Operacje konserwacyjne dostawcy zasobów SQL

Dostawca zasobów SQL działa na zablokowanej maszynie wirtualnej. Aby włączyć operacje konserwacji, należy zaktualizować zabezpieczenia maszyny wirtualnej. Aby to zrobić przy użyciu zasady najniższych uprawnień, użyj punktu końcowego PowerShell Just Enough Administration (JEA)DBAdapterMaintenance. Pakiet instalacyjny dostawcy zasobów zawiera skrypt dla tej akcji.

Aktualizowanie definicji usługi Windows Defender maszyny wirtualnej

Te instrukcje dotyczą tylko usługi SQL RP V1 działającej w zintegrowanych systemach usługi Azure Stack Hub.

Aby zaktualizować definicje usługi Windows Defender:

1. Pobierz aktualizację definicji usługi Windows Defender z aktualizacji analizy zabezpieczeń dla usługi Windows Defender.

   Na stronie aktualizacji definicji przewiń w dół do pozycji "Ręcznie pobierz aktualizację". Pobierz plik 64-bitowy "Program antywirusowy Windows Defender dla systemów Windows 10 i Windows 8.1".

   Możesz również użyć tego bezpośredniego linku , aby pobrać/uruchomić plik fpam-fe.exe.

2. Utwórz sesję PowerShell na maszynie wirtualnej (VM) adaptera dostawcy zasobów SQL w celu dostępu do punktu końcowego konserwacji.

3. Skopiuj plik aktualizacji definicji do maszyny wirtualnej przy użyciu sesji punktu końcowego do konserwacji.

4. W sesji konserwacyjnej PowerShell uruchom polecenie Update-DBAdapterWindowsDefenderDefinitions.

5. Po zainstalowaniu definicji zalecamy usunięcie pliku aktualizacji definicji przy użyciu polecenia Remove-ItemOnUserDrive .

Przykładowy skrypt programu PowerShell dotyczący aktualizowania definicji

Możesz edytować i uruchomić następujący skrypt, aby zaktualizować definicje usługi Defender. Zastąp wartości w skrypcie wartościami ze środowiska.

# Set credentials for local admin on the resource provider VM.
$vmLocalAdminPass = ConvertTo-SecureString '<local admin user password>' -AsPlainText -Force
$vmLocalAdminUser = "<local admin user name>"
$vmLocalAdminCreds = New-Object System.Management.Automation.PSCredential `
    ($vmLocalAdminUser, $vmLocalAdminPass)

# Provide the public IP address for the adapter VM.
$databaseRPMachine  = "<RP VM IP address>"
$localPathToDefenderUpdate = "C:\DefenderUpdates\mpam-fe.exe"

# Download the Windows Defender update definitions file from https://www.microsoft.com/wdsi/definitions.
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' `
    -Outfile $localPathToDefenderUpdate

# Create a session to the maintenance endpoint.
$session = New-PSSession -ComputerName $databaseRPMachine `
    -Credential $vmLocalAdminCreds -ConfigurationName DBAdapterMaintenance `
    -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Copy the defender update file to the adapter VM.
Copy-Item -ToSession $session -Path $localPathToDefenderUpdate `
     -Destination "User:\"
# Install the update definitions.
Invoke-Command -Session $session -ScriptBlock `
    {Update-AzSDBAdapterWindowsDefenderDefinition -DefinitionsUpdatePackageFile "User:\mpam-fe.exe"}
# Cleanup the definitions package file and session.
Invoke-Command -Session $session -ScriptBlock `
    {Remove-AzSItemOnUserDrive -ItemPath "User:\mpam-fe.exe"}
$session | Remove-PSSession

Konfigurowanie rozszerzenia Diagnostyka Azure dla dostawcy zasobów SQL

Te instrukcje dotyczą tylko usługi SQL RP V1 działającej w zintegrowanych systemach usługi Azure Stack Hub.

Rozszerzenie Diagnostyka Azure jest domyślnie instalowane na maszynie wirtualnej adaptera dostawcy zasobów SQL. Poniższe kroki pokazują, jak dostosować rozszerzenie do zbierania dzienników zdarzeń operacyjnych dostawcy zasobów SQL i dzienników usług IIS na potrzeby rozwiązywania problemów i inspekcji.

1. Zaloguj się do portalu administratora usługi Azure Stack Hub.

2. Wybierz pozycję Maszyny wirtualne w okienku po lewej stronie, wyszukaj maszynę wirtualną adaptera dostawcy zasobów SQL i wybierz ją.

3. W obszarze Ustawienia diagnostyczne maszyny wirtualnej przejdź do karty Dzienniki i wybierz pozycję Niestandardowe , aby dostosować zbierane dzienniki zdarzeń.

4. Dodaj Microsoft-AzureStack-DatabaseAdapter/Operational!* w celu zbierania dzienników zdarzeń operacyjnych dostawcy zasobów SQL.

5. Aby włączyć zbieranie dzienników IIS, sprawdź dzienniki IIS i dzienniki nieudanych żądań.

6. Na koniec wybierz pozycję Zapisz , aby zapisać wszystkie ustawienia diagnostyki.

Po skonfigurowaniu zbierania dzienników zdarzeń oraz dzienników usług IIS dla dostawcy zasobów SQL, dzienniki można znaleźć na koncie magazynu systemowego o nazwie sqladapterdiagaccount.

Aby dowiedzieć się więcej na temat rozszerzenia Diagnostyka Azure, zobacz Co to jest rozszerzenie Diagnostyka Azure.

Te instrukcje dotyczą tylko usługi SQL RP V1 działającej w zintegrowanych systemach usługi Azure Stack Hub.

W przypadku korzystania z dostawców zasobów SQL i MySQL wraz z zintegrowanymi systemami usługi Azure Stack Hub, operator usługi Azure Stack Hub jest odpowiedzialny za zmianę następujących tajnych danych dotyczących infrastruktury dostawcy zasobów, aby upewnić się, że nie wygasają.

• Zewnętrzny certyfikat SSL udostępniany podczas wdrażania.
• Hasło lokalnego konta administratora maszyny wirtualnej dostawcy zasobów, podane podczas wdrażania.
• Hasło użytkownika diagnostycznego dostawcy zasobów (dbadapterdiag).
• (wersja >= 1.1.47.0) Certyfikat usługi Key Vault wygenerowany podczas wdrażania.

Przykłady programu PowerShell dotyczące rotacji wpisów tajnych

Zmień wszystkie tajne dane jednocześnie.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword $passwd `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd  `
    -VMLocalCredential $localCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

Zmień hasło użytkownika diagnostycznego.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword  $passwd

Zmień hasło konta administratora lokalnego maszyny wirtualnej.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -VMLocalCredential $localCreds

Wymiana certyfikatu SSL

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd

Obróć certyfikat Key Vault

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

parametry SecretRotationSQLProvider.ps1

Te instrukcje dotyczą tylko usługi SQL RP W wersji 2 działającej w zintegrowanych systemach usługi Azure Stack Hub.

Podobnie jak infrastruktura usługi Azure Stack Hub, dostawcy zasobów z wartością dodaną używają zarówno tajemnic wewnętrznych, jak i zewnętrznych. Jako operator odpowiadasz za:

• Udostępnianie zaktualizowanych zewnętrznych sekretów, takich jak nowy certyfikat TLS wykorzystywany do zabezpieczenia punktów końcowych dostawcy zasobów.
• Regularne zarządzanie rotacją sekretów dostawcy zasobów.

Gdy tajne dane zbliżają się do wygaśnięcia, w portalu administratora generowane są następujące alerty. Ukończenie rotacji sekretów rozwiąże następujące alerty:

• Oczekiwanie na wygaśnięcie certyfikatu wewnętrznego
• Oczekiwanie na wygaśnięcie certyfikatu zewnętrznego

Wymagania wstępne

W ramach przygotowań do procesu rotacji:

1. Jeśli jeszcze tego nie zrobiono, przed kontynuowaniem zainstaluj moduł Az programu PowerShell dla usługi Azure Stack Hub . Do rotacji sekretów w Azure Stack Hub jest wymagana wersja 2.0.2-preview lub nowsza. Aby uzyskać więcej informacji, zobacz Migrowanie z modułu AzureRM do modułu Az programu Azure PowerShell w usłudze Azure Stack Hub.

2. Instalowanie modułów Azs.Deployment.Admin 1.0.0: Galeria programu PowerShell | Azs.Deployment.Admin 1.0.0

Install-Module -Name Azs.Deployment.Admin

3. Jeśli certyfikat zewnętrzny zbliża się do wygaśnięcia, zapoznaj się z wymaganiami dotyczącymi certyfikatu infrastruktury kluczy publicznych (PKI) usługi Azure Stack Hub , aby uzyskać ważne informacje dotyczące wymagań wstępnych przed uzyskaniem/odnowieniem certyfikatu X509, w tym szczegółowe informacje dotyczące wymaganego formatu PFX. Zapoznaj się również z wymaganiami określonymi w sekcji Opcjonalne certyfikaty PaaS dla określonego dostawcy zasobów dodającego wartość.

Przygotowywanie nowego certyfikatu TLS do rotacji certyfikatów zewnętrznych

Następnie utwórz lub odnów certyfikat TLS w celu zabezpieczenia punktów końcowych dostawcy zasobów dodającego wartość:

1. Wykonaj kroki opisane w temacie Generowanie żądań podpisania certyfikatów (CRS) w celu odnowienia certyfikatu dostawcy zasobów. W tym miejscu użyjesz narzędzia do sprawdzania gotowości usługi Azure Stack Hub, aby utworzyć żądanie CSR. Pamiętaj, aby uruchomić poprawne polecenie cmdlet dla dostawcy zasobów, w kroku "Generowanie żądań certyfikatów dla innych usług Azure Stack Hub". Na przykład New-AzsDbAdapterCertificateSigningRequest jest używany dla adresów RPs SQL i MySQL. Po zakończeniu prześlij wygenerowany plik .REQ do urzędu certyfikacji (CA) w celu uzyskania nowego certyfikatu.

2. Po otrzymaniu pliku certyfikatu z urzędu certyfikacji wykonaj kroki opisane w temacie Przygotowywanie certyfikatów do wdrożenia lub rotacji. Ponownie użyj narzędzia sprawdzania gotowości, aby przetworzyć plik zwrócony z urzędu certyfikacji.

3. Na koniec wykonaj kroki opisane w artykule Weryfikowanie certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub. Narzędzie sprawdzania gotowości jest jeszcze raz używane do przeprowadzania testów weryfikacji na nowym certyfikacie.

Obracanie certyfikatu wewnętrznego

Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i wykonaj następujące kroki w celu odświeżenia zewnętrznych tajemnic dostawcy zasobów:

1. Zaloguj się do środowiska usługi Azure Stack Hub przy użyciu poświadczeń operatora. Zobacz Connect to Azure Stack Hub with PowerShell for PowerShell sign-in script (Nawiązywanie połączenia z usługą Azure Stack Hub przy użyciu programu PowerShell dla skryptu logowania programu PowerShell). Pamiętaj, aby użyć poleceń cmdlet Az programu PowerShell (zamiast modułu AzureRM) i zastąpić wszystkie wartości zastępcze, takie jak adresy URL punktu końcowego i nazwa dzierżawcy katalogu.

2. Określ identyfikator produktu dostawcy zasobów. Uruchom cmdlet Get-AzsProductDeployment, aby pobrać listę najnowszych wdrożeń dostawcy zasobów. Zwrócona "value" kolekcja zawiera element dla każdego wdrożonego dostawcy zasobów. Znajdź interesującego dostawcę zasobów i zanotuj wartości tych właściwości:

   • "name" — zawiera identyfikator produktu dostawcy zasobów w drugim segmencie wartości.

   Na przykład wdrożenie dostawcy usług SQL może mieć identyfikator produktu "microsoft.sqlrp".

3. Uruchom polecenie cmdlet Invoke-AzsProductRotateSecretsAction aby obrócić certyfikat wewnętrzny:

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Obracanie certyfikatu zewnętrznego

Najpierw zanotuj wartości następujących parametrów.

Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i wykonaj następujące kroki:

1. Zaloguj się do środowiska usługi Azure Stack Hub przy użyciu poświadczeń operatora. Zobacz Connect to Azure Stack Hub with PowerShell for PowerShell sign-in script (Nawiązywanie połączenia z usługą Azure Stack Hub przy użyciu programu PowerShell dla skryptu logowania programu PowerShell). Pamiętaj, aby użyć poleceń cmdlet Az programu PowerShell (zamiast modułu AzureRM) i zastąpić wszystkie wartości symboli zastępczych, takie jak adresy URL punktu końcowego i nazwa dzierżawy katalogu.

2. Pobierz wartość parametru product-id. Uruchom cmdlet Get-AzsProductDeployment aby pobrać listę najnowszych wdrożeń dostawcy zasobów. Zwrócona "value" kolekcja zawiera element dla każdego wdrożonego dostawcy zasobów. Znajdź interesującego dostawcę zasobów i zanotuj wartości tych właściwości:

   • "name" — zawiera identyfikator produktu dostawcy zasobów w drugim segmencie wartości.
   • "properties"."deployment"."version" — zawiera aktualnie wdrożony numer wersji.

Na przykład wdrożenie dostawcy usługi SQL może mieć identyfikator produktu "microsoft.sqlrp" i wersję "2.0.0.2".

3. Utwórz identyfikator pakietu dostawcy zasobów, łącząc identyfikator produktu dostawcy zasobów z wersją. Na przykład przy użyciu wartości uzyskanych w poprzednim kroku, identyfikator pakietu zasobów dostawcy usługi SQL (RP) to microsoft.sqlrp.2.0.0.2.

4. Używając identyfikatora pakietu uzyskanego w poprzednim kroku, uruchom Get-AzsProductSecret -PackageId, aby pobrać listę typów sekretów używanych przez dostawcę zasobów. W zwróconej value kolekcji znajdź element zawierający wartość "Certificate" właściwości "properties"."secretKind" . Ten element zawiera właściwości tajemnicy certyfikatu RP. Zanotuj nazwę przypisaną do tajnego klucza certyfikatu, którą identyfikujemy przez ostatni segment właściwości znajdujący się bezpośrednio nad "properties".

Na przykład kolekcja sekretów zwrócona dla dostawcy zasobów SQL zawiera "Certificate" sekret o nazwie SSLCert.

5. Za pomocą polecenia cmdlet zaimportuj Set-AzsProductSecret nowy certyfikat do usługi Key Vault, który będzie używany przez proces rotacji. Zastąp wartości zmiennych symboli zastępczych odpowiednio przed przystąpieniem do uruchomienia skryptu.

   $productId = '<product-id>'
   $packageId = $productId + '.' + '<installed-version>'
   $certSecretName = '<cert-secret-name>' 
   $pfxFilePath = '<cert-pfx-file-path>'
   $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force   
   Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -Force
   

6. Na koniec użyj cmdlet Invoke-AzsProductRotateSecretsAction, aby obrócić tajemnice:

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Monitoruj postęp rotacji tajnych danych

Postęp rotacji tajnych kluczy można monitorować w konsoli programu PowerShell lub w portalu administratora, wybierając dostawcę zasobów w ramach usługi Marketplace:

Usługa Azure Stack Hub ma wiele sposobów zbierania, zapisywania i wysyłania dzienników diagnostycznych do pomocy technicznej firmy Microsoft. Począwszy od wersji 1.1.93, dostawca zasobów SQL obsługuje standardowy sposób zbierania dzienników ze środowiska usługi Azure Stack Hub. Aby uzyskać więcej informacji, zobacz Zbieranie dzienników diagnostycznych.

Począwszy od wersji 1.1.93, dostawca zasobów SQL obsługuje standardowy sposób zbierania dzienników ze środowiska usługi Azure Stack Hub. Jeśli używasz starszej wersji, zaleca się zaktualizowanie dostawcy zasobów SQL do najnowszej wersji.

Aby zebrać dzienniki z zablokowanej maszyny wirtualnej, użyj punktu końcowego PowerShell Just Enough Administration (JEA) DBAdapterDiagnostics. Ten punkt końcowy udostępnia następujące polecenia:

• Get-AzsDBAdapterLog. To polecenie tworzy pakiet zip z dziennikami diagnostycznymi dostawcy zasobów i zapisuje plik na dysku użytkownika w sesji. Można uruchomić to polecenie bez żadnych parametrów, a system zbiera ostatnie cztery godziny dzienników.
• Remove-AzsDBAdapterLog. To polecenie usuwa istniejące pakiety dzienników na maszynie wirtualnej dostawcy zasobów.

Wymagania i proces punktu końcowego

Po zainstalowaniu lub zaktualizowaniu dostawcy zasobów zostanie utworzone konto użytkownika dbadapterdiag . To konto będzie używane do zbierania dzienników diagnostycznych.

Aby użyć poleceń DBAdapterDiagnostics , utwórz zdalną sesję programu PowerShell na maszynie wirtualnej dostawcy zasobów i uruchom polecenie Get-AzsDBAdapterLog .

Przedział czasu dla zbierania dzienników można ustawić przy użyciu parametrów FromDate i ToDate . Jeśli nie określisz jednego lub obu tych parametrów, zostaną użyte następujące wartości domyślne:

• Wartość FromDate wynosi cztery godziny przed bieżącą godziną.
• ToDate jest bieżącą godziną.

Przykładowy skrypt programu PowerShell do zbierania dzienników

Poniższy skrypt przedstawia sposób zbierania dzienników diagnostycznych z maszyny wirtualnej dostawcy zasobów.

# Create a new diagnostics endpoint session.
$databaseRPMachineIP = '<RP VM IP address>'
$diagnosticsUserName = 'dbadapterdiag'
$diagnosticsUserPassword = '<Enter Diagnostic password>'

$diagCreds = New-Object System.Management.Automation.PSCredential `
        ($diagnosticsUserName, (ConvertTo-SecureString -String $diagnosticsUserPassword -AsPlainText -Force))
$session = New-PSSession -ComputerName $databaseRPMachineIP -Credential $diagCreds `
        -ConfigurationName DBAdapterDiagnostics `
        -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Sample that captures logs from the previous hour.
$fromDate = (Get-Date).AddHours(-1)
$dateNow = Get-Date
$sb = {param($d1,$d2) Get-AzSDBAdapterLog -FromDate $d1 -ToDate $d2}
$logs = Invoke-Command -Session $session -ScriptBlock $sb -ArgumentList $fromDate,$dateNow

# Copy the logs to the user drive.
$sourcePath = "User:\{0}" -f $logs
$destinationPackage = Join-Path -Path (Convert-Path '.') -ChildPath $logs
Copy-Item -FromSession $session -Path $sourcePath -Destination $destinationPackage

# Clean up the logs.
$cleanup = Invoke-Command -Session $session -ScriptBlock {Remove-AzsDBAdapterLog}
# Close the session.
$session | Remove-PSSession