Aracılığıyla paylaş

Güvenlik | Azure Arc tarafından etkinleştirilen SQL Server

Bu makalede, Azure Arc tarafından etkinleştirilen SQL Server bileşenlerinin güvenlik mimarisi açıklanmaktadır.

Azure Arc tarafından etkinleştirilen SQL Server hakkında özeti görmek için Genel Bakış | Azure Arc tarafından etkinleştirilen SQL Server.

Temsilci ve uzantı

Azure Arc tarafından etkinleştirilen SQL Server için en önemli yazılım bileşenleri şunlardır:

  • Azure Connected Machine aracısı
  • SQL Server için Azure Uzantısı

Azure Connected Machine aracısı sunucuları Azure'a bağlar. SQL Server için Azure Uzantısı, SQL Server hakkında Azure'a veri gönderir ve SQL Server örneğinde işlem yapmak için Azure Relay iletişim kanalı aracılığıyla Azure'dan komutlar alır. Aracı ve uzantı birlikte Azure dışında herhangi bir yerde bulunan örneklerinizi ve veritabanlarınızı yönetmenize olanak tanır. Aracı ve uzantıya sahip bir SQL Server örneği Azure Arc tarafından etkinleştirilir.

Aracı ve uzantı, Microsoft tarafından yönetilen Azure hizmetleriyle iletişim kanalları oluşturmak için Azure'a güvenli bir şekilde bağlanır. Temsilci aşağıdakiler üzerinden iletişim kurabilir.

  • Azure Express Route üzerinden yapılandırılabilir bir HTTPS proxy sunucusu
  • Azure Özel Bağlantı
  • HTTPS proxy sunucusu olan veya olmayan İnternet

Ayrıntılar için Bağlı Makine aracısı belgelerini gözden geçirin:

Veri toplama ve raporlama için bazı hizmetler Için Azure monitoring Agent (AMA) uzantısı gerekir. Uzantının bir Azure Log Analytics'e bağlanması gerekir. AMA gerektiren iki hizmet şunlardır:

  • Bulut için Microsoft Defender
  • SQL Server en iyi yöntemler değerlendirmesi

SQL Server için Azure Uzantısı, tüm SQL Server örnekleri için ana bilgisayar veya işletim sistemi düzeyinde (örneğin, Windows Server yük devretme kümesi) yapılandırma değişikliklerini ayrıntılı düzeyde bulmanızı sağlar. Örneğin:

  • Konak makine üzerindeki SQL Server motor örnekleri
  • SQL Server örneği içindeki veritabanları
  • Kullanılabilirlik grupları

SQL Server için Azure Uzantısı, envanter, izleme ve diğer görevler gibi görevler için veri toplayarak SQL Server örneklerini her yerde merkezi olarak yönetmenize, güvenlik altına almanızı ve yönetmenizi sağlar. Toplanan verilerin tam listesi için Veri toplama ve raporlama bölümünü gözden geçirin.

Aşağıdaki diyagramda Azure Arc özellikli SQL Server mimarisi gösterilmektedir.

Azure Arc tarafından etkinleştirilen SQL Server'ın mantıksal diyagramı.

Uyarı

Bu mimari diyagramını yüksek çözünürlüklü olarak indirmek için Jumpstart Gemsadresini ziyaret edin.

Bileşenler

Azure Arc tarafından etkinleştirilen bir SQL Server örneği, sunucunuzda çalışan ve Azure'a bağlanmaya yardımcı olan tümleşik bileşenlere ve hizmetlere sahiptir. Aracı hizmetlerine ek olarak, etkinleştirilen bir örnekte bu bölümde listelenen bileşenler bulunur.

Kaynak sağlayıcıları

Kaynak sağlayıcısı (RP), ARM API aracılığıyla belirli bir Azure hizmeti için işlevselliği etkinleştiren bir dizi REST işlemini kullanıma sunar.

