共用方式為


教學課程 - 在客戶自控金鑰表模式中部署 Active Directory (AD) 連接器

本文說明如何在客戶自控金鑰表模式中部署 Active Directory (AD) 連接器。 連接器是用來在 Azure Arc 所啟用之 SQL 受控執行個體上啟用 Active Directory 驗證的關鍵元件。

客戶自控金鑰表模式中的 Active Directory 連接器

在客戶自控金鑰表模式中,Active Directory 連接器會部署 DNS Proxy 服務,將來自受控執行個體的 DNS 要求 Proxy 至兩個上游 DNS 服務之一:

  • Active Directory DNS 伺服器
  • Kubernetes DNS 伺服器

AD 連接器有助於提供 SQL 驗證 AD 登入所需的環境。

下圖顯示客戶自控金鑰表模式中的 AD 連接器和 DNS Proxy 服務功能:

Active Directory 連接器

必要條件

繼續進行之前,您必須具備:

  • 部署在支援的 Kubernetes 版本上的資料控制器執行個體
  • Active Directory (AD) 網域

部署 Active Directory (AD) 連接器的輸入

若要部署 Active Directory 連接器的執行個體,需要來自 Active Directory 網域環境的數項輸入。

這些輸入提供於 AD 連接器執行個體的 YAML 規格中。

部署 AD 連接器的執行個體之前,必須先提供下列有關 AD 網域的中繼資料:

  • Active Directory 網域的名稱
  • 網域控制站清單 (完整網域名稱)
  • DNS 伺服器 IP 位址的清單

下列輸入欄位會公開給 Active Directory 連接器規格中的使用者:

  • 必要

    • spec.activeDirectory.realm 大寫的 Active Directory 網域名稱。 這是 AD 連接器執行個體將會產生關聯的 AD 網域。

    • spec.activeDirectory.dns.nameserverIpAddresses Active Directory DNS 伺服器 IP 位址的清單。 DNS Proxy 服務會將所提供網域名稱中的 DNS 查詢轉送至這些伺服器。

  • 選擇性

    • spec.activeDirectory.netbiosDomainName Active Directory 網域的 NetBIOS 名稱。 這是 Active Directory 網域的簡短網域名稱 (Windows 2000 前的名稱)。 這通常用來限定 AD 網域中的帳戶。 例如,如果網域中的帳戶稱為 CONTOSO\admin,則 CONTOSO 是 NETBIOS 網域名稱。

      這是選用欄位。 未提供時,其值預設為 spec.activeDirectory.realm 欄位的第一個標籤。

      在大部分的網域環境中,這會設定為預設值,但是某些網域環境可能會有非預設值。 只有當網域的 NetBIOS 名稱不符合其完整名稱的第一個標籤時,您才需要使用此欄位。

    • spec.activeDirectory.dns.domainName DNS 網域名稱,DNS 查閱應轉送至 Active Directory DNS 伺服器。

      屬於此網域或其子系網域之任何名稱的 DNS 查閱將會轉送到 Active Directory。

      這是選用欄位。 未提供時,會預設為針對 spec.activeDirectory.realm 提供的值,轉換成小寫。

    • spec.activeDirectory.dns.replicas DNS Proxy 服務的複本計數。 此欄位為選擇性欄位,未提供時預設為 1。

    • spec.activeDirectory.dns.preferK8sDnsForPtrLookups 旗標,指出是否偏好 Kubernetes DNS 伺服器回應,而非 IP 位址查閱的 AD DNS 伺服器回應。

      DNS Proxy 服務依賴此欄位來判斷要用於 IP 位址查閱的 DNS 伺服器上游群組。

      這是選用欄位。 未提供時,預設為 true,也就是 IP 位址的 DNS 查閱會先轉送到 Kubernetes DNS 伺服器。 如果 Kubernetes DNS 伺服器無法回應查閱,則會將查詢轉送到 AD DNS 伺服器。 當設定為 false 時,這些 DNS 查閱會先轉送到 AD DNS 伺服器,並在失敗時回復到 Kubernetes。

部署客戶自控金鑰表 Active Directory (AD) 連接器

若要部署 AD 連接器,請建立名為 active-directory-connector.yaml 的 .yaml 規格檔案。

下列範例顯示客戶自控金鑰表 AD 連接器使用了名為 CONTOSO.LOCAL 的 AD 網域。 請務必將值取代為您 AD 網域的值。

apiVersion: arcdata.microsoft.com/v1beta1
kind: ActiveDirectoryConnector
metadata:
  name: adarc
  namespace: <namespace>
spec:
  activeDirectory:
    realm: CONTOSO.LOCAL
  dns:
    preferK8sDnsForPtrLookups: false
    nameserverIPAddresses:
      - <DNS Server 1 IP address>
      - <DNS Server 2 IP address>

下列命令會部署 AD 連接器執行個體。 目前僅支援 kube 原生部署方法。

kubectl apply –f active-directory-connector.yaml

提交 AD 連接器執行個體的部署之後,您可以使用下列命令來檢查部署的狀態。

kubectl get adc -n <namespace>