Opérations de maintenance du fournisseur de ressources SQL

Le fournisseur de ressources SQL s’exécute sur une machine virtuelle verrouillée. Pour activer les opérations de maintenance, vous devez mettre à jour la sécurité de la machine virtuelle. Pour ce faire en suivant le principe du moindre privilège, utilisez le point de terminaison PowerShell Just Enough Administration (JEA)DBAdapterMaintenance. Le package d’installation du fournisseur de ressources inclut un script pour cette action.

Mettre à jour les définitions windows Defender de machine virtuelle

Ces instructions s’appliquent uniquement à SQL RP V1 s’exécutant sur des systèmes intégrés Azure Stack Hub.

Pour mettre à jour les définitions de Windows Defender :

1. Téléchargez la mise à jour des définitions Windows Defender à partir des mises à jour d’intelligence de sécurité pour Windows Defender.

   Dans la page de mise à jour des définitions, faites défiler jusqu’à « Télécharger manuellement la mise à jour ». Téléchargez le fichier 64 bits « Antivirus Windows Defender pour Windows 10 et Windows 8.1 ».

   Vous pouvez également utiliser ce lien direct pour télécharger/exécuter le fichier fpam-fe.exe.

2. Créez une session PowerShell sur le point de terminaison de maintenance de la machine virtuelle de l’adaptateur de fournisseur de ressources SQL.

3. Copiez le fichier de mise à jour des définitions sur la machine virtuelle à l’aide de la session de point de terminaison de maintenance.

4. Dans la session PowerShell de maintenance, exécutez la commande Update-DBAdapterWindowsDefenderDefinitions .

5. Après avoir installé les définitions, nous vous recommandons de supprimer le fichier de mise à jour des définitions à l’aide de la commande Remove-ItemOnUserDrive .

Exemple de script PowerShell pour la mise à jour des définitions

Vous pouvez modifier et exécuter le script suivant pour mettre à jour les définitions Defender. Remplacez les valeurs dans le script par des valeurs de votre environnement.

# Set credentials for local admin on the resource provider VM.
$vmLocalAdminPass = ConvertTo-SecureString '<local admin user password>' -AsPlainText -Force
$vmLocalAdminUser = "<local admin user name>"
$vmLocalAdminCreds = New-Object System.Management.Automation.PSCredential `
    ($vmLocalAdminUser, $vmLocalAdminPass)

# Provide the public IP address for the adapter VM.
$databaseRPMachine  = "<RP VM IP address>"
$localPathToDefenderUpdate = "C:\DefenderUpdates\mpam-fe.exe"

# Download the Windows Defender update definitions file from https://www.microsoft.com/wdsi/definitions.
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' `
    -Outfile $localPathToDefenderUpdate

# Create a session to the maintenance endpoint.
$session = New-PSSession -ComputerName $databaseRPMachine `
    -Credential $vmLocalAdminCreds -ConfigurationName DBAdapterMaintenance `
    -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Copy the defender update file to the adapter VM.
Copy-Item -ToSession $session -Path $localPathToDefenderUpdate `
     -Destination "User:\"
# Install the update definitions.
Invoke-Command -Session $session -ScriptBlock `
    {Update-AzSDBAdapterWindowsDefenderDefinition -DefinitionsUpdatePackageFile "User:\mpam-fe.exe"}
# Cleanup the definitions package file and session.
Invoke-Command -Session $session -ScriptBlock `
    {Remove-AzSItemOnUserDrive -ItemPath "User:\mpam-fe.exe"}
$session | Remove-PSSession

Configurer l’extension Diagnostics Azure pour le fournisseur de ressources SQL

Ces instructions s’appliquent uniquement à SQL RP V1 s’exécutant sur des systèmes intégrés Azure Stack Hub.

L’extension Diagnostics Azure est installée sur la machine virtuelle de l’adaptateur de fournisseur de ressources SQL par défaut. Les étapes suivantes montrent comment personnaliser l’extension pour collecter les journaux des événements opérationnels du fournisseur de ressources SQL et les journaux IIS à des fins de résolution des problèmes et d’audit.

1. Connectez-vous au portail d’administration Azure Stack Hub.

2. Sélectionnez machines virtuelles dans le volet de gauche, recherchez la machine virtuelle de l’adaptateur du fournisseur de ressources SQL et sélectionnez la machine virtuelle.

3. Dans les paramètres de diagnostic de la machine virtuelle, accédez à l’onglet Journaux et choisissez Personnalisé pour personnaliser les journaux d’événements collectés.

4. Ajoutez Microsoft-AzureStack-DatabaseAdapter/Operational !* pour collecter les journaux des événements opérationnels du fournisseur de ressources SQL.

5. Pour activer la collecte des journaux IIS, vérifiez les journaux d’activité IIS et les journaux des demandes ayant échoué.

6. Enfin, sélectionnez Enregistrer pour enregistrer tous les paramètres de diagnostic.

Une fois que les journaux d’événements et la collecte des journaux IIS sont configurés pour le fournisseur de ressources SQL, les journaux d’activité se trouvent dans un compte de stockage système nommé sqladapterdiagaccount.

Pour en savoir plus sur l’extension Azure Diagnostics, consultez Qu'est-ce que l’extension Azure Diagnostics.

Ces instructions s’appliquent uniquement à SQL RP V1 s’exécutant sur des systèmes intégrés Azure Stack Hub.

Lors de l’utilisation des fournisseurs de ressources SQL et MySQL avec des systèmes intégrés Azure Stack Hub, l’opérateur Azure Stack Hub est responsable de la rotation des secrets d’infrastructure du fournisseur de ressources suivants pour s’assurer qu’ils n’expirent pas :

• Certificat SSL externe fourni pendant le déploiement.
• Mot de passe du compte d’administrateur local de la machine virtuelle du fournisseur de ressources fourni pendant le déploiement.
• Mot de passe de l’utilisateur de diagnostic du fournisseur de ressources (dbadapterdiag).
• (version >= 1.1.47.0) Certificat Key Vault généré pendant le déploiement.

Exemples PowerShell pour la rotation des secrets

Modifiez tous les secrets en même temps.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword $passwd `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd  `
    -VMLocalCredential $localCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

Modifiez le mot de passe de l’utilisateur de diagnostic.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword  $passwd

Modifiez le mot de passe du compte d’administrateur local de la machine virtuelle.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -VMLocalCredential $localCreds

Faire pivoter le certificat SSL

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd

Faire pivoter le certificat Key Vault

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

paramètres de SecretRotationSQLProvider.ps1

Ces instructions s’appliquent uniquement à SQL RP V2 s’exécutant sur des systèmes intégrés Azure Stack Hub.

Comme l’infrastructure Azure Stack Hub, les fournisseurs de ressources à valeur ajoutée utilisent des secrets internes et externes. En tant qu’opérateur, vous êtes responsable des opérations suivantes :

• Fourniture de secrets externes mis à jour, tels qu’un nouveau certificat TLS utilisé pour sécuriser les points de terminaison du fournisseur de ressources.
• Gestion régulière de la rotation des secrets des fournisseurs de ressources.

Lorsque les secrets arrivent à expiration, les alertes suivantes sont générées dans le portail d’administration. Compléter la rotation des secrets résout ces alertes :

• Expiration prochaine du certificat interne
• Expiration imminente du certificat externe

Prerequisites

En préparation du processus de rotation :

1. Si ce n’est déjà fait, installez le module PowerShell Az pour Azure Stack Hub avant de continuer. La version 2.0.2-preview ou ultérieure est requise pour la rotation des secrets Azure Stack Hub. Pour plus d’informations, consultez Migrer d’AzureRM vers Azure PowerShell Az dans Azure Stack Hub.

2. Installer des modules Azs.Deployment.Admin 1.0.0 : PowerShell Gallery | Azs.Deployment.Admin 1.0.0

Install-Module -Name Azs.Deployment.Admin

3. Si le certificat externe arrive à expiration, passez en revue les exigences de certificat d’infrastructure à clé publique (PKI) Azure Stack Hub pour obtenir des informations préalables importantes avant d’acquérir/renouveler votre certificat X509, y compris des détails sur le format PFX requis. Passez également en revue les exigences spécifiées dans la section Certificats PaaS facultatifs, pour votre fournisseur de ressources d’ajout de valeur spécifique.

Préparer un nouveau certificat TLS pour la rotation des certificats externes

Ensuite, créez ou renouvelez votre certificat TLS pour sécuriser les points de terminaison du fournisseur de ressources à valeur ajoutée :

1. Effectuez les étapes décrites dans Générer des demandes de signature de certificat (CSR) pour le renouvellement de certificat pour votre fournisseur de ressources. Dans ce cas, vous utilisez l’outil Azure Stack Hub Readiness Checker pour créer la demande de signature de certificat (CSR). Veillez à exécuter l’applet de commande appropriée pour votre fournisseur de ressources, à l’étape « Générer des demandes de certificat pour d’autres services Azure Stack Hub ». Par exemple, New-AzsDbAdapterCertificateSigningRequest est utilisé pour les RP SQL et MySQL. Lorsque vous avez terminé, vous envoyez le fichier généré . Fichier REQ à votre autorité de certification (CA) pour le nouveau certificat.

2. Une fois que vous avez reçu votre fichier de certificat de l’autorité de certification, effectuez les étapes de préparation des certificats pour le déploiement ou la rotation. Vous utilisez à nouveau l’outil Readiness Checker pour traiter le fichier retourné par l’autorité de certification.

3. Enfin, effectuez les étapes de validation des certificats PKI Azure Stack Hub. Vous utilisez l’outil Readiness Checker une fois de plus pour effectuer des tests de validation sur votre nouveau certificat.

Faire pivoter le certificat interne

Ouvrez une console PowerShell avec élévation de privilèges et suivez les étapes ci-dessous pour renouveler les secrets externes du fournisseur de ressources :

1. Connectez-vous à votre environnement Azure Stack Hub à l’aide de vos informations d’identification d’opérateur. Consultez Se connecter à Azure Stack Hub avec PowerShell pour le script de connexion PowerShell. Veillez à utiliser les cmdlets PowerShell Az (au lieu d'AzureRM) et à remplacer toutes les valeurs de remplacement, telles que les URL de point de terminaison et le nom du locataire du répertoire.

2. Déterminez l’ID de produit du fournisseur de ressources. Exécutez l’applet Get-AzsProductDeployment de commande pour récupérer la liste des derniers déploiements de fournisseurs de ressources. La collection retournée "value" contient un élément pour chaque fournisseur de ressources déployé. Recherchez le fournisseur de ressources qui vous intéresse et notez les valeurs de ces propriétés :

   • "name" - contient l’ID de produit du fournisseur de ressources dans le deuxième segment de la valeur.

   Par exemple, le déploiement du fournisseur de ressources SQL peut avoir un ID de produit de "microsoft.sqlrp".

3. Exécutez l’applet Invoke-AzsProductRotateSecretsAction de commande pour faire pivoter le certificat interne :

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Faire pivoter le certificat externe

Vous devez d’abord noter les valeurs des paramètres suivants.

Ouvrez une console PowerShell avec élévation de privilèges et effectuez les étapes suivantes :

1. Connectez-vous à votre environnement Azure Stack Hub à l’aide de vos informations d’identification d’opérateur. Consultez Se connecter à Azure Stack Hub avec PowerShell pour le script de connexion PowerShell. Veillez à utiliser les applets de commande PowerShell Az (au lieu d’AzureRM) et à remplacer toutes les valeurs d’espace réservé, telles que les URL de point de terminaison et le nom du locataire d’annuaire.

2. Obtenez la valeur du paramètre product-id. Exécutez l’applet Get-AzsProductDeployment de commande pour récupérer la liste des derniers déploiements de fournisseurs de ressources. La collection retournée "value" contient un élément pour chaque fournisseur de ressources déployé. Recherchez le fournisseur de ressources qui vous intéresse et notez les valeurs de ces propriétés :

   • "name" - contient l’ID de produit du fournisseur de ressources dans le deuxième segment de la valeur.
   • "properties"."deployment"."version" - contient le numéro de version actuellement déployé.

Par exemple, le déploiement du RP SQL peut avoir un ID de produit de "microsoft.sqlrp" et une version "2.0.0.2".

3. Générez l’ID de package du fournisseur de ressources en concaténant l’ID de produit et la version du fournisseur de ressources. Par exemple, à l’aide des valeurs dérivées à l’étape précédente, l’ID de package SQL RP est microsoft.sqlrp.2.0.0.2.

4. À l’aide de l’ID de package dérivé à l’étape précédente, exécutez Get-AzsProductSecret -PackageId pour récupérer la liste des types de secrets utilisés par le fournisseur de ressources. Dans la collection retournée value, recherchez l'élément contenant une valeur de "Certificate" pour la propriété "properties"."secretKind". Cet élément contient des propriétés pour le secret de certificat du fournisseur de ressources. Notez le nom attribué à ce secret de certificat, qui est identifié par le dernier segment de la "name" propriété, juste au-dessus "properties".

Par exemple, la collection de secrets retournée pour le fournisseur de ressources SQL contient un "Certificate" secret nommé SSLCert.

