SQL Managed Instance aktiverat av Azure Arc med Active Directory-autentisering
Azure Arc-aktiverade datatjänster stöder Active Directory (AD) för identitets- och åtkomsthantering (IAM). SQL Managed Instance som aktiveras av Azure Arc använder en befintlig lokal Active Directory -domän (AD) för autentisering.
I den här artikeln beskrivs hur du aktiverar SQL Managed Instance som aktiveras av Azure Arc med Ad-autentisering (Active Directory). Artikeln visar två möjliga AD-integreringslägen:
- Kundhanterad nyckelflik (CMK)
- Tjänsthanterad nyckelflik (SMK)
Begreppet Active Directory-integreringsläge (AD) beskriver processen för nyckelflikshantering, inklusive:
- Skapa ETT AD-konto som används av SQL Managed Instance
- Registrera tjänsthuvudnamn (SPN) under ovanstående AD-konto.
- Generera nyckelfliksfil
Bakgrund
Om du vill aktivera Active Directory-autentisering för SQL Server på Linux- och Linux-containrar använder du en nyckelfliksfil. Nyckelfliksfilen är en kryptografisk fil som innehåller tjänstens huvudnamn (SPN), kontonamn och värdnamn. SQL Server använder nyckelfliksfilen för att autentisera sig till Active Directory-domänen (AD) och autentisera sina klienter med hjälp av Active Directory (AD). Gör följande för att aktivera Active Directory-autentisering för Arc-aktiverad SQL Managed Instance:
- Distribuera datakontrollant
- Distribuera en kundhanterad keytab AD-anslutningsapp eller Distribuera en tjänsthanterad AD-anslutningsapp
- Distribuera SQL-hanterade instanser
Följande diagram visar hur du aktiverar Active Directory-autentisering för SQL Managed Instance som aktiveras av Azure Arc:
Vad är en Ad-anslutningsapp (Active Directory) ?
För att aktivera Active Directory-autentisering för SQL Managed Instance måste instansen distribueras i en miljö som gör att den kan kommunicera med Active Directory-domänen.
För att underlätta detta introducerar Azure Arc-aktiverade datatjänster en ny Kubernetes-inbyggd anpassad resursdefinition (CRD) med namnet Active Directory Connector. Det ger instanser som körs på samma datakontrollant möjlighet att utföra Active Directory-autentisering.
Jämför AD-integreringslägen
Vad är skillnaden mellan de två Active Directory-integreringslägena?
Om du vill aktivera Active Directory-autentisering för SQL Managed Instance som aktiveras av Azure Arc behöver du en Active Directory-anslutning där du anger distributionsläget för Active Directory-integrering. De två Active Directory-integreringslägena är:
- Kundhanterad nyckelflik
- Tjänsthanterad nyckelflik
I följande avsnitt jämförs dessa lägen.
| Kundhanterad nyckelflik | Systemhanterad nyckelflik | |
|---|---|---|
| Användningsfall | Små och medelstora företag som är bekanta med att hantera Active Directory-objekt och vill ha flexibilitet i automatiseringsprocessen | Alla storlekar på företag – försöker få en mycket automatiserad Active Directory-hanteringsupplevelse |
| Användaren tillhandahåller | Ett Active Directory-konto och SPN under det kontot och en nyckelfliksfil för Active Directory-autentisering | En organisationsenhet (OU) och ett domäntjänstkonto har tillräcklig behörighet för organisationsenheten i Active Directory. |
| Karakteristika | Användarhanterad. Användare tar med Active Directory-kontot, som personifierar identiteten för den hanterade instansen och nyckelfliksfilen. | Systemhanterad. Systemet skapar ett domäntjänstkonto för varje hanterad instans och anger SPN automatiskt för det kontot. Den skapar och levererar också en nyckelfliksfil till den hanterade instansen. |
| Distributionsprocess | 1. Distribuera datakontrollant 2. Skapa nyckelfliksfil 3. Konfigurera nyckelfliksinformation till Kubernetes-hemlighet 4. Distribuera AD-anslutningsapp, distribuera SQL-hanterad instans Mer information finns i Distribuera en kundhanterad keytab Active Directory-anslutningsapp |
1. Distribuera datakontrollant, distribuera AD-anslutningsapp 2. Distribuera SQL-hanterad instans Mer information finns i Distribuera en systemhanterad keytab Active Directory-anslutningsapp |
| Hanterbarhet | Du kan skapa nyckelfliksfilen genom att följa anvisningarna från Active Directory-verktyget (adutil). Manuell rotation av nyckelfliken. |
Rotation av hanterad nyckelflik. |
| Begränsningar | Vi rekommenderar inte att du delar nyckelfliksfiler mellan tjänster. Varje tjänst bör ha en specifik nyckelfliksfil. I takt med att antalet keytab-filer ökar ökar arbetsinsatsen och komplexiteten. | Generering och rotation av hanterade nyckelflikar. Tjänstkontot kräver tillräckliga behörigheter i Active Directory för att hantera autentiseringsuppgifterna. Distribuerad tillgänglighetsgrupp stöds inte. |
För båda lägena behöver du ett specifikt Active Directory-konto, en nyckelflik och en Kubernetes-hemlighet för varje SQL-hanterad instans.
Aktivera Active Directory-autentisering
När du distribuerar en instans med avsikten att aktivera Active Directory-autentisering måste distributionen referera till en Active Directory-anslutningsinstans som ska användas. Om du refererar till Active Directory-anslutningsappen i specifikationen för hanterad instans konfigureras automatiskt den miljö som behövs i instanscontainern för att autentisera med Active Directory.
Relaterat innehåll
- Distribuera en kundhanterad active directory-anslutningsapp (AD)
- Distribuera en systemhanterad active directory-anslutningsapp (AD)
- Distribuera SQL Managed Instance aktiverat av Azure Arc i Active Directory (AD)
- Ansluta till SQL Managed Instance som aktiveras av Azure Arc med Hjälp av Active Directory-autentisering