selama penyebaran kluster big data dengan domain Direktori Aktif, beberapa prinsipal akun dihasilkan untuk layanan yang berjalan di dalam kluster big data. Ini pada dasarnya adalah akun pengguna AD. Sebelum SQL Server 2019 CU5, nama untuk akun ini tidak unik di antara kluster. Ini bermanifestasi dalam upaya untuk membuat nama akun pengguna yang sama untuk layanan tertentu di kluster big data dalam dua kluster yang berbeda. Kluster kedua yang disebarkan mengalami konflik dalam AD dan akun tidak dapat dibuat.

Cara mengatasi tabrakan nama

Langkah-langkah untuk mengatasi masalah domain SPN dan DNS - SQL Server 2019 CU5

SPN harus unik dalam kluster. Nama domain DNS yang diteruskan pada waktu penyebaran juga harus berbeda. Anda dapat menentukan nama DNS yang berbeda dengan pengaturan yang baru diperkenalkan dalam file konfigurasi penyebaran: subdomain. Jika subdomain berbeda antara dua kluster dan komunikasi internal dapat terjadi melalui subdomain ini, SPN akan menyertakan subdomain yang mencapai keunikan yang diperlukan.

Catatan

Nilai yang diteruskan melalui pengaturan subdomain bukan domain AD baru, tetapi domain DNS yang digunakan secara internal.

Mari kita kembali ke kasus kumpulan master SQL Server SPN. Jika subdomain adalah bdc, SPN yang dibahas diubah menjadi MSSQLSvc/master-0.bdc.contoso.local:1433.

Nama kluster big data atau nama namespace layanan digunakan untuk menghitung nilai pengaturan subdomain. Anda dapat secara opsional menyesuaikan nilai parameter subdomain yang baru diperkenalkan dalam spesifikasi konfigurasi direktori aktif. Ketika pengguna ingin mengganti nama subdomain, mereka dapat melakukannya menggunakan parameter subdomain baru dalam spesifikasi konfigurasi direktori aktif.

Cara memastikan keunikan nama akun

Untuk memperbarui nama akun dan menjamin keunikan, gunakan awalan akun. Awalan akun adalah segmen dari nama akun yang unik di antara dua kluster. Segmen yang tersisa dari nama akun dapat berupa konstanta. Format nama akun baru terlihat seperti berikut ini: <prefix>-<name>-<podId>.

Catatan

Direktori Aktif mengharuskan nama akun dibatasi hingga 20 karakter. Kluster big data perlu menggunakan 8 karakter untuk membedakan pod dan StatefulSets. Ini meninggalkan 12 karakter untuk awalan akun.

Anda memiliki opsi untuk menyesuaikan nama akun Anda. accountPrefix Gunakan parameter dalam spesifikasi konfigurasi direktori aktif. SQL Server 2019 CU5 diperkenalkan accountPrefix dalam spesifikasi konfigurasi. Secara default, nama subdomain digunakan sebagai awalan akun. Jika nama subdomain lebih panjang dari 12 karakter, substring 12 karakter awal dari nama subdomain digunakan sebagai awalan akun.

Subdomain hanya berlaku untuk DNS. Oleh karena itu nama akun pengguna LDAP baru adalah bdc-ldap@contoso.local. Nama akun bukan bdc-ldap@bdc.contoso.local.

Semantik

Berikut ini adalah parameter yang ditambahkan di SQL Server 2019 CU5 untuk mengonfigurasi beberapa kluster dalam domain:

subdomain

  • Bidang opsional
  • Jenis data: string
  • Definisi: Subdomain DNS unik yang digunakan untuk kluster big data ini. Nilai ini harus berbeda untuk setiap kluster yang disebarkan di domain Direktori Aktif.
  • Nilai default: Ketika tidak disediakan, nama kluster akan digunakan sebagai nilai default
  • Panjang maksimum: 63 karakter per label (label menjadi setiap string yang dipisahkan oleh titik).
  • Keterangan: Nama DNS titik akhir harus menggunakan subdomain di FQDN mereka.

accountPrefix

  • Bidang opsional
  • Jenis data: string
  • Definisi: Awalan unik untuk akun AD yang akan dihasilkan kluster big data. Nilai ini harus berbeda untuk setiap kluster yang disebarkan di domain Direktori Aktif.
  • Nilai default: Jika tidak disediakan, nama subdomain akan digunakan sebagai nilai default. Ketika subdomain tidak disediakan, nama kluster akan digunakan sebagai nama subdomain, dan karenanya nama kluster juga akan diwarisi sebagai accountPrefix. Jika subdomain disediakan dan merupakan nama multipihak (berisi satu atau beberapa titik), pengguna harus menyediakan accountPrefix.
  • Panjang maksimum: 12 karakter

Penyesuaian domain AD dan server DNS

Tidak ada perubahan yang diperlukan di domain AD atau pengendali domain untuk mengakomodasi penyebaran beberapa kluster big data terhadap domain Direktori Aktif yang sama. Subdomain DNS akan dibuat secara otomatis di server DNS saat mendaftarkan nama DNS titik akhir eksternal.

