Spravovaná instance SQL povolená službou Azure Arc s ověřováním active directory
Datové služby s podporou Služby Azure Arc podporují Active Directory (AD) pro správu identit a přístupu (IAM). Spravovaná instance SQL povolená službou Azure Arc používá k ověřování existující doménu místní Active Directory (AD).
Tento článek popisuje, jak povolit službu SQL Managed Instance povolenou službou Azure Arc s ověřováním Active Directory (AD). Článek ukazuje dva možné režimy integrace AD:
- Keytab spravovaný zákazníkem (CMK)
- Tabulátor klíčů spravovaný službou (SMK)
Pojem integrace služby Active Directory (AD) popisuje proces správy klíčových tabulek, včetně těchto:
- Vytvoření účtu AD používaného službou SQL Managed Instance
- Registrace hlavních názvů služby (SPN) pod výše uvedeným účtem AD.
- Generování souboru keytab
Pozadí
Pokud chcete povolit ověřování Active Directory pro SQL Server v kontejnerech Linuxu a Linuxu, použijte soubor keytab. Soubor keytab je kryptografický soubor obsahující hlavní názvy služeb (SPN), názvy účtů a názvy hostitelů. SQL Server používá soubor keytab k ověřování v doméně služby Active Directory (AD) a ověřování klientů pomocí služby Active Directory (AD). Pokud chcete povolit ověřování active directory pro službu SQL Managed Instance s podporou arc, proveďte následující kroky:
- Nasazení kontroleru dat
- Nasazení konektoru AD spravovaného zákazníkem nebo nasazení konektoru AD spravovaného službou
- Nasazení spravovaných instancí SQL
Následující diagram ukazuje, jak povolit ověřování Active Directory pro službu SQL Managed Instance povolenou službou Azure Arc:
Co je konektor Active Directory (AD)?
Aby bylo možné povolit ověřování active directory pro službu SQL Managed Instance, musí být instance nasazena v prostředí, které mu umožní komunikovat s doménou služby Active Directory.
Aby to bylo možné usnadnit, datové služby s podporou Azure Arc zavádí novou nativní Active Directory Connectorvlastní definici prostředků Kubernetes (CRD). Poskytuje instance spuštěné na stejném řadiči dat schopnost provádět ověřování služby Active Directory.
Porovnání režimů integrace AD
Jaký je rozdíl mezi dvěma režimy integrace služby Active Directory?
Pokud chcete povolit ověřování Active Directory pro službu SQL Managed Instance povolenou službou Azure Arc, potřebujete konektor služby Active Directory, ve kterém zadáte režim nasazení integrace služby Active Directory. Mezi dva režimy integrace služby Active Directory patří:
- Záložka klíčů spravovaná zákazníkem
- Záložka klíčů spravovaná službou
Následující část tyto režimy porovnává.
| Záložka klíčů spravovaná zákazníkem | System-managed keytab | |
|---|---|---|
| Případy použití | Malé a střední firmy, které jsou obeznámené se správou objektů služby Active Directory a chtějí flexibilitu v procesu automatizace | Všechny velikosti firem – hledání vysoce automatizovaného prostředí pro správu služby Active Directory |
| Uživatel poskytuje | Účet služby Active Directory a hlavní názvy služeb (SPN) v rámci daného účtu a soubor keytab pro ověřování active directory | Organizační jednotka a účet doménové služby mají dostatečná oprávnění k této organizační jednotce ve službě Active Directory. |
| Charakteristiky | Spravováno uživatelem. Uživatelé přinesou účet Active Directory, který zosobní identitu spravované instance a souboru keytab. | Spravováno systémem. Systém vytvoří účet doménové služby pro každou spravovanou instanci a automaticky nastaví hlavní názvy služeb pro tento účet. Vytvoří a doručí také soubor keytab do spravované instance. |
| Proces nasazení | 1. Nasazení kontroleru dat 2. Vytvoření souboru keytab 3. Nastavení informací o keytabu na tajný klíč Kubernetes 4. Nasazení konektoru AD, nasazení spravované instance SQL Další informace najdete v tématu Nasazení konektoru služby Active Directory spravovaného zákazníkem. |
1. Nasazení kontroleru dat, nasazení konektoru AD 2. Nasazení spravované instance SQL Další informace najdete v tématu Nasazení konektoru služby Active Directory spravovaného systémem. |
| Ovladatelnost | Soubor keytab můžete vytvořit podle pokynů z nástroje Active Directory (adutil). Ruční otočení klávesových tabulek |
Obměně spravované klávesové zkratky |
| Omezení | Nedoporučujeme sdílet soubory keytab mezi službami. Každá služba by měla mít konkrétní soubor keytab. S rostoucím počtem souborů klíčových tabulek se zvyšuje úroveň úsilí a složitosti. | Generování a obměně spravovaných tabulek klíčů Účet služby bude vyžadovat dostatečná oprávnění ke správě přihlašovacích údajů ve službě Active Directory. Distribuovaná skupina dostupnosti není podporována. |
V obou režimech potřebujete pro každou spravovanou instanci SQL konkrétní účet služby Active Directory, klíčtab a tajný klíč Kubernetes.
Povolení ověřování active directory
Když nasadíte instanci se záměrem povolit ověřování active directory, nasazení musí odkazovat na instanci konektoru služby Active Directory, která se má použít. Odkazování na konektor Služby Active Directory ve specifikaci spravované instance automaticky nastaví potřebné prostředí v kontejneru instancí pro ověření ve službě Active Directory.
Související obsah
- Nasazení konektoru Active Directory (AD) spravovaného zákazníkem
- Nasazení konektoru služby Active Directory (AD) spravovaného systémem
- Nasazení služby SQL Managed Instance povolené službou Azure Arc ve službě Active Directory (AD)
- Připojení ke službě SQL Managed Instance povolené službou Azure Arc pomocí ověřování Active Directory