使用 Windows SQL Server IaaS 代理程式擴充功能來自動化管理
適用于:
Azure VM 上的SQL Server
SQL Server IaaS 代理程式擴充功能 (SqlIaasExtension) 在 Azure Windows 虛擬機器 (VM SQL Server上執行,) 自動化管理和管理工作。
本文提供此擴充功能的概觀。 若要在 Azure VM 上安裝 SQL Server IaaS 代理程式擴充功能以SQL Server,請參閱自動註冊、註冊單一 VM或大量註冊 VM的文章。
注意
已移除管理模式! 深入了解
若要深入了解 Azure VM 部署和管理體驗,包括最近的改善項目,請參閱:
- Azure SQL VM:使用 SQL Server IaaS 代理程式延伸模組進行自動化管理 (Ep. 2)
- Azure SQL VM:Azure VM 部署上全新及改善的 SQL,以及管理體驗 (Ep.8) | 公開的資料。
概觀
SQL Server IaaS 代理程式擴充功能可讓您與Azure 入口網站整合,並解除鎖定 Azure VM 上SQL Server的一些優點:
功能優點:此擴充功能可提供許多自動化功能的功能優點,例如入口網站管理、授權彈性、自動備份、自動修補等等。 如需詳細資訊,請參閱本文後續的功能優點。
合規性:此擴充功能提供簡單的方法,滿足通知 Microsoft 已依照產品條款指定的方式啟用 Azure Hybrid Benefit 的要求。 此流程不需要為每項資源管理授權註冊表單。
免費:延伸模組完全免費。 擴充功能沒有額外的成本。
與集中管理Azure Hybrid Benefit整合:向擴充功能註冊的SQL Server VM 可以與集中管理Azure Hybrid Benefit整合,讓您輕鬆管理SQL Server Azure Hybrid Benefit 大規模 VM。
簡化的授權管理:擴充功能可簡化SQL Server授權管理,並可讓您使用下列專案快速識別已啟用Azure Hybrid Benefit SQL Server VM:
您可以使用Azure 入口網站中的SQL 虛擬機器資源,快速識別使用Azure Hybrid Benefit SQL Server VM。
管理模式
在 2023 年 3 月之前,SQL IaaS 代理程式擴充功能依賴管理模式來定義安全性模型,並解除鎖定功能優點。 在 2023 年 3 月,延伸模組架構已更新為完全移除管理模式,而是依賴最低許可權原則,讓客戶控制他們想要以功能為基礎使用擴充功能的方式。
從 2023 年 3 月開始,當您第一次向擴充功能註冊時,二進位檔會儲存至虛擬機器,以提供基本功能,例如授權管理。 啟用依賴代理程式的任何功能之後,二進位檔會用來將 SQL IaaS 代理程式安裝到虛擬機器 ,而且每個 啟用的功能都會視需要指派給 SQL IaaS 代理程式服務的許可權。
功能優點
SQL Server IaaS 代理程式擴充功能會解除鎖定一些功能優點,以管理SQL Server VM,讓您挑選並選擇哪一個優點符合您的業務需求。 當您第一次向擴充功能註冊時,此功能僅限於幾個不依賴 SQL IaaS 代理程式的功能。 啟用需要此功能後,代理程式就會安裝至SQL Server VM。
下表詳細說明透過 SQL IaaS 代理程式擴充功能取得的優點,以及是否需要代理程式:
| 功能 | 描述 |
|---|---|
| 連接埠管理 | 解除鎖定入口網站中的管理功能,讓您可以在同一處檢視所有 SQL Server VM,以直接從入口網站啟用或停用 SQL 特定功能。 隨附于基本註冊。 |
| 自動備份 | 為 VM 上 SQL Server 的預設執行個體或正確安裝的具名執行個體,自動化所有資料庫的備份排程。 如需詳細資訊,請參閱 Azure 虛擬機器中的 SQL Server 自動備份 (Resource Manager)。 需要 SQL IaaS 代理程式擴充功能。 |
