Povolení SQL Insights (Preview)

Platí pro: Azure SQL Database Azure SQL Managed Instance

Tento článek popisuje, jak povolit službě SQL Insights (Preview) monitorování nasazení SQL. Monitorování se provádí z virtuálního počítače Azure, který vytvoří připojení k vašim nasazením SQL a ke shromažďování dat monitorování používá zobrazení dynamické správy (DMV). Pomocí profilu monitorování můžete určit, jaké datové sady se shromažďují, a frekvenci shromažďování dat.

Poznámka:

Pokud chcete povolit SQL Insights (Preview) vytvořením profilu monitorování a virtuálního počítače pomocí šablony Resource Manageru, prohlédněte si ukázky šablon Resource Manageru pro SQL Insights (Preview).

Pokud se chcete dozvědět, jak povolit SQL Insights (Preview), můžete se také podívat na tuto epizodu Vystavená data.

Vytvoření pracovního prostoru služby Log Analytics

SQL Insights ukládá svá data do jednoho nebo více pracovních prostorů služby Log Analytics. Než budete moct povolit SQL Insights, musíte buď vytvořit pracovní prostor , nebo vybrat existující. Jeden pracovní prostor lze použít s více profily monitorování, ale pracovní prostor a profily musí být umístěné ve stejné oblasti Azure. Pokud chcete povolit a získat přístup k funkcím v SQL Insights, musíte mít v pracovním prostoru roli přispěvatele Log Analytics.

Vytvoření monitorování uživatele

Potřebujete uživatele (přihlášení) k nasazením SQL, která chcete monitorovat. Pro různé typy nasazení SQL postupujte podle následujících postupů.

Následující pokyny popisují proces podle typu SQL, který můžete monitorovat. Pokud to chcete provést pomocí skriptu na několika prostředcích SQL najednou, projděte si následující soubor README a ukázkový skript.

Azure SQL Database

Poznámka:

SQL Insights (Preview) nepodporuje následující scénáře Azure SQL Database:

• Elastické fondy: Metriky nelze shromáždit pro elastické fondy. Metriky nelze shromáždit pro databáze v rámci elastických fondů.
• Nízké úrovně služby: Metriky nelze shromáždit pro databáze pro cíle služby Basic, S0 a S1 .

SQL Insights (Preview) má omezenou podporu pro následující scénáře Azure SQL Database:

• Bezserverová úroveň: Metriky je možné shromáždit pro databáze pomocí bezserverové výpočetní úrovně. Proces shromažďování metrik ale resetuje časovač zpoždění automatického pozastavení, což databázi brání v zadání automaticky pozastaveného stavu.

Připojte se k databázi Azure SQL pomocí aplikace SQL Server Management Studio, Editor Power Query (Preview) na webu Azure Portal nebo jakéhokoli jiného klientského nástroje SQL.

Spuštěním následujícího skriptu vytvořte uživatele s požadovanými oprávněními. Nahraďte uživatele uživatelským jménem a mystrongpassword silným heslem.

CREATE USER [user] WITH PASSWORD = N'mystrongpassword'; 
GO 
GRANT VIEW DATABASE STATE TO [user]; 
GO 

Ověřte, že byl uživatel vytvořen.

select name as username,
       create_date,
       modify_date,
       type_desc as type,
       authentication_type_desc as authentication_type
from sys.database_principals
where type not in ('A', 'G', 'R', 'X')
       and sid is not null
order by username

Spravovaná instance Azure SQL

Připojte se ke službě Azure SQL Managed Instance pomocí aplikace SQL Server Management Studio nebo podobného nástroje a spuštěním následujícího skriptu vytvořte uživatele monitorování s potřebnými oprávněními. Nahraďte uživatele uživatelským jménem a mystrongpassword silným heslem.

USE master; 
GO 
CREATE LOGIN [user] WITH PASSWORD = N'mystrongpassword'; 
GO 
GRANT VIEW SERVER STATE TO [user]; 
GO 
GRANT VIEW ANY DEFINITION TO [user]; 
GO 

SQL Server na virtuálních počítačích Azure

Připojte se k SQL Serveru na virtuálním počítači Azure a pomocí aplikace SQL Server Management Studio nebo podobného nástroje spusťte následující skript a vytvořte uživatele monitorování s potřebnými oprávněními. Nahraďte uživatele uživatelským jménem a mystrongpassword silným heslem.

USE master; 
GO 
CREATE LOGIN [user] WITH PASSWORD = N'mystrongpassword'; 
GO 
GRANT VIEW SERVER STATE TO [user]; 
GO 
GRANT VIEW ANY DEFINITION TO [user]; 
GO

Ověřte, že byl uživatel vytvořen.

select name as username,
       create_date,
       modify_date,
       type_desc as type
from sys.server_principals
where type not in ('A', 'G', 'R', 'X')
       and sid is not null
order by username

Vytvoření virtuálního počítače Azure

Budete muset vytvořit jeden nebo více virtuálních počítačů Azure, které se použijí ke shromažďování dat pro monitorování SQL.

Poznámka:

Profily monitorování určují, jaká data budete shromažďovat z různých typů SQL, které chcete monitorovat. Ke každému monitorovacímu virtuálnímu počítači může být přidružený jenom jeden profil monitorování. Pokud potřebujete více profilů monitorování, musíte pro každý z nich vytvořit virtuální počítač.

Požadavky na virtuální počítače Azure

Virtuální počítač Azure má následující požadavky:

• Operační systém: Ubuntu 18.04 pomocí image Azure Marketplace. Vlastní image nejsou podporovány. Pokud chcete získat rozšířenou údržbu zabezpečení (ESM) pro tuto verzi Ubuntu, doporučujeme použít image Marketplace Ubuntu Pro 18.04 LTS. Další informace najdete v tématu Podpora linuxové a opensourcové technologie v Azure.
• Doporučené minimální velikosti virtuálních počítačů Azure: Standard_B2s (2 procesory, paměť 4 GiB)
• Nasazené v libovolné oblasti Azure podporované agentem Služby Azure Monitor a splnění všech požadavků agenta služby Azure Monitor.

Poznámka:

Velikost virtuálního počítače Standard_B2s (2 procesory, paměť 4 GiB) bude podporovat až 100 připojovací řetězec. Neměli byste přidělit více než 100 připojení k jednomu virtuálnímu počítači.

V závislosti na nastavení sítě vašich prostředků SQL může být potřeba virtuální počítače umístit do stejné virtuální sítě jako prostředky SQL, aby mohly vytvářet síťová připojení ke shromažďování dat monitorování.

Konfigurace nastavení sítě

Každý typ SQL nabízí metody pro monitorování virtuálního počítače pro zabezpečený přístup k SQL. Následující části popisují možnosti založené na typu nasazení SQL.

Azure SQL Database

SQL Insights podporuje přístup ke službě Azure SQL Database prostřednictvím svého veřejného koncového bodu i z její virtuální sítě.

Pro přístup přes veřejný koncový bod byste na webu Azure Portal přidali pravidlo na stránce nastavení brány firewall a v části Nastavení brány firewall protokolu IP. Pro zadání přístupu z virtuální sítě můžete nastavit pravidla brány firewall virtuální sítě a nastavit značky služeb vyžadované agentem služby Azure Monitor.

Spravovaná instance Azure SQL

Pokud bude váš monitorovací virtuální počítač ve stejné virtuální síti jako prostředky SQL MI, přečtěte si téma Připojení ve stejné virtuální síti. Pokud bude váš monitorovací virtuální počítač v jiné virtuální síti než vaše prostředky SQL MI, přečtěte si téma Připojení v jiné virtuální síti.

SQL Server na virtuálních počítačích Azure

Pokud je váš monitorovací virtuální počítač ve stejné virtuální síti jako prostředky virtuálního počítače SQL, přečtěte si téma Připojení k SQL Serveru v rámci virtuální sítě. Pokud bude váš monitorovací virtuální počítač v jiné virtuální síti než prostředky virtuálního počítače SQL, přečtěte si téma Připojení k SQL Serveru přes internet.

Uložení hesla monitorování ve službě Azure Key Vault

Jako osvědčený postup zabezpečení důrazně doporučujeme ukládat hesla uživatelů SQL (přihlášení) ve službě Key Vault, a ne je zadávat přímo do profilu monitorování připojovací řetězec.

Při nastavování profilu pro monitorování SQL budete potřebovat jedno z následujících oprávnění k prostředku služby Key Vault, který chcete použít:

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Pokud máte tato oprávnění, automaticky se vytvoří nová zásada přístupu ke službě Key Vault jako součást vytvoření profilu monitorování SQL, který používá vámi zadanou službu Key Vault.

Důležité

Potřebujete zajistit, aby konfigurace sítě a zabezpečení umožňovala monitorování virtuálního počítače přístup ke službě Key Vault. Další informace najdete v tématu Přístup ke službě Azure Key Vault za bránou firewall a konfiguraci nastavení sítě služby Azure Key Vault.

Vytvoření profilu monitorování SQL

Otevřete SQL Insights (Preview) tak, že v části Přehledy v nabídce Azure Monitor na webu Azure Portal vyberete SQL (Preview). Vyberte Vytvořit nový profil.

Profil bude ukládat informace, které chcete shromažďovat ze svých systémů SQL. Má konkrétní nastavení pro:

• Azure SQL Database
• Azure SQL Managed Instance
• SQL Server na virtuálních počítačích Azure

Můžete například vytvořit jeden profil s názvem SQL Production a jiný s názvem Příprava SQL s různými nastaveními pro frekvenci shromažďování dat, jaká data se mají shromažďovat a do kterého pracovního prostoru se mají data odesílat.

