Operações de manutenção do provedor de recursos SQL

O provedor de recursos SQL é executado em uma VM (máquina virtual) bloqueada. Para habilitar as operações de manutenção, você precisa atualizar a segurança da VM. Para fazer isso usando o princípio de Privilégios Mínimos, use o ponto de extremidade PowerShell Just Enough Administration (JEA)DBAdapterMaintenance. O pacote de instalação do provedor de recursos inclui um script para essa ação.

Atualizar as definições do Windows Defender da VM

Essas instruções se aplicam somente ao SQL RP V1 em execução nos Sistemas Integrados do Azure Stack Hub.

Para atualizar as definições do Windows Defender:

1. Baixe a atualização de definições do Windows Defender das atualizações de inteligência de segurança para o Windows Defender.

   Na página de atualização de definições, role para baixo até "Baixar manualmente a atualização". Baixe o arquivo de 64 bits "Windows Defender Antivírus para Windows 10 e Windows 8.1".

   Você também pode usar esse link direto para baixar/executar o arquivo fpam-fe.exe.

2. Crie uma sessão do PowerShell no ponto de extremidade de manutenção da VM do adaptador de provedor de recursos SQL.

3. Copie o arquivo de atualização de definições para a VM usando a sessão de endpoint de manutenção.

4. Na sessão do PowerShell de manutenção, execute o comando Update-DBAdapterWindowsDefenderDefinitions .

5. Depois de instalar as definições, recomendamos que você exclua o arquivo de atualização de definições usando o comando Remove-ItemOnUserDrive .

Exemplo de script do PowerShell para atualizar definições

Você pode editar e executar o script a seguir para atualizar as definições do Defender. Substitua valores no script por valores do seu ambiente.

# Set credentials for local admin on the resource provider VM.
$vmLocalAdminPass = ConvertTo-SecureString '<local admin user password>' -AsPlainText -Force
$vmLocalAdminUser = "<local admin user name>"
$vmLocalAdminCreds = New-Object System.Management.Automation.PSCredential `
    ($vmLocalAdminUser, $vmLocalAdminPass)

# Provide the public IP address for the adapter VM.
$databaseRPMachine  = "<RP VM IP address>"
$localPathToDefenderUpdate = "C:\DefenderUpdates\mpam-fe.exe"

# Download the Windows Defender update definitions file from https://www.microsoft.com/wdsi/definitions.
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' `
    -Outfile $localPathToDefenderUpdate

# Create a session to the maintenance endpoint.
$session = New-PSSession -ComputerName $databaseRPMachine `
    -Credential $vmLocalAdminCreds -ConfigurationName DBAdapterMaintenance `
    -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Copy the defender update file to the adapter VM.
Copy-Item -ToSession $session -Path $localPathToDefenderUpdate `
     -Destination "User:\"
# Install the update definitions.
Invoke-Command -Session $session -ScriptBlock `
    {Update-AzSDBAdapterWindowsDefenderDefinition -DefinitionsUpdatePackageFile "User:\mpam-fe.exe"}
# Cleanup the definitions package file and session.
Invoke-Command -Session $session -ScriptBlock `
    {Remove-AzSItemOnUserDrive -ItemPath "User:\mpam-fe.exe"}
$session | Remove-PSSession

Configurar a extensão de Diagnóstico do Azure para o provedor de recursos SQL

Essas instruções se aplicam somente ao SQL RP V1 em execução nos Sistemas Integrados do Azure Stack Hub.

Por padrão, a extensão de Diagnóstico do Azure é instalada na VM do adaptador do provedor de recursos SQL. As etapas a seguir mostram como personalizar a extensão para coletar os logs de eventos operacionais do provedor de recursos SQL e os logs do IIS para fins de solução de problemas e auditoria.

1. Entre no portal do administrador do Azure Stack Hub.

2. Selecione máquinas virtuais no painel à esquerda, pesquise a máquina virtual do adaptador do provedor de recursos SQL e selecione a VM.

3. Nas configurações de diagnóstico da VM, vá para a guia Logs e escolha Personalizar os logs de eventos que estão sendo coletados.

4. Adicione Microsoft-AzureStack-DatabaseAdapter/Operational!* para coletar logs de eventos operacionais do provedor de recursos SQL.

5. Para habilitar a coleção de logs do IIS, verifique os logs do IIS e os logs de solicitação com falha.

6. Por fim, selecione Salvar para salvar todas as configurações de Diagnóstico.

Depois que os logs de eventos e a coleção de logs do IIS forem configurados para o provedor de recursos SQL, os logs poderão ser encontrados em uma conta de armazenamento do sistema chamada sqladapterdiagaccount.

Para saber mais sobre a extensão de Diagnóstico do Azure, confira o que é a extensão diagnóstico do Azure.

Essas instruções se aplicam somente ao SQL RP V1 em execução nos Sistemas Integrados do Azure Stack Hub.

Ao usar os provedores de recursos SQL e MySQL com sistemas integrados do Azure Stack Hub, o operador do Azure Stack Hub é responsável por substituir os seguintes segredos de infraestrutura do provedor de recursos para garantir que eles não expirem:

• Certificado SSL externo fornecido durante a implantação.
• A senha da conta de administrador local da VM do provedor de recursos fornecida durante a implantação.
• Senha do usuário de diagnóstico do provedor de recursos (dbadapterdiag).
• (versão >= 1.1.47.0) Certificado do Key Vault gerado durante a implantação.

Exemplos de uso do PowerShell para rotacionar segredos

Altere todos os segredos ao mesmo tempo.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword $passwd `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd  `
    -VMLocalCredential $localCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

Altere a senha do usuário de diagnóstico.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DiagnosticsUserPassword  $passwd

Altere a senha da conta de administrador local da VM.

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -VMLocalCredential $localCreds

Renovar o certificado SSL

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -DependencyFilesLocalPath $certPath `
    -DefaultSSLCertificatePassword $certPasswd

Trocar o certificado do Key Vault

.\SecretRotationSQLProvider.ps1 `
    -Privilegedendpoint $Privilegedendpoint `
    -CloudAdminCredential $cloudCreds `
    -AzCredential $adminCreds `
    -KeyVaultPfxPassword $keyvaultCertPasswd

parâmetros de SecretRotationSQLProvider.ps1

Essas instruções se aplicam somente ao SQL RP V2 em execução nos Sistemas Integrados do Azure Stack Hub.

Assim como a infraestrutura do Azure Stack Hub, os provedores de recursos de agregação de valor usam segredos internos e externos. Como operador, você é responsável por:

• Fornecendo segredos externos atualizados, como um novo certificado TLS usado para proteger endereços finais do provedor de recursos.
• Gerenciando a rotação de segredo do provedor de recursos regularmente.

Quando os segredos estão próximos da expiração, os alertas a seguir são gerados no portal do administrador. Concluir a rotação de segredos resolverá estes alertas:

• Expiração de certificado interno pendente
• Expiração de certificado externo pendente

Pré-requisitos

Em preparação para o processo de rotação:

1. Caso ainda não tenha feito isso, instale o módulo Az do PowerShell para o Azure Stack Hub antes de continuar. A versão 2.0.2-preview ou posterior é necessária para a rotação de segredo do Azure Stack Hub. Para obter mais informações, consulte Migrar do AzureRM para o Azure PowerShell Az no Azure Stack Hub.

2. Instalar módulos Azs.Deployment.Admin 1.0.0: Galeria do PowerShell | Azs.Deployment.Admin 1.0.0

Install-Module -Name Azs.Deployment.Admin

3. Se o certificado externo estiver prestes a expirar, examine os requisitos de certificado de PKI (infraestrutura de chave pública) do Azure Stack Hub para obter informações importantes de pré-requisitos antes de adquirir/renovar seu certificado X509, incluindo detalhes sobre o formato PFX necessário. Examine também os requisitos especificados na seção certificados PaaS opcionais para seu provedor de recursos de adição de valor específico.

Preparar um novo certificado TLS para rotação de certificado externo

Em seguida, crie ou renove seu certificado TLS para proteger os endereços de endpoints do provedor de recursos de valor agregado.

1. Conclua as etapas em Gerar CSRs (solicitações de assinatura de certificado) para renovação de certificado para seu provedor de recursos. Aqui você usa a ferramenta verificador de preparação do Azure Stack Hub para criar o CSR. Execute o cmdlet correto para seu provedor de recursos, na etapa "Gerar solicitações de certificado para outros serviços do Azure Stack Hub". Por exemplo New-AzsDbAdapterCertificateSigningRequest , é usado para RPs SQL e MySQL. Quando terminar, você enviará o arquivo .REQ gerado à AC (Autoridade de Certificação) para o novo certificado.

2. Depois de receber o arquivo de certificado da Autoridade Certificadora, conclua as etapas em Preparar certificados para implantação ou rotação. Você usa a ferramenta Verificador de Preparação novamente para processar o arquivo retornado da AC.

3. Por fim, conclua as etapas em Validar certificados PKI do Azure Stack Hub. Use a ferramenta Verificador de Preparação mais uma vez para executar testes de validação em seu novo certificado.

Girar o certificado interno

Abra um console do PowerShell com privilégios elevados e conclua as seguintes etapas para atualizar as informações confidenciais externas do provedor de recursos:

1. Entre no ambiente do Azure Stack Hub usando suas credenciais de operador. Consulte Conectar ao Azure Stack Hub com o PowerShell para obter o script de login do PowerShell. Use os cmdlets do PowerShell Az (em vez do AzureRM) e substitua todos os valores de espaço reservado, como URLs de endpoint e nome do locatário do diretório.

2. Determine a ID do produto do provedor de recursos. Execute o Get-AzsProductDeployment cmdlet para recuperar uma lista das implantações mais recentes do provedor de recursos. A coleção retornada "value" contém um elemento para cada provedor de recursos implantado. Localize o provedor de recursos de interesse e anote os valores dessas propriedades:

   • "name" – contém a ID do produto do provedor de recursos no segundo segmento do valor.

   Por exemplo, a implantação de RP do SQL pode ter um ID de produto "microsoft.sqlrp".

3. Execute o Invoke-AzsProductRotateSecretsAction cmdlet para girar o certificado interno:

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Girar o certificado externo

Primeiro, você precisa anotar os valores para os parâmetros a seguir.

Abra um console do PowerShell com privilégios elevados e conclua as seguintes etapas:

1. Entre no ambiente do Azure Stack Hub usando suas credenciais de operador. Veja Conectar ao Azure Stack Hub com PowerShell para o script de login do PowerShell. Use os cmdlets do Az do PowerShell (em vez do AzureRM) e substitua todos os valores de espaço reservado, como URLs de ponto de extremidade e nome do locatário do diretório.

2. Obtenha o valor do parâmetro product-id. Execute o Get-AzsProductDeployment cmdlet para recuperar uma lista das implantações mais recentes do provedor de recursos. A coleção retornada "value" contém um elemento para cada provedor de recursos implantado. Localize o provedor de recursos de interesse e anote os valores dessas propriedades:

   • "name" – contém a ID do produto do provedor de recursos no segundo segmento do valor.
   • "properties"."deployment"."version" – contém o número de versão implantado no momento.

Por exemplo, a implantação de RP do SQL pode ter uma ID do produto de "microsoft.sqlrp" e a versão "2.0.0.2".

3. Crie a ID do pacote do provedor de recursos concatenando a ID e a versão do produto do provedor de recursos. Por exemplo, usando os valores derivados na etapa anterior, a ID do pacote RP do SQL é microsoft.sqlrp.2.0.0.2.

4. Usando a ID do pacote derivada na etapa anterior, execute Get-AzsProductSecret -PackageId para recuperar a lista de tipos secretos que estão sendo usados pelo provedor de recursos. Na coleção retornada value, localize o elemento que contém um valor de "Certificate" para a propriedade "properties"."secretKind". Esse elemento contém propriedades para a chave secreta do certificado do RP. Anote o nome atribuído a esse segredo de certificado, que é identificado pelo último segmento da "name" propriedade, logo acima "properties".

Por exemplo, a coleção de segredos retornada para o RP do SQL contém um "Certificate" segredo chamado SSLCert.

5. Use o Set-AzsProductSecret cmdlet para importar seu novo certificado para o Key Vault, que será usado pelo processo de rotação. Substitua os valores de espaço reservado da variável adequadamente antes de executar o script.

   $productId = '<product-id>'
   $packageId = $productId + '.' + '<installed-version>'
   $certSecretName = '<cert-secret-name>' 
   $pfxFilePath = '<cert-pfx-file-path>'
   $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force   
   Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -Force
   

6. Por fim, use o Invoke-AzsProductRotateSecretsAction cmdlet para atualizar os segredos:

   Invoke-AzsProductRotateSecretsAction -ProductId $productId
   

Monitorar o progresso da rotação secreta

Você pode monitorar o progresso da rotação de segredos no console do PowerShell ou no portal de administração, selecionando o provedor de recursos no serviço Marketplace.

O Azure Stack Hub tem várias maneiras de coletar, salvar e enviar logs de diagnóstico para o Suporte da Microsoft. A partir da versão 1.1.93, o Provedor de Recursos do SQL dá suporte à maneira padrão de coletar logs do ambiente do Azure Stack Hub. Para obter mais informações, consulte a coleção de logs de diagnóstico.

A partir da versão 1.1.93, o Provedor de Recursos do SQL dá suporte à maneira padrão de coletar logs do ambiente do Azure Stack Hub. Se você estiver usando uma versão mais antiga, é recomendável atualizar o Provedor de Recursos do SQL para a versão mais recente.

Para coletar logs da VM bloqueada, use o endpoint JEA (Administração Just Enough) do PowerShell DBAdapterDiagnostics. Esse ponto de extremidade fornece os seguintes comandos:

• Get-AzsDBAdapterLog. Esse comando cria um pacote zip dos logs de diagnóstico do provedor de recursos e salva o arquivo na unidade de usuário da sessão. Você pode executar esse comando sem parâmetros e as últimas quatro horas de logs são coletadas.
• Remove-AzsDBAdapterLog. Esse comando remove os pacotes de log existentes na VM do provedor de recursos.

Requisitos e processo de endpoint

Quando um provedor de recursos é instalado ou atualizado, a conta de usuário dbadapterdiag é criada. Você usará essa conta para coletar logs de diagnóstico.

Para usar os comandos DBAdapterDiagnostics , crie uma sessão remota do PowerShell para a VM do provedor de recursos e execute o comando Get-AzsDBAdapterLog .

Defina o período de tempo para a coleta de logs usando os parâmetros FromDate e ToDate . Se você não especificar um ou ambos os parâmetros, os seguintes padrões serão usados:

• FromDate representa um horário quatro horas antes da hora atual.
• ToDate é a hora atual.

Exemplo de script do PowerShell para coletar logs

O script a seguir mostra como coletar logs de diagnóstico da máquina virtual (VM) do provedor.

# Create a new diagnostics endpoint session.
$databaseRPMachineIP = '<RP VM IP address>'
$diagnosticsUserName = 'dbadapterdiag'
$diagnosticsUserPassword = '<Enter Diagnostic password>'

$diagCreds = New-Object System.Management.Automation.PSCredential `
        ($diagnosticsUserName, (ConvertTo-SecureString -String $diagnosticsUserPassword -AsPlainText -Force))
$session = New-PSSession -ComputerName $databaseRPMachineIP -Credential $diagCreds `
        -ConfigurationName DBAdapterDiagnostics `
        -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Sample that captures logs from the previous hour.
$fromDate = (Get-Date).AddHours(-1)
$dateNow = Get-Date
$sb = {param($d1,$d2) Get-AzSDBAdapterLog -FromDate $d1 -ToDate $d2}
$logs = Invoke-Command -Session $session -ScriptBlock $sb -ArgumentList $fromDate,$dateNow

# Copy the logs to the user drive.
$sourcePath = "User:\{0}" -f $logs
$destinationPackage = Join-Path -Path (Convert-Path '.') -ChildPath $logs
Copy-Item -FromSession $session -Path $sourcePath -Destination $destinationPackage

# Clean up the logs.
$cleanup = Invoke-Command -Session $session -ScriptBlock {Remove-AzsDBAdapterLog}
# Close the session.
$session | Remove-PSSession