Operaciones de mantenimiento del proveedor de recursos de SQL

El proveedor de recursos de SQL se ejecuta en una máquina virtual bloqueada. Para habilitar las operaciones de mantenimiento, debe actualizar la seguridad de la máquina virtual. Para hacer esto utilizando el principio de privilegios mínimos, use el punto de conexión PowerShell Just Enough Administration (JEA)DBAdapterMaintenance. El paquete de instalación del proveedor de recursos incluye un script para esta acción.

Actualización de las definiciones de Windows Defender de la máquina virtual

Estas instrucciones solo se aplican a SQL RP V1 que se ejecuta en sistemas integrados de Azure Stack Hub.

Para actualizar las definiciones de Windows Defender:

1. Descargue la actualización de definiciones de Windows Defender de actualizaciones de inteligencia de seguridad para Windows Defender.

   En la página de actualización de definiciones, desplácese hacia abajo hasta "Descargar manualmente la actualización". Descargue el archivo "Antivirus de Windows Defender para Windows 10 y Windows 8.1" de 64 bits.

   También puede usar este vínculo directo para descargar o ejecutar el archivo fpam-fe.exe.

2. Cree una sesión de PowerShell en el extremo de mantenimiento de la máquina virtual del adaptador de proveedor de recursos de SQL.

3. Copie el archivo de actualización de definiciones en la máquina virtual mediante la sesión del punto de conexión de mantenimiento.

4. En la sesión de PowerShell de mantenimiento, ejecute el comando Update-DBAdapterWindowsDefenderDefinitions .

5. Después de instalar las definiciones, se recomienda eliminar el archivo de actualización de definiciones mediante el comando Remove-ItemOnUserDrive .

Ejemplo de script de PowerShell para actualizar definiciones

Puede editar y ejecutar el siguiente script para actualizar las definiciones de Defender. Reemplace los valores del script por los valores del entorno.

# Set credentials for local admin on the resource provider VM.
$vmLocalAdminPass = ConvertTo-SecureString '<local admin user password>' -AsPlainText -Force
$vmLocalAdminUser = "<local admin user name>"
$vmLocalAdminCreds = New-Object System.Management.Automation.PSCredential `
    ($vmLocalAdminUser, $vmLocalAdminPass)

# Provide the public IP address for the adapter VM.
$databaseRPMachine  = "<RP VM IP address>"
$localPathToDefenderUpdate = "C:\DefenderUpdates\mpam-fe.exe"

# Download the Windows Defender update definitions file from https://www.microsoft.com/wdsi/definitions.
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' `
    -Outfile $localPathToDefenderUpdate

# Create a session to the maintenance endpoint.
$session = New-PSSession -ComputerName $databaseRPMachine `
    -Credential $vmLocalAdminCreds -ConfigurationName DBAdapterMaintenance `
    -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Copy the defender update file to the adapter VM.
Copy-Item -ToSession $session -Path $localPathToDefenderUpdate `
     -Destination "User:\"
# Install the update definitions.
Invoke-Command -Session $session -ScriptBlock `
    {Update-AzSDBAdapterWindowsDefenderDefinition -DefinitionsUpdatePackageFile "User:\mpam-fe.exe"}
# Cleanup the definitions package file and session.
Invoke-Command -Session $session -ScriptBlock `
    {Remove-AzSItemOnUserDrive -ItemPath "User:\mpam-fe.exe"}
$session | Remove-PSSession

Configuración de la extensión de Azure Diagnostics para el proveedor de recursos de SQL

Estas instrucciones solo se aplican a SQL RP V1 que se ejecuta en sistemas integrados de Azure Stack Hub.

La extensión Azure Diagnostics se instala en la máquina virtual del adaptador del proveedor de recursos de SQL de forma predeterminada. En los pasos siguientes se muestra cómo personalizar la extensión para recopilar los registros de eventos del proveedor operativo de recursos SQL y los registros de eventos de IIS con fines de resolución de problemas y auditoría.

1. Inicie sesión en el portal de administración de Azure Stack Hub.

2. Seleccione Máquinas virtuales en el panel de la izquierda, busque la máquina virtual del adaptador del proveedor de recursos de SQL y seleccione la máquina virtual.

