مشاركة عبر

البرنامج التعليمي: ترحيل قواعد البيانات التي تدعم TDE (معاينة) إلى Azure SQL في Azure Data Studio

  • مقالة

لتأمين قاعدة بيانات SQL Server، يمكنك اتخاذ احتياطات مثل تصميم نظام آمن، وتشفير الأصول السرية، وبناء جدار حماية. ومع ذلك، فإن السرقة المادية للوسائط مثل محركات الأقراص أو الأشرطة يمكن أن تعرض البيانات للخطر.

يوفر TDE حلا لهذه المشكلة، مع تشفير الإدخال/الإخراج في الوقت الحقيقي/فك تشفير البيانات الثابتة (ملفات البيانات والسجلات) باستخدام مفتاح تشفير قاعدة بيانات متماثل (DEK) مؤمن بواسطة شهادة. لمزيد من المعلومات حول ترحيل شهادات TDE يدويا، راجع نقل قاعدة بيانات TDE المحمية إلى خادم SQL آخر.

عند ترحيل قاعدة بيانات محمية بواسطة TDE، يجب أيضا نقل الشهادة (المفتاح غير المتماثل) المستخدمة لفتح مفتاح تشفير قاعدة البيانات (DEK) مع قاعدة البيانات المصدر. لذلك، تحتاج إلى إعادة إنشاء شهادة الخادم في master قاعدة بيانات SQL Server الهدف لهذا المثيل للوصول إلى ملفات قاعدة البيانات.

يمكنك استخدام ملحق ترحيل Azure SQL ل Azure Data Studio لمساعدتك في ترحيل قواعد البيانات التي تدعم TDE (معاينة) من مثيل محلي من SQL Server إلى Azure SQL.

تعمل عملية ترحيل قاعدة البيانات التي تدعم TDE على أتمتة المهام اليدوية مثل النسخ الاحتياطي لمفاتيح شهادات قاعدة البيانات (DEK)، ونسخ ملفات الشهادات من SQL Server المحلي إلى هدف Azure SQL، ثم إعادة تكوين TDE لقاعدة البيانات الهدف مرة أخرى.

هام

  1. حاليا، يتم دعم أهداف مثيل Azure SQL المدار فقط.
  2. والنسخ الاحتياطية المشفرة غير مدعومة.

في هذا البرنامج التعليمي، ستتعلم كيفية ترحيل مثال AdventureWorksTDE قاعدة البيانات المشفرة من مثيل محلي ل SQL Server إلى مثيل Azure SQL المدار.

  • افتح معالج الترحيل إلى Azure SQL في Azure Data Studio
  • تشغيل تقييم لقواعد بيانات SQL Server المصدر
  • تكوين ترحيل شهادات TDE
  • الاتصال بهدف Azure SQL
  • بدء ترحيل شهادة TDE ومراقبة التقدم حتى الاكتمال

المتطلبات الأساسية

قبل أن تبدأ البرنامج التعليمي:

  • قم بتنزيل Azure Data Studio وتثبيته.

  • تثبيت ملحق Azure SQL Migration من Azure Data Studio Marketplace.

  • تشغيل Azure Data Studio كمسؤول.

  • لديك حساب Azure تم تعيينه لأحد الأدوار المضمنة التالية:

    • المساهم في المثيل المدار الهدف (وحساب التخزين لتحميل النسخ الاحتياطية لملفات شهادة TDE من مشاركة شبكة SMB).
    • دور القارئ لمجموعات موارد Azure التي تحتوي على المثيل المدار الهدف أو حساب تخزين Azure.
    • دور المالك أو المساهم لاشتراك Azure (مطلوب في حالة إنشاء خدمة DMS جديدة).
    • كبديل لاستخدام الأدوار المضمنة أعلاه، يمكنك تعيين دور مخصص. لمزيد من المعلومات، راجع الأدوار المخصصة: ترحيل SQL Server عبر الإنترنت إلى SQL Managed Instance باستخدام ADS.

  • إنشاء مثيل هدف لمثيل Azure SQL المدار.

  • تأكد من أن تسجيل الدخول الذي تستخدمه للاتصال بمصدر SQL Server هو عضو في دور خادم مسؤول النظام.

