Azure VM 上的
SQL Server
提示
部署可用性组的方法有很多种。 简化您的部署,通过在同一Azure虚拟网络内的多个子网中创建SQL Server虚拟机(VM),消除对Always On 高可用性组的Azure Load Balancer或分布式网络名称(DNN)的需求。 如果已在单个子网中创建可用性组,可以将其迁移到多子网环境。
本教程演示如何完成在单个子网中创建 Azure SQL Server AlwaysOn 可用性组的先决条件。 一旦你完成了先决条件,就会在一个资源组中拥有一个域控制器、两台 SQL 服务器虚拟机和一台见证服务器。
本文介绍如何手动配置数据库可用性组环境。 也可以使用 Azure 门户或 PowerShell 或 Azure CLI 自动执行这些步骤。
时间估计:可能需要几个小时才能完成必备组件配置。 大部分时间都在创建虚拟机。
下图演示了在本教程中构建的内容。
查看可用性组文档
本教程假定你已基本了解 SQL Server AlwaysOn 可用性组。 如果您不熟悉这项技术,请参阅 Always On 可用性组概述 (SQL Server)。
创建Azure帐户
需要一个Azure帐户。 可以打开试用版订阅或激活Visual Studio订阅者权益。
创建资源组
若要在 Azure 门户中创建资源组,请执行以下步骤:
登录到 Azure 门户。
选择“+ 创建资源”。
在 Marketplace 搜索 资源组,然后选择来自 Microsoft 的 资源组 图块。 选择“创建”。
Azure门户的截图,显示从市场中选择资源组。
在“创建资源组”页面上,填写以下值以创建资源组:
- 从下拉列表中选择相应的Azure订阅。
- 提供资源组的名称,例如“SQL-HA-RG”。
- 从下拉列表中选择一个区域,例如“中国北部 3”。 请务必将所有后续资源都部署到此位置。
- 选择“查看 + 创建”以查看资源参数,然后选择“创建”以创建自己的资源组 。
创建网络和子网
下一步是在Azure资源组中创建网络和子网。
该教程中的解决方案使用一个虚拟网络和一个子网。 虚拟网络概述提供有关Azure中的网络的详细信息。
若要在 Azure 门户中创建虚拟网络,请执行以下步骤:
在 Azure 门户中转到资源组并选择 + 创建。
在 Marketplace 搜索框中键入 virtual network,然后从 Microsoft 中选择 virtual network 磁贴。 选择“创建”。
在“创建虚拟网络”页面上,在“基本信息”选项卡中输入以下信息:
- 在Project 详细信息下,对于订阅,请选择相应的 Azure 订阅。 对于“资源组”,请选择之前创建的资源组,例如 SQL-HA-RG。
- 在“实例详细信息”下,提供虚拟网络的名称(例如 autoHAVNET)。 在下拉列表中,选中为资源组选择的同一区域。
Azure门户的截图,显示了提供创建虚拟网络的基本详细信息。
在“IP 地址”选项卡上,选择“+ 添加子网”旁边的省略号 (...)。 如果需要其他地址范围,请选择“删除地址空间”以移除现有的地址空间。
选择“添加 IP 地址空间”,打开窗格以创建所需的地址空间。 本教程使用地址空间 192.168.0.0/16(192.168.0.0 作为起始地址,/16 作为地址空间大小)。 选择“添加”以创建地址空间。
选择“+ 添加子网”,然后:
为“子网名称”提供一个值,例如“admin”。
提供虚拟网络地址空间中的唯一子网地址范围。
例如,如果地址范围为 192.168.0.0/16,则输入 192.168.15.0 作为起始地址,/24 作为子网大小。
选择“添加”以添加新子网。
Azure 门户中的
屏幕截图,显示添加子网的选项。 选择“查看 + 创建”。
Azure将你返回至门户仪表板,并在新网络创建时通知你。
创建可用性集
创建虚拟机前,需创建可用性集。 可用性集可减少计划内或计划外维护事件的停机时间。
Azure可用性集是Azure这些物理域上放置的资源的逻辑组:
- 容错域:确保可用性集的成员具有不同的电源和网络资源。
- 更新域:确保可用性集的成员不会同时停机进行维护。
有关详细信息,请参阅管理虚拟机的可用性。
需要两个可用性集。 一个用于域控制器。 第二个是用于SQL Server VM。
若要创建可用性集,请执行以下操作:
- 转到资源组,然后选择“添加”。
- 通过键入可用性集筛选结果。 在结果中选择“可用性集”。
