Obměna spravované instance SQL s povolenými přihlašovacími údaji spravovanými službou Azure Arc (Preview)
Tento článek popisuje, jak otočit přihlašovací údaje spravované službou pro službu SQL Managed Instance povolenou službou Azure Arc. Datové služby Arc generují různé přihlašovací údaje spravované službou, jako jsou certifikáty a přihlášení SQL používaná pro monitorování, zálohování/obnovení, vysoká dostupnost atd. Tyto přihlašovací údaje se považují za vlastní přihlašovací údaje prostředků spravované datovými službami Azure Arc.
Obměna přihlašovacích údajů spravovaných službou je operace aktivovaná uživatelem, kterou zahájíte během problému se zabezpečením nebo když je pro dodržování předpisů vyžadována pravidelná obměna.
Omezení
Při obměně přihlašovacích údajů spravovaných službou spravované instance zvažte následující omezení:
- Skupiny převzetí služeb při selhání SQL Serveru se nepodporují.
- Automatická předplánovaná rotace není podporována.
- V této obměně přihlašovacích údajů nejsou zahrnuté symetrické klíče DPAPI spravované službou, tabulátor klíčů, účty active directory a přihlašovací údaje transparentního šifrování dat spravované službou.
Úroveň Obecné účely
Během obměny přihlašovacích údajů spravovaných službou SQL Managed Instance pro obecné účely se pod Kubernetes spravované instance ukončí a znovu zprototožní s otočenými přihlašovacími údaji. Tento proces způsobí krátký výpadek při vytváření nového podu spravované instance. Pokud chcete toto přerušení zvládnout, zajistěte minimální přerušení tím, že do své aplikace zabudujte odolnost, jako je například logika opakování připojení. Další informace o tom, jak navrhovat odolnost a opakovat pokyny pro služby Azure, najdete v přehledu pilíře spolehlivosti.
Úroveň Pro důležité obchodní informace
Během Pro důležité obchodní informace obměně přihlašovacích údajů spravovaných službou SQL Managed Instance s více než jednou replikou:
- Pody sekundární repliky se ukončí a znovu zřídily pomocí přihlašovacích údajů spravovaných otočenou službou.
- Po opětovném zřízení replik se primární replika převezme při selhání do repliky s opětovným zřízením.
- Předchozí primární pod se ukončí a znovu zprototožní s přihlašovacími údaji spravovanými otočenou službou a stane se sekundárním
Dojde k krátkému výpadku, když dojde k převzetí služeb při selhání.
Požadavky:
Než budete pokračovat v tomto článku, musíte mít vytvořenou instanci SQL Managed Instance vytvořenou prostředkem Azure Arc.
Obměna přihlašovacích údajů spravovaných službou ve spravované instanci
Přihlašovací údaje spravované službou jsou přidružené ke generování v rámci spravované instance. Pokud chcete otočit všechny přihlašovací údaje spravované službou pro spravovanou instanci, musí se generování zvýšit o 1.
Spuštěním následujících příkazů získejte aktuální generování přihlašovacích údajů spravovaných službou ze specifikace a vygenerujte novou generaci přihlašovacích údajů spravovaných službou. Tato akce aktivuje obměnu přihlašovacích údajů spravovaných službou.
rotateCredentialGeneration=$(($(kubectl get sqlmi <sqlmi-name> -o jsonpath='{.spec.update.managedCredentialsGeneration}' -n <namespace>) + 1))
kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "update": { "managedCredentialsGeneration": '$rotateCredentialGeneration'} } }'
Identifikuje managedCredentialsGeneration cílovou generaci přihlašovacích údajů spravovaných službou. Zbývající funkce, jako je konfigurace a topologie Kubernetes, zůstávají stejné.
Vrácení přihlašovacích údajů spravovaných službou ve spravované instanci zpět
Poznámka:
Vrácení zpět se vyžaduje, když selže obměně přihlašovacích údajů. Vrácení zpět do předchozí generace přihlašovacích údajů se podporuje pouze jednou na n-1, kde n je aktuální generace.
Pokud se vrácení zpět aktivuje, zatímco probíhá obměna přihlašovacích údajů a všechny repliky nebyly znovu zřízený, může vrácení zpět trvat přibližně 30 minut, než bude spravovaná instance ve stavu Připraveno.
Spuštěním následujících dvou příkazů získejte aktuální generování přihlašovacích údajů spravovaných službou ze specifikace a vrácení zpět na předchozí generaci přihlašovacích údajů spravovaných službou:
rotateCredentialGeneration=$(($(kubectl get sqlmi <sqlmi-name> -o jsonpath='{.spec.update.managedCredentialsGeneration}' -n <namespace>) - 1))
kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "update": { "managedCredentialsGeneration": '$rotateCredentialGeneration'} } }'
Aktivace vrácení zpět je stejná jako aktivace obměně přihlašovacích údajů spravovaných službou s tím rozdílem, že cílová generace je předchozí generace a nevygeneruje novou generaci nebo přihlašovací údaje.