Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir:
Windows'ta SQL Server 2019 (15.x) ve sonraki sürümler ve Yalnızca Windows için SQL Server 2022 (16.x) -
Bu makalede, ilk olarak SQL Server 2019'da kullanıma sunulan Windows üzerinde SQL Server'daki Machine Learning Services yalıtım mekanizmasında yapılan değişiklikler açıklanmaktadır. Bu değişiklikler SQLRUserGroup, güvenlik duvarı kuralları, dosya izni ve zımni kimlik doğrulamasını etkiler.
Daha fazla bilgi için bkz. Windows'a SQL Server Machine Learning Services'ı yükleme.
Yalıtım mekanizmasındaki değişiklikler
Windows'da SQL Kurulumu, dış işlemler için yalıtım mekanizmasını değiştirir. Bu değişiklik, yerel çalışan hesaplarını Windows üzerinde çalışan istemci uygulamaları için bir yalıtım teknolojisi olan AppContainers ile değiştirir.
Değişiklik sonucunda yönetici için belirli bir eylem öğesi yok. Yeni veya yükseltilmiş bir sunucuda, sp_execute_external_script yürütülen tüm dış betikler ve kodlar yeni yalıtım modelini otomatik olarak izler.
Özetle, bu sürümdeki temel farklar şunlardır:
- SQL Kısıtlı Kullanıcı Grubu (SQLRUserGroup) altındaki yerel kullanıcı hesapları artık oluşturulmaz veya dış işlemleri çalıştırmak için kullanılmaz. AppContainers bunları değiştirir.
- SQLRUserGroup üyeliği değişti. Üyelik birden çok yerel kullanıcı hesabı yerine yalnızca SQL Server Launchpad hizmet hesabından oluşur. R ve Python işlemleri artık Launchpad hizmet kimliği altında yürütülür ve AppContainers aracılığıyla yalıtılmıştır.
Yalıtım modeli değişmiş olsa da, Yükleme sihirbazı ve komut satırı parametreleri SQL Server'ın eski sürümleriyle aynı kalır. Yüklemeyle ilgili yardım için bkz. WINDOWS'da SQL Server 2016-2019 Machine LearningServices'ı yükleme veya SQL Server 2022 Machine Learning Services'i (Python ve R) yükleme.
AppContainer yalıtımı hakkında
Önceki sürümlerde , SQLRUserGroup dış işlemleri yalıtmak ve çalıştırmak için kullanılan bir yerel Windows kullanıcı hesapları havuzu (MSSQLSERVER00-MSSQLSERVER20) içeriyordu. Dış işlem gerektiğinde, SQL Server Launchpad hizmeti kullanılabilir bir hesap alır ve bir işlemi çalıştırmak için bu hesabı kullanır.
SQL Server 2019'dan başlayarak, SQL Kurulumu artık yerel çalışan hesapları oluşturmaz. Bunun yerine, yalıtım AppContainers kullanılarak sağlanır. Çalışma zamanında, saklı yordamda veya sorguda eklenmiş betik veya kod algılandığında SQL Server, uzantıya özgü başlatıcı isteğiyle Launchpad'i çağırır. Launchpad, kendi kimliği altında bir işlemde uygun çalışma zamanı ortamını çağırır ve onu kapsayacak bir AppContainer örneği oluşturur. Yerel hesap ve parola yönetimi artık gerekli olmadığından bu değişiklik yararlıdır. Ayrıca, yerel kullanıcı hesaplarının yasaklandığı yüklemelerde, yerel kullanıcı hesabı bağımlılığının ortadan kaldırılması artık bu özelliği kullanabileceğiniz anlamına gelir.
SQL Server tarafından uygulandığı gibi AppContainers bir iç mekanizmadır. İşlem İzleyicisi'nde AppContainers'ın fiziksel kanıtını görmezsiniz ancak işlemlerin ağ çağrıları yapmasını önlemek için bunları Kurulum tarafından oluşturulan giden güvenlik duvarı kurallarında bulabilirsiniz.
