SQL erőforrás-szolgáltató karbantartási műveletei

A SQL erőforrás-szolgáltató egy zárolt virtuális gépen (VM) fut. A karbantartási műveletek engedélyezéséhez frissítenie kell a virtuális gép biztonságát. Ha ezt a legkisebb jogosultságok rendszerbiztonsági tagjának használatával kell megtennie, használja a PowerShell Just Enough Administration (JEA)DBAdapterMaintenance végpontját. Az erőforrás-szolgáltató telepítési csomagja tartalmaz egy parancsfájlt a művelethez.

Javítás és frissítés

A SQL erőforrás-szolgáltató nincs a szolgáltatás részeként Azure Stack Hub mivel ez egy bővítmény összetevő. A Microsoft szükség szerint SQL az erőforrás-szolgáltató frissítéseit. A frissített SQL kiadott adapter egy parancsfájlt biztosít a frissítés alkalmazáshoz. Ez a szkript létrehoz egy új erőforrás-szolgáltató virtuális gépet, amely a régi szolgáltatói virtuális gép állapotát az új virtuális gépre misíti át. További információ: A SQL frissítése.

Szolgáltatói virtuális gép

Mivel az erőforrás-szolgáltató egy felhasználói virtuális gépen fut, alkalmaznia kell a szükséges javításokat és frissítéseket, amikor azok ki vannak adva. A Windows frissítési csomagok használatával, amelyek a javítási és frissítési ciklus részeként biztosítanak frissítéseket a virtuális gépre.

A SQL hitelesítő adatainak frissítése

Az Ön feladata sysadmin-fiókok létrehozása és fenntartása a SQL kiszolgálókon. Az erőforrás-szolgáltatónak szüksége van egy ilyen jogosultságokkal rendelkező fiókra a felhasználók adatbázisának kezeléséhez, de nem kell hozzáférnie a felhasználói adatokhoz. Ha frissítenie kell a rendszergazdai jelszavakat a SQL-kiszolgálókon, az erőforrás-szolgáltató rendszergazdai felületén módosíthatja a tárolt jelszavakat. Ezeket a jelszavakat a rendszer a Key Vault egy Azure Stack Hub tárolja.

A beállítások módosításához válassza a Felügyeletierőforrások tallózása lehetőséget, SQL Kiszolgálók SQL bejelentkezések lehetőséget, és válasszon egy felhasználónevet. A változtatást először a SQL kell (és szükség esetén minden replikán) A Gépházválassza a Jelszó lehetőséget.

A rendszergazdai SQL frissítése

Titkos kulcsok rotálása

Ezek az utasítások csak az integrált Azure Stack Hub vonatkoznak.

Ha az SQL és Azure Stack Hub a MySQL erőforrás-szolgáltatókat integrált rendszerekkel használja, az Azure Stack Hub operátor felelős az erőforrás-szolgáltató infrastruktúra következő titkos kódjának rotéséért, hogy azok ne járják le a lejáratukat:

  • A telepítés során megadott külső SSL-tanúsítvány.
  • Az erőforrás-szolgáltató virtuális gép helyi rendszergazdai fiókjának jelszava, amely az üzembe helyezés során van megtéve.
  • Az erőforrás-szolgáltató diagnosztikai felhasználójának (dbadapterdiag) jelszava.
  • (verzió > = 1.1.47.0) Key Vault a telepítés során létrehozott tanúsítványt.

PowerShell-példák titkos kulcsok rotozásával

Fontos

A titkos adatok sikeres rotálását az alábbi szkript futtatása előtt el kell Azure Stack Hub PowerShell-modulokösszes meglévő verziójának.

Az összes titkos ot egyszerre módosíthatja.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword $passwd `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd  `
    -VMLocalCredential $localCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

Módosítsa a diagnosztikai felhasználói jelszót.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword  $passwd

Módosítsa a virtuális gép helyi rendszergazdai fiókjának jelszavát.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -VMLocalCredential $localCreds

Az SSL-tanúsítvány forgása

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd

A Key Vault elforgatása

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

SecretRotationSQLProvider.ps1 paraméterek

Paraméter Leírás Megjegyzés
AzureKörnyezet A szolgáltatás üzembe helyezéséhez használt szolgáltatás-rendszergazdai fiók Azure-Azure Stack Hub. Csak Azure AD-környezetek esetén szükséges. A támogatott környezetnevek: AzureCloud,AzureUSGovernment, vagy china Azure Active Directory, AzureChinaCloud. Választható
AzCredential Azure Stack Hub szolgáltatás rendszergazdai fiókjának hitelesítő adatait. A szkript sikertelen lesz, ha az AzCredential-hez használt fiók többtényezős hitelesítést (MFA) igényel. Kötelező
CloudAdminCredential Azure Stack Hub rendszergazdai tartományi fiók hitelesítő adatait. Kötelező
PrivilegedEndpoint Kiemelt végpont a Get-AzureStackStampInformation eléréséhez. Kötelező
DiagnosticsUserPassword Diagnosztikai felhasználói fiók jelszava. Választható
VMLocalCredential Helyi rendszergazdai fiók a MySQLAdapter virtuális gépen. Választható
DefaultSSLCertificatePassword Alapértelmezett SSL-tanúsítvány (*.pfx) jelszava. Választható
DependencyFilesLocalPath Függőségfájlok helyi elérési útja. Választható
KeyVaultPfxPassword Az adatbázis-adapter Key Vault létrehozásához használt jelszó. Választható

A virtuális gép operációs rendszerének frissítése

A virtuális gép operációs rendszerének frissítéséhez használja az alábbi módszerek egyikét.

