Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server 2019 (15.x)
Important
Кластеры больших данных Microsoft SQL Server 2019 прекращены. Поддержка кластеров больших данных SQL Server 2019 закончилась с 28 февраля 2025 г. Дополнительные сведения см. в записи блога объявлений и параметрах больших данных на платформе Microsoft SQL Server.
В этой статье рассматриваются основные понятия, связанные с безопасностью.
Кластеры больших данных SQL Server обеспечивают согласованную и согласованную авторизацию и проверку подлинности. Кластер больших данных можно интегрировать с Active Directory (AD) с помощью полностью автоматизированного развертывания, которое настраивает интеграцию AD с существующим доменом. После настройки кластера больших данных с интеграцией AD можно использовать существующие удостоверения и группы пользователей для единого доступа ко всем конечным точкам. Кроме того, после создания внешних таблиц в SQL Server можно управлять доступом к источникам данных путем предоставления доступа к внешним таблицам пользователям и группам AD, что позволяет централизованно использовать политики доступа к данным в одном расположении.
В этом 14-минутном видео вы получите обзор безопасности кластера больших данных:
Authentication
Конечные точки внешнего кластера поддерживают проверку подлинности AD. Используйте удостоверение AD для проверки подлинности в кластере больших данных.
Cluster endpoints
Существует пять точек входа в кластер больших данных
Главный узел — точка доступа TDS для подключения к главному узлу SQL Server в кластере с использованием инструментов баз данных и приложений, таких как SSMS или Azure Data Studio. При использовании команд HDFS или SQL Server из Azure Data CLI (
azdata) средство подключается к другим конечным точкам в зависимости от операции.Шлюз для доступа к файлам HDFS, Spark (Knox) — конечная точка HTTPS для доступа к службам, таким как webHDFS и Spark.
Конечная точка Службы управления кластерами (Controller) — это служба управления кластерами больших данных, которая предоставляет интерфейсы REST API для управления кластером. Средство Azdata требует подключения к этой конечной точке.
Прокси-сервер управления — для доступа к панели мониторинга поиска журналов и панели мониторинга метрик.
Прокси приложения — конечная точка для управления приложениями, развернутыми в кластере больших данных.
В настоящее время нет возможности открывать дополнительные порты для доступа к кластеру извне.
Authorization
В кластере интегрированная безопасность между различными компонентами позволяет передавать идентичность исходного пользователя при выполнении запросов из Spark и SQL Server, вплоть до HDFS. Как упоминалось выше, различные внешние конечные точки кластера поддерживают проверку подлинности AD.
Существует два уровня проверок авторизации в кластере для управления доступом к данным. Авторизация в контексте больших данных выполняется в SQL Server с помощью традиционных разрешений SQL Server для объектов и в HDFS со списками управления (ACL), которые связывают удостоверения пользователей с определенными разрешениями.
Кластер безопасных больших данных подразумевает согласованную и согласованную поддержку сценариев проверки подлинности и авторизации как в SQL Server, так и в HDFS/Spark. Проверка подлинности — это процесс проверки личности пользователя или службы и обеспечения их соответствия заявленному. Авторизация относится к предоставлению или запрету доступа к определенным ресурсам на основе удостоверения запрашивающего пользователя. Этот шаг выполняется после идентификации пользователя с помощью проверки подлинности.
Авторизация в контексте больших данных выполняется с помощью списков управления доступом (ACL), которые связывают удостоверения пользователей с определенными разрешениями. HDFS поддерживает авторизацию путем ограничения доступа к API-интерфейсам службы, файлам HDFS и выполнению заданий.
Шифрование при передаче данных и другие механизмы безопасности
Шифрование связи между клиентами и внешними конечными точками, а также между компонентами в кластере защищены с помощью TLS/SSL с помощью сертификатов.
Все обмен данными SQL Server с SQL Server, например главный экземпляр SQL, взаимодействующий с пулом данных, защищены с помощью имен входа SQL.
Important
Кластеры больших данных используются etcd для хранения учетных данных. Рекомендуется убедиться, что кластер Kubernetes настроен для использования etcd шифрования неактивных данных. По умолчанию секреты, хранящиеся в etcd ней, не шифруются. Документация по Kubernetes содержит подробные сведения об этой административной задаче: https://kubernetes.io/docs/tasks/administer-cluster/kms-provider/ и https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/.
Шифрование данных в состоянии покоя
Возможность шифрования данных в режиме хранения в кластерах больших данных SQL Server поддерживает основной сценарий шифрования на уровне приложения для компонентов SQL Server и HDFS. Следуйте статье Концепции шифрования данных в состоянии покоя и руководство по настройке конфигурации, чтобы получить полное руководство по использованию этой функции.
Important
Для всех развертываний кластера больших данных SQL Server рекомендуется шифрование томов. Тома хранилища, предоставленные клиентом и настроенные в кластерах Kubernetes, должны быть зашифрованы как часть комплексного подхода к шифрованию данных в состоянии покоя. Шифрование данных в состоянии покоя в кластере больших данных SQL Server — это дополнительный уровень безопасности, обеспечивающий шифрование на уровне приложения данных и файлов журналов SQL Server, а также поддержку зон шифрования HDFS.
Базовый вход администратора
Вы можете развернуть кластер в режиме AD или использовать только простой вход администратора. Только использование базового имени входа администратора не является рабочим поддерживаемым режимом безопасности и предназначен для оценки продукта.
Даже если вы выберете режим Active Directory, для администратора кластера будут созданы базовые имена входа. Эта функция обеспечивает альтернативный доступ, если подключение AD не работает.
При развертывании этот базовый вход будет предоставлен администраторам в кластере. Пользователь входа будет системным администратором в главном экземпляре SQL Server и администратором в контроллере кластера. Компоненты Hadoop не поддерживают проверку подлинности в смешанном режиме, что означает, что для проверки подлинности в шлюзе (Knox) невозможно использовать простой вход администратора.
Учетные данные для входа, которые необходимо указать во время развертывания, включают.
Имя администратора кластера:
AZDATA_USERNAME=<username>
Пароль администратора кластера:
AZDATA_PASSWORD=<password>
Note
Обратите внимание, что в режиме, отличном от AD, имя пользователя должно использоваться в сочетании с указанным выше паролем для проверки подлинности в шлюзе (Knox) для доступа к HDFS/Spark. До SQL Server 2019 CU5 имя пользователя было root.
Начиная с SQL Server 2019 (15.x) CU 5, при развертывании нового кластера с базовой проверкой подлинности все конечные точки, включая шлюз, используют AZDATA_USERNAME и AZDATA_PASSWORD. Конечные точки в кластерах, которые обновлены до CU 5, продолжают использовать root в качестве имени пользователя для подключения к конечной точке шлюза. Это изменение не применяется к развертываниям с помощью проверки подлинности Active Directory. См. учетные данные для доступа к службам через конечную точку шлюза в заметках о выпуске.
Управление версиями ключей
Кластеры больших данных SQL Server 2019 позволяют управлять версиями ключей для SQL Server и HDFS с помощью зон шифрования. Дополнительные сведения см. в разделе "Основные версии" в кластере больших данных.
Next steps
Знакомство с кластерами больших данных SQL Server 2019
Семинар. Архитектура кластеров больших данных Microsoft SQL Server