- 选择“创建”。
根据下表中的参数配置两个可用性集:
| 字段 | 域控制器可用性集 | SQL Server可用性集 |
|---|---|---|
| 名称 | adavailabilityset | sqlavailabilityset |
| 资源组 | SQL-HA-RG | SQL-HA-RG |
| 容错域 | 2 | 2 |
| 更新域名 | 5 | 3 |
创建可用性集后,返回到Azure门户中的资源组。
创建域控制器
创建网络、子网和可用性集后,即可创建和配置域控制器。
为域控制器创建虚拟机
现在,创建两个虚拟机。 将它们命名为 ad-primary-dc 和 ad-secondary-dc。 对每个虚拟机使用以下步骤:
- 返回到“SQL-HA-RG”源组。
- 选择 添加 。
- 键入 Windows Server 2016 Datacenter,然后选择 Windows Server 2016 Datacenter。
- 在 Windows Server 2016 Datacenter 中,验证部署模型是否为 Resource Manager,然后选择 Create。
注意
ad-secondary-dc 虚拟机是可选的,可为Active Directory Domain Services提供高可用性。
下表显示了这两个虚拟机的设置:
| 字段 | 值 |
|---|---|
| 名称 | 第一个域控制器: ad-primary-dc 第二个域控制器: ad-secondary-dc |
| VM 磁盘类型 | SSD |
| 用户名 | DomainAdmin |
| 密码 | 安全密码 |
| 订阅 | 订阅 |
| 资源组 | SQL-HA-RG |
| 位置 | 你的位置 |
| 大小 | DS1_V2 |
| 存储 | 使用托管磁盘 - 是 |
| 虚拟网络 | autoHAVNET |
| 子网 | admin |
| 公共 IP 地址 | 与 VM 同名 |
| 网络安全组 | 与 VM 同名 |
| 可用性集 |
adavailabilityset 故障域: 2 更新域: 5 |
| 诊断 | 已启用 |
| 诊断存储帐户 | 自动创建 |
重要
只有在创建虚拟机时,才能将虚拟机(VM)放置在可用性集中。 创建 VM 后,无法更改可用性集。 请参阅管理虚拟机的可用性。
配置主域控制器
执行以下步骤,将 ad-primary-dc 计算机配置为 corp.contoso.com 的域控制器:
在门户中打开 SQL-HA-RG 资源组,然后选择 ad-primary-dc 计算机。 在 ad-primary-dc 上,选择 “连接到 Bastion ”以打开 Bastion 页面并部署 Bastion 进行远程桌面访问。
使用配置的管理员帐户(\DomainAdmin)登录。
默认情况下,应显示 Server Manager 仪表板。 选择仪表板上的“添加角色和功能”链接。
服务器管理器仪表板上角色和功能的添加链接的截图。 选择“下一步”,直到到达“服务器角色”部分。
选择 Active Directory Domain Services 和 DNS 服务器角色。 出现提示时,添加这些角色所需的任意功能。
注意
Windows警告你没有静态 IP 地址。 若要测试配置,请选择“继续”。 对于生产方案,在Azure门户中将 IP 地址设置为静态,或使用 PowerShell 设置域控制器计算机的静态 IP 地址。
选择“下一步”,直到显示“确认”部分。 选中“必要时自动重新启动目标服务器”复选框。
选择“安装”。
安装完这些功能后,返回到 Server Manager 仪表板。
选择左侧窗格中的新“AD DS”选项。
选择黄色警告栏上的“更多”链接。
在“所有服务器任务详细信息”对话框的“操作”栏中,选择“将此服务器提升为域控制器”。
在 Active Directory Domain Services 配置向导中,使用以下值:
Page 设置 部署配置 添加新林
根域名 = corp.contoso.com域控制器选项 DSRM 密码 = 安全密码
确认密码 = 安全密码选择“下一步”以浏览向导中的其他页。 在“先决条件检查”页上,验证是否显示以下消息:“所有先决条件检查都成功通过”。你可查看任何适用的警告消息,不过可继续安装。
选择“安装”。 ad-primary-dc 虚拟机会自动重启。