SQL Server'ın çalışması için Azure uzantısı için aşağıdaki 2 IP'yi kaydedin:

  • Microsoft.HybridCompute RP: Uzantı yüklemeleri, bağlı makine komutu yürütme gibi Azure Arc özellikli Sunucu kaynaklarının yaşam döngüsünü yönetir ve diğer yönetim görevlerini gerçekleştirir.
  • Microsoft.AzureArcData RP: AZURE Arc kaynaklarının etkinleştirdiği SQL Server'ın yaşam döngüsünü, SQL Server için Azure uzantısından aldığı envanter ve kullanım verilerine göre yönetir.

Azure Arc Veri İşleme Hizmeti

Azure Arc Veri İşleme Hizmeti (DPS), Arc'a bağlı bir sunucuda SQL Server için Azure Uzantısı tarafından sağlanan SQL Server hakkındaki verileri alan bir Azure hizmetidir. DPS aşağıdaki görevleri gerçekleştirir:

  • SQL Server için Azure Uzantısı tarafından bölgesel uç noktaya gönderilen envanter verilerini işler ve SQLServerInstance kaynaklarını ARM API ve Microsoft.AzureArcData RP aracılığıyla uygun şekilde güncelleştirir.
  • SQL Server için Azure Uzantısı tarafından bölgesel uç noktaya gönderilen kullanım verilerini işler ve faturalama isteklerini Azure ticaret hizmetine gönderir.
  • ARM'de kullanıcı tarafından oluşturulan SQL Server fiziksel çekirdek lisans kaynaklarını izler ve lisans durumuna göre faturalama isteklerini Azure ticaret hizmetine gönderir.

Azure Arc ile etkinleştirilen SQL Server, Aracıdaki Azure Uzantısı üzerinden DPS'ye (*.<region>.arcdataservices.com TCP bağlantı noktası 443) giden bir bağlantı gerektirir. Belirli iletişim gereksinimleri için Bkz. Azure Arc veri işleme hizmetine bağlanma.

Dağıtıcı

Dağıtıcı, ilk yükleme ve yapılandırma güncelleştirmeleri sırasında SQL Server için Azure Uzantısı'nı önyükler.

SQL Server Hizmeti için Azure Uzantısı

SQL Server Hizmeti için Azure Uzantısı, konak sunucusunda arka planda çalışır. Hizmet yapılandırması işletim sistemine bağlıdır:

  • İşletim sistemi: Windows

    • Hizmet adı: Microsoft SQL Server Uzantı Hizmeti
    • Görünen ad: Microsoft SQL Server Uzantı Servisi
    • Farklı çalışır: Yerel Sistem
    • Log dosyası konumu: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • İşletim sistemi: Linux

    • Hizmet adı: SqlServerExtension
    • Görünen ad: Azure SQL Server Uzantı Hizmeti
    • Farklı çalışır: Kök
    • Log dosyası konumu: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

İşlevsellik

Azure Arc tarafından etkinleştirilen bir SQL Server örneği aşağıdaki görevleri yapar:

  • Tüm SQL Server örneklerinin, veritabanlarının ve kullanılabilirlik gruplarının envanteri

    SQL Server için Azure Uzantısı hizmeti saatte bir Veri İşleme Hizmeti'ne bir envanter yükler. Envanter SQL Server örneklerini, Always On kullanılabilirlik gruplarını ve veritabanı meta verilerini içerir.

  • Karşıya yükleme kullanımı

    12 saatte bir SQL Server için Azure Uzantısı hizmeti kullanımla ilgili verileri Veri İşleme Hizmeti'ne yükler.

Arc özellikli Sunucu güvenliği

Azure Arc özellikli Sunucuları yükleme, yönetme ve yapılandırma hakkında belirli bilgiler için Arc özellikli Sunucular Güvenliği'ne genel bakış makalesini gözden geçirin.

Azure Arc güvenliği tarafından etkinleştirilen SQL Server

SQL Server bileşenleri için Azure Uzantısı

SQL Server için Azure uzantısı iki ana bileşenden oluşur: Dağıtıcı ve Uzantı Hizmeti.

