Workload Factory でデータベース用の Microsoft SQL Server を作成する
Workload Factory for Databases で新しい Microsoft SQL Server またはデータベース ホストを作成するには、FSx for ONTAPファイル システムのデプロイメントと Active Directory のリソースが必要です。
タスクの内容
Workload Factory から Microsoft SQL Server を作成する前に、データベース ホスト構成で使用可能なストレージ展開タイプ、Microsoft マルチパス I/O 構成、Active Directory 展開、ネットワークの詳細、およびこの操作を完了するための要件について学習します。
導入後は、次の手順を実行する必要があり Microsoft SQL Serverでリモート接続を有効にするます。
新しいMicrosoft SQL Serverを作成するには、ストレージバックエンドとしてFSx for ONTAPファイルシステムが必要です。FSx for ONTAPの既存のファイルシステムを使用することも、新しいファイルシステムを作成することもできます。データベースサーバのストレージバックエンドとして既存のFSx for ONTAPファイルシステムを選択された場合は、Microsoft SQLワークロード用の新しいStorage VMを作成します。
FSx for ONTAPファイルシステムには、2つのMicrosoft SQL Server導入モデル(フェイルオーバークラスタインスタンス(FCI)_または_スタンドアロン)があります。FSx for ONTAPファイルシステム用に作成されるリソースは、選択したFSx for ONTAP導入モデルに応じて異なります。
-
フェイルオーバークラスタインスタンス(FCI)Microsoft SQL導入:FCI導入用に新しいFSx for ONTAPファイルシステムが選択されると、複数のアベイラビリティゾーンFSx for NetApp ONTAPファイルシステムが導入されます。FCI環境では、データ、ログ、およびtempdbファイル用に別 々 のボリュームとLUNが作成されます。Windowsクラスタのクォーラムまたは監視ディスク用に、追加のボリュームとLUNが作成されます。
-
スタンドアロンのMicrosoft SQL展開:新しいMicrosoft SQL Serverが作成されると、単一のアベイラビリティゾーンFSx for ONTAPファイルシステムが作成されます。また、データ、ログ、およびtempdbファイル用に別 々 のボリュームとLUNが作成されます。
Microsoft SQL Server の展開モデルでは、どちらも iSCSI ストレージ プロトコルを使用した LUN の作成が必要です。 Workload Factory は、SQL Server over FSx for ONTAPの LUN を構成する一環として、Microsoft マルチパス I/O (MPIO) を構成します。 MPIO は、AWS とNetApp のベスト プラクティスに基づいて構成されます。
導入時にActive Directory(AD)に対して次の処理が実行されます。
-
既存のSQLサービスアカウントを指定しない場合は、ドメインに新しいMicrosoft SQLサービスアカウントが作成されます。
-
Windowsクラスタ、ノードホスト名、およびMicrosoft SQL FCI名は、管理対象コンピュータとしてMicrosoft SQLサービスアカウントに追加されます。
-
Windowsクラスタエントリには、ドメインにコンピュータを追加するための権限が割り当てられています。
Workload Factory での Microsoft SQL Server のデプロイメント中に「ユーザー管理 Active Directory」を選択した場合は、デプロイメント用のディレクトリ サービスへの EC2 インスタンス間のトラフィックを許可するセキュリティ グループを指定する必要があります。 Workload Factory は、AWS Managed Microsoft AD の場合のように、ユーザー管理の Active Directory のセキュリティグループを自動的にアタッチしません。
Domain Name System(DNS;ドメインネームシステム)リソースをロールバックする場合、ADおよびDNSのリソースレコードは自動的には削除されません。DNSサーバとADからレコードを削除するには、次の手順を実行します。
-
ユーザ管理ADの場合は、最初に "ADコンピュータの取り外し"。次に、DNSマネージャおよびからDNSサーバに接続します "DNSリソースレコードの削除"。