记下主域控制器的 IP 地址
为 DNS 使用主域控制器。 记下主域控制器的专用 IP 地址。
获取主域控制器 IP 地址的一种方法是通过Azure门户:
打开资源组。
选择主域控制器。
在主域控制器中,选择“网络接口”。
配置虚拟网络 DNS
在创建第一个域控制器并在第一台服务器上启用 DNS 后,将虚拟网络配置为将此服务器用作 DNS:
在Azure门户中,选择虚拟网络。
在“设置”下,选择“DNS 服务器”。
选择“自定义”,然后输入主域控制器的专用 IP 地址。
选择“保存”。
配置第二个域控制器
主域控制器重启后,可按照以下步骤配置辅助域控制器。 这个可选过程可实现高可用性。
设置首选 DNS 服务器地址
首选 DNS 服务器地址不会直接在 VM 中更新,应从 Azure 门户、PowerShell 或 Azure CLI对其进行编辑。 以下步骤演示如何在 Azure 门户中进行更改:
登录到 Azure 门户。
在门户顶部的搜索框中,输入“网络接口”。 在搜索结果中,选择“网络接口”。
从列表中选择要查看或更改设置的第二个域控制器的网络接口。
在“设置”中,选择“DNS 服务器”。
选择以下任一项:
继承自虚拟网络:选择此选项可继承为网络接口分配到的虚拟网络定义的 DNS 服务器设置。 选择此选项将自动继承主域控制器作为 DNS 服务器。
自定义:可自行配置 DNS 服务器来解析多个虚拟网络中的名称。 输入要用作 DNS 服务器的服务器的 IP 地址。 指定的 DNS 服务器地址仅分配到此网络接口,并会替代该网络接口分配到的虚拟网络的任何 DNS 设置。 如果选择“自定义”,则输入主域控制器的 IP 地址,例如
192.168.15.4。
选择“保存”。 如果使用 Custom DNS 服务器,请返回到Azure门户中的虚拟机并重启 VM。 重启虚拟机后,可以将 VM 加入域。
加入域
接下来,请加入 corp.contoso.com 域。 为此,请执行下列步骤:
- 使用 Bastion 和 BUILTIN\DomainAdmin 帐户远程连接到虚拟机。 此帐户与创建域控制器虚拟机时使用的帐户相同。
- 打开 Server Manager,然后选择 Local Server。
- 选择“WORKGROUP”。
- 在“计算机名”部分中,选择“更改”。
- 选中“域”复选框并在文本框中键入“corp.contoso.com” 。 选择“确定”。
- 在“Windows Security弹出对话框中,指定默认域管理员帐户(CORP\DomainAdmin) 的凭据。
- 在看到“欢迎使用 corp.contoso.com 域”消息时,选择“确定”。
- 选择“关闭”,然后选择弹出对话框中的“立即重启”。
配置域控制器
将服务器加入域后,可以将它配置为第二个域控制器。 为此,请执行下列步骤:
如果尚未连接,请打开辅助域控制器的 Bastion 会话,然后打开 Server Manager 仪表板(默认情况下可能打开)。
选择仪表板上的“添加角色和功能”链接。
选择“下一步”,直到到达“服务器角色”部分。
选择 Active Directory Domain Services 和 DNS 服务器角色。 出现提示时,请添加这些角色所需的任何其他功能。
安装完功能后,返回到 Server Manager 仪表板。
选择左侧窗格中的新“AD DS”选项。
选择黄色警告栏上的“更多”链接。
在“所有服务器任务详细信息”对话框的“操作”栏中,选择“将此服务器提升为域控制器”。
在“部署配置”下面,选择“将域控制器添加到现有域”。
选择 选择。
使用管理员帐户(CORP.CONTOSO.COM\domainadmin)进行连接。
在“从林中选择域”中,选择你的域,然后选择“确定”。
在 域控制器选项中,使用默认值并设置目录服务还原模式 (DSRM) 密码。
注意
“DNS 选项”页可能会警告你无法创建此 DNS 服务器的委托。 可以在非生产环境中忽略此警告。
选择“下一步”,直到出现“先决条件检查”对话框。 然后选择“安装”。
在服务器完成配置更改后,重启服务器。
将辅助域控制器的专用 IP 地址添加到 VPN DNS 服务器
在 Azure 门户中,在 Virtual network 下,将 DNS 服务器更改为包含辅助域控制器的 IP 地址。 此设置可实现 DNS 服务冗余。
配置域帐户
接下来,在Active Directory中配置两个帐户,一个安装帐户,然后为两个SQL Server VM 配置一个服务帐户。 例如,将下表中的值用于帐户:
| 帐户 | VM | 完整域名 | 说明 |
|---|---|---|---|
| 安装 | 两者 | CORP\Install | 使用此帐户登录到任一 VM 以配置群集和可用性组。 |
| SQLSvc | 两者(sqlserver-0 和 sqlserver-1) | Corp\SQLSvc | 请在两个SQL Server虚拟机上,将此帐户用于SQL Server服务和SQL代理服务帐户。 |
使用以下步骤创建每个帐户:
登录到 ad-primary-dc 计算机。
在 Server Manager 中,选择 Tools,然后选择 Active Directory 管理中心。
在左窗格中选择“corp (local)”。
在“任务”窗格中,选择“新建”,然后选择“用户”。
显示在 Active Directory 管理中心中添加用户选项的屏幕截图。 提示
为每个帐户设置复杂密码。 对于非生产环境,请将用户帐户设置为永不过期。
选择“确定”以创建用户。
向安装帐户授予所需的权限
在 Active Directory 管理中心中,选择左窗格中的 corp (local)。 在“任务”窗格上,选择“属性”。
选择“扩展”,然后选择“安全性”选项卡上的“高级”按钮。
在“corp 的高级安全设置”对话框中,选择“添加”。
选择“选择主体”,搜索“CORP\Install”,然后选择“确定”。
选中“读取所有属性”复选框。
选中“创建计算机对象”复选框。
选择“确定”,然后再选择“确定”。 关闭“corp”属性窗口。
完成配置Active Directory和用户对象后,可以创建更多 VM 并将其加入域。
创建SQL Server VM
本教程中的解决方案要求创建三个虚拟机:两个虚拟机,其中两个具有SQL Server实例,一个充当见证服务器。
Windows Server 2016 及更高版本可以使用 cloud witness。 但是为了与旧版操作系统保持一致,本文使用虚拟机作为见证服务器。
在继续操作之前,请考虑以下设计决策:
Storage:Azure托管磁盘
对于虚拟机存储,请使用Azure托管磁盘。 建议为SQL Server虚拟机使用托管磁盘。 托管磁盘在后台处理存储。 此外,当具有托管磁盘的虚拟机位于同一可用性集中时,Azure分发存储资源以提供适当的冗余。
有关详细信息,请参阅 Azure 托管磁盘简介。 有关可用性集中内的托管磁盘的详细信息,请参阅 Azure 虚拟机的可用性选项。
网络:生产环境中的专用 IP 地址
本教程为虚拟机使用公共 IP 地址。 使用公共 IP 地址可通过 Internet 直接远程连接到虚拟机,从而简化配置过程。 在生产环境中,建议仅使用专用 IP 地址来减少SQL Server实例的 VM 资源的漏洞占用。
网络:每个服务器的 NIC 数
每个服务器(群集节点)使用一个网络接口卡 (NIC),并使用一个子网。 Azure网络具有物理冗余,这使得Azure VM 来宾群集上不需要添加更多的 NIC 和子网。
群集验证报告上有警告,提示你只能在一个网络上访问节点。 可以忽略Azure VM 来宾故障转移群集上的此警告。
创建和配置 VM
请返回到“SQL-HA-RG”资源组,然后选择“添加”。
搜索相应的图库项目,选择虚拟机,然后选择从图库中。
若要完成创建三个 VM,请使用下表中的信息:
页面 VM1 VM2 VM3 选择合适的图库项目 Windows Server 2016 Datacenter Windows Server 2016 上的 SQL Server 2016 SP1 Enterprise Windows Server 2016 上的 SQL Server 2016 SP1 Enterprise 虚拟机配置:基本信息 名称 = cluster-fsw
用户名 = DomainAdmin
密码 = 安全密码
订阅 = 自己的订阅
资源组 = SQL-HA-RG
Location = 您的 Azure 位置名称 = sqlserver-0
用户名 = DomainAdmin
密码 = 安全密码
订阅 = 自己的订阅
资源组 = SQL-HA-RG
Location = 您的 Azure 位置名称 = sqlserver-1
用户名 = DomainAdmin
密码 = 安全密码
订阅 = 自己的订阅
资源组 = SQL-HA-RG
Location = 您的 Azure 位置虚拟机配置:大小 SIZE= DS1_V2 (1 个 vCPU,3.5 GB)SIZE= DS2_V2 (2 个 vCPU,7 GB)
大小必须支持 SSD 存储(高级磁盘支持)。SIZE= DS2_V2 (2 个 vCPU,7 GB)虚拟机配置:设置 存储 = 使用托管磁盘
虚拟网络 = autoHAVNET
子网 = admin (192.168.15.0/24)
公共 IP 地址 = 自动生成
网络安全组 = 无
监视诊断 = 已启用
诊断存储帐户 = 使用自动生成的存储帐户
可用性集 = sqlAvailabilitySet存储 = 使用托管磁盘
虚拟网络 = autoHAVNET
子网 = admin (192.168.15.0/24)
公共 IP 地址 = 自动生成
网络安全组 = 无
监视诊断 = 已启用
诊断存储帐户 = 使用自动生成的存储帐户
可用性集 = sqlAvailabilitySet存储 = 使用托管磁盘
虚拟网络 = autoHAVNET
子网 = admin (192.168.15.0/24)
公共 IP 地址 = 自动生成
网络安全组 = 无
监视诊断 = 已启用
诊断存储帐户 = 使用自动生成的存储帐户
可用性集 = sqlAvailabilitySet虚拟机配置:SQL Server设置 不适用 SQL 连接 = 专用(虚拟网络内部)
端口 = 1433
SQL 身份验证 = 已禁用
存储配置 = 通用
自动修补 = 星期日 2:00
自动备份 = 已禁用
Azure Key Vault集成 = 禁用SQL 连接 = 专用(虚拟网络内部)
端口 = 1433
SQL 身份验证 = 已禁用
存储配置 = 通用
自动修补 = 星期日 2:00
自动备份 = 已禁用
Azure Key Vault集成 = 禁用
注意
此处建议的计算机大小用于测试Azure虚拟机中的可用性组。 有关生产工作负荷的最佳性能,请参阅有关 SQL Server 计算机大小和配置的建议Azure虚拟机中SQL Server的性能最佳做法。
预配完 3 个 VM 后,需将其加入到 corp.contoso.com 域中,并向这些计算机授予 CORP\Install 管理权限。
将服务器加入域
为 SQL Server 虚拟机和文件共享见证服务器完成以下步骤:
- 使用 BUILTIN\DomainAdmin 远程连接到虚拟机。
- 在Server Manager中,选择Local Server。
- 选择“工作组”链接。
- 在“计算机名”部分中,选择“更改”。
- 选中“域”复选框并在文本框中输入 corp.contoso.com。 选择“确定”。
- 在“Windows Security弹出对话框中,指定默认域管理员帐户(CORP\DomainAdmin) 的凭据。
- 在看到“欢迎使用 corp.contoso.com 域”消息时,选择“确定”。
- 选择“关闭”,然后选择弹出对话框中的“立即重启”。
添加帐户
将安装帐户添加为每个 VM 上的管理员,向SQL Server中的安装帐户和本地帐户授予权限,并更新SQL Server服务帐户。
添加 CORP\Install 用户作为每个群集 VM 上的管理员
将每个虚拟机作为域的成员重启后,请将 CORP\Install 添加为本地管理员组的成员:
等待 VM 重启,然后从主域控制器打开Remote Desktop连接(RDP)连接。 使用 CORP\DomainAdmin 帐户登录到 sqlserver-0。
提示
请确保使用域管理员帐户登录。 在前面的步骤中,使用的是 BUILTIN 管理员帐户。 将服务器加入域后,便可以使用域帐户。 在 RDP 会话中,指定域\用户名。
在 Server Manager 中,选择 Tools,然后选择 Computer Management。
在“计算机管理”窗口中,展开“本地用户和组”,然后选择“组”选项。
双击“管理员”组。
在“管理员属性”对话框中,选择“添加”按钮。
输入用户 CORP\Install,然后选择“确定”。
选择“确定”以关闭“管理员属性”对话框。
在 sqlserver-1 和 cluster-fsw 上重复上述步骤。
在每个 SQL Server VM 上为安装帐户创建登录
使用安装帐户 (CORP\install) 配置可用性组。 此帐户必须是每个 SQL Server VM 上sysadmin固定服务器角色的成员。
以下步骤将创建安装帐户的登录名。 在两SQL Server VM 上完成它们。
打开SQL Server Management Studio并连接到SQL Server的本地实例。
在 Object Explorer 中,选择 Security。
右键单击登录名。 选择“新建登录名”。
在“登录名 - 新建”中,选择“搜索”。
选择"位置"。
输入域管理员的网络凭据。 使用安装帐户 (CORP\install)。
将该登录名设置为 sysadmin 固定服务器角色的成员。
选择“确定”。
配置系统帐户权限
若要为系统创建帐户并授予适当的权限,请在每个SQL Server实例上完成以下步骤:
使用以下脚本为
[NT AUTHORITY\SYSTEM]创建帐户:USE [master] GO CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS WITH DEFAULT_DATABASE=[master] GO向
[NT AUTHORITY\SYSTEM]授予以下权限:ALTER ANY AVAILABILITY GROUPCONNECT SQLVIEW SERVER STATE
以下脚本将授予这些权限:
GRANT ALTER ANY AVAILABILITY GROUP TO [NT AUTHORITY\SYSTEM] GO GRANT CONNECT SQL TO [NT AUTHORITY\SYSTEM] GO GRANT VIEW SERVER STATE TO [NT AUTHORITY\SYSTEM] GO
设置SQL Server服务帐户
在每个SQL Server VM 上,完成以下步骤来设置SQL Server服务帐户。 使用配置域帐户时创建的帐户。
- 打开 SQL Server Configuration Manager。
- 右键单击SQL Server服务,然后选择 Properties。
- 设置帐户和密码。
对于SQL Server可用性组,每个SQL Server VM 都需要作为域帐户运行。
添加故障转移群集
若要添加故障转移群集功能,请在两SQL Server VM 上完成以下步骤:
使用 CORP\install 帐户通过 Bastion 连接到SQL Server虚拟机。 打开 Server Manager 仪表板。
选择仪表板上的“添加角色和功能”链接。
选择“下一步”,直到看到“服务器功能”部分。
在“功能”中,选择“故障转移群集”。
添加任何所需的功能。
选择“安装”。
注意
现在可以自动执行此任务,同时实际将SQL Server VM 加入故障转移群集。 使用 Azure CLI。
调整故障转移群集的网络阈值
在具有SQL Server可用性组的 Azure VM 中运行Windows故障转移群集节点时,请将群集设置更改为更宽松的监视状态。 此更改使群集更加稳定且可靠。 有关详细信息,请参阅 IaaS 和 SQL Server:优化故障转移群集网络阈值。
在每个SQL Server VM 上配置防火墙
该解决方案要求在防火墙中打开以下 TCP 端口:
- SQL Server VM:默认实例 SQL Server的端口 1433。
- Azure负载均衡器探测:任何可用端口。 示例中经常使用 59999。
- 群集核心负载均衡器 IP 地址运行状况探测:任何可用端口。 示例中经常使用 58888。
- 数据库镜像终结点:任何可用端口。 示例中经常使用 5022。
防火墙端口需要在两SQL Server VM 上打开。 端口的打开方式取决于所用的防火墙解决方案。 以下步骤演示如何在Windows防火墙中打开端口:
在第一个 SQL Server Start 屏幕上,打开具有高级安全性的 Windows 防火墙。
在左窗格中,选择“入站规则”。 在右窗格上,选择“新建规则”。
对于“规则类型”,请选择“端口”。
对于端口,请指定“TCP”并输入相应的端口号。 以下屏幕截图显示了示例:
选择“下一步”。
在“操作”页上,保持选中“允许连接”,然后选择“下一步”。
在“配置文件”页上,接受默认设置,然后选择“下一步”。
在 Name>Name 页上,在 Name 框中指定规则名称(如 Azure LB Probe),然后选择 Finish。