  • Telepítse a legújabb erőforrás-szolgáltatói csomagot egy jelenleg javított virtuálisgép-rendszerkép használatával.
  • Telepítsen egy Windows update csomagot az erőforrás-szolgáltató telepítése vagy frissítése során.

A virtuális gép Windows Defender frissítése

Az új Windows Defender frissítése:

  1. Töltse le a Windows Defender definíciófrissítését a Security intelligence updates for Windows Defender ( Biztonsági intelligencia frissítései) Windows Defender.

    A definíciók frissítési oldalán görgessen le a "Frissítés manuális letöltése" oldalra. Töltse le a "Windows Defender víruskereső for Windows 10 és Windows 8.1" 64 bites fájlt.

    Ezzel a közvetlen hivatkozással letöltheti/futtathatja a fpam-fe.exe fájlt.

  2. Hozzon létre egy PowerShell-munkamenetet SQL virtuális gép erőforrás-szolgáltató adapterének karbantartási végpontjához.

  3. Másolja a definíciófrissítési fájlt a virtuális gépre a karbantartási végpont munkamenetének használatával.

  4. A karbantartási PowerShell-munkamenetben futtassa az Update-DBAdapterWindowsDefenderDefinitions parancsot.

  5. A definíciók telepítése után javasoljuk, hogy törölje a definíciófrissítési fájlt a Remove-ItemOnUserDrive paranccsal.

PowerShell-példaszkprogram a definíciók frissítéséhez

A Defender-definíciók frissítéséhez szerkesztheti és futtathatja az alábbi szkriptet. Cserélje le a szkript értékeit a környezet értékeire.

# Set credentials for local admin on the resource provider VM.
$vmLocalAdminPass = ConvertTo-SecureString '<local admin user password>' -AsPlainText -Force
$vmLocalAdminUser = "<local admin user name>"
$vmLocalAdminCreds = New-Object System.Management.Automation.PSCredential `
    ($vmLocalAdminUser, $vmLocalAdminPass)

# Provide the public IP address for the adapter VM.
$databaseRPMachine  = "<RP VM IP address>"
$localPathToDefenderUpdate = "C:\DefenderUpdates\mpam-fe.exe"

# Download the Windows Defender update definitions file from https://www.microsoft.com/wdsi/definitions.
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' `
    -Outfile $localPathToDefenderUpdate

# Create a session to the maintenance endpoint.
$session = New-PSSession -ComputerName $databaseRPMachine `
    -Credential $vmLocalAdminCreds -ConfigurationName DBAdapterMaintenance `
    -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Copy the defender update file to the adapter VM.
Copy-Item -ToSession $session -Path $localPathToDefenderUpdate `
     -Destination "User:\"
# Install the update definitions.
Invoke-Command -Session $session -ScriptBlock `
    {Update-AzSDBAdapterWindowsDefenderDefinition -DefinitionsUpdatePackageFile "User:\mpam-fe.exe"}
# Cleanup the definitions package file and session.
Invoke-Command -Session $session -ScriptBlock `
    {Remove-AzSItemOnUserDrive -ItemPath "User:\mpam-fe.exe"}
$session | Remove-PSSession

Diagnosztikai naplók gyűjtése

Azure Stack Hub diagnosztikai naplókat többféleképpen is gyűjthet, menthet és küldhet a Microsoft ügyfélszolgálata. Az 1.1.93-as verziótól kezdődően a SQL erőforrás-szolgáltató támogatja a szabványos naplógyűjtési módokat a Azure Stack Hub környezetből. További információ: Diagnosztikai naplók gyűjtése.

Az 1.1.93-as verziótól kezdődően a SQL erőforrás-szolgáltató támogatja a szabványos naplógyűjtési módokat a Azure Stack Hub környezetből. Ha régebbi verziót használ, javasoljuk, hogy frissítse SQL erőforrás-szolgáltatót a legújabb verzióra.

A naplók a zárolt virtuális gépről való gyűjtéséhez használja a PowerShell Just Enough Administration (JEA) DBAdapterDiagnostics végpontját. Ez a végpont a következő parancsokat biztosítja:

  • Get-AzsDBAdapterLog. Ez a parancs létrehoz egy zip-csomagot az erőforrás-szolgáltató diagnosztikai naplóiból, és menti a fájlt a munkamenet felhasználói meghajtójára. Ezt a parancsot paraméterek nélkül is futtathatja, és a rendszer az utolsó négy órányi naplót gyűjti össze.
  • Remove-AzsDBAdapterLog. Ez a parancs eltávolítja a meglévő naplócsomagokat az erőforrás-szolgáltató virtuális gépen.

