Udostępnij za pośrednictwem

Wystąpienie zarządzane SQL włączone przez usługę Azure Arc z uwierzytelnianiem usługi Active Directory

  • Artykuł

Usługi danych z obsługą usługi Azure Arc obsługują usługę Active Directory (AD) na potrzeby zarządzania tożsamościami i dostępem (IAM). Usługa SQL Managed Instance włączona przez usługę Azure Arc używa istniejącej domeny lokalna usługa Active Directory (AD) do uwierzytelniania.

W tym artykule opisano sposób włączania usługi SQL Managed Instance włączonej przez usługę Azure Arc z uwierzytelnianiem usługi Active Directory (AD). W tym artykule przedstawiono dwa możliwe tryby integracji usługi AD:

  • Kartę kluczy zarządzanych przez klienta (CMK)
  • Kartę kluczy zarządzanych przez usługę (SMK)

Pojęcie trybu integracji usługi Active Directory (AD) opisuje proces zarządzania kluczami, w tym:

  • Tworzenie konta usługi AD używanego przez usługę SQL Managed Instance
  • Rejestrowanie głównych nazw usługi (SPN) na powyższym koncie usługi AD.
  • Generowanie pliku tab keytab

Tło

Aby włączyć uwierzytelnianie usługi Active Directory dla programu SQL Server w kontenerach z systemami Linux i Linux, użyj pliku karty kluczy. Plik keytab to plik kryptograficzny zawierający nazwy główne usługi (SPN), nazwy kont i nazwy hostów. Program SQL Server używa pliku karty kluczy do uwierzytelniania się w domenie usługi Active Directory (AD) i uwierzytelniania swoich klientów przy użyciu usługi Active Directory (AD). Wykonaj następujące kroki, aby włączyć uwierzytelnianie usługi Active Directory dla wystąpienia zarządzanego SQL z obsługą usługi Arc:

Na poniższym diagramie przedstawiono sposób włączania uwierzytelniania usługi Active Directory dla wystąpienia zarządzanego SQL włączonego przez usługę Azure Arc:

Actice Directory Deployment User journey

Co to jest łącznik usługi Active Directory (AD)?

Aby włączyć uwierzytelnianie usługi Active Directory dla usługi SQL Managed Instance, wystąpienie musi zostać wdrożone w środowisku, które umożliwia komunikację z domeną usługi Active Directory.

Aby to ułatwić, usługi danych z obsługą usługi Azure Arc wprowadzają nową natywną niestandardową definicję zasobów (CRD) platformy Kubernetes o nazwie Active Directory Connector. Udostępnia on wystąpienia uruchomione na tym samym kontrolerze danych możliwość przeprowadzania uwierzytelniania w usłudze Active Directory.

Porównanie trybów integracji usługi AD

Jaka jest różnica między dwoma trybami integracji usługi Active Directory?

Aby włączyć uwierzytelnianie usługi Active Directory dla usługi SQL Managed Instance włączonej przez usługę Azure Arc, potrzebny jest łącznik usługi Active Directory, w którym określono tryb wdrażania integracji usługi Active Directory. Dwa tryby integracji usługi Active Directory to:

  • Kartę klucza zarządzanego przez klienta
  • Kartę klucza zarządzanego przez usługę

W poniższej sekcji porównane są te tryby.

Kartę klucza zarządzanego przez klienta Kartę klucza zarządzanego przez system
Przypadki użycia Małe i średnie firmy, które znają zarządzanie obiektami usługi Active Directory i chcą elastyczności w procesie automatyzacji Wszystkie rozmiary firm — dążenie do wysoce zautomatyzowanego środowiska zarządzania usługą Active Directory
Użytkownik udostępnia Konto usługi Active Directory i nazwy SPN w ramach tego konta oraz plik tab klucza na potrzeby uwierzytelniania w usłudze Active Directory Jednostka organizacyjna (OU) i konto usługi domeny mają wystarczające uprawnienia do tej jednostki organizacyjnej w usłudze Active Directory.
Cechy Zarządzana przez użytkownika. Użytkownicy uzyskują konto usługi Active Directory, które personifikuje tożsamość wystąpienia zarządzanego i pliku tab. Zarządzana przez system. System tworzy konto usługi domeny dla każdego wystąpienia zarządzanego i automatycznie ustawia nazwy SPN na tym koncie. Tworzy również i dostarcza plik keytab do wystąpienia zarządzanego.
Proces wdrażania 1. Wdrażanie kontrolera danych
2. Tworzenie pliku tab klucza
3. Konfigurowanie informacji o karcie kluczy do wpisu tajnego platformy Kubernetes
4. Wdrażanie łącznika usługi AD, wdrażanie wystąpienia zarządzanego SQL

Aby uzyskać więcej informacji, zobacz Wdrażanie łącznika usługi Active Directory zarządzanego przez klienta		 1. Wdrażanie kontrolera danych, wdrażanie łącznika usługi AD
2. Wdrażanie wystąpienia zarządzanego SQL

Aby uzyskać więcej informacji, zobacz Deploy a system-managed keytab Active Directory connector (Wdrażanie łącznika usługi Active Directory zarządzanego przez system)
Zarządzania Możesz utworzyć plik keytab, postępując zgodnie z instrukcjami z narzędzia usługi Active Directory (adutil). Ręczne obracanie kart klawiszy. Zarządzana rotacja kart kluczy.
Ograniczenia Nie zalecamy udostępniania plików z kluczami między usługami. Każda usługa powinna mieć określony plik tab kluczy. Wraz ze wzrostem liczby plików keytab zwiększa się poziom nakładu pracy i złożoności. Zarządzane generowanie i rotacja kart kluczy. Konto usługi będzie wymagać wystarczających uprawnień w usłudze Active Directory do zarządzania poświadczeniami.

Rozproszona grupa dostępności nie jest obsługiwana.

W przypadku dowolnego trybu potrzebujesz określonego konta usługi Active Directory, karty kluczy i wpisu tajnego kubernetes dla każdego wystąpienia zarządzanego SQL.

Włączanie uwierzytelniania usługi Active Directory

Podczas wdrażania wystąpienia z zamiarem włączenia uwierzytelniania usługi Active Directory wdrożenie musi odwoływać się do wystąpienia łącznika usługi Active Directory do użycia. Odwoływanie się do łącznika usługi Active Directory w specyfikacji wystąpienia zarządzanego automatycznie konfiguruje wymagane środowisko w kontenerze wystąpień w celu uwierzytelniania w usłudze Active Directory.

Powiązana zawartość