Menyebarkan SQL Server Kluster Big Data dalam mode AD pada Azure Kubernetes Services (AKS)
SQL Server Kluster Big Data mendukung mode penyebaran Active Directory (AD) untuk Manajemen Identitas dan Akses (IAM). IAM untuk Azure Kubernetes Service (AKS) sangat menantang karena protokol standar industri seperti OAuth 2.0 dan OpenID Connect yang banyak didukung oleh platform identitas Microsoft tidak didukung oleh SQL Server.
Artikel ini menjelaskan cara menyebarkan kluster big data dalam mode AD saat menyebarkan di Azure Kubernetes Service (AKS).
Penting
Add-on Kluster Big Data Microsoft SQL Server 2019 akan dihentikan. Dukungan untuk Kluster Big Data SQL Server 2019 akan berakhir pada 28 Februari 2025. Semua pengguna SQL Server 2019 yang ada dengan Jaminan Perangkat Lunak akan didukung penuh pada platform dan perangkat lunak akan terus dipertahankan melalui pembaruan kumulatif SQL Server hingga saat itu. Untuk informasi selengkapnya, lihat posting blog pengumuman dan opsi Big data di platform Microsoft SQL Server.
Topologi arsitektur
Active Directory Domain Services (AD DS) berjalan pada komputer virtual (VM) Azure dengan cara yang sama seperti berjalan di banyak instans lokal. Setelah mempromosikan pengendali domain baru di Azure, atur Server DNS utama dan sekunder untuk jaringan virtual, demosi Server DNS lokal apa pun akan diturunkan ke tersier atau yang lebih baru. Autentikasi AD memungkinkan klien yang bergabung dengan domain di Linux untuk mengautentikasi ke SQL Server menggunakan kredensial domain mereka dan protokol Kerberos.
Ada beberapa cara untuk menyebarkan kluster big data dalam mode AD di AKS. Artikel ini memperkenalkan dua metode, yang lebih mudah diterapkan dan diintegrasikan dengan arsitektur tingkat perusahaan yang ada:
Perluas domain Active Directory lokal Anda ke Azure. Metode ini memungkinkan lingkungan Direktori Aktif Anda untuk menyediakan layanan autentikasi terdistribusi menggunakan Active Directory Domain Services (AD DS) di Azure. Anda mereplikasi Active Directory lokal Domain Services (AD DS) untuk mengurangi latensi yang disebabkan oleh pengiriman permintaan autentikasi dari cloud kembali ke AD DS lokal. Kasus penggunaan umum untuk solusi ini adalah ketika aplikasi Anda dihosting sebagian secara lokal dan sebagian di Azure dan permintaan autentikasi Anda perlu melakukan perjalanan bolak-balik.
Lihat cara menyebarkan solusi ini langkah demi langkah dalam arsitektur referensi ini.
Perluas forest sumber daya Active Directory Domain Services (AD DS) ke Azure. Dalam arsitektur ini, Anda membuat domain baru di Azure yang dipercaya oleh forest AD lokal Anda. Arsitektur ini menunjukkan kepercayaan satu arah dari domain di Azure ke forest lokal.
Kepercayaan ini memungkinkan pengguna lokal mengakses sumber daya di domain di Azure. Lihat cara menyebarkan solusi ini langkah demi langkah dalam arsitektur referensi ini.
Arsitektur referensi yang dijelaskan di atas memungkinkan Anda membuat zona pendaratan, yang memiliki semua sumber daya untuk disebarkan dari awal atau solusi tambahan berdasarkan arsitektur yang ada. Selain arsitektur referensi tersebut, Anda harus menyebarkan kluster big data di kluster AKS pada subnet terpisah yang tetap berada di VNet target Anda atau VNet yang di-peering.
Gambar berikut mewakili arsitektur khas:
Rekomendasi
Rekomendasi berikut berlaku untuk sebagian besar penyebaran kluster big data dalam mode AD di AKS. Opsi yang tersedia akan disebutkan di setiap komponen untuk memberikan panduan untuk integrasi yang lebih baik dengan arsitektur tingkat perusahaan.
Rekomendasi jaringan
Beberapa komponen utama dapat digunakan untuk menyambungkan lingkungan lokal Anda ke Azure:
- Azure VPN Gateway: Gateway VPN adalah jenis gateway jaringan virtual tertentu yang digunakan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik. Anda akan menggunakan Azure Virtual Network Gateway dan gateway Virtual Network lokal. Untuk informasi tentang cara mengonfigurasinya, lihat Apa itu VPN Gateway.
- Azure ExpressRoute: Koneksi ExpressRoute tidak melalui internet publik, dan menawarkan keamanan, keandalan, dan kecepatan yang lebih tinggi dengan latensi yang lebih rendah daripada koneksi umum melalui internet. Pilihan opsi konektivitas Anda akan memengaruhi latensi, performa, dan tingkat SLA solusi Anda tergantung pada SKU. Untuk informasi spesifik, lihat Tentang gateway jaringan virtual ExpressRoute.
Sebagian besar pelanggan menggunakan jump-box atau Azure Bastion untuk mengakses infrastruktur Azure lainnya. Azure Private Link memungkinkan Anda mengakses Azure PaaS Services dengan aman, termasuk AKS dalam skenario ini serta dan layanan lain yang dihosting Azure melalui titik akhir privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan internet publik. Anda juga dapat membuat layanan tautan privat sendiri pada jaringan virtual dan menyampaikannya secara privat ke konsumen Anda.
Rekomendasi Active Directory dan Azure
AD DS lokal menyimpan informasi tentang akun pengguna, dan memungkinkan pengguna lain yang berwenang di jaringan yang sama untuk mengakses informasi ini dengan mengautentikasi identitas yang terkait dengan pengguna, komputer, aplikasi, atau sumber daya lain yang disertakan dalam batas keamanan. Dalam sebagian besar skenario hibrid, autentikasi pengguna berjalan melalui koneksi VPN Gateway atau ExpressRoute ke lingkungan AD DS lokal.
Untuk penyebaran kluster big data dalam mode AD, solusi untuk mengintegrasikan Active Directory lokal dengan Azure, harus memiliki prasyarat berikut:
- Akun AD memiliki izin khusus untuk membuat pengguna, grup, dan akun mesin di dalam unit organisasi (OU) yang disediakan di direktori Aktif lokal Anda.
- Server DNS untuk mengatasi DNS internal. Ini harus berisi catatan A (pencarian maju) dan PTR (pencarian terbalik) di server DNS dengan nama di domain ini. Tentukan pengaturan DNS Domain di profil penyebaran kluster big data.
Langkah berikutnya
Tutorial: Menyebarkan SQL Server Kluster Big Data dalam mode AD di Azure Kubernetes Services (AKS)
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk