タイトルの通りですが、SQL Server を Azure VM で動作させる場合のセキュリティ保護についてまとめておきたいと思い投稿を書きました。
自分が確認しておきたかった内容をまとめているものとなり、操作をしていて標準で気づくものは省いていますので、OS 標準の機能や、SQL Server IaaS Agent 拡張機能については記載していません。
2023年3月の Azure SQL Database Update
2023年3月の発表をあまり確認できていなかったのでまとめておきたい思います。
Datadog の Integration による Azure Arc との連携
Enhanced Azure Arc integration with Datadog simplifies hybrid and multicloud observability でアナウンスされていますが、Datadog の Integration を使用して Azure Arc の情報を Datadog に取得できるようになりました。
Datadog は Azure Marketplace からも提供されており、Datadog – An Azure Native ISV Service とは でも解説が行われています。
SQL Server を使用したモダンな開発のために把握しておきたいツールのメモ
この領域は情報のキャッチアップができていなかったのですが、そろそろ少しずつ把握しておかないとなと思い、後で思い出すためのメモを。
SQLBits 2023 の Keynote で紹介されていたツールになります。
SQL Server PowerShell モジュールをインストールして Microsoft.Data.SqlClient を利用可能にする
SQL Server の最新の機能を使用するためには、System.Data.SqlClient ではなく、Microsoft.Data.SqlClient を使用する必要があります。
以前、PowerShell (7.0.2) で Microsoft.Data.SqlClient 2.0 を使用する という投稿を書いたのですが、Windows PowerShell を使用していて、もう少しシンプルな方法で導入することはできないかと考えてみたところ、SQL Server PowerShell モジュール の存在を思い出しました。
2023/04/06 追記
Microsoft.Data.SqlClient が使用されている 22.x が GA リリースされました。
I'm pleased to announce the GA release of the SQLServer PowerShell module v22.https://t.co/hXJuyq2Xqh
— Matteo Taveggia (@matteo_taveggia) April 4, 2023
22.0.59 以降で Preview が外れましたので、現時点では GA 版を使用することができます。
SQL Server IaaS Agent 拡張機能の新しいアクセス許可モデルと従来の管理モードの削除
SQL Server IaaS Agent 拡張機能で新しいアクセス許可モデルの提供が開始され、「完全な sysadmin 権限」「最小特権モデル (原則) 」(least privilege mode) という二種類のアクセス許可が使用されるようになりました。
従来までのアクセス許可モデルは「完全な sysadmin 権限」と呼ばれるものとなり、現状では、
- 2022年10月より前に Azure Marketplace 経由でデプロイされた SQL Server VM
- Azure VM に SQL Server をセルフインストールした環境で SQL Server IaaS Agent 拡張機能をインストールした環境
で使用されているものとなります。
上記以外の環境や、自動登録で導入された IaaS Agent 拡張機能については「最小特権の原則」で導入が行われるようになりました。
当初から提供されていた「完全な sysadmin 権限によるアクセス許可モデル」では次の 3 種類の管理モードが提供されていました。
- エージェント無し
- Windows Server 2008 にインストールされた SQL Server 2008 / R2 に対してのみ使用可能
- ライセンスタイプの指定のみ使用することができる
- ライセンス変更 (PAYG / AHUB / DR) の機能のみを使用することができる
- FCI / 複数インスタンスの SQL Server では軽量モードのみが使用できる
- IaaS Agent の全機能を使用することができる
- 2021年9 月から再起動不要で完全モードにアップグレード可能となった
新しく提供が開始された「最小特権モデル」については、管理モードは削除され、使用される機能に応じたカスタムロールが使用され、機能に応じて必要な権限が付与されるようになりました。
これにより「最小特権モデル」では、管理モードが削除され軽量や完全モードという管理がなくなりました。
SQL Server のトラブル解析に Bing AI (Bing チャット) / ChatGPT を活用することはできるか?WSFC の SQL Server の障害を例にして試してみる
SQL Server のトラブル解析に Bing AI (Bing チャット) / ChatGTP を活用することはできるのかが気になったので簡単にではありますが試してみました。
プロンプトの組み方によってはもっと精度を上げることもできるのかとは思いますが、今回はシンプルな自然言語の入力で試しています。
clumsy を使用して Windows でネットワーク遅延を発生させる
SQL Server に対して実行するクエリについて、実行元から SQL Server に対してネットワーク遅延がある場合、実行されたクエリの処理時間はどのように記録されるのかを確認したいケースがありました。
実行元は Hyper-V の仮想マシンで実行しているので帯域制限については、ある程度はネットワークアダプターの帯域幅管理でも実現はできるのですが、明示的にネットワークに遅延を発生させることはできません。
Linux であれば、tc を使用して netem で実行することができそうですが、Windows 環境で手軽に実行したいと思った場合にどのように実行するのかを探してみたところ、clumsy というツールを使用することで実現ができました。
Azure Arc 仮想マシンと Azure Connected Machine Agent
Azure Stack HCI と Azure を連携することで使用することができる機能として、Azure Arc 仮想マシン (Azure Arc VM) があります。
Azure Arc 仮想マシンを使用すると Azure ポータルから Azure Stack HCI に仮想マシンを展開 / 展開した仮想マシンを Azure のリソースとして扱うことができるようになります。
Azure Stack HCI 上で Azure Virtual Desktop を実現する機能となる Azure Virtual Desktop for Azure Stack HCI (AVD for Azure Stack HCI) でも、展開されるセッションホストについても、Azure Arc 仮想マシンが使用されており、この機能を活用する際にも Azure Arc 仮想マシンが活用されています。
Azure Arc 仮想マシンですが、インストールの設定については、Azure Connected Machine Agent が自動的にインストールされるのですが、このエージェントについての情報をまとめておきたいと思います。