Active Directory kimlik doğrulaması ile Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği

Azure Arc özellikli veri hizmetleri, Kimlik ve Erişim Yönetimi (IAM) için Active Directory'i (AD) destekler. Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği kimlik doğrulaması için mevcut bir şirket içi Active Directory (AD) etki alanını kullanır.

Bu makalede, Active Directory (AD) Kimlik Doğrulaması ile Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği nasıl etkinleştirileceği açıklanır. Makalede iki olası AD tümleştirme modu gösterilmektedir:

• Müşteri tarafından yönetilen anahtar sekmesi (CMK)
• Hizmet tarafından yönetilen anahtar sekmesi (SMK)

Active Directory(AD) tümleştirme modu, aşağıdakiler dahil olmak üzere anahtar sekmesi yönetimi işlemini açıklar:

• SQL Yönetilen Örneği tarafından kullanılan AD hesabı oluşturma
• Yukarıdaki AD hesabı altında Hizmet Asıl Adlarını (SPN' ler) kaydetme.
• Tuş sekmesi dosyası oluşturuluyor

Background

Linux üzerinde SQL Server ve Linux kapsayıcılarında Active Directory kimlik doğrulamasını etkinleştirmek için bir anahtar sekmesi dosyası kullanın. Anahtar sekmesi dosyası, hizmet asıl adlarını (SPN' ler), hesap adlarını ve ana bilgisayar adlarını içeren bir şifreleme dosyasıdır. SQL Server, Active Directory (AD) etki alanında kimliğini doğrulamak ve Active Directory (AD) kullanarak istemcilerinin kimliğini doğrulamak için anahtar sekmesi dosyasını kullanır. Arc özellikli SQL Yönetilen Örneği için Active Directory kimlik doğrulamasını etkinleştirmek için aşağıdaki adımları uygulayın:

• Veri denetleyicisini dağıtma
• Müşteri tarafından yönetilen anahtar sekmesi AD bağlayıcısı dağıtma veya Hizmet tarafından yönetilen anahtar sekmesi AD bağlayıcısı dağıtma
• SQL yönetilen örneklerini dağıtma

Aşağıdaki diyagramda, Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği için Active Directory kimlik doğrulamasının nasıl etkinleştirileceği gösterilmektedir:

Active Directory (AD) bağlayıcısı nedir?

SQL Yönetilen Örneği için Active Directory kimlik doğrulamasını etkinleştirmek için örneğin Active Directory etki alanıyla iletişim kurmasına izin veren bir ortamda dağıtılması gerekir.

Bunu kolaylaştırmak için Azure Arc özellikli veri hizmetleri adlı Active Directory Connectoryeni bir Kubernetes yerel Özel Kaynak Tanımı (CRD) sunar. Aynı veri denetleyicisinde çalışan örneklere Active Directory kimlik doğrulaması gerçekleştirme olanağı sağlar.

AD tümleştirme modlarını karşılaştırma

İki Active Directory tümleştirme modu arasındaki fark nedir?

Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği için Active Directory kimlik doğrulamasını etkinleştirmek için, Active Directory tümleştirme dağıtım modunu belirttiğiniz bir Active Directory bağlayıcısı gerekir. İki Active Directory tümleştirme modu şunlardır:

• Müşteri tarafından yönetilen anahtar sekmesi
• Hizmet tarafından yönetilen tuş sekmesi

Aşağıdaki bölüm bu modları karşılaştırır.

	Müşteri tarafından yönetilen anahtar sekmesi	Sistem tarafından yönetilen tuş sekmesi
Kullanım örnekleri	Active Directory nesnelerini yönetmeyi bilen ve otomasyon sürecinde esneklik isteyen küçük ve orta ölçekli işletmeler	Her büyüklükte işletme - yüksek oranda otomatik Active Directory yönetim deneyimi arayışında
Kullanıcı sağlar	Bu hesabın altında bir Active Directory hesabı ve SPN'ler ve Active Directory kimlik doğrulaması için bir anahtar sekmesi dosyası	Kuruluş Birimi (OU) ve etki alanı hizmet hesabı, Active Directory'de bu OU üzerinde yeterli izinlere sahiptir.
Özellik -lerini	Kullanıcı tarafından yönetilir. Kullanıcılar, yönetilen örneğin ve anahtar sekmesi dosyasının kimliğine bürünen Active Directory hesabını getirir.	Sistem tarafından yönetilir. Sistem, yönetilen her örnek için bir etki alanı hizmet hesabı oluşturur ve bu hesapta SPN'leri otomatik olarak ayarlar. Ayrıca yönetilen örneğe bir anahtar sekmesi dosyası oluşturur ve teslim eder.
Dağıtım işlemi	1. Veri denetleyicisi dağıtma 2. Tuş sekmesi dosyası oluşturma 3. Kubernetes gizli dizisine anahtar sekmesi bilgilerini ayarlama 4. AD bağlayıcısı dağıtma, SQL yönetilen örneği dağıtma Daha fazla bilgi için bkz . Müşteri tarafından yönetilen anahtar sekmesi Active Directory bağlayıcısı dağıtma	1. Veri denetleyicisi dağıtma, AD bağlayıcısı dağıtma 2. SQL yönetilen örneğini dağıtma Daha fazla bilgi için bkz . Sistem tarafından yönetilen anahtar sekmesi Active Directory bağlayıcısı dağıtma
Yönetilebilir -lik	Active Directory yardımcı programındaki (adutil)yönergeleri izleyerek anahtar sekmesi dosyasını oluşturabilirsiniz. El ile tuş sekmesi döndürme.	Yönetilen tuş sekmesi döndürme.
Sınırlamalar	Anahtar sekmesi dosyalarının hizmetler arasında paylaşılması önerilmez. Her hizmetin belirli bir anahtar sekmesi dosyası olmalıdır. Tuş sekme dosyalarının sayısı arttıkça efor düzeyi artar ve karmaşıklık artar.	Yönetilen tuş sekmesi oluşturma ve döndürme. Hizmet hesabı, kimlik bilgilerini yönetmek için Active Directory'de yeterli izinler gerektirir. Dağıtılmış Kullanılabilirlik Grubu desteklenmez.

Her iki modda da, sql tarafından yönetilen her örnek için belirli bir Active Directory hesabı, anahtar sekmesi ve Kubernetes gizli dizisi gerekir.

Active Directory kimlik doğrulamasını etkinleştirme

Active Directory kimlik doğrulamasını etkinleştirme amacıyla bir örnek dağıttığınızda, dağıtımın kullanmak için bir Active Directory bağlayıcı örneğine başvurması gerekir. Yönetilen örnek belirtiminde Active Directory bağlayıcısına başvurmak, Active Directory ile kimlik doğrulaması yapmak için örnek kapsayıcısında gerekli ortamı otomatik olarak ayarlar.

İlgili içerik

• Müşteri tarafından yönetilen bir anahtar sekmesi Active Directory (AD) bağlayıcısı dağıtma
• Sistem tarafından yönetilen bir anahtar sekmesi Active Directory (AD) bağlayıcısı dağıtma
• Active Directory'de (AD) Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği dağıtma
• Active Directory kimlik doğrulamasını kullanarak Azure Arc tarafından etkinleştirilen SQL Yönetilen Örneği Bağlan