Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os Clusters de Big Data do SQL Server dão suporte ao modo de implantação AD (Active Directory) para o IAM (Gerenciamento de Identidades e Acesso) . O IAM para o AKS (Serviço de Kubernetes do Azure) foi um grande desafio, porque os protocolos padrão do setor, como o OAuth 2.0 e o OpenID Connect, que têm amplo suporte na plataforma de identidade da Microsoft não são compatíveis com o SQL Server.
Este artigo explica como implantar um cluster de Big Data no modo AD durante a implantação no AKS (Serviço de Kubernetes do Azure).
Important
Os Clusters de Big Data do Microsoft SQL Server 2019 foram desativados. O suporte para clusters de Big Data do SQL Server 2019 terminou em 28 de fevereiro de 2025. Para obter mais informações, consulte a postagem no blog de anúncios e as opções de Big Data na plataforma microsoft SQL Server.
Architecture topologies
O AD DS (Active Directory Domain Services) é executado em uma VM (máquina virtual) do Azure da mesma forma que é executado em muitas instâncias locais. Depois de promover os novos controladores de domínio no Azure, defina os servidores DNS primários e secundários da rede virtual, rebaixe os servidores DNS locais que serão rebaixados para terciários ou inferiores. A autenticação do AD permite que clientes conectados ao domínio no Linux se autentiquem no SQL Server usando as respectivas credenciais de domínio e o protocolo Kerberos.
Há algumas maneiras de implantar um cluster de Big Data no modo AD no AKS. Este artigo apresenta dois métodos, que são mais fáceis de serem implementados e integrados às arquiteturas de nível empresarial existentes:
Estender o seu domínio do Active Directory local para o Azure. Esse método permite que o seu ambiente do Active Directory forneça serviços de autenticação distribuídos usando o AD DS (Active Directory Domain Services) no Azure. Você replica o AD DS (Active Directory Domain Services) local para reduzir a latência causada pelo envio de solicitações de autenticação da nuvem novamente para o AD DS local. Um caso de uso típico dessa solução é quando seu aplicativo é hospedado parcialmente no local e parcialmente no Azure e suas solicitações de autenticação precisam ser enviadas bidirecionalmente.
Estenda a floresta de recursos do AD DS (Active Directory Domain Services) para o Azure. Nessa arquitetura, você cria um domínio no Azure que é confiável para a floresta do AD local. Essa arquitetura mostra uma relação de confiança unidirecional do domínio no Azure para a floresta local.
As arquiteturas de referência descritas acima permitem que você crie uma zona de destino, que tem todos os recursos a serem implantados do zero ou qualquer outra solução alternativa baseada na arquitetura existente. Além dessas arquiteturas de referência, você deve implantar o cluster de Big Data em um cluster do AKS em uma sub-rede separada que permaneça na VNet de destino ou em uma VNet emparelhada.
A seguinte imagem representa uma arquitetura típica:
Recommendations
As recomendações a seguir se aplicam à maioria das implantações do cluster de Big Data no modo AD no AKS. As opções disponíveis serão mencionadas em cada componente a fim de fornecer diretrizes para melhor integração à arquitetura de nível empresarial.
Networking recommendations
Alguns componentes básicos podem ser usados para conectar seu ambiente local ao Azure:
- Gateway de VPN do Azure: Um gateway de VPN é um tipo específico de gateway de rede virtual usado para enviar o tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública. Você usará o Gateway de Rede Virtual do Azure e o Gateway de Rede Virtual local. Para obter informações sobre como configurá-los, confira O que é o Gateway de VPN.
- Azure ExpressRoute: As conexões do ExpressRoute não passam pela Internet pública e oferecem mais segurança, confiabilidade e velocidades maiores com latências menores do que conexões típicas na Internet. A escolha da sua opção de conectividade afetará a latência, o desempenho e o nível de SLA da sua solução, dependendo dos SKUs. Para obter informações específicas, confira Sobre os gateways de rede virtual do ExpressRoute.
A maioria dos clientes usa um jumpbox ou o Azure Bastion para acessar outra infraestrutura do Azure. Com o Link Privado do Azure, você pode acessar com segurança os serviços de PaaS do Azure, incluindo o AKS nesse cenário, bem como outros serviços hospedados do Azure em um ponto de extremidade privado na sua rede virtual. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição à Internet pública. Você também pode criar seu serviço de link privado na rede virtual e fornecê-lo de maneira privada aos clientes.
Active Directory e recomendação do Azure
O AD DS local armazena informações sobre as contas de usuário e permite que outros usuários autorizados na mesma rede acessem essas informações autenticando identidades associadas a usuários, computadores, aplicativos ou outros recursos que estão incluídos em um limite de segurança. Na maioria dos cenários híbridos, a autenticação do usuário é executada em um Gateway de VPN ou uma conexão do ExpressRoute para o ambiente do AD DS local.
Para uma implantação de um cluster de Big Data no modo AD, a solução para integrar o Active Directory local com o Azure, deve ter os seguintes pré-requisitos:
- Uma conta do AD tem permissão específica para criar usuários, grupos e contas de computador na UO (unidade organizacional) fornecida no Active Directory local.
- Um servidor DNS para resolver o DNS interno. Ele precisa conter cria registros do tipo A (pesquisa direta) e PTR (pesquisa inversa) no servidor DNS com nomes nesse domínio. Especifique as configurações do DNS de domínio no perfil de implantação do cluster de Big Data.