3. En Configuración de diagnóstico de la máquina virtual, vaya a la pestaña Registros y elija Personalizado para personalizar los registros de eventos que se recopilan.

4. Agregue Microsoft-AzureStack-DatabaseAdapter/Operational!* para recopilar registros de eventos operativos del proveedor de recursos sql.

5. Para habilitar la recopilación de registros de IIS, compruebe los registros de IIS y los registros de solicitudes con error.

6. Por último, seleccione Guardar para guardar toda la configuración de diagnóstico.

Una vez configurados los registros de eventos y la recopilación de registros de IIS para el proveedor de recursos de SQL, los registros se pueden encontrar en una cuenta de almacenamiento del sistema denominada sqladapterdiagaccount.

Para más información sobre la extensión de Azure Diagnostics, consulte ¿Qué es la extensión de Azure Diagnostics?

Estas instrucciones solo se aplican a SQL RP V1 que se ejecuta en sistemas integrados de Azure Stack Hub.

Al usar los proveedores de recursos SQL y MySQL con sistemas integrados de Azure Stack Hub, el operador de Azure Stack Hub es responsable de rotar los siguientes secretos de infraestructura del proveedor de recursos para asegurarse de que no expiran:

• Certificado SSL externo proporcionado durante la implementación.
• La contraseña de la cuenta de administrador local del proveedor de recursos proporcionada durante la implementación.
• Contraseña de usuario de diagnóstico del proveedor de recursos (dbadapterdiag).
• (versión >= 1.1.47.0) Certificado de Key Vault generado durante la implementación.

Ejemplos de PowerShell para cambiar secretos

Cambie todos los secretos al mismo tiempo.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword $passwd `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd  `
    -VMLocalCredential $localCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

Cambie la contraseña del usuario de diagnóstico.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword  $passwd

Cambie la contraseña de la cuenta de administrador local de la máquina virtual.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -VMLocalCredential $localCreds

Rotación del certificado SSL

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd

Rotación del certificado de Key Vault

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

parámetros de SecretRotationSQLProvider.ps1

Estas instrucciones solo se aplican a SQL RP V2 que se ejecuta en sistemas integrados de Azure Stack Hub.

Al igual que la infraestructura de Azure Stack Hub, los proveedores de recursos de valor agregado usan secretos internos y externos. Como operador, usted es responsable de:

• Proporcionar secretos externos actualizados, como un nuevo certificado TLS que se usa para proteger los puntos de conexión del proveedor de recursos.
• Gestión de la rotación regular de secretos del proveedor de recursos.

Cuando los secretos están a punto de expirar, se generan las siguientes alertas en el portal de administración. Al completar la rotación de secretos, se resolverán estas alertas:

• La expiración del certificado interno está pendiente.
• Expiración de certificados externos pendientes

Prerrequisitos

En preparación para el proceso de rotación:

1. Si aún no lo ha hecho, instale el módulo Az de PowerShell para Azure Stack Hub antes de continuar. La versión 2.0.2-preview o posterior es necesaria para la rotación de secretos de Azure Stack Hub. Para más información, consulte Migración de AzureRM a Azure PowerShell Az en Azure Stack Hub.

2. Instalación de módulos Azs.Deployment.Admin 1.0.0: Galería de PowerShell | Azs.Deployment.Admin 1.0.0

Install-Module -Name Azs.Deployment.Admin

3. Si el certificado externo está a punto de expirar, revise los requisitos del certificado de infraestructura de clave pública (PKI) de Azure Stack Hub para obtener información importante sobre los requisitos previos antes de adquirir o renovar el certificado X509, incluidos los detalles sobre el formato PFX necesario. Revise también los requisitos especificados en la sección de Certificados opcionales de PaaS de su proveedor específico de recursos valor añadido.

Preparación de un nuevo certificado TLS para la rotación de certificados externos

A continuación, cree o renueve el certificado TLS para proteger los puntos de conexión del proveedor de recursos de valor agregado:

1. Complete los pasos descritos en Generación de solicitudes de firma de certificados (CSR) para la renovación de certificados para el proveedor de recursos. Aquí se usa la herramienta Azure Stack Hub Readiness Checker para crear la CSR. Asegúrese de ejecutar el cmdlet correcto para el proveedor de recursos, en el paso "Generar solicitudes de certificado para otros servicios de Azure Stack Hub". Por ejemplo, New-AzsDbAdapterCertificateSigningRequest se usa para los proveedores de recursos (RP) de SQL y MySQL. Cuando termine, envíe el archivo .REQ generado a la entidad de certificación (CA) para el nuevo certificado.

2. Una vez que haya recibido el archivo de certificado de la ENTIDAD de certificación, complete los pasos descritos en Preparación de certificados para la implementación o rotación. Vuelva a usar la herramienta Readiness Checker para procesar el archivo devuelto por la ENTIDAD de certificación.

3. Por último, complete los pasos descritos en Validación de certificados PKI de Azure Stack Hub. La herramienta Readiness Checker se usa una vez más para realizar pruebas de validación en el nuevo certificado.

Rotación del certificado interno

Abra una consola de PowerShell con privilegios elevados y complete los pasos siguientes para rotar los secretos externos del proveedor de recursos:

1. Inicie sesión en el entorno de Azure Stack Hub con sus credenciales de operador. Consulte Conexión a Azure Stack Hub con PowerShell para el script de inicio de sesión de PowerShell. Asegúrese de usar los cmdlets de Az de PowerShell (en lugar de AzureRM) y reemplace todos los valores de marcador de posición, como las direcciones URL del punto de conexión y el nombre del inquilino del directorio.

2. Determine el identificador de producto del proveedor de recursos. Ejecute el Get-AzsProductDeployment cmdlet para recuperar una lista de las implementaciones más recientes del proveedor de recursos. La colección devuelta "value" contiene un elemento para cada proveedor de recursos implementado. Busque el proveedor de recursos de interés y anote los valores de estas propiedades:

   • "name" : contiene el identificador de producto del proveedor de recursos en el segundo segmento del valor.

   Por ejemplo, la implementación de RP de SQL puede tener un identificador de producto de "microsoft.sqlrp".

3. Ejecute el Invoke-AzsProductRotateSecretsAction cmdlet para rotar el certificado interno:

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Rotación del certificado externo

Primero debe tomar nota de los valores de los parámetros siguientes.

Abra una consola de PowerShell con privilegios elevados y complete los pasos siguientes:

1. Inicie sesión en el entorno de Azure Stack Hub con sus credenciales de operador. Consulte Conexión a Azure Stack Hub con PowerShell para el script de inicio de sesión de PowerShell. Asegúrese de usar los cmdlets de Az de PowerShell (en lugar de AzureRM) y reemplace todos los valores de marcador de posición, como las direcciones URL del punto de conexión y el nombre del inquilino del directorio.

2. Obtenga el valor del parámetro product-id. Ejecute el Get-AzsProductDeployment cmdlet para recuperar una lista de las implementaciones más recientes del proveedor de recursos. La colección devuelta "value" contiene un elemento para cada proveedor de recursos implementado. Busque el proveedor de recursos de interés y anote los valores de estas propiedades:

   • "name" : contiene el identificador de producto del proveedor de recursos en el segundo segmento del valor.
   • "properties"."deployment"."version" : contiene el número de versión implementado actualmente.

Por ejemplo, la implementación de RP de SQL puede tener un identificador de producto de "microsoft.sqlrp"y la versión "2.0.0.2".

3. Compile el identificador de paquete del proveedor de recursos mediante la concatenación del identificador de producto y la versión del proveedor de recursos. Por ejemplo, con los valores derivados del paso anterior, el identificador de paquete de RP de SQL es microsoft.sqlrp.2.0.0.2.

4. Con el identificador de paquete derivado del paso anterior, ejecute Get-AzsProductSecret -PackageId para recuperar la lista de tipos secretos que usa el proveedor de recursos. En la colección devuelta value , busque el elemento que contiene un valor de "Certificate" para la "properties"."secretKind" propiedad . Este elemento contiene propiedades para el secreto del certificado de RP. Anote el nombre asignado a este secreto de certificado, identificado por el último segmento de la "name" propiedad, justo encima de "properties".

Por ejemplo, la colección de secretos devuelta para el RP de SQL contiene un "Certificate" secreto denominado SSLCert.

5. Usa el cmdlet Set-AzsProductSecret para importar tu nuevo certificado a Key Vault, que será utilizado por el proceso de rotación. Reemplace los valores de las variables marcadores de posición convenientemente antes de ejecutar el script.

   $productId = '<product-id>'
   $packageId = $productId + '.' + '<installed-version>'
   $certSecretName = '<cert-secret-name>' 
   $pfxFilePath = '<cert-pfx-file-path>'
   $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force   
   Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -Force
   

6. Por último, use el Invoke-AzsProductRotateSecretsAction cmdlet para rotar los secretos:

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Supervisión del progreso de la rotación de secretos

Puede supervisar el progreso de la rotación de claves secretas en la consola de PowerShell o en el portal de administración seleccionando el proveedor de recursos en el servicio de Marketplace:

Azure Stack Hub tiene varias maneras de recopilar, guardar y enviar registros de diagnóstico al soporte técnico de Microsoft. A partir de la versión 1.1.93, el proveedor de recursos de SQL admite la forma estándar de recopilar registros del entorno de Azure Stack Hub. Para obtener más información, consulte Recopilación de registros de diagnóstico.

A partir de la versión 1.1.93, el proveedor de recursos de SQL admite la forma estándar de recopilar registros del entorno de Azure Stack Hub. Si usa una versión anterior, se recomienda actualizar el proveedor de recursos de SQL a la versión más reciente.

Para recopilar registros de la máquina virtual bloqueada, use el punto de conexión de Administración Bajo Mínimos (JEA) de PowerShell DBAdapterDiagnostics. Este punto de conexión proporciona los siguientes comandos:

• Get-AzsDBAdapterLog. Este comando crea un paquete ZIP de los registros de diagnóstico del proveedor de recursos y guarda el archivo en la unidad de usuario de la sesión. Puede ejecutar este comando sin parámetros y se recopilan las últimas cuatro horas de registros.
• Remove-AzsDBAdapterLog. Este comando quita los paquetes de registro existentes en la máquina virtual del proveedor de recursos.

Requisitos y procesos del punto de conexión

Cuando se instala o actualiza un proveedor de recursos, se crea la cuenta de usuario dbadapterdiag . Usará esta cuenta para recopilar registros de diagnóstico.

Para usar los comandos DBAdapterDiagnostics , cree una sesión remota de PowerShell en la máquina virtual del proveedor de recursos y ejecute el comando Get-AzsDBAdapterLog .

Establezca el intervalo de tiempo para la recopilación de registros mediante los parámetros FromDate y ToDate . Si no especifica uno o ambos parámetros, se usan los valores predeterminados siguientes:

• La variable FromDate es cuatro horas antes de la hora actual.
• ToDate es la hora actual.

Ejemplo de script de PowerShell para recopilar registros

El siguiente script muestra cómo recopilar registros de diagnóstico de la máquina virtual del proveedor de recursos.

# Create a new diagnostics endpoint session.
$databaseRPMachineIP = '<RP VM IP address>'
$diagnosticsUserName = 'dbadapterdiag'
$diagnosticsUserPassword = '<Enter Diagnostic password>'

$diagCreds = New-Object System.Management.Automation.PSCredential `
        ($diagnosticsUserName, (ConvertTo-SecureString -String $diagnosticsUserPassword -AsPlainText -Force))
$session = New-PSSession -ComputerName $databaseRPMachineIP -Credential $diagCreds `
        -ConfigurationName DBAdapterDiagnostics `
        -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Sample that captures logs from the previous hour.
$fromDate = (Get-Date).AddHours(-1)
$dateNow = Get-Date
$sb = {param($d1,$d2) Get-AzSDBAdapterLog -FromDate $d1 -ToDate $d2}
$logs = Invoke-Command -Session $session -ScriptBlock $sb -ArgumentList $fromDate,$dateNow

# Copy the logs to the user drive.
$sourcePath = "User:\{0}" -f $logs
$destinationPackage = Join-Path -Path (Convert-Path '.') -ChildPath $logs
Copy-Item -FromSession $session -Path $sourcePath -Destination $destinationPackage

# Clean up the logs.
$cleanup = Invoke-Command -Session $session -ScriptBlock {Remove-AzsDBAdapterLog}
# Close the session.
$session | Remove-PSSession