| 自動修補 | 設定維護期間,在此期間進行 VM 的重要 Windows 和 SQL Server 安全性更新,以避免在工作負載尖峰時段進行更新。 如需詳細資訊,請參閱 Azure 虛擬機器中的 SQL Server 自動修補 (Resource Manager)。 需要 SQL IaaS 代理程式擴充功能。 |
| Azure Key Vault 整合 | 讓您在 SQL Server VM 上自動安裝和設定 Azure 金鑰保存庫。 如需詳細資訊,請參閱在 Azure 虛擬機器上設定 SQL Server 的 Azure Key Vault 整合 (Resource Manager)。 需要 SQL IaaS 代理程式擴充功能。 |
| 彈性授權 | 從自備授權 (也稱為 Azure Hybrid Benefit) 順暢地轉換為「隨用隨付」授權模型再轉換回來,以節省成本。 隨附于基本註冊。 |
| 彈性版本 | 如果您決定要變更 SQL Server 的版本 (version) 或版本 (edition),只要更新 Azure 入口網站內的中繼資料即可,而不需要重新部署整個 SQL Server VM。 隨附于基本註冊。 |
| 設定 tempdb | 您可以直接從Azure 入口網站設定tempdb,例如指定檔案數目、其初始大小、其位置,以及自動成長比例。 重新開機您的SQL Server服務,讓變更生效。 需要 SQL IaaS 代理程式擴充功能。 |
| 適用於雲端的 Defender 入口網站整合 | 如果您已啟用適用於 SQL 的 Microsoft Defender,則可以直接在 Azure 入口網站的 SQL 虛擬機器資源中檢視適用於雲端的 Defender 建議。 請參閱安全性最佳做法以深入了解。 需要 SQL IaaS 代理程式擴充功能。 |
| SQL 最佳做法評量 | 讓您使用設定最佳做法來評估 SQL Server VM 的健康情況。 如需詳細資訊,請參閱 SQL 最佳做法評定。 需要 SQL IaaS 代理程式擴充功能。 |
| 在入口網站中檢視磁碟使用率 | 讓您在 Azure 入口網站中檢視 SQL 資料檔案磁碟使用率的圖形表示。 需要 SQL IaaS 代理程式擴充功能。 |
許可權模型
SQL Server IaaS 代理程式擴充功能有兩種許可權模型- 完整系統管理員許可權或最低許可權原則。 最低許可權許可權模型會授與您啟用之每項功能所需的最低許可權。 您使用的每個功能都會獲指派SQL Server中的自訂角色,而且自訂角色只會獲得執行與功能相關動作所需的許可權。
根據預設,在 2022 年 10 月之後透過 Azure Marketplace 部署SQL Server VM,會啟用最低許可權模型的原則。 在此日期之前部署的現有SQL Server VM,或具有自我安裝SQL Server實例的 VM 預設會使用 sysadmin 模型,而且可以在Azure 入口網站中啟用最低特殊許可權模型。
若要啟用最低許可權許可權模型,請移至您的SQL 虛擬機器資源,選擇 [設定] 底下的 [其他功能],然後核取[SQL IaaS 代理程式擴充功能最低許可權模式] 旁的方塊:
![[Azure 入口網站 SQL 虛擬機器資源]、[其他功能] 頁面的螢幕擷取畫面,其中已醒目提示 [啟用最低許可權]。](media/sql-server-iaas-agent-extension-automate-management/least-privilege.png?view=azuresql)
下表定義擴充功能每個功能所使用的許可權和自訂角色:
| 功能 | 權限 | 伺服器/資料庫) (自訂角色 |
|---|---|---|
| SQL 最佳做法評量 | 伺服器許可權 - CONTROL SERVER | SqlIaaSExtension_Assessment |
| 自動備份 | 伺服器許可權 - CONTROL SERVER 資料庫許可權 - db_ddladmin 在 master 上, db_backupoperator 在 msdb 上 |