Dağıtıcı

Deployer, ilk yükleme sırasında ve yeni SQL Server örnekleri yüklendikçe veya özellikler etkinleştirildiğinde/devre dışı bırakıldığında uzantıyı önyükler. Yükleme, güncelleştirme veya kaldırma sırasında, konak sunucusunda çalışan Arc aracısı belirli eylemleri gerçekleştirmek için Dağıtıcı'yı çalıştırır:

  • Yükleme
  • Etkinleştir
  • Güncelleştir
  • Etkisizleştir
  • Kaldır

Dağıtıcı, Azure Connected Machine aracı hizmeti bağlamında çalışır ve bu nedenle Local System olarak çalışır.

Uzantı hizmeti

Uzantı Hizmeti, envanter ve veritabanı meta verilerini (Yalnızca Windows) toplar ve saatte bir Azure'a yükler. Windows üzerinde Local System olarak veya Linux'ta root kullanıcısı olarak çalışır. Uzantı Hizmeti, Arc özellikli SQL Server hizmetinin bir parçası olarak çeşitli özellikler sağlar.

En az ayrıcalıkla çalıştır

Uzantı Hizmeti'ni en düşük ayrıcalıklarla çalışacak şekilde yapılandırabilirsiniz. En az ayrıcalık modunu yapılandırma hakkında ayrıntılı bilgi için En az ayrıcalığı etkinleştirme bölümünü gözden geçirin.

En az ayrıcalık ilkesiyle yapılandırıldığında, Uzantı Hizmeti hizmet hesabı olarak NT Service\SQLServerExtension çalışır.

NT Service\SQLServerExtension hesabı yerel bir Windows hizmet hesabıdır:

  • En az ayrıcalık seçeneği etkinleştirildiğinde SQL Server Deployer için Azure Uzantısı tarafından oluşturulur ve yönetilir.
  • Windows işletim sisteminde SQL Server için Azure Uzantısı hizmetini çalıştırmak için gereken en düşük izinler ve ayrıcalıklar verildi. Yalnızca yapılandırmayı okumak ve depolamak veya günlükleri yazmak için kullanılan klasörlere ve dizinlere erişebilir.
  • SQL Server'a bağlanma ve sorgulama izni verildi ve sql server için Azure Uzantısı hizmet hesabına özel olarak gereken en düşük izinlere sahip yeni bir oturum açma izni verildi. Minimum izinler etkin özelliklere bağlıdır.
  • İzinler artık gerekli olmadığında güncelleştirilir. Örneğin, bir özelliği devre dışı bırakırsanız, en az ayrıcalık yapılandırmasını devre dışı bırakırsanız veya SQL Server için Azure Uzantısı'nı kaldırdığınızda izinler iptal edilir. İptal, artık gerekli olmayan izinlerin kalmamasını sağlar.

İzinlerin tam listesi için bkz. Windows hizmet hesaplarını ve izinlerini yapılandırma.

Bulut iletişimine uzantı

Arc özellikli SQL Server, Azure Arc Veri İşleme Hizmeti'ne giden bağlantı gerektirir.

Her sanal veya fiziksel sunucunun Azure ile iletişim kurması gerekir. Özellikle şunlara bağlantı gerektirir:

  • URL: *.<region>.arcdataservices.com
    • ABD Hükümeti'nin Virginia bölgeleri için *.<region>.arcdataservices.azure.us kullanın.
  • Bağlantı noktası: 443
  • Yön: Giden
  • Kimlik doğrulama sağlayıcısı: Microsoft Entra Id

Bölgesel uç noktanın bölge kesimini almak için Azure bölge adından tüm alanları kaldırın. Örneğin, Doğu ABD 2 bölgesi, bölge adı şeklindedir eastus2.

Örneğin: *.<region>.arcdataservices.com Doğu ABD 2 bölgesinde olmalıdır *.eastus2.arcdataservices.com .

Desteklenen bölgelerin listesi için Desteklenen Azure Bölgeleri gözden geçirin.