-
AWSマネージドMicrosoft ADの場合は、 "AD管理ツールのインストール"次は "ADコンピュータの取り外し"最後に、DNSマネージャおよびからDNSサーバに接続します "DNSリソースレコードの削除"。
開始する前に
新しいデータベースホストを作成する前に、次の前提条件を満たしていることを確認してください。
あなたには"AWS アカウントの認証情報と読み取り/書き込みモードの権限"Workload Factory に新しいデータベース ホストを作成します。
Active Directoryに接続する場合は、次の作業を行うための権限を持つ管理者アクセス権が必要です。
-
ドメインへの参加
-
コンピュータオブジェクトの作成
-
デフォルトの組織単位(OU)でオブジェクトを作成する
-
すべてのプロパティの読み取り
-
ドメインユーザをADノードのローカル管理者にする
-
ADにMicrosoft SQL Serverサービスユーザが存在しない場合は作成します。
手順1:データベースサーバを作成する
クイック作成 または 詳細作成 のデプロイメント モードを使用して、自動化 モード権限で Workload Factory でこのタスクを完了できます。 Codebox で利用可能な REST API、AWS CLI、AWS CloudFormation、Terraform などのツールも使用できます。"Codeboxを使用して自動化する方法" 。
|
CodeboxからTerraformを使用すると、コピーまたはダウンロードしたコードが非表示になり、パスワードが表示され fsxadmin vsadmin ます。コードを実行するときは、パスワードを再入力する必要があります。ユーザーアカウントには、_automate_mode権限に加えて、次の権限を含める必要があります。および iam:TagInstanceProfile 。 `iam:TagRole`"CodeboxからTerraformを使用する方法を確認する"です。
|
デプロイメント中に、Workload Factory は、SQL をプロビジョニングするためのスクリプトへの資格情報の委任のために CredSSP を有効にします。グループ ポリシーによってすべてのドメイン コンピューターに対して CredSSP 委任がブロックされている場合、展開は失敗します。デプロイ後、Workload Factory は CredSSP を無効にします。
|
クイック作成_では、FCIがデフォルトの配置モデル、Windows 2016がデフォルトのWindowsバージョン、SQL 2019 Standard EditionがデフォルトのSQLバージョンです。 |
-
いずれかを使用してログインし"コンソールエクスペリエンス"ます。
-
[データベース] タイルで、ホストのデプロイ を選択し、メニューから Microsoft SQL Server を選択します。
-
[クイック作成]*を選択します。
-
[AWS settings]*で、次の情報を指定します。
-
* AWSクレデンシャル*:自動化権限を持つAWSクレデンシャルを選択して、新しいデータベースホストを導入します。
_読み取り/書き込み_権限を持つ AWS 認証情報により、Workload Factory は Workload Factory 内の AWS アカウントから新しいデータベースホストをデプロイおよび管理できるようになります。
読み取り専用権限を持つ AWS 認証情報を使用すると、Workload Factory は AWS CloudFormation コンソールで使用できる CloudFormation テンプレートを生成できます。
Workload Factory に AWS 認証情報が関連付けられておらず、Workload Factory に新しいサーバーを作成する場合は、オプション 1 に従って認証情報ページに移動します。データベース ワークロードの 読み取り/書き込み モードに必要な資格情報と権限を手動で追加します。
Workload Factory で新しいサーバーの作成フォームを完了して、AWS CloudFormation にデプロイするための完全な YAML ファイルテンプレートをダウンロードできるようにするには、オプション 2 に従って、AWS CloudFormation 内で新しいサーバーを作成するために必要な権限があることを確認します。データベース ワークロードの read モードに必要な資格情報と権限を手動で追加します。
オプションで、Codebox から部分的に完成した YAML ファイル テンプレートをダウンロードして、資格情報や権限なしで Workload Factory の外部にスタックを作成することもできます。 Codebox のドロップダウンから CloudFormation を選択して、YAML ファイルをダウンロードします。
-
*リージョンとVPC *:リージョンとVPCネットワークを選択します。
展開サブネットが既存のインターフェースエンドポイントに関連付けられており、セキュリティグループが選択したサブネットへの HTTPS (443) プロトコルへのアクセスを許可していることを確認します。
AWSサービスインターフェイスエンドポイント(SQS、FSx、EC2、CloudWatch、CloudFormation、 SSM)とS3ゲートウェイエンドポイントが見つからない場合は、導入時に作成されます。
vPC DNS属性
EnableDnsSupport
とがEnableDnsHostnames
変更され、エンドポイントアドレス解決がまだに設定されていない場合は有効になり `true`ます。クロスVPC DNSを使用する場合、DNSが存在するもう一方のVPCのエンドポイントのセキュリティグループで、デプロイメントサブネットへのポート443を許可する必要があります。許可されていない場合は、クロスVPC Active Directoryに参加する際に、ローカルVPCのDNSリゾルバーを提供する必要があります。複数のドメインコントローラーが複製された環境で、サブネットから一部のドメインコントローラーにアクセスできない場合は、「CloudFormationにリダイレクト」して次のように入力できます。
Preferred domain controller
Active Directory に接続します。 -
アベイラビリティゾーン:フェールオーバークラスタインスタンス(FCI)導入モデルに従って、アベイラビリティゾーンとサブネットを選択します。
FCIの導入は、複数のアベイラビリティゾーン(MAZ)FSx for ONTAP構成でのみサポートされます。 -
フィールドで、[アベイラビリティゾーン]ドロップダウンメニューからMAZ FSx for ONTAP構成のプライマリアベイラビリティゾーンを選択し、[サブネット]*ドロップダウンメニューからプライマリアベイラビリティゾーンのサブネットを選択します。
-
フィールドで、[アベイラビリティゾーン]ドロップダウンメニューからMAZ FSx for ONTAP構成のセカンダリアベイラビリティゾーンを選択し、[サブネット]*ドロップダウンメニューからセカンダリアベイラビリティゾーンのサブネットを選択します。
-
-
-
[アプリケーションの設定]*で、*データベースクレデンシャル*のユーザ名とパスワードを入力します。
-
[Connectivity]*で、次の情報を入力します。
-
キーペア:キーペアを選択します。
-
* Active Directory *:
-
[ドメイン名]フィールドで、ドメインの名前を選択または入力します。
-
AWSが管理するActive Directoryの場合、ドロップダウンメニューにドメイン名が表示されます。
-
ユーザー管理Active Directoryの場合は、[検索と追加]*フィールドに名前を入力し、[追加]*をクリックします。
-
-
[DNSアドレス]*フィールドに、ドメインのDNS IPアドレスを入力します。IP アドレスは 3 個まで追加できます。
AWSが管理するActive Directoryの場合、DNS IPアドレスがドロップダウンメニューに表示されます。
-
[ユーザ名]フィールドに、Active Directoryドメインのユーザ名を入力します。
-
[パスワード]*フィールドに、Active Directoryドメインのパスワードを入力します。
-
-
-
[インフラストラクチャー設定]*で、次の情報を入力します。
-
* FSx for ONTAPシステム*:新しいFSx for ONTAPファイルシステムを作成するか、既存のFSx for ONTAPファイルシステムを使用します。
-
新しいFSx for ONTAPを作成:ユーザー名とパスワードを入力します。
新しいFSx for ONTAPファイルシステムでは、インストールに30分以上かかる場合があります。
-
既存のFSx for ONTAPを選択:ドロップダウンメニューからFSx for ONTAP名を選択し、ファイルシステムのユーザ名とパスワードを入力します。
既存のFSx for ONTAPファイルシステムについては、次の点を確認します。
-
FSx for ONTAPに関連付けられたルーティンググループを使用すると、サブネットへのルートを導入に使用できるようになります。
-
セキュリティグループは、導入に使用されるサブネット、特にHTTPS(443)とiSCSI(3260)のTCPポートからのトラフィックを許可します。
-
-
-
データドライブサイズ:データドライブの容量を入力し、容量単位を選択します。
-
-
概要:
-
デフォルトのプレビュー:クイック作成で設定されたデフォルトの構成を確認します。
-
推定コスト:表示されているリソースを導入した場合に発生する可能性のある料金の見積もりを提供します。
-
-
[ 作成( Create ) ] をクリックします。
または'これらのデフォルト設定のいずれかをここで変更する場合は'詳細作成を使用してデータベース・サーバを作成します
[構成の保存]*を選択して、あとでホストを導入することもできます。
-
次のいずれかを使用してログインします"コンソールエクスペリエンス"。 [データベース] タイルで、ホストのデプロイ を選択し、メニューから Microsoft SQL Server を選択します。
-
[詳細作成]*を選択します。
-
で、[Failover Cluster Instance]または[Single instance]*を選択します。
-
[AWS settings]*で、次の情報を指定します。
-
* AWSクレデンシャル*:自動化権限を持つAWSクレデンシャルを選択して、新しいデータベースホストを導入します。
_読み取り/書き込み_権限を持つ AWS 認証情報により、Workload Factory は Workload Factory 内の AWS アカウントから新しいデータベースホストをデプロイおよび管理できるようになります。
読み取り専用権限を持つ AWS 認証情報を使用すると、Workload Factory は AWS CloudFormation コンソールで使用できる CloudFormation テンプレートを生成できます。
Workload Factory に AWS 認証情報が関連付けられておらず、Workload Factory に新しいサーバーを作成する場合は、オプション 1 に従って認証情報ページに移動します。データベース ワークロードの 読み取り/書き込み モードに必要な資格情報と権限を手動で追加します。
Workload Factory で新しいサーバーの作成フォームを完了して、AWS CloudFormation にデプロイするための完全な YAML ファイルテンプレートをダウンロードできるようにするには、オプション 2 に従って、AWS CloudFormation 内で新しいサーバーを作成するために必要な権限があることを確認します。データベース ワークロードの 読み取り専用 モードに必要な資格情報と権限を手動で追加します。
オプションで、Codebox から部分的に完成した YAML ファイル テンプレートをダウンロードして、資格情報や権限なしで Workload Factory の外部にスタックを作成することもできます。 Codebox のドロップダウンから CloudFormation を選択して、YAML ファイルをダウンロードします。
-
*リージョンとVPC *:リージョンとVPCネットワークを選択します。
既存のインターフェイスエンドポイントのセキュリティグループが、選択したサブネットへのHTTPS(443)プロトコルへのアクセスを許可するようにします。
AWSサービスインターフェイスエンドポイント(SQS、FSx、EC2、CloudWatch、Cloud Formation、 SSM)とS3ゲートウェイエンドポイントが見つからない場合は、導入時に作成されます。
vPC DNS属性
EnableDnsSupport
とがEnableDnsHostnames
、エンドポイントアドレス解決を有効にするように変更されます(まだに設定されていない場合)true
。 -
可用性ゾーン: 選択したデプロイメント モデルに応じて、可用性ゾーンとサブネットを選択します。高可用性を実現するために、サブネットは同じルート テーブルを共有しないでください。
FCIの導入は、複数のアベイラビリティゾーン(MAZ)FSx for ONTAP構成でのみサポートされます。 -
単一インスタンスの展開の場合:
-
フィールドで、ドロップダウンメニューの[アベイラビリティゾーン]からアベイラビリティゾーンを選択し、[サブネット]*ドロップダウンメニューからサブネットを選択します。
-
-
FCI 展開の場合:
-
フィールドで、[アベイラビリティゾーン]ドロップダウンメニューからMAZ FSx for ONTAP構成のプライマリアベイラビリティゾーンを選択し、[サブネット]*ドロップダウンメニューからプライマリアベイラビリティゾーンのサブネットを選択します。
-
フィールドで、[アベイラビリティゾーン]ドロップダウンメニューからMAZ FSx for ONTAP構成のセカンダリアベイラビリティゾーンを選択し、[サブネット]*ドロップダウンメニューからセカンダリアベイラビリティゾーンのサブネットを選択します。