SqlIaaSExtension_AutoBackup |
| Azure 備份服務 | 系統管理員 (sysadmin) | |
| 認證管理 | 伺服器許可權 - CONTROL SERVER | SqlIaaSExtension_CredentialMgmt |
| 可用性群組入口網站管理 | 系統管理員 (sysadmin) | |
| R 服務 | 伺服器許可權 - ALTER SETTINGS | SqlIaaSExtension_RService |
| SQL 驗證 | 系統管理員 (sysadmin) | |
| SQL Server實例設定 | 伺服器許可權 - ALTER ANY LOGIN、ALTER SETTINGS | SqlIaaSExtension_SqlInstanceSetting |
| 儲存體組態 | 伺服器許可權 - ALTER ANY DATABASE | SqlIaaSExtension_StorageConfig |
| 狀態報告 | 伺服器許可權 - VIEW ANY DEFINITION、VIEW SERVER STATE、ALTER ANY LOGIN、CONNECT SQL | SqlIaaSExtension_StatusReporting |
安裝
當您使用 SQL IaaS 代理程式擴充功能註冊SQL Server VM 時,二進位檔會複製到 VM。 啟用依賴此功能的功能之後,SQL IaaS 代理程式擴充功能會安裝至 VM,並可存取SQL Server。 根據預設,代理程式會遵循最低許可權模型,而且只有與您啟用之功能相關聯的SQL Server內的許可權,除非您自行手動將SQL Server安裝至 VM,或是在 2022 年 10 月之前從 Marketplace 部署SQL Server映射,在此情況下,代理程式在 2022 年 10 月之前已擁有系統管理員許可權SQL Server。
透過 Azure 入口網站部署 SQL Server VM Azure Marketplace 映像,會自動向延伸模組註冊 SQL Server VM。 不過,如果您選擇在 Azure 虛擬機器上自行安裝SQL Server,或從自訂 VHD 布建 Azure 虛擬機器,則必須向 SQL IaaS 代理程式擴充功能註冊SQL Server VM,才能解除鎖定功能優點。 根據預設,使用 SQL Server 2016 或更新版本的自我安裝 Azure VM 會在CEIP 服務偵測到時,自動向 SQL IaaS 代理程式擴充功能註冊。 SQL Server CEIP 未偵測到的 VM 應該手動註冊。
當您向 SQL IaaS 代理程式擴充功能註冊時,二進位檔會複製到虛擬機器,但預設不會安裝代理程式。 只有在您啟用其中一個需要它 的功能 時,才會安裝代理程式,然後會在虛擬機器上執行下列兩項服務:
- Microsoft SQL Server IaaS 代理程式是 SQL IaaS代理程式擴充功能的主要服務,應該在本機系統帳戶下執行。
- Microsoft SQL Server IaaS 查詢服務是協助程式服務,可協助延伸模組在 SQL Server 內執行查詢,而且應該在NT 服務帳戶
NT Service\SqlIaaSExtensionQuery下執行。
有三種方式可以向擴充功能註冊:
使用 SQL Server IaaS 代理程式擴充功能註冊您的SQL Server VM,會在您的訂用帳戶內建立SQL 虛擬機器資源,這是與虛擬機器資源不同的資源。 從擴充功能取消註冊SQL Server VM 會從訂用帳戶中移除SQL 虛擬機器資源,但不會卸載基礎虛擬機器。
多個實例支援
如果有預設實例,SQL IaaS 代理程式擴充功能只能在具有多個實例的虛擬機器上運作。 當您使用 SQL IaaS 代理程式擴充功能註冊虛擬機器時,它會註冊預設實例,而這就是您可以從Azure 入口網站管理的實例。
