Implantar Clusters de Big Data do SQL Server no modo AD no AKS (Serviço de Kubernetes do Azure)
Os Clusters de Big Data do SQL Server dão suporte ao modo de implantação AD (Active Directory) para o IAM (Gerenciamento de Identidades e Acesso) . O IAM para o AKS (Serviço de Kubernetes do Azure) foi um grande desafio, porque os protocolos padrão do setor, como o OAuth 2.0 e o OpenID Connect, que têm amplo suporte na plataforma de identidade da Microsoft não são compatíveis com o SQL Server.
Este artigo explica como implantar um cluster de Big Data no modo AD durante a implantação no AKS (Serviço de Kubernetes do Azure).
Importante
O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Todos os usuários existentes do SQL Server 2019 com Software Assurance terão suporte total na plataforma e o software continuará a ser mantido por meio de atualizações cumulativas do SQL Server até esse momento. Para obter mais informações, confira a postagem no blog de anúncio e as opções de Big Data na plataforma do Microsoft SQL Server.
Topologias de arquitetura
O AD DS (Active Directory Domain Services) é executado em uma VM (máquina virtual) do Azure da mesma forma que é executado em muitas instâncias locais. Depois de promover os novos controladores de domínio no Azure, defina os servidores DNS primários e secundários da rede virtual, rebaixe os servidores DNS locais que serão rebaixados para terciários ou inferiores. A autenticação do AD permite que clientes conectados ao domínio no Linux se autentiquem no SQL Server usando as respectivas credenciais de domínio e o protocolo Kerberos.
Há algumas maneiras de implantar um cluster de Big Data no modo AD no AKS. Este artigo apresenta dois métodos, que são mais fáceis de serem implementados e integrados às arquiteturas de nível empresarial existentes:
Estender o seu domínio do Active Directory local para o Azure. Esse método permite que o seu ambiente do Active Directory forneça serviços de autenticação distribuídos usando o AD DS (Active Directory Domain Services) no Azure. Você replica o AD DS (Active Directory Domain Services) local para reduzir a latência causada pelo envio de solicitações de autenticação da nuvem novamente para o AD DS local. Um caso de uso típico dessa solução é quando seu aplicativo é hospedado parcialmente no local e parcialmente no Azure e suas solicitações de autenticação precisam ser enviadas bidirecionalmente.
Estenda a floresta de recursos do AD DS (Active Directory Domain Services) para o Azure. Nessa arquitetura, você cria um domínio no Azure que é confiável para a floresta do AD local. Essa arquitetura mostra uma relação de confiança unidirecional do domínio no Azure para a floresta local.
As arquiteturas de referência descritas acima permitem que você crie uma zona de destino, que tem todos os recursos a serem implantados do zero ou qualquer outra solução alternativa baseada na arquitetura existente. Além dessas arquiteturas de referência, você deve implantar o cluster de Big Data em um cluster do AKS em uma sub-rede separada que permaneça na VNet de destino ou em uma VNet emparelhada.
A seguinte imagem representa uma arquitetura típica:
Recomendações
As recomendações a seguir se aplicam à maioria das implantações do cluster de Big Data no modo AD no AKS. As opções disponíveis serão mencionadas em cada componente a fim de fornecer diretrizes para melhor integração à arquitetura de nível empresarial.
Recomendações de rede
Alguns componentes básicos podem ser usados para conectar seu ambiente local ao Azure:
- Gateway de VPN do Azure: Um gateway de VPN é um tipo específico de gateway de rede virtual usado para enviar o tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública. Você usará o Gateway de Rede Virtual do Azure e o Gateway de Rede Virtual local. Para obter informações sobre como configurá-los, confira O que é o Gateway de VPN.
- Azure ExpressRoute: As conexões do ExpressRoute não passam pela Internet pública e oferecem mais segurança, confiabilidade e velocidades maiores com latências menores do que conexões típicas na Internet. A escolha da sua opção de conectividade afetará a latência, o desempenho e o nível de SLA da sua solução, dependendo dos SKUs. Para obter informações específicas, confira Sobre os gateways de rede virtual do ExpressRoute.
A maioria dos clientes usa um jumpbox ou o Azure Bastion para acessar outra infraestrutura do Azure. Com o Link Privado do Azure, você pode acessar com segurança os serviços de PaaS do Azure, incluindo o AKS nesse cenário, bem como outros serviços hospedados do Azure em um ponto de extremidade privado na sua rede virtual. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição à Internet pública. Você também pode criar seu serviço de link privado na rede virtual e fornecê-lo de maneira privada aos clientes.
Active Directory e recomendação do Azure
O AD DS local armazena informações sobre as contas de usuário e permite que outros usuários autorizados na mesma rede acessem essas informações autenticando identidades associadas a usuários, computadores, aplicativos ou outros recursos que estão incluídos em um limite de segurança. Na maioria dos cenários híbridos, a autenticação do usuário é executada em um Gateway de VPN ou uma conexão do ExpressRoute para o ambiente do AD DS local.
Para uma implantação de um cluster de Big Data no modo AD, a solução para integrar o Active Directory local com o Azure, deve ter os seguintes pré-requisitos:
- Uma conta do AD tem permissão específica para criar usuários, grupos e contas de computador na UO (unidade organizacional) fornecida no Active Directory local.
- Um servidor DNS para resolver o DNS interno. Ele precisa conter cria registros do tipo A (pesquisa direta) e PTR (pesquisa inversa) no servidor DNS com nomes nesse domínio. Especifique as configurações do DNS de domínio no perfil de implantação do cluster de Big Data.