  • يجب أن يكون للجهاز الذي يقوم فيه Azure Data Studio بتشغيل ترحيل قاعدة البيانات التي تدعم TDE اتصالا بكل من المصادر وخوادم SQL المستهدفة.

افتح معالج الترحيل إلى Azure SQL في Azure Data Studio

لفتح معالج الترحيل إلى Azure SQL:

  1. في Azure Data Studio، انتقل إلى Connections. اتصل بمثيل SQL Server المحلي الخاص بك. يمكنك أيضا الاتصال ب SQL Server على جهاز Azure الظاهري.

  2. انقر بزر الماوس الأيمن فوق اتصال الخادم وحدد إدارة.

    لقطة شاشة تعرض اتصال الخادم وخيار الإدارة في Azure Data Studio.

  3. في قائمة الخادم ضمن General، حدد Azure SQL Migration.

    لقطة شاشة تعرض قائمة خادم Azure Data Studio.

  4. في لوحة معلومات Azure SQL Migration، حدد Migrate to Azure SQL لفتح معالج الترحيل.

    لقطة شاشة تعرض معالج الترحيل إلى Azure SQL.

  5. في الصفحة الأولى من المعالج، ابدأ جلسة عمل جديدة أو استأنف جلسة عمل محفوظة مسبقا.

تشغيل تقييم قاعدة البيانات

  1. في الخطوة 1: قواعد البيانات للتقييم في معالج الترحيل إلى Azure SQL، حدد قواعد البيانات التي تريد تقييمها. ثم حدد التالي.

    لقطة شاشة توضح تحديد قاعدة بيانات للتقييم.

  2. في الخطوة 2: نتائج التقييم، أكمل الخطوات التالية:

    1. في Choose your Azure SQL target، حدد Azure SQL Managed Instance.

      لقطة شاشة توضح تحديد هدف Azure SQL Managed Instance.

    2. حدد عرض/تحديد لعرض نتائج التقييم.

      لقطة شاشة تعرض عرض/تحديد نتائج التقييم.

    3. في نتائج التقييم، حدد قاعدة البيانات، ثم راجع نتائج التقييم. في هذا المثال، يمكنك مشاهدة قاعدة البيانات محمية AdventureWorksTDE بتشفير البيانات الشفاف (TDE). يوصي التقييم بترحيل شهادة TDE قبل ترحيل قاعدة البيانات المصدر إلى هدف المثيل المدار.

      لقطة شاشة تعرض تقرير نتائج التقييم.

    4. اختر تحديد لفتح لوحة تكوين ترحيل TDE.

تكوين إعدادات ترحيل TDE

  1. في القسم Encrypted database المحدد ، حدد Export my certificates and private key to the target.

    لقطة شاشة تعرض تكوين ترحيل TDE.

    هام

    يصف قسم مربع المعلومات الأذونات المطلوبة لتصدير شهادات DEK.

    يجب التأكد من أن حساب خدمة SQL Server لديه حق الوصول للكتابة إلى مسار مشاركة الشبكة الذي ستستخدمه للنسخ الاحتياطي لشهادات DEK. أيضا، يجب أن يكون لدى المستخدم الحالي امتيازات المسؤول على الكمبيوتر حيث يوجد مسار الشبكة هذا.

  2. أدخل مسار الشبكة.

    لقطة شاشة تعرض تكوين ترحيل TDE لمشاركة شبكة.

    ثم تحقق من أنني أعطي الموافقة على استخدام بيانات الاعتماد الخاصة بي للوصول إلى الشهادات. باستخدام هذا الإجراء، تسمح لمعالج ترحيل قاعدة البيانات بعمل نسخة احتياطية من شهادة DEK في مشاركة الشبكة.

  3. إذا كنت لا تريد معالج الترحيل، فساعدك على ترحيل قواعد البيانات التي تدعم TDE. حدد لا أريد أن يقوم Azure Data Studio بتصدير الشهادات. لتخطي هذه الخطوة.

    لقطة شاشة توضح كيفية رفض ترحيل TDE.

