由 Azure Arc 啟用的 SQL 受控執行個體 (使用 Active Directory 驗證)

已啟用 Azure Arc 的資料服務支援 Active Directory (AD) 進行身分識別與存取權管理 (IAM)。 由 Azure Arc 啟用的 SQL 受控執行個體會使用現有內部部署的 Active Directory (AD) 網域進行驗證。

本文說明如何啟用由 Azure Arc 啟用的 SQL 受控執行個體 (使用 Active Directory (AD) 驗證)。 本文示範兩種可能的 AD 整合模式：

• 客戶自控金鑰表 (CMK)
• 服務受控金鑰表 (SMK)

Active Directory (AD) 整合模式的概念說明金鑰表管理的程序，包含：

• 建立 SQL 受控執行個體使用的 AD 帳戶
• 在上述 AD 帳戶下註冊服務主體名稱 (SPN)。
• 產生金鑰表檔案

背景

若要啟用 Linux 上的 SQL Server 和 Linux 容器的 Active Directory 驗證，請使用金鑰表檔案。 金鑰表檔案是包含服務主體名稱 (SPN) 的密碼編譯檔案、帳戶名稱和主機名稱。 SQL Server 使用金鑰表檔案向 Active Directory (AD) 網域進行驗證，並使用 Active Directory (AD) 來驗證其用戶端。 執行下列步驟以針對已啟用 Arc 的 SQL 受控執行個體啟用 Active Directory 驗證：

• 部署資料控制器
• 部署客戶自控金鑰表 AD 連接器或部署服務受控金鑰表 AD 連接器
• 部署 SQL 受控執行個體

下表顯示如何針對由 Azure Arc 啟用的 SQL 受控執行個體啟用 Active Directory 驗證：

什麼是 Active Directory (AD) 連接器？

為了針對 SQL 受控執行個體啟用 Active Directory 驗證，執行個體必須部署在允許與 Active Directory 網域通訊的環境中。

為了方便操作，已啟用 Azure Arc 的資料服務導入新的 Kubernetes 原生自訂資源定義 (CRD)，稱為 Active Directory Connector。 它為在同一個資料控制器上執行的執行個體提供執行 Active Directory 驗證的能力。

比較 AD 整合模式

這兩種 Active Directory 整合模式之間的差異為何？

若要針對由 Azure Arc 啟用的 SQL 受控執行個體啟用 Active Directory 驗證，您需要 Active Directory 連接器，您可在其中指定 Active Directory 整合部署模式。 兩種 Active Directory 整合模式如下：

• 客戶自控金鑰表
• 服務受控金鑰表

下一節將比較這兩個模式。

	客戶自控金鑰表	系統管理的金鑰表
使用案例	熟悉管理 Active Directory 物件的中小型企業，並想要在自動化流程中有更多彈性	所有規模的企業 - 尋求高度自動化的 Active Directory 管理體驗
使用者提供	Active Directory 帳戶和該帳戶下的 SPN，以及 Active Directory 驗證的金鑰表檔案	組織單位 (OU)，且網域服務帳戶在 Active Directory 中有對該 OU 的足夠權限。
特性	由使用者管理。 使用者會攜帶 Active Directory 帳戶，這會模擬受控執行個體和金鑰表檔案的身分識別。	由系統管理。 系統會建立每個受控執行個體的網域服務帳戶，並在該帳戶上自動設定 SPN。 此外，也會建立金鑰表檔案並將其傳遞至受控執行個體。
部署程序	1.部署資料控制器 2.建立金鑰表檔案 3.將金鑰表資訊設定為 Kubernetes 祕密 4.部署 AD 連接器、部署 SQL 受控執行個體 如需詳細資訊，請參閱部署客戶自控金鑰表 Active Directory 連接器	1.部署資料控制器、部署 AD 連接器 2.部署 SQL 受控執行個體 如需詳細資訊，請參閱部署系統管理金鑰表 Active Directory 連接器
管理能力	您可遵循 Active Directory 公用程式 (adutil) 中的指示來建立金鑰表檔案。 手動金鑰表輪替。	受控金鑰表輪替。
限制	不建議在服務之間共用金鑰表檔案。 每個服務應有特定金鑰表檔案。 當金鑰表檔案數目增加，投入程度和複雜度也會隨之增加。	受控金鑰表產生和輪替。 服務帳戶需要 Active Directory 中足夠的權限，才能管理認證。 不支援分散式可用性群組。

針對任一模式，您需要每個 SQL 受控執行個體的特定 Active Directory 帳戶、金鑰表和 Kubernetes 祕密。

啟用 Active Directory 驗證

當您部署執行個體以啟用 Active Directory 驗證時，部署需要參考要使用的 Active Directory 連接器執行個體。 在受控執行個體規格中參考 Active Directory 連接器會自動設定執行個體容器中所需的環境，以向 Active Directory 進行驗證。

相關內容

• 部署客戶自控金鑰表 Active Directory (AD) 連接器
• 部署系統管理金鑰表 Active Directory (AD) 連接器
• 在 Active Directory (AD) 中部署由 Azure Arc 所啟用的 SQL 受控執行個體
• 使用 Active Directory 驗證連線至由 Azure Arc 所啟用的 SQL 受控執行個體