如果沒有預設實例,SQL IaaS 代理程式擴充功能不支援具有多個具名實例的虛擬機器。
具名執行個體支援
如果 SQL IaaS 代理程式擴充功能是虛擬機器上唯一可用的SQL Server實例,則適用于 SQL Server 的具名實例。 SQL IaaS 代理程式擴充功能不支援具有多個具名實例的 VM。
若要使用SQL Server的具名實例,請部署 Azure 虛擬機器、將單一具名SQL Server實例安裝到其中,然後使用SQL IaaS 代理程式擴充功能註冊它。
或者,若要使用具有 Azure Marketplace SQL Server 映像的具名執行個體,請遵循下列步驟:
- 從 Azure Marketplace 部署 SQL Server VM。
- 從 SQL IaaS 代理程式擴充功能取消註冊 SQL Server VM。
- 完全解除安裝 SQL Server VM 內的 SQL Server。
- 重新啟動虛擬機器。
- 使用 SQL Server VM 中的具名執行個體來安裝 SQL Server。
- 重新啟動虛擬機器。
- 使用 SQL IaaS 代理程式擴充功能註冊 VM。
容錯移轉叢集實例支援
有限功能支援註冊 SQL Server 容錯移轉叢集實例 (FCI) 。 由於功能有限,SQL Server向擴充功能註冊的 FCI 不支援需要代理程式的功能,例如自動備份、修補和進階入口網站管理。
如果您的SQL Server VM 已經向 SQL IaaS 代理程式擴充功能註冊,而且您已啟用任何需要代理程式的功能,則必須從擴充功能取消註冊SQL Server VM,並在安裝 FCI 之後再次註冊。
確認擴充功能的狀態
使用Azure 入口網站、Azure PowerShell或 Azure CLI 來檢查擴充功能的狀態。
確認擴充功能已安裝在 Azure 入口網站中。
移至 Azure 入口網站中的虛擬機器資源 (不是 SQL 虛擬機器資源,而是 VM 的資源)。 選取 [設定] 底下的 [擴充功能]。 您應該會看到列出的 SqlIaasExtension 擴充功能,如下列範例所示:
限制
SQL IaaS 代理程式擴充功能僅支援:
- 透過 Azure Resource Manager 部署的 SQL Server VM。 不支援透過傳統模型部署SQL Server VM。
- 部署至公用或 Azure Government 雲端的 SQL Server VM。 不支援部署至其他私人或政府雲端。
- SQL Server具有有限功能的 FCI。 SQL Server向擴充功能註冊的 FCI 不支援需要代理程式的功能,例如自動備份、修補和進階入口網站管理。
- 具有單一具名實例的 VM,如果預設實例存在,則為具有多個具名實例的 VM。
隱私權聲明
在 Azure VM 和 SQL IaaS 代理程式擴充功能上使用SQL Server時,請考慮下列隱私權聲明:
自動註冊:根據預設,在CEIP 服務偵測到時,具有 SQL Server 2016 或更新版本的 Azure VM 會自動向 SQL IaaS 代理程式擴充功能註冊。 如需詳細資訊,請參閱SQL Server隱私權補充。
資料收集:SQL IaaS 代理程式擴充功能會收集資料,以在 Azure 虛擬機器上使用 SQL Server 時,為客戶提供選擇性的優點。 Microsoft 在沒有客戶的事先同意之前,不會將此資料用於授權稽核。 如需詳細資訊,請參閱 SQL Server 隱私權補充。
區域內資料落地:azure VM 和 SQL IaaS 代理程式延伸模組上的SQL Server,不會將客戶資料移出部署 VM 的區域。
後續步驟
若要在 Azure VM 的 SQL Server 上安裝 SQL Server IaaS 擴充功能,請參閱自動安裝、單一 VM 或大量 VM 的文章。 如需問題解決方式,請參閱 針對擴充功能的已知問題進行疑難排解。
若要深入了解,請檢閱下列文章: