Azure CLI中SQL Server虚拟机扩展配置漂移问题分析

问题背景

在使用Terraform管理Azure虚拟机上的SQL Server时，开发人员发现当通过Azure CLI或REST API启用Entra ID(原Azure AD)身份验证功能后，会导致SQL Server IaaS扩展的其他配置发生意外变更。这种配置漂移现象使得基础设施即代码(IaC)环境出现不一致状态，需要手动干预才能修复。

技术细节

配置漂移的具体表现

当执行以下操作后会出现配置变更：

1. 通过Terraform定义SQL Server虚拟机扩展配置，包括：

   • SQL连接端口(默认1433)
   • 连接类型(PRIVATE)
   • 管理员凭据
   • 内存配置
   • 实例排序规则(Latin1_General_CI_AS)

2. 通过以下方式启用Entra ID认证：

   • Azure CLI命令az sql vm enable-azure-ad-auth
   • 或使用azapi_update_resource调用REST API

操作完成后，Terraform会检测到以下配置变更：

• SQL实例排序规则被重置
• 即时文件初始化设置被修改
• 内存中的锁定页设置被更改
• SQL连接端口被重置为0

根本原因分析

经过技术团队调查，发现这是SQL Server IaaS扩展的一个已知问题。当通过非Terraform方式修改扩展配置时，特别是启用Entra ID认证功能时，扩展服务会意外重置部分配置参数。这主要是因为：

1. 扩展服务的配置更新机制存在缺陷，未能正确处理部分配置参数的持久化
2. Entra ID认证功能与其他配置项存在隐含的依赖关系
3. Azure资源管理层的API在处理部分属性时存在不一致性

解决方案

临时解决方案

目前推荐的临时解决方案是：

1. 在Terraform配置中明确所有参数，即使它们使用默认值
2. 在执行Entra ID认证配置后，立即重新应用完整的Terraform配置
3. 考虑将配置变更分为两个阶段执行

长期解决方案

微软技术团队正在修复此问题，计划在未来的版本中：

1. 改进扩展服务的配置持久化机制
2. 确保Entra ID认证功能不会影响其他配置项
3. 提供更稳定的API接口

最佳实践建议

对于需要在生产环境使用此功能的团队，建议：

1. 在非生产环境充分测试配置变更流程
2. 建立配置变更的监控机制，及时发现配置漂移
3. 考虑使用Azure Policy来强制执行配置标准
4. 保持Azure CLI和Terraform provider更新到最新版本

总结

Azure虚拟机SQL Server扩展的配置漂移问题是一个已知的技术限制，开发团队正在积极解决。目前用户可以通过明确的配置定义和变更管理流程来减轻影响。随着Azure服务的持续改进，这一问题有望在未来的版本中得到彻底解决。