-
-
-
セキュリティグループ:既存のセキュリティグループを選択するか、新しいセキュリティグループを作成します。新しいサーバの導入時に、3つのセキュリティグループがSQLノード(EC2インスタンス)に接続されます。
-
ノード上のMicrosoft SQLおよびWindowsクラスタ通信に必要なポートとプロトコルを許可するために、ワークロードセキュリティグループが作成されます。
-
AWSが管理するActive Directoryの場合、ディレクトリサービスに関連付けられたセキュリティグループがMicrosoft SQLノードに自動的に追加され、Active Directoryとの通信が可能になります。
-
既存のFSx for ONTAPファイルシステムでは、関連付けられているセキュリティグループがSQLノードに自動的に追加され、ファイルシステムとの通信が可能になります。新しいFSx for ONTAPシステムが作成されると、FSx for ONTAPファイルシステム用の新しいセキュリティグループが作成され、同じセキュリティグループがSQLノードに接続されます。
ユーザが管理するActive Directoryの場合は、ADインスタンスに設定されたセキュリティグループが、導入に使用するサブネットからのトラフィックを許可していることを確認します。セキュリティグループは、Microsoft SQLのEC2インスタンスが設定されているサブネットからActive Directoryドメインコントローラへの通信を許可する必要があります。
-
-
-
[アプリケーションの設定]*で、次の情報を入力します。
-
で、[License included AMI]または*[Use custom AMI]を選択します。
-
[License Included AMI]を選択した場合は、次の情報を入力します。
-
オペレーティング・システム:* Windows server 2016 、 Windows server 2019 、 Windows server 2022 *を選択します。
-
データベースエディション:* SQL Server Standard Edition または SQL Server Enterprise Edition *を選択します。
-
データベースバージョン:* SQL Server 2016 、 SQL Server 2019 、または SQL Server 2022 *を選択します。
-
* SQL Server AMI *:ドロップダウンメニューからSQL Server AMIを選択します。
-
-
[Use custom AMI]を選択した場合は、ドロップダウンメニューからAMIを選択します。
-
-
* SQL Server照合*:サーバーの照合セットを選択します。
選択した照合セットがインストールに互換性がない場合は'デフォルトの照合"SQL_Latin1_General_CP1_CI_AS"を選択することをお勧めします -
データベース名:データベースクラスタ名を入力します。
-
データベース資格情報:新しいサービスアカウントのユーザー名とパスワードを入力するか、Active Directoryの既存のサービスアカウント資格情報を使用します。
-
-
[Connectivity]*で、次の情報を入力します。
-
キーペア:インスタンスに安全に接続するキーペアを選択します。
-
* Active Directory *:次のActive Directoryの詳細を指定します。
-
[ドメイン名]フィールドで、ドメインの名前を選択または入力します。
-
AWSが管理するActive Directoryの場合、ドロップダウンメニューにドメイン名が表示されます。
-
ユーザー管理Active Directoryの場合は、[検索と追加]*フィールドに名前を入力し、[追加]*をクリックします。
-
-
[DNSアドレス]*フィールドに、ドメインのDNS IPアドレスを入力します。IP アドレスは 3 個まで追加できます。
AWSが管理するActive Directoryの場合、DNS IPアドレスがドロップダウンメニューに表示されます。
-
[ユーザ名]フィールドに、Active Directoryドメインのユーザ名を入力します。
-
[パスワード]*フィールドに、Active Directoryドメインのパスワードを入力します。
-
-
-
[インフラストラクチャー設定]*で、次の情報を入力します。
-
* DBインスタンスタイプ*:ドロップダウン・メニューからデータベース・インスタンス・タイプを選択します。
-
* FSx for ONTAPシステム*:新しいFSx for ONTAPファイルシステムを作成するか、既存のFSx for ONTAPファイルシステムを使用します。