Tüm bölgelerin listesi için şu komutu çalıştırın:

az account list-locations -o table

Özellik düzeyi güvenlik yönleri

Farklı özellikler ve hizmetler belirli güvenlik yapılandırma yönlerine sahiptir. Bu bölümde aşağıdaki özelliklerin güvenlik yönleri ele alınmaktadır:

Denetim faaliyeti

Azure portalda Azure Arc kaynağı tarafından etkinleştirilen SQL Server'ın hizmet menüsünden etkinlik günlüklerine erişebilirsiniz. Etkinlik günlüğü, Azure Resource Manager'da Arc özellikli SQL Server kaynakları için denetim bilgilerini ve değişiklik geçmişini yakalar. Ayrıntılar için Azure Arc tarafından etkinleştirilen SQL Server ile etkinlik günlüklerini kullanma bölümünü gözden geçirin.

En iyi yöntemler değerlendirmesi

En iyi yöntemler değerlendirmesi aşağıdaki gereksinimlere sahiptir:

  • Windows tabanlı SQL Server örneğinizin Azure'a bağlı olduğundan emin olun. SQL Server'ınızı Azure Arc'a otomatik olarak bağlama başlığındaki yönergeleri izleyin.

    Uyarı

    En iyi yöntemler değerlendirmesi şu anda Windows makinelerinde çalışan SQL Server ile sınırlıdır. Değerlendirme şu anda Linux makinelerinde SQL Server için geçerli değildir.

  • Sunucu tek bir SQL Server örneği barındırıyorsa, SQL Server için Azure Uzantısı (WindowsAgent.SqlServer) sürümünün 1.1.2202.47 veya üzeri olduğundan emin olun.

    Sunucu sql server'ın birden çok örneğini barındırıyorsa, SQL ServerWindowsAgent.SqlServer () için Azure Uzantısı sürümünün 1.1.2231.59'dan sonra olduğundan emin olun.

    SQL Server için Azure Uzantısı sürümünü denetlemek ve en son sürüme güncelleştirmek için Yükseltme uzantıları'nı gözden geçirin.

  • Sunucu SQL Server'ın adlandırılmış bir örneğini barındırıyorsa , SQL Server Browser hizmeti çalışıyor olmalıdır.

  • Log Analytics çalışma alanı , Azure Arc özellikli SQL Server kaynağınızla aynı abonelikte olmalıdır.

  • SQL Server en iyi yöntemler değerlendirmesini yapılandıran kullanıcının aşağıdaki izinlere sahip olması gerekir:

    • Log Analytics çalışma alanının kaynak grubu veya aboneliğinde Log Analytics Katılımcısı rolü.
    • Arc özellikli SQL Server örneğinin kaynak grubu veya aboneliğinde Azure Bağlantılı Makine Kaynak Yöneticisi rolü.
    • Log Analytics çalışma alanının kaynak grubu veya aboneliğinde ve Azure Arc özellikli makinenin kaynak grubunda veya aboneliğinde Katkıda Bulunan rolünü izleme.

    Katkıda Bulunan veya Sahip gibi yerleşik rollere atanan kullanıcılar yeterli izinlere sahiptir. Daha fazla bilgi için Bkz. Azure portalını kullanarak Azure rolleri atama.

  • Değerlendirme raporuna erişmek veya raporu okumak için gereken en düşük izinler şunlardır:

    • SQL Server - Azure Arc kaynağının kaynak grubu veya aboneliğinde okuyucu rolü.
    • Log Analytics okuyucusu.
    • Log Analytics çalışma alanının kaynak grubu veya aboneliğinde izleme okuyucusu.

    Değerlendirme raporuna erişmek veya raporu okumak için daha fazla gereksinim şunlardır:

    • SQL Server yerleşik oturum açma NT AUTHORITY\SYSTEM , makinede çalışan tüm SQL Server örnekleri için SQL Server sysadmin sunucu rolünün bir üyesi olmalıdır.

    • Güvenlik duvarınız veya ara sunucunuz giden bağlantıyı kısıtlarsa, şu URL'ler için TCP bağlantı noktası 443 üzerinden Azure Arc'a izin verdiğinden emin olun:

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • SQL Server örneğinizin TCP/IP'yi etkinleştirmesi gerekir.