    هام

    يجب ترحيل الشهادات قبل متابعة الترحيل وإلا سيفشل الترحيل. لمزيد من المعلومات حول ترحيل شهادات TDE يدويا، راجع نقل قاعدة بيانات TDE المحمية إلى خادم SQL آخر.

  4. إذا كنت ترغب في متابعة ترحيل شهادة TDE، فحدد Apply.

    لقطة شاشة توضح كيفية تطبيق تكوين ترحيل TDE.

    سيتم إغلاق لوحة تكوين ترحيل TDE، ولكن يمكنك تحديد Edit لتعديل تكوين مشاركة الشبكة في أي وقت. حدد التالي لمتابعة عملية الترحيل.

    لقطة شاشة توضح كيفية تحرير تكوين ترحيل TDE.

قم بتكوين إعدادات الترحيل.

في الخطوة 3: هدف Azure SQL في معالج الترحيل إلى Azure SQL، أكمل هذه الخطوات للمثيل المدار المستهدف:

  1. حدد حساب Azure واشتراك Azure ومنطقة أو موقع Azure ومجموعة الموارد التي تحتوي على المثيل المدار.

    لقطة شاشة تعرض تفاصيل حساب Azure.

  2. عندما تكون مستعدا، حدد ترحيل الشهادات لبدء ترحيل شهادات TDE.

بدء ومراقبة ترحيل شهادة TDE

  1. في الخطوة 3: حالة الترحيل، سيتم فتح لوحة ترحيل الشهادات. يتم عرض تفاصيل تقدم ترحيل شهادات TDE على الشاشة.

    لقطة شاشة توضح كيفية بدء عملية ترحيل TDE.

  2. بمجرد اكتمال ترحيل TDE (أو إذا كان لديه فشل)، تعرض الصفحة التحديثات ذات الصلة.

    لقطة شاشة توضح كيفية استمرار عملية ترحيل TDE.

  3. في حالة الحاجة إلى إعادة محاولة الترحيل، حدد إعادة محاولة الترحيل.

    لقطة شاشة توضح كيفية إعادة محاولة ترحيل TDE.

  4. عندما تكون جاهزا، حدد تم لمتابعة معالج الترحيل.

    لقطة شاشة توضح كيفية إكمال ترحيل TDE.

  5. يمكنك مراقبة العملية لكل شهادة TDE عن طريق تحديد ترحيل الشهادات.

  6. حدد التالي لمتابعة معالج الترحيل حتى تكمل ترحيل قاعدة البيانات.

    لقطة شاشة توضح كيفية متابعة ترحيل قاعدة البيانات.

    تحقق من البرامج التعليمية التالية خطوة بخطوة لمزيد من المعلومات حول ترحيل قواعد البيانات عبر الإنترنت أو دون اتصال إلى أهداف Azure SQL Managed Instance:

خطوات ما بعد الترحيل

يجب أن يحتوي المثيل المدار المستهدف الآن على قواعد البيانات، وتم ترحيل الشهادات الخاصة بها. للتحقق من الحالة الحالية لقاعدة البيانات التي تم ترحيلها مؤخرا، انسخ المثال التالي والصقه في نافذة استعلام جديدة على Azure Data Studio أثناء الاتصال بهدف المثيل المدار. ثم حدد Run.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

يقوم الاستعلام بإرجاع المعلومات حول قاعدة البيانات وحالة التشفير والنسبة المئوية المعلقة للإكمال. في هذه الحالة، يكون صفرا لأن شهادة TDE قد اكتملت بالفعل.

لقطة شاشة تعرض النتائج التي تم إرجاعها بواسطة استعلام TDE المقدم في هذا القسم.

لمزيد من المعلومات حول التشفير باستخدام SQL Server، راجع تشفير البيانات الشفاف (TDE).

القيود

يصف الجدول التالي الحالة الحالية لترحيلات قاعدة البيانات الممكنة بواسطة TDE التي يدعمها هدف Azure SQL:

استهداف يدعم ‏الحالة
قاعدة بيانات Azure SQL لا
مثيل Azure SQL المُدار ‏‏نعم‬ الإصدار الأولي
SQL Server على Azure VM لا

المحتوى ذو الصلة