Active Directory 인증을 사용한 Azure Arc 지원 SQL Managed Instance
Azure Arc 지원 데이터 서비스는 IAM(ID 및 액세스 관리)용 AD(Active Directory)를 지원합니다. Azure Arc 지원 SQL Managed Instance는 인증 시 기존 온-프레미스 AD(Active Directory) 도메인을 사용합니다.
이 문서에서는 AD(Active Directory) 인증을 사용하여 Azure Arc 지원 SQL Managed Instance를 사용하도록 설정하는 방법을 설명합니다. 이 문서에서는 두 가지 가능한 AD 통합 모드를 설명합니다.
- CMK(고객 관리형 keytab)
- SMK(서비스 관리형 keytab)
AD(Active Directory) 통합 모드의 개념에서는 다음을 포함한 keytab 관리 프로세스를 설명합니다.
- SQL Managed Instance에서 사용하는 AD 계정 만들기
- 위의 AD 계정에서 SPN(서비스 사용자 이름) 등록
- keytab 파일 생성
배경
SQL Server on Linux 및 Linux 컨테이너에 대해 Active Directory 인증을 사용하도록 설정하려면 keytab 파일을 사용합니다. keytab 파일은 SPN(서비스 사용자 이름), 계정 이름 및 호스트 이름을 포함하는 암호화 파일입니다. SQL Server는 AD(Active Directory) 도메인에 자체 인증하고 AD(Active Directory)를 사용하여 클라이언트를 인증하는 데 keytab 파일을 사용합니다. Arc 지원 SQL Managed Instance에 대해 Active Directory 인증을 사용하도록 설정하려면 다음 단계를 수행합니다.
다음 다이어그램에는 Azure Arc 지원 SQL Managed Instance에 Active Directory 인증을 사용하도록 설정하는 방법이 나와 있습니다.
AD(Active Directory) 커넥터란?
SQL Managed Instance에 대해 Active Directory 인증을 사용하도록 설정하려면, 인스턴스가 Active Directory 도메인과 통신할 수 있는 환경에 배포되어야 합니다.
이를 용이하게 수행하기 위해 Azure Arc 지원 데이터 서비스에서는 Active Directory Connector라는 새로운 Kubernetes 네이티브 CRD(사용자 지정 리소스 정의)를 도입하고 있습니다. 여기에는 Active Directory 인증을 수행할 수 있는 동일한 데이터 컨트롤러에서 실행되는 인스턴스를 제공합니다.
AD 통합 모드 비교
두 Active Directory 통합 모드의 차이점은 무엇인가요?
Arc 지원 SQL Managed Instance에 Active Directory 인증을 사용하도록 설정하려면 Active Directory 통합 배포 모드를 지정하는 Active Directory 커넥터가 필요합니다. 두 Active Directory 통합 모드는 다음과 같습니다.
- 고객 관리형 keytab
- 서비스 관리 keytab
다음 섹션에서는 이러한 모드를 비교합니다.
| 고객 관리형 keytab | 시스템 관리형 keytab | |
|---|---|---|
| 사용 사례 | Active Directory 개체를 관리하는 데 익숙하고 자동화 프로세스의 유연성을 원하는 중소 규모의 기업 | 모든 규모의 비즈니스 - 고도로 자동화된 Active Directory 관리 환경 추구 |
| 사용자 제공 | 해당 계정의 Active Directory 계정과 SPN 및 Active Directory 인증용 keytab 파일 | OU(조직 구성 단위) 및 도메인 서비스 계정에는 Active Directory의 해당 OU에 대한 충분한 권한이 있습니다. |
| 특성 | 사용자 관리형. 사용자가 관리되는 인스턴스의 ID와 keytab 파일을 가장하는 Active Directory 계정을 가져옵니다. | 시스템 관리형. 시스템에서 관리되는 각 인스턴스에 대한 도메인 서비스 계정을 만들고 해당 계정에서 SPN을 자동으로 설정합니다. 또한 keytab 파일을 만들어 관리되는 인스턴스에 전달합니다. |
| 배포 프로세스 | 1. 데이터 컨트롤러 배포 2. keytab 파일 만들기 3. Kubernetes 비밀에 keytab 정보 설정 4. AD 커넥터 배포, SQL Managed Instance 배포 자세한 내용은 고객 관리형 keytab Active Directory 커넥터 배포를 참조하세요. |
1. 데이터 컨트롤러 배포, AD 커넥터 배포 2. SQL Managed Instance 배포 자세한 내용은 시스템 관리형 keytab Active Directory 커넥터 배포를 참조하세요. |
| 관리 효율 | Active Directory 유틸리티(adutil)의 지침에 따라 keytab 파일을 만들 수 있습니다. 수동 keytab 회전 |
관리형 keytab 회전 |
| 제한 사항 | 서비스 간에 keytab 파일을 공유하지 않는 것이 좋습니다. 각 서비스에는 특정 keytab 파일이 있어야 합니다. keytab 파일의 수가 늘어남에 따라 작업 수준과 복잡성이 증가합니다. | 관리형 keytab 생성 및 회전. 서비스 계정에서 자격 증명을 관리하려면 Active Directory에 충분한 권한이 있어야 합니다. 분산 가용성 그룹은 지원되지 않습니다. |
각 모드에는 각 SQL Managed Instance에 대한 특정 Active Directory 계정, keytab 및 Kubernetes 비밀이 필요합니다.
Active Directory 인증 사용
Active Directory 인증을 사용하려는 의도로 인스턴스를 배포하는 경우, 배포 시 사용할 Active Directory 커넥터 인스턴스를 참조해야 합니다. 관리되는 인스턴스 사양에서 Active Directory 커넥터를 참조하면 Active Directory로 인증하는 데 필요한 환경이 인스턴스 컨테이너에 자동으로 설정됩니다.