5. Utilisez l’applet Set-AzsProductSecret de commande pour importer votre nouveau certificat dans Key Vault, qui sera utilisé par le processus de rotation. Remplacez les valeurs de substitution des variables en conséquence avant d’exécuter le script.

   $productId = '<product-id>'
   $packageId = $productId + '.' + '<installed-version>'
   $certSecretName = '<cert-secret-name>' 
   $pfxFilePath = '<cert-pfx-file-path>'
   $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force   
   Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -Force
   

6. Enfin, utilisez l’applet Invoke-AzsProductRotateSecretsAction de commande pour faire pivoter les secrets :

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Surveillance de l’avancement de la rotation des secrets

Vous pouvez surveiller la progression de la rotation des secrets dans la console PowerShell ou dans le portail d’administration en sélectionnant le fournisseur de ressources dans le service Place de marché :

Azure Stack Hub propose plusieurs façons de collecter, d’enregistrer et d’envoyer des journaux de diagnostic au support Microsoft. À partir de la version 1.1.93, le fournisseur de ressources SQL prend en charge la méthode standard de collecte des journaux à partir de votre environnement Azure Stack Hub. Pour plus d’informations, consultez collecte des journaux de diagnostic.

À partir de la version 1.1.93, le fournisseur de ressources SQL supporte la méthode standardisée pour collecter les journaux de votre environnement Azure Stack Hub. Si vous utilisez une version antérieure, il est recommandé de mettre à jour votre fournisseur de ressources SQL vers la dernière version.

Pour collecter des journaux à partir de la Machine Virtuelle verrouillée, utilisez le point de terminaison PowerShell Just Enough Administration (JEA) DBAdapterDiagnostics. Ce point de terminaison fournit les commandes suivantes :

• Get-AzsDBAdapterLog. Cette commande crée un package zip des journaux de diagnostic du fournisseur de ressources et enregistre le fichier sur le lecteur utilisateur de la session. Vous pouvez exécuter cette commande sans paramètre, et les journaux des dernières quatre heures sont collectés.
• Remove-AzsDBAdapterLog. Cette commande supprime les packages de journaux existants sur la machine virtuelle du fournisseur de ressources.

Exigences et processus de point de terminaison

Lorsqu’un fournisseur de ressources est installé ou mis à jour, le compte d’utilisateur dbadapterdiag est créé. Vous utiliserez ce compte pour collecter les journaux de diagnostic.

Pour utiliser les commandes DBAdapterDiagnostics , créez une session PowerShell distante sur la machine virtuelle du fournisseur de ressources et exécutez la commande Get-AzsDBAdapterLog .

Vous définissez la période de collecte des journaux à l’aide des paramètres FromDate et ToDate. Si vous ne spécifiez pas un ou les deux paramètres suivants, les valeurs par défaut suivantes sont utilisées :

• FromDate est quatre heures avant l’heure actuelle.
• ToDate est l’heure actuelle.

Exemple de script PowerShell pour la collecte des journaux

Le script suivant montre comment collecter les journaux de diagnostic à partir de la machine virtuelle du fournisseur de ressources.

# Create a new diagnostics endpoint session.
$databaseRPMachineIP = '<RP VM IP address>'
$diagnosticsUserName = 'dbadapterdiag'
$diagnosticsUserPassword = '<Enter Diagnostic password>'

$diagCreds = New-Object System.Management.Automation.PSCredential `
        ($diagnosticsUserName, (ConvertTo-SecureString -String $diagnosticsUserPassword -AsPlainText -Force))
$session = New-PSSession -ComputerName $databaseRPMachineIP -Credential $diagCreds `
        -ConfigurationName DBAdapterDiagnostics `
        -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Sample that captures logs from the previous hour.
$fromDate = (Get-Date).AddHours(-1)
$dateNow = Get-Date
$sb = {param($d1,$d2) Get-AzSDBAdapterLog -FromDate $d1 -ToDate $d2}
$logs = Invoke-Command -Session $session -ScriptBlock $sb -ArgumentList $fromDate,$dateNow

# Copy the logs to the user drive.
$sourcePath = "User:\{0}" -f $logs
$destinationPackage = Join-Path -Path (Convert-Path '.') -ChildPath $logs
Copy-Item -FromSession $session -Path $sourcePath -Destination $destinationPackage

# Clean up the logs.
$cleanup = Invoke-Command -Session $session -ScriptBlock {Remove-AzsDBAdapterLog}
# Close the session.
$session | Remove-PSSession