Instância gerenciada de SQL habilitada pelo Azure Arc com autenticação do Active Directory
Os serviços de dados habilitados para Azure Arc dão suporte ao AD (Active Directory) para IAM (Gerenciamento de Identidade e Acesso). A Instância Gerenciada de SQL habilitada pelo Azure Arc usa um domínio existente do AD (Active Directory) local para autenticação.
Este artigo descreve como habilitar a Instância Gerenciada de SQL habilitada pelo Azure Arc com autenticação do AD (Active Directory). O artigo demonstra dois modos de integração ao AD possíveis:
- CMK (keytab gerenciado pelo cliente)
- SMK (keytab gerenciado pelo serviço)
A noção do modo de integração do AD (Active Directory) descreve o processo de gerenciamento de keytab, incluindo:
- Criar uma conta do AD usada pela Instância Gerenciada de SQL
- Registrar SPNs (nomes das entidade de serviço) na conta do AD acima.
- Gerar um arquivo keytab
Tela de fundo
Para habilitar a autenticação do Active Directory para o SQL Server em Linux e em contêineres do Linux, use um arquivo keytab. O arquivo keytab é um arquivo de criptografia que contém SPNs (nomes das entidades de serviço), nomes de conta e nomes de host. O SQL Server usa o arquivo keytab para se autenticar no domínio do AD (Active Directory) e autenticar seus clientes usando o AD. Execute as seguintes etapas para habilitar a autenticação do Active Directory para a Instância Gerenciada de SQL habilitada para Arc:
- Implantar um controlador de dados
- Implantar um conector AD de keytab gerenciado pelo cliente ou Implantar um conector AD de keytab gerenciado pelo serviço
- Implantar Instâncias Gerenciadas de SQL
O diagrama a seguir mostra como habilitar a autenticação do Active Directory para a Instância Gerenciada de SQL habilitada pelo Azure Arc:
O que é um AD (Active Directory) Connector?
Para habilitar a autenticação do Active Directory para a Instância Gerenciada de SQL, a instância precisa ser implantada em um ambiente que permita a comunicação com o domínio do Active Directory.
Para facilitar esse processo, os serviços de dados habilitados para Azure Arc apresentam uma nova CRD (definição de recurso personalizado) nativa do Kubernetes, chamada Active Directory Connector. Ela fornece às instâncias executadas no mesmo controlador de dados a capacidade de executar a autenticação do Active Directory.
Comparar modos de integração do AD
Qual é a diferença entre os dois modos de integração do Active Directory?
Para habilitar a autenticação do Active Directory para a Instância Gerenciada de SQL habilitada pelo Azure Arc, você precisa de um conector do Active Directory no qual especificará o modo de implantação da integração do Active Directory. Os dois modos de integração ao Active Directory são:
- Keytab gerenciado pelo cliente
- Keytab gerenciado por serviço
A seção a seguir compara esses modos.
| Keytab gerenciado pelo cliente | Keytab gerenciado pelo sistema | |
|---|---|---|
| Casos de uso | Pequenas e médias empresas que já estão familiarizadas com o gerenciamento de objetos do Active Directory e querem flexibilidade no processo de automação | Empresas de todos os tamanhos que buscam uma experiência de gerenciamento do Active Directory altamente automatizada |
| O usuário fornece | Uma conta do Active Directory e SPNs nessa conta e um arquivo keytab para autenticação do Active Directory | Você trará uma UO (unidade organizacional) e uma conta de serviço de domínio com permissões suficientes nessa UO no Active Directory. |
| Características | Gerenciado pelo usuário. Os usuários trazem a conta do Active Directory, que representa a identidade da instância gerenciada e do arquivo keytab. | Gerenciado pelo sistema. O sistema cria uma conta de serviço de domínio para cada instância gerenciada e define SPNs automaticamente nessa conta. Ele também cria um arquivo keytab e entrega-o para a instância gerenciada. |
| Processo de implantação | 1. Implantar um controlador de dados 2. Criar um arquivo keytab 3. Configurar informações do keytab para o segredo do Kubernetes 4. Implantar o AD Connector e implantar a Instância Gerenciada de SQL Para obter mais informações, confira Implantar um conector do Active Directory de keytab gerenciado pelo cliente |
1. Implantar um controlador de dados e implantar o AD Connector 2. Implantar a Instância Gerenciada de SQL Para obter mais informações, confira Implantar um Active Directory Connector de keytab gerenciado pelo sistema |
| Capacidade de gerenciamento | Você pode criar o arquivo keytab seguindo as instruções do utilitário do Active Directory (adutil). Rotação manual de keytab. |
Rotação gerenciada de keytab. |
| Limitações | Não recomendamos o compartilhamento de arquivos keytab entre serviços. Cada serviço deve ter um arquivo keytab específico. À medida que o número de arquivos keytab aumenta, o nível de esforço e a complexidade também aumentam. | Geração e rotação gerenciadas de keytab. A conta de serviço exigirá permissões suficientes no Active Directory para gerenciar as credenciais. Não há suporte para o Grupo de Disponibilidade Distribuída. |
Nos dois modos, você precisa de uma conta específica do Active Directory, um keytab e um segredo do Kubernetes para cada Instância Gerenciada de SQL.
Habilitar autenticação do Active Directory
Ao implantar uma instância com a intenção de habilitar a autenticação do Active Directory, a implantação precisa fazer referência a uma instância do conector do Active Directory a ser usada. A referência ao conector do Active Directory na especificação da instância gerenciada configura automaticamente o ambiente necessário no contêiner da instância para autenticar com o Active Directory.
Conteúdo relacionado
- Implantar um AD (Active Directory) Connector de keytab gerenciado pelo cliente
- Implantar um AD (Active Directory) Connector de keytab gerenciado pelo sistema
- Implantar a Instância Gerenciada de SQL habilitada pelo Azure Arc no AD (Active Directory)
- Conectar-se à Instância Gerenciada de SQL habilitada pelo Azure Arc usando a autenticação do Active Directory