  • SQL Server en iyi yöntemler değerlendirmesi, SQL Server örneklerinizden veri toplamak ve analiz etmek için Azure İzleyici Aracısı'nı (AMA) kullanır. En iyi yöntemler değerlendirmesini etkinleştirmeden önce SQL Server örneklerinize AMA yüklediyseniz, değerlendirme aynı AMA aracısı ve ara sunucu ayarlarını kullanır. Başka bir şey yapmanıza gerek yok.

    SQL Server örneklerinizde AMA yüklü değilse, en iyi yöntemler değerlendirmesi bunu sizin için yükler. En iyi yöntemler değerlendirmesi, AMA için ara sunucu ayarlarını otomatik olarak ayarlamaz. AMA'yi istediğiniz proxy ayarlarıyla yeniden dağıtmanız gerekir.

    AMA ağı ve ara sunucu ayarları hakkında daha fazla bilgi için Ara sunucu yapılandırması'nı gözden geçirin.

  • Değerlendirmeyi büyük ölçekteetkinleştirmek üzere SQL en iyi yöntemler değerlendirmesi Azure ilkesini etkinleştirmek veya devre dışı bırakmak için Arc özellikli Sunucuları SQL Server uzantısı yüklü olarak yapılandırma seçeneğini kullanırsanız, bir Azure İlkesi ataması oluşturmanız gerekir. Aboneliğiniz, hedeflediğiniz kapsam için Kaynak İlkesi Katkıda Bulunanı rol atamasını gerektirir. Kapsam abonelik veya kaynak grubu olabilir.

    Kullanıcı tarafından atanan yeni bir yönetilen kimlik oluşturmayı planlıyorsanız, abonelikte Kullanıcı Erişimi Yöneticisi rol atamasına da ihtiyacınız vardır.

Daha fazla bilgi için Sql en iyi yöntemleri değerlendirmesini yapılandırma - Azure Arc tarafından etkinleştirilen SQL Server'ı gözden geçirin.

Otomatik yedeklemeler

SQL Server için Azure uzantısı, Azure Arc tarafından etkinleştirilen bir SQL Server örneğindeki sistem ve kullanıcı veritabanlarını otomatik olarak yedekleyebilir. SQL Server için Azure Uzantısı içindeki yedekleme hizmeti, yedeklemeleri gerçekleştirmek için hesabı kullanır NT AUTHORITY\SYSTEM . Azure Arc tarafından etkinleştirilen SQL Server'ı en az ayrıcalıkla kullanıyorsanız yedeklemeyi yerel bir Windows hesabı NT Service\SQLServerExtension gerçekleştirir.

SQL Server sürümü 1.1.2504.99 veya sonrası için Azure uzantısını kullanıyorsanız, gerekli izinler NT AUTHORITY\SYSTEM otomatik olarak sağlanır. İzinleri el ile atamanız gerekmez.

En az ayrıcalık yapılandırması kullanmıyorsanız, SQL Server yerleşik oturum açma bilgileri NT AUTHORITY\SYSTEM aşağıdakilerin bir üyesi olmalıdır:

  • dbcreator sunucu düzeyinde sunucu rolü
  • db_backupoperator rolü master, model, msdb ve her kullanıcı veritabanında, tempdb hariç.

Otomatik yedeklemeler varsayılan olarak devre dışı bırakılır. Otomatik yedeklemeler yapılandırıldıktan sonra, SQL Server için Azure Uzantısı hizmeti varsayılan yedekleme konumuna bir yedekleme başlatır. Yedeklemeler yerel SQL Server yedeklemeleridir, bu nedenle tüm yedekleme geçmişi veritabanındaki yedeklemeyle ilgili tablolarda msdb kullanılabilir.

Bulut için Microsoft Defender

Bulut için Microsoft Defender, Arc özellikli sunucuda Azure İzleme Aracısı'nın yapılandırılmasını gerektirir.

Ayrıntılar için Microsoft Defender for Cloud'u gözden geçirin.

