SQL Server 2017 Always On AG on Linux(二)SQL Server 证书及权限配置

最新推荐文章于 2024-01-12 10:16:44 发布
最新推荐文章于 2024-01-12 10:16:44 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: SQLServer SQLServer 高可用性 SQLServer AlwaysOn SQLServer 2017
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kk185800961/article/details/89483724
版权

既然没有了域认证,需要配置证书认证,步骤:

1. 启用S​​QL Server Always On Availability Groups功能
2. 在所有服务器上为SQL Server Always On Availability Groups安装Linux资源代理
3. 在所有Linux服务器启用防火墙上的Always On Availability Group端点端口
4. 在主副本上创建数据库主密钥
5. 创建将用于加密可用性组端点的证书
6. 使用证书为主副本创建Always On Availability Group端点进行身份验证
7. 将证书导出到文件
8. 将证书文件复制到辅助副本
9. 授予证书文件的SQL Server帐户权限
10. 在主副本上创建登录账号以供辅助副本使用
11. 为登录账号创建用户
12. 将步骤5中创建的证书与用户关联
13. 授予登录账号的CONNECT权限

 

1. 所有服务器:启用 hadr 功能(Always On Availability Groups

/opt/mssql/bin/mssql-conf set hadr.hadrenabled  1 
systemctl restart mssql-server

2. 所有服务器:为 SQL Server AlwaysOn AG 安装Linux资源代理。

群集资源代理程序 mssql-server-ha 是 Pacemaker 和 SQL Server 之间的接口

yum install -y mssql-server-ha 
yum info mssql-server-ha

3. 所有服务器:启用防火墙上的 AlwaysOn AG 端点默认端口5022 (或关闭防火墙!)

firewall-cmd --zone=public --add-port=5022/tcp --permanent 
firewall-cmd --reload

SSMS 连接到任意一个实例,[查询] 选项启用 [SQLCMD模式],批量执行以下脚本

----------------------------------------------------------------------
--#【 server111 副本】
----------------------------------------------------------------------
:CONNECT 192.168.2.111 -U sa -P sa@PWS123456
GO
USE master  
GO
-- 4. 创建数据库主密钥
--(数据库主密钥是对称密钥,用于保护数据库中存在的证书和非对称密钥的私钥)
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'Master@123456';  
GO
-- 5. 创建将用于加密可用性组端点的证书
CREATE CERTIFICATE LINUXHA_SQLAG1_cert 
WITH SUBJECT = 'server111 certificate for Availability Group' 
GO
--6. 主副本:使用证书创建 AlwaysOn AG 端点并进行身份验证
CREATE ENDPOINT Endpoint_AvailabilityGroup 
STATE = STARTED 
AS TCP 
(
   LISTENER_PORT = 5022, LISTENER_IP = ALL
)  
FOR DATABASE_MIRRORING 
(
   AUTHENTICATION = CERTIFICATE LINUXHA_SQLAG1_cert, 
   ENCRYPTION = REQUIRED ALGORITHM AES,
   ROLE = ALL
);  
GO
-- 7. 主副本:将证书导出到文件
BACKUP CERTIFICATE LINUXHA_SQLAG1_cert 
TO FILE = '/var/opt/mssql/data/LINUXHA_SQLAG1_cert.cer';  
GO

----------------------------------------------------------------------
--#【 server112 副本】
----------------------------------------------------------------------
:CONNECT 192.168.2.112 -U sa -P sa@PWS123456
GO
USE master  
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'Master@123456';  
GO 
CREATE CERTIFICATE LINUXHA_SQLAG2_cert
WITH SUBJECT = 'server112 certificate for Availability Group' 
GO  
CREATE ENDPOINT Endpoint_AvailabilityGroup 
STATE = STARTED  
AS TCP
(
LISTENER_PORT = 5022, LISTENER_IP = ALL 
)  
   FOR DATABASE_MIRRORING 
(
   AUTHENTICATION = CERTIFICATE LINUXHA_SQLAG2_cert, 
   ENCRYPTION = REQUIRED ALGORITHM AES,
   ROLE = ALL
); 
GO
BACKUP CERTIFICATE LINUXHA_SQLAG2_cert
TO FILE = '/var/opt/mssql/data/LINUXHA_SQLAG2_cert.cer';  
GO

----------------------------------------------------------------------
--#【 server113 副本】
----------------------------------------------------------------------
:CONNECT 192.168.2.113 -U sa -P sa@PWS123456
GO
USE master  
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'Master@123456';  
GO 
CREATE CERTIFICATE LINUXHA_SQLAG3_cert
WITH SUBJECT = 'server113 certificate for Availability Group' 
GO  
CREATE ENDPOINT Endpoint_AvailabilityGroup 
STATE = STARTED  
AS TCP
(
LISTENER_PORT = 5022, LISTENER_IP = ALL 
)  
   FOR DATABASE_MIRRORING 
(
   AUTHENTICATION = CERTIFICATE LINUXHA_SQLAG3_cert, 
   ENCRYPTION = REQUIRED ALGORITHM AES,
   ROLE = ALL
); 
GO
BACKUP CERTIFICATE LINUXHA_SQLAG3_cert
TO FILE = '/var/opt/mssql/data/LINUXHA_SQLAG3_cert.cer';  
GO

8. 各服务器上的证书相互传给其他服务器

# server111(192.168.2.111) 上执行
scp /var/opt/mssql/data/LINUXHA_SQLAG1_cert.cer root@server112:/var/opt/mssql/data/
scp /var/opt/mssql/data/LINUXHA_SQLAG1_cert.cer root@server113:/var/opt/mssql/data/

# server112(192.168.2.112) 上执行
scp /var/opt/mssql/data/LINUXHA_SQLAG2_cert.cer root@server111:/var/opt/mssql/data/
scp /var/opt/mssql/data/LINUXHA_SQLAG2_cert.cer root@server113:/var/opt/mssql/data/

# server113(192.168.2.113) 上执行
scp /var/opt/mssql/data/LINUXHA_SQLAG3_cert.cer root@server111:/var/opt/mssql/data/
scp /var/opt/mssql/data/LINUXHA_SQLAG3_cert.cer root@server112:/var/opt/mssql/data/

9. 所有服务器:授予证书文件所有者权限

chown mssql:mssql /var/opt/mssql/data/LINUXHA_SQLAG* 
ll /var/opt/mssql/data/LINUXHA_SQLAG*

 

10.各实例证书还原及账号授权

SSMS 连接到任意一个实例,查询选项启用[SQLCMD模式],批量执行以下脚本

----------------------------------------------------------------------
--#【 server111 副本】
----------------------------------------------------------------------
:CONNECT 192.168.2.111 -U sa -P sa@PWS123456
GO
USE master  
GO
-- 11 创建登录账号以供辅助副本使用
CREATE LOGIN login_ag WITH PASSWORD = 'AG@123456';  
GO
-- 12. 为登录账号创建用户
CREATE USER login_ag FOR LOGIN login_ag  
GO
-- 13. 创建其他副本的证书
CREATE CERTIFICATE LINUXHA_SQLAG2_cert  
AUTHORIZATION login_ag  
FROM FILE = '/var/opt/mssql/data/LINUXHA_SQLAG2_cert.cer'  
GO
CREATE CERTIFICATE LINUXHA_SQLAG3_cert  
AUTHORIZATION login_ag  
FROM FILE = '/var/opt/mssql/data/LINUXHA_SQLAG3_cert.cer'  
GO
-- 14. 授予登录账号的CONNECT权限
GRANT CONNECT ON ENDPOINT::Endpoint_AvailabilityGroup 
TO [login_ag];   
GO

----------------------------------------------------------------------
--#【 server112 副本】
----------------------------------------------------------------------
:CONNECT 192.168.2.112 -U sa -P sa@PWS123456
GO
USE master  
GO
-- 11 创建登录账号以供辅助副本使用
CREATE LOGIN login_ag WITH PASSWORD = 'AG@123456';  
GO
-- 12. 为登录账号创建用户
CREATE USER login_ag FOR LOGIN login_ag  
GO
-- 13. 创建其他副本的证书
CREATE CERTIFICATE LINUXHA_SQLAG1_cert  
AUTHORIZATION login_ag  
FROM FILE = '/var/opt/mssql/data/LINUXHA_SQLAG1_cert.cer'  
GO
CREATE CERTIFICATE LINUXHA_SQLAG3_cert  
AUTHORIZATION login_ag  
FROM FILE = '/var/opt/mssql/data/LINUXHA_SQLAG3_cert.cer'  
GO
-- 14. 授予登录账号的CONNECT权限
GRANT CONNECT ON ENDPOINT::Endpoint_AvailabilityGroup 
TO [login_ag];   
GO

----------------------------------------------------------------------
--#【 server113 副本】
----------------------------------------------------------------------
:CONNECT 192.168.2.113 -U sa -P sa@PWS123456
GO
USE master  
GO
-- 11 创建登录账号以供辅助副本使用
CREATE LOGIN login_ag WITH PASSWORD = 'AG@123456';  
GO
-- 12. 为登录账号创建用户
CREATE USER login_ag FOR LOGIN login_ag  
GO
-- 13. 创建其他副本的证书
CREATE CERTIFICATE LINUXHA_SQLAG1_cert  
AUTHORIZATION login_ag  
FROM FILE = '/var/opt/mssql/data/LINUXHA_SQLAG1_cert.cer'  
GO
CREATE CERTIFICATE LINUXHA_SQLAG2_cert  
AUTHORIZATION login_ag  
FROM FILE = '/var/opt/mssql/data/LINUXHA_SQLAG2_cert.cer'  
GO
-- 14. 授予登录账号的CONNECT权限
GRANT CONNECT ON ENDPOINT::Endpoint_AvailabilityGroup 
TO [login_ag];   
GO

暂时配置到这里,接下来将进行 Always On Availability Group 的创建!!

 

 

参考:

Linux 上的 SQL Server

Install and Configure SQL Server 2017 Availability Groups on Linux - Part 2

 

薛定谔的DBA
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL对表进行权限设置
jackfor001的专栏
07-09 8184
USE tempdbGO--创建两个测试表CREATE TABLE tb1(id int,value int)INSERT tb1 VALUES(1,10)CREATE TABLE tb2(id int,value int)INSERT tb1 VALUES(1,10)GO--创建登录CREATE LOGIN Liang WITH PASSWORD=
SQL Server 认证(Certification)
x9752025的专栏
04-13 1043
微软的数据库认证从包括3个方面的:MCTS: Microsoft Certified Technology SpecialistMCITP: Microsoft Certified IT ProfessionalMCM: Microfot Certified Master. 微软建议参加最新版本的数据库认证考试,当前版本是指Microsoft SQL Server 2008。S
SQL Server 2017 Linux X64
05-22
SQL Server 2017 在所有支持的平台(包括 Linux)上具有相同的底层数据库引擎。 因此,在 Linux 上,许多现有功能的运行方式相同。 该部分的文档包含了从 Linux 角度展示的一些功能。 同时还介绍了 Linux 上的一些独特需求。
oracle SQL认证考试,sql认证(sql server认证考试)
weixin_36081109的博客
04-05 4059
1.Windows 身份复验证模式 当用户通过 Microsoft Windows 用户帐户进行连接时,SQL Server 使用 Windows 操作系统中的信息验证帐户名和密码。这是默认的身份验证模.1、 oracle数据库专家认证 oracle 9i dba ocp认证是oracle认证体系的核心部分,被誉为“oracle认证的皇冠”。因此,oracle 9i dba ocp是代表数据库管理...
linux sql文件授权,linux开机root权限运行脚本sqlserver导入数据库
weixin_29325955的博客
04-29 186
DBGrid控件包括在VisualBasic的Tools目录中你会想到是不是可以用htmlfile对象的SetData先来向剪贴板中写入中文字符,然后再SendKeys呢?这样岂不是很完美,既解决了中文输入问题,又没有网页弹出'向指定的文件写字符串,第三个参数指定是否删除原来的内容Function Z_WriteFile(sFileName, sText, bAppend)Dim fs, fso,...
SQL Server AlwaysOn读写分离配置图文教程
09-09
在本文中,我们将深入探讨如何配置SQL Server AlwaysOn以实现读写分离,这是一个重要的数据库优化策略,旨在提高系统性能并减轻主数据库的压力。 读写分离的基本原理是将读取操作和写入操作分配到不同的服务器实例...
SQLserver AlwaysOn维护手册
06-09
本手册旨在为 SQL Server AlwaysOn 的维护提供详细的指导,涵盖 AlwaysOn 集群的部署、配置、故障转移、作业、用户创建、存储过程和健康状态监测等方面。 集群部署方案图解 在 AlwaysOn 集群中,需要至少两个节点...
SQL Server2016+AlwaysON无域集群.docx
12-23
SQL 配置管理器中,我们可以找到 SQL Server 服务,然后右键属性,选择 AlwaysOn 高可用性,启用 AlwaysOn 可用性组。重启 SQL Server 服务后,我们可以检查 AlwaysOn 是否启用成功。 第步,我们需要创建可用...
SQL server AlwaysOn(无共享存储架构)实施文档
09-03
SQL Server 2012及更高版本中引入,AlwaysOn可用性组允许一组用户数据库在一个故障转移环境中协同工作,提高了整体系统的可用性。这种技术的核心是“可用性组”,它包含一个或多个主数据库和对应的辅助数据库,...
SQLServer搭建有域高可用Alwayson集群
07-06
SQL Server的Always On Availability Groups(简称Always On AG)是一种企业级的高可用性和灾难恢复解决方案,它提供了数据库级别的高可用性。在SQL Server环境中,如果你正在寻找构建有域环境下的高可用集群,那么...
全国OSTA计算机高新技术SQLSever数据库四级证书--考证复习知识点集合文档
12-28
分享给即将考证的朋友们!适合临场考试复习整理思路理顺!有其他点问题欢迎提出!谢谢!祝逢考必过!
linux下对SqlServer进行权限开放
菜鸡小石头的博客
11-07 1379
请教别人得到的,记录一下 首先进入你的数据库安装目录下,我的是root@uc60ums:~# cd /data/data/更改的一个配置文件postgresql.conf root@uc60ums:/data/data# vi postgresql.conf 进行搜索/listen更改第配置文件pg_hba.conf 改ip如下图 然后重启数据库即可
Windows下SqlServer安装证书
最新发布
weixin_44531910的博客
01-12 1759
SqlServer 安装证书,数据传输加密
linux sql文件授权,Linux基础学习四:授权及查找命令及安装mysql数据库
weixin_35736086的博客
04-29 313
一、授权命令1、文件授权chmod {ugo}{+-=}{rwx}文件名,可以给指定对象授权指定权限,其中“+”表示加上权限,“-”表示减去权限,“=”授予权限,但是一般授权都不使用这种方式,而是用下面的方式:chmod 权限代码 文件名,rwx --> 111-->7,即r为4,w为2,x为1,授予什么权限,加起来的值即为权限,例如授予一个文件所有者、所属组、其他人所有权限:chm...
数据库PostrageSQL-证书认证
逍遥云恋
11-23 419
20.12. 证书认证 这种认证方法使用 SSL 客户端证书执行认证。因此,它只适用于 SSL 连接。当使用这种认证方法时,服务器将要求客户端提供一个有效的、可信的证书。不会有密码提示将被发送到客户端。证书的cn(通用名)属性将与被请求的数据库用户名进行比较,并且如果匹配将允许登录。用户名映射可以被用来允许cn与数据库用户名不同。 下列被支持的配置选项用于 SSL 证书认证: map 允许在系统和数据库用户名之间的映射。详见Section 20.2。在一条指定证书认证的pg_hba.conf记录中,认证选项
linux 环境 安装SQL-SERVER2017
胖虎儿的博客
07-04 7271
一、yum 安装 (1)设置下载源 直接执行命令 sudo curl -o /etc/yum.repos.d/mssql-server.repo https://packages.microsoft.com/config/rhel/7/mssql-server-2017.repo (2)yum下载 SQL Server yum install -y mssql-server (3)命令安装与配置SQL-SERVER /opt/mssql/bin/mssql-conf setup 提示说明: (
sql server mysql 证书_通过证书的方式实现SQL Server 数据库镜像 | 学步园
weixin_29027597的博客
02-22 402
通过证书的方式实现SQL Server 数据库镜像一、为主体数据库配置出站连接--创建数据库主密钥CREATE MASTER KEY ENCRYPTION BY PASSWORD = '111111';GO--在MIR-A上为数据库实例创建证书USE master;CREATE CERTIFICATE MIR_A_certWITH SUBJECT = 'MIR_A certificate',STA...
Alwayson--使用证书创建高可用性组
weixin_33895695的博客
10-21 168
--场景: --有服务器SQLNode11,SQLNODE21,SQLNODE31三台在同一故障转移群集SQLNode01中 --的数据库服务器,安装SQL SERVER 2012 并配置启动alwayson高可用性组,服务使 --用localsystem运行,为SQLNode11上数据库DB1和DB2创建高可用性组,并将 --SQLNode21和SQLNode31加入到可用性组中。  ...
SQL Server 非对称秘钥管理
三空道人的博客
06-30 781
​在《SQL Server 非对称秘钥在数据加密中的应用》一文中,我们了解到可以使用非对称秘钥进行数据加密。本文带着大家深入了解非对称秘钥的生命周期,包括创建、修改和删除。 为了熟悉非对称秘钥,我们先创建一个数据库作为测试环境: CREATE DATABASE AsymmetricKeyAdmin ON PRIMARY (NAME='AsymmetricKeyAdmin',FILENAME='D:\database\AsymmetricKeyAdmin.mdf') LOG ON (NAME='Asym
SQL Server 2014 Always On部署详解与环境配置
SQL Server 2014 Always On 部署指南详细介绍了如何在Windows域环境中实现高可用性和容错能力的SQL Server 2014集群解决方案。相比于早期版本,Always On引入了新的高可用性组架构,不再依赖于共享存储,而是每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值