-
新しいFSx for ONTAPを作成:ユーザー名とパスワードを入力します。
新しいFSx for ONTAPファイルシステムでは、インストールに30分以上かかる場合があります。
-
既存のFSx for ONTAPを選択:ドロップダウンメニューからFSx for ONTAP名を選択し、ファイルシステムのユーザ名とパスワードを入力します。
既存のFSx for ONTAPファイルシステムについては、次の点を確認します。
-
FSx for ONTAPに関連付けられたルーティンググループを使用すると、サブネットへのルートを導入に使用できるようになります。
-
セキュリティグループは、導入に使用されるサブネット、特にHTTPS(443)とiSCSI(3260)のTCPポートからのトラフィックを許可します。
-
-
-
* Snapshotポリシー*:デフォルトで有効になっています。Snapshotは毎日作成され、保持期間は7日間です。
Snapshotは、SQLワークロード用に作成されたボリュームに割り当てられます。
-
データドライブサイズ:データドライブの容量を入力し、容量単位を選択します。
-
[Provisioned IOPS]:[Automatic]*または[User-Provisioned]*を選択します。[User-Provisioned]*を選択した場合は、IOPS値を入力します。
-
スループット容量:ドロップダウンメニューからスループット容量を選択します。
一部の地域では、4Gbpsのスループット容量を選択できます。4Gbpsのスループット容量をプロビジョニングするには、FSx for ONTAPファイルシステムが、少なくとも5、120GiBのSSDストレージ容量と16、000 IOPSで構成されている必要があります。
-
暗号化:アカウントからキーを選択するか、別のアカウントからキーを選択します。別のアカウントの暗号化キーARNを入力する必要があります。
FSx for ONTAPのカスタム暗号化キーは、サービスの適用性に応じて表示されません。適切なFSx暗号化キーを選択します。FSx以外の暗号化キーを使用すると、サーバの作成に失敗します。
AWSで管理されるキーは、サービスの適用可能性に基づいてフィルタリングされます。
-
タグ:オプションで、最大40個のタグを追加できます。
-
* Simple Notification Service *:必要に応じて、ドロップダウンメニューからMicrosoft SQL ServerのSNSトピックを選択して、この構成のSimple Notification Service(SNS)を有効にすることができます。
-
Simple Notification Serviceを有効にします。
-
ドロップダウンメニューからARNを選択します。
-
-
CloudWatchの監視:必要に応じて、CloudWatchの監視を有効にすることができます。
失敗した場合のデバッグ用にCloudWatchを有効にすることをお勧めします。AWS CloudFormationコンソールに表示されるイベントは高レベルであり、根本原因を特定するものではありません。すべての詳細ログは、EC2インスタンスのフォルダに保存され
C:\cfn\logs
ます。
CloudWatchでは、スタックの名前でロググループが作成されます。すべての検証ノードとSQLノードのログストリームがロググループの下に表示されます。CloudWatchには、スクリプトの進行状況が表示され、導入が失敗した場合とそのタイミングを理解するのに役立つ情報が提供されます。
-
リソースロールバック:この機能は現在サポートされていません。
-
-
概要
-
推定コスト:表示されているリソースを導入した場合に発生する可能性のある料金の見積もりを提供します。
-
-
[作成]*をクリックして、新しいデータベースホストを導入します。
または、設定を保存することもできます。
手順2:Microsoft SQL Serverでリモート接続を有効にする
サーバーがデプロイされた後、Workload Factory は Microsoft SQL Server 上のリモート接続を有効にしません。リモート接続を有効にするには、次の手順を実行します。
-
Microsoftのマニュアルのを参照して、NTLMのコンピュータIDを使用します "ネットワークセキュリティ:ローカルシステムがNTLMのコンピュータIDを使用できるようにする" 。
-
Microsoftのマニュアルのを参照して、動的ポート設定を確認します "SQL Serverへの接続の確立中に、ネットワーク関連またはインスタンス固有のエラーが発生しました。" 。
-
セキュリティグループ内で必要なクライアントIPまたはサブネットを許可します。