Azure Arc 지원 SQL Managed Instance 서비스 관리 자격 증명 순환(미리 보기)
이 문서에서는 Azure Arc 지원 SQL Managed Instance에 대한 서비스 관리 자격 증명을 순환하는 방법을 설명합니다. Arc 데이터 서비스는 모니터링, 백업/복원, 고가용성 등에 사용되는 인증서 및 SQL 로그인과 같은 다양한 서비스 관리 자격 증명을 생성합니다. 이러한 자격 증명은 Azure Arc 데이터 서비스에서 관리하는 사용자 지정 리소스 자격 증명으로 간주됩니다.
서비스 관리 자격 증명 회전은 보안 문제가 발생하거나 규정 준수를 위해 정기적인 회전이 필요할 때 시작하는 사용자 트리거 작업입니다.
제한 사항
관리되는 인스턴스 서비스 관리 자격 증명을 회전할 때 다음 제한 사항을 고려합니다.
- SQL Server 장애 조치(failover) 그룹은 지원되지 않습니다.
- 자동 사전 예약 순환은 지원되지 않습니다.
- 서비스 관리 DPAPI 대칭 키, keytab, Active Directory 계정 및 서비스 관리 TDE 자격 증명은 이 자격 증명 회전에 포함되지 않습니다.
범용 계층
범용 SQL Managed Instance 서비스 관리 자격 증명 순환 중에 관리되는 인스턴스 Kubernetes Pod가 종료되고 순환된 자격 증명으로 다시 프로비전됩니다. 이 프로세스로 인해 새 관리되는 인스턴스 Pod가 만들어질 때 짧은 가동 중지 시간이 발생합니다. 중단을 처리하려면 연결 다시 시도 논리와 같은 애플리케이션에 복원력을 빌드하여 중단을 최소화합니다. 복원력 설계 방법 및 Azure 서비스에 대한 다시 시도 지침 방법에 대한 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.
중요 비즈니스용 계층
둘 이상의 복제본이 있는 중요 비즈니스용 SQL Managed Instance 서비스 관리 자격 증명 순환 동안 다음이 수행됩니다.
- 보조 복제본 Pod가 종료되고 순환된 서비스 관리 자격 증명으로 다시 프로비전됩니다.
- 복제본이 다시 프로비전되면 주 복제본이 다시 프로비전된 복제본으로 장애 조치(failover)됩니다.
- 이전 주 Pod는 순환된 서비스 관리 자격 증명을 사용하여 종료되고 다시 프로비전되며 보조 Pod가 됩니다.
장애 조치가 발생할 때 짧게 가동이 중지되는 순간이 있습니다.
필수 조건:
이 문서를 진행하기 전에 Azure Arc 지원 SQL Managed Instance 리소스를 만들어야 합니다.
관리되는 인스턴스에서 서비스 관리 자격 증명을 회전하는 방법
서비스 관리 자격 증명은 관리되는 인스턴스 내의 생성과 연결됩니다. 관리되는 인스턴스에 대한 모든 서비스 관리 자격 증명을 회전하려면 세대를 1씩 늘려야 합니다.
다음 명령을 실행하여 사양에서 현재 서비스 관리 자격 증명 생성을 가져오고 차세대 서비스 관리 자격 증명을 생성합니다. 이 작업은 서비스 관리 자격 증명 순환을 트리거합니다.
rotateCredentialGeneration=$(($(kubectl get sqlmi <sqlmi-name> -o jsonpath='{.spec.update.managedCredentialsGeneration}' -n <namespace>) + 1))
kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "update": { "managedCredentialsGeneration": '$rotateCredentialGeneration'} } }'
managedCredentialsGeneration은 서비스 관리 자격 증명의 대상 세대를 식별합니다. 구성 및 kubernetes 토폴로지와 같은 나머지 기능은 동일하게 유지됩니다.
관리되는 인스턴스에서 서비스 관리 자격 증명을 롤백하는 방법
참고 항목
자격 증명 순환이 실패한 경우 롤백이 필요합니다. 이전 자격 증명 생성으로의 롤백은 n-1로 한 번만 지원됩니다. 여기서 n은 최신 세대입니다.
자격 증명 순환이 진행되는 동안 롤백이 트리거되고 모든 복제본이 다시 프로비전되지는 않은 경우 관리되는 인스턴스가 준비 상태가 되도록 롤백을 완료하는 데 약 30분이 걸릴 수 있습니다.
다음 두 명령을 실행하여 사양에서 현재 서비스 관리 자격 증명 생성을 가져오고 이전 세대의 서비스 관리 자격 증명으로 롤백합니다.
rotateCredentialGeneration=$(($(kubectl get sqlmi <sqlmi-name> -o jsonpath='{.spec.update.managedCredentialsGeneration}' -n <namespace>) - 1))
kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "update": { "managedCredentialsGeneration": '$rotateCredentialGeneration'} } }'
롤백 트리거는 대상 세대가 이전 세대이고 새 세대 또는 자격 증명을 생성하지 않는다는 점을 제외하면 서비스 관리 자격 증명의 회전 트리거와 동일합니다.