Kurulum tarafından oluşturulan güvenlik duvarı kuralları
Varsayılan olarak, SQL Server güvenlik duvarı kuralları oluşturarak giden bağlantıları devre dışı bırakır. Geçmişte bu kurallar, Kurulum'un SQLRUserGroup için üyelerine ağ erişimini reddeden bir giden kural oluşturduğu yerel kullanıcı hesaplarına dayanıyordu (her çalışan hesabı, kurala tabi olarak yerel bir ilke şeklinde listeleniyordu).
AppContainers'a taşıma işleminin bir parçası olarak, AppContainer SID'lerini temel alan yeni güvenlik duvarı kuralları vardır: SQL Server Kurulumu tarafından oluşturulan 20 AppContainer'ın her biri için bir tane. Güvenlik duvarı kuralı adının adlandırma kuralları SQL Server örneğinde AppContainer-00 için ağ erişimini engelle MSSQLSERVER'dır; burada 00, AppContainer'ın sayısıdır (varsayılan olarak 00-20), MSSQLSERVER ise SQL Server örneğinin adıdır.
Uyarı
Ağ çağrıları gerekiyorsa, Windows Güvenlik Duvarı'nda giden kuralları devre dışı bırakabilirsiniz.
Dosya izinleri
Varsayılan olarak, dış Python ve R betikleri yalnızca çalışma dizinlerine okuma erişimi iznine sahiptir.
Python veya R betiklerinizin başka bir dizine erişmesi gerekiyorsa, NT Service\MSSQLLaunchpad hizmeti kullanıcı hesabına ve bu dizindeki TÜM UYGULAMA PAKETLERİneOkuma ve yürütme ve/veya Yazma izinleri vermeniz gerekir.
Erişim vermek için aşağıdaki adımları izleyin.
- Dosya Gezgini'nde, çalışma dizini olarak kullanmak istediğiniz klasöre sağ tıklayın ve Özellikler'i seçin.
- İzinleri değiştirmek için Güvenlik'i seçin ve Düzenle... öğesine tıklayın.
- Ekle... seçeneğine tıklayın.
- Bu konumdan ifadesinin yerel bilgisayar adı olduğunu doğrulayın.
- Seçecek nesne adlarını girin alanına TÜM UYGULAMA PAKETLERİ yazın ve Adları Denetle'ye tıklayın. Tamam'a tıklayın.
- İzin Ver sütununun altında Oku ve yürüt'ü seçin.
- Yazma izinleri vermek istiyorsanız İzin Ver sütununun altında Yaz'ı seçin.
- Tamam'a ve Tamam'a tıklayın.
Program dosyası izinleri
Önceki sürümlerde olduğu gibi SQLRUserGroup da SQL Server Binn, R_SERVICES ve PYTHON_SERVICES dizinlerindeki yürütülebilir dosyalar üzerinde okuma ve yürütme izinleri sağlamaya devam eder. Bu sürümde , SQLRUserGroup'un tek üyesi SQL Server Launchpad hizmet hesabıdır. Launchpad hizmeti bir R veya Python yürütme ortamı başlattığında, işlem LaunchPad hizmeti olarak çalışır.
Zımni kimlik doğrulaması
Daha önce olduğu gibi, betiğin veya kodun verileri veya kaynakları almak için güvenilir kimlik doğrulaması kullanarak SQL Server'a geri bağlanması gerektiğinde zımni kimlik doğrulaması için ek yapılandırma hala gereklidir. Ek yapılandırma adımı, artık birden çok çalışan hesabı yerine tek bir SQL Server Launchpad hizmet hesabı olan SQLRUserGroup için veritabanı giriş bilgisi oluşturmayı içerir. Bu görev hakkında daha fazla bilgi için bkz. SQLRUserGroup'u veritabanı kullanıcısı olarak ekleyin.
Kurulum tarafından oluşturulan sembolik bağlantı
SQL Server Kurulumu'nun bir parçası olarak, geçerli varsayılan R_SERVICES ve PYTHON_SERVICES için sembolik bir bağlantı oluşturulur. Eğer bu bağlantıyı oluşturmak istemiyorsanız, alternatif olarak klasöre giden hiyerarşiye 'tüm uygulama paketlerine' okuma izni verebilirsiniz.