Otomatik güncelleştirmeler

Otomatik güncelleştirmeler, Arc özellikli sunucuda yapılandırılmış olan önceden ayarlanmış veya ilke tabanlı Microsoft Update ayarlarının üzerine yazar.

  • Yalnızca Önemli veya Kritik olarak işaretlenmiş Windows ve SQL Server güncelleştirmeleri yüklenir. Hizmet paketleri, toplu güncelleştirmeler veya Önemli veya Kritik olarak işaretlenmemiş diğer SQL Server güncelleştirmeleri el ile veya başka yollarla yüklenmelidir. Güvenlik güncelleştirmesi derecelendirme sistemi hakkında daha fazla bilgi için bkz. Güvenlik Güncelleştirmesi Önem Derecesi Sistemi (microsoft.com)
  • Konak işletim sistemi düzeyinde çalışır ve tüm yüklü SQL Server örnekleri için geçerlidir
  • Şu anda yalnızca Windows konaklarında çalışır. SQL Server örneklerini son olarak güncelleştiren hizmet olan Windows Update/Microsoft Update'i yapılandırıyor.

Ayrıntılar için Bkz. Azure Arc için etkinleştirilen SQL Server örnekleri için otomatik güncelleştirmeleri yapılandırma.

Monitör

Azure Arc tarafından etkinleştirilen SQL Server'ın performansını Azure portalında bir performans panosuyla izleyebilirsiniz. Performans ölçümleri, Azure Arc tarafından etkinleştirilen uygun SQL Server örnekleri üzerindeki Dinamik Yönetim Görünümü (DMV) veri kümelerinden otomatik olarak toplanır ve neredeyse gerçek zamanlı işleme için Azure telemetri işlem hattına gönderilir. Tüm önkoşulların karşılandığı varsayılarak izleme otomatiktir.

Önkoşullar şunlardır:

  • Sunucunun telemetry.<region>.arcdataservices.com bağlantısı var. Daha fazla bilgi için bkz. Ağ Gereksinimleri.
  • SQL Server örneğindeki lisans türü License with Software Assurance veya Pay-as-you-go olarak ayarlanmıştır.

Azure portalında performans panosunu görüntülemek için size eylemin Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ atandığı bir Azure rolü atanmalıdır. Kolaylık sağlamak için, bu eylemi içeren yerleşik Azure Hibrit Veritabanı Yöneticisi - Salt Okunur Hizmet Rolü rolünü kullanabilirsiniz. Daha fazla bilgi için bkz. Azure yerleşik rolleri hakkında daha fazla bilgi edinin.

Veri toplamayı etkinleştirme/devre dışı bırakma ve bu özellik için toplanan veriler de dahil olmak üzere performans panosu özelliği hakkındaki ayrıntılara Azure portalında İzleme bölümünden ulaşabilirsiniz.

Microsoft Entra Kimliği

Microsoft Entra Id, dış kaynaklara erişimi etkinleştirmek için bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Microsoft Entra kimlik doğrulaması, geleneksel kullanıcı adı ve parola tabanlı kimlik doğrulamasına göre büyük ölçüde gelişmiş güvenlik sağlar. Azure Arc tarafından etkinleştirilen SQL Server, sql server 2022 (16.x) ile sunulan kimlik doğrulaması için Microsoft Entra ID kullanır. Bu, SQL Server'a merkezi bir kimlik ve erişim yönetimi çözümü sağlar.

Azure Arc tarafından etkinleştirilen SQL Server, Microsoft Entra ID sertifikasını Azure Key Vault'ta depolar. Ayrıntılar için şunları gözden geçirin:

Microsoft Entra Kimliğini ayarlamak için SQL Server için Microsoft Entra kimlik doğrulamasını ayarlama öğreticisi başlığı altındaki yönergeleri izleyin.

Microsoft Purview

Purview'ı kullanmak için temel gereksinimler:

En iyi yöntemler

Azure Arc tarafından etkinleştirilen SQL Server örneklerinin güvenliğini sağlamak için geçerli en iyi yöntemlerle uyumlu olmak için aşağıdaki yapılandırmaları uygulayın:

İlgili içerik

  • Last updated on