Végpontokra vonatkozó követelmények és folyamat

Amikor telepít vagy frissít egy erőforrás-szolgáltatót, létrejön a dbadapterdiag felhasználói fiók. Ezt a fiókot fogja használni a diagnosztikai naplók gyűjtéséhez.

Megjegyzés

A dbadapterdiag fiók jelszava megegyezik a szolgáltató üzembe helyezése vagy frissítése során létrehozott virtuális gép helyi rendszergazdája által használt jelszóval.

A DBAdapterDiagnostics parancsok futtatásához hozzon létre egy távoli PowerShell-munkamenetet az erőforrás-szolgáltató virtuális géphez, és futtassa a Get-AzsDBAdapterLog parancsot.

A naplógyűjtés időtartományát a FromDate és a ToDate paraméterekkel állíthatja be. Ha nem ad meg egyet vagy mindkettőt, a rendszer a következő alapértelmezett értékeket használja:

  • A FromDate négy órával az aktuális időpont előtt van.
  • A ToDate az aktuális időpont.

Példa PowerShell-példaszkprogram naplók gyűjtésére

A következő szkript bemutatja, hogyan gyűjthetőek diagnosztikai naplók az erőforrás-szolgáltató virtuális gépről.

# Create a new diagnostics endpoint session.
$databaseRPMachineIP = '<RP VM IP address>'
$diagnosticsUserName = 'dbadapterdiag'
$diagnosticsUserPassword = '<Enter Diagnostic password>'

$diagCreds = New-Object System.Management.Automation.PSCredential `
        ($diagnosticsUserName, (ConvertTo-SecureString -String $diagnosticsUserPassword -AsPlainText -Force))
$session = New-PSSession -ComputerName $databaseRPMachineIP -Credential $diagCreds `
        -ConfigurationName DBAdapterDiagnostics `
        -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Sample that captures logs from the previous hour.
$fromDate = (Get-Date).AddHours(-1)
$dateNow = Get-Date
$sb = {param($d1,$d2) Get-AzSDBAdapterLog -FromDate $d1 -ToDate $d2}
$logs = Invoke-Command -Session $session -ScriptBlock $sb -ArgumentList $fromDate,$dateNow

# Copy the logs to the user drive.
$sourcePath = "User:\{0}" -f $logs
$destinationPackage = Join-Path -Path (Convert-Path '.') -ChildPath $logs
Copy-Item -FromSession $session -Path $sourcePath -Destination $destinationPackage

# Clean up the logs.
$cleanup = Invoke-Command -Session $session -ScriptBlock {Remove-AzsDBAdapterLog}
# Close the session.
$session | Remove-PSSession

Ismert korlátozások

Korlátozás:
Ha az üzembe helyezési, frissítési vagy titkos adatok rotációs szkriptje sikertelen volt, egyes naplókat nem lehet a szabványos naplógyűjtési mechanizmussal gyűjteni.

Áthidaló megoldás:
A szabványos naplógyűjtési mechanizmus használata mellett lépjen a kibontott mappában található Logs mappához, ahol a szkript található, és további naplókat is talál.

A Azure Diagnostics bővítmény konfigurálása SQL erőforrás-szolgáltatóhoz

Azure Diagnostics bővítmény alapértelmezés szerint telepítve SQL virtuális gép erőforrás-szolgáltatói adapterének virtuális gépére. A következő lépések azt mutatják be, hogyan szabhatja testre a bővítményt a SQL-eseménynaplók és az IIS-naplók összegyűjtéséhez hibaelhárítási és naplózási céllal.

  1. Jelentkezzen be az Azure Stack Hub felügyeleti portálra.

  2. A bal oldali panelen válassza a Virtuális gépek lehetőséget, keresse meg SQL virtuális gép erőforrás-szolgáltató adapterét, és válassza ki a virtuális gépet.

  3. A virtuális gép Diagnosztikai beállításai területen válassza a Naplók lapot, és válassza az Egyéni lehetőséget az összegyűjtött eseménynaplók testreszabásához. Ugrás a diagnosztikai beállításokra

  4. Adja hozzá a Microsoft-AzureStack-DatabaseAdapter/Operational!* SQL erőforrás-szolgáltató üzemeltetési eseménynaplóinak gyűjtéséhez. Eseménynaplók hozzáadása

  5. Az IIS-naplók gyűjtésének engedélyezéséhez ellenőrizze az IIS-naplókat és a Sikertelen kérelmek naplóit. IIS-naplók hozzáadása

  6. Végül válassza a Mentés lehetőséget az összes diagnosztikai beállítás mentéséhez.

Miután az eseménynaplók és az IIS-naplók gyűjtése konfigurálva van SQL erőforrás-szolgáltatóhoz, a naplók egy sqladapterdiagaccountnevű rendszertárfiókban találhatók.

További információ a Azure Diagnostics bővítményről: Mi az Azure Diagnostics bővítmény?

Következő lépések

Üzemeltetési SQL Server hozzáadása