Perubahan pada file konfigurasi penyebaran

Bagian activeDirectory di control plane configuration control.json memiliki dua parameter opsional baru: subdomain dan accountPrefix. Nama kluster digunakan untuk masing-masing parameter ini. Berikan nilai baru untuk pengaturan ini jika Anda ingin mengambil alih perilaku default. Nama kluster sama dengan nama namespace.

Anda memiliki opsi untuk menggunakan nama DNS titik akhir apa pun, selama nama DNS tersebut sepenuhnya memenuhi syarat. Ini juga tidak dapat berkonflik dengan kluster big data lain yang disebarkan di domain yang sama. Anda dapat menggunakan nilai parameter subdomain untuk memastikan nama DNS berbeda di seluruh kluster. Pertimbangkan titik akhir gateway. Anda bisa menggunakan nama gateway untuk titik akhir dan mendaftarkannya di server DNS secara otomatis. Untuk melakukan ini sebagai bagian dari penyebaran kluster big data Anda, gunakan gateway.bdc1.contoso.local sebagai nama DNS. Jika bdc1 adalah subdomain dan contoso.local merupakan nama domain AD DNS. Nilai lain yang dapat diterima adalah: gateway-bdc1.contoso.local atau hanya gateway.contoso.local.

Beberapa contoh konfigurasi keamanan Direktori Aktif

Berikut ini adalah contoh konfigurasi keamanan direktori aktif, jika Anda ingin mengganti subdomain dan accountPrefix.

    "security": { 
        "activeDirectory": { 
            "ouDistinguishedName":"OU=contosoou,DC=contoso,DC=local", 
            "dnsIpAddresses": [ "10.10.10.10" ], 
            "domainControllerFullyQualifiedDns": [ "contoso-win2016-dc.contoso.local" ], 
            "domainDnsName":"contoso.local", 
            "subdomain": "bdc", 
            "accountPrefix": "myprefix", 
            "clusterAdmins": [ "contosoadmins" ], 
            "clusterUsers": [ "contosousers1", "contosousers2" ] 
        } 
    } 
  

Berikut ini adalah contoh spesifikasi titik akhir untuk titik akhir sarana kontrol. Anda bisa menggunakan nilai apa pun untuk nama DNS, selama nilai tersebut unik dan sepenuhnya memenuhi syarat:

        "endpoints": [ 
            { 
                "serviceType": "NodePort", 
                "port": 30080, 
                "name": "Controller", 
                "dnsName": "control-bdc1.contoso.local" 
            }, 
            { 
                "serviceType": "NodePort", 
                "port": 30777, 
                "name": "ServiceProxy", 
                "dnsName": "monitor-bdc1.contoso.local" 
            } 
        ] 
  

Pertanyaan

Apakah Anda perlu membuat unit organisasi terpisah untuk kluster yang berbeda?

Ini tidak diperlukan, tetapi disarankan. Menyediakan OU terpisah untuk kluster terpisah membantu Anda mengelola akun pengguna yang dihasilkan.

Bagaimana cara kembali ke perilaku pra-CU5 di SQL Server 2019?

Mungkin ada skenario di mana Anda tidak dapat mengakomodasi parameter yang baru diperkenalkan subdomain . Misalnya Anda harus menyebarkan rilis pra-CU5 dan Anda sudah meningkatkan Azure Data CLI (azdata). Ini sangat tidak mungkin, tetapi jika Anda perlu kembali ke perilaku pra-CU5, Anda dapat mengatur useSubdomain parameter ke false di bagian direktori aktif dari control.json.

Contoh berikut mengatur useSubdomain ke false untuk skenario ini.

azdata bdc config replace -c custom-prod-kubeadm/control.json -j "$.security.activeDirectory.useSubdomain=false" 

Langkah berikutnya

Memecahkan masalah SQL Server integrasi Direktori Aktif Kluster Big Data