Profil se uloží jako prostředek pravidla shromažďování dat v předplatném a vybrané skupině prostředků. Každý profil potřebuje následující:

• Název. Po vytvoření nelze upravit.
• Umístění. Toto je oblast Azure.
• Pracovní prostor služby Log Analytics pro ukládání dat monitorování
• Nastavení shromažďování pro frekvenci a typ dat monitorování SQL, která se mají shromažďovat.

Poznámka:

Umístění profilu by mělo být ve stejném umístění jako pracovní prostor služby Log Analytics, do které plánujete odesílat data monitorování.

Po zadání podrobností profilu monitorování vyberte Vytvořit profil monitorování. Nasazení profilu může trvat až minutu. Pokud nový profil uvedený v poli se seznamem Profil monitorování nevidíte, vyberte tlačítko Aktualizovat a mělo by se zobrazit po dokončení nasazení. Jakmile vyberete nový profil, vyberte kartu Spravovat profil a přidejte počítač monitorování, který bude přidružený k profilu.

Přidání monitorovacího počítače

Výběrem možnosti Přidat monitorovací počítač otevřete kontextový Add monitoring virtual machine panel a vyberte virtuální počítač, ze kterého chcete monitorovat instance SQL, a zadejte připojovací řetězec.

Vyberte předplatné a název virtuálního počítače pro monitorování. Pokud používáte službu Key Vault k ukládání hesel pro přihlášení monitorování (důrazně doporučujeme), vyberte předplatné tohoto trezoru klíčů v části Key vault subscriptionsa pak vyberte trezor klíčů, ve kterém jsou uložené tajné kódy KeyVault. Connection strings Do pole zadejte identifikátor URI trezoru a název tajného kódu pro každé heslo, které se má použít v připojovací řetězec.

Pokud je https://mykeyvault.vault.azure.net/například identifikátor URI služby Key Vault a názvy tajných kódů jsou sqlPassword1 a sqlPassword2pak json v Connection strings poli bude obsahovat následující:

{
   "secrets": {
      "telegrafPassword1": {
         "keyvault": "https://mykeyvault.vault.azure.net/",
         "name": "sqlPassword1"
      },
      "telegrafPassword2": {
         "keyvault": "https://mykeyvault.vault.azure.net/",
         "name": "sqlPassword2"
      }
   }
}

Teď můžete na tyto tajné kódy odkazovat dále v Connection strings poli. V následujícím příkladu dva připojovací řetězec odkazují na telegrafPassword1 dříve definované tajné telegrafPassword2 kódy:

{
   "sqlAzureConnections": [
      "Server=mysqlserver.database.windows.net;Port=1433;Database=mydatabase;User Id=telegraf;Password=$telegrafPassword1;"
   ],
   "sqlVmConnections": [
      "Server=mysqlserver1;Port=1433;Database=master;User Id=telegraf;Password=$telegrafPassword2;"
   ]
}

Podrobnosti o identifikaci připojovací řetězec pro různá nasazení SQL najdete v další části.

Přidání připojovací řetězec

Připojovací řetězec určuje přihlašovací jméno, které má SQL Insights (Preview) použít při přihlašování k SQL ke shromažďování dat monitorování. Pokud k uložení hesla pro uživatele monitorování používáte Key Vault, zadejte identifikátor URI služby Key Vault a název tajného klíče, který obsahuje heslo.

Připojovací řetězec se bude lišit pro každý typ prostředku SQL:

Azure SQL Database

Připojení TCP z monitorovacího počítače k IP adrese a portu používanému databází musí být povolena všemi bránami firewall nebo skupinami zabezpečení sítě (NSG), které mohou existovat v síťové cestě. Podrobnosti o IP adresách a portech najdete v architektuře připojení ke službě Azure SQL Database.

Do formuláře zadejte připojovací řetězec:

"sqlAzureConnections": [
   "Server=mysqlserver1.database.windows.net;Port=1433;Database=mydatabase;User Id=$username;Password=$password;",
   "Server=mysqlserver2.database.windows.net;Port=1433;Database=mydatabase;User Id=$username;Password=$password;"
]

Podrobnosti najdete na stránce Připojovací řetězce a odpovídající koncový bod ADO.NET pro databázi.

Pokud chcete monitorovat čitelný sekundární objekt, připojte ;ApplicationIntent=ReadOnly se k připojovací řetězec. SQL Insights podporuje monitorování jednoho sekundárního serveru. Shromážděná data budou označena tak, aby odrážela primární nebo sekundární.

Spravovaná instance Azure SQL

Připojení TCP z monitorovacího počítače k IP adrese a portu používanému spravovanou instancí musí být povolena všemi bránami firewall nebo skupinami zabezpečení sítě (NSG), které mohou existovat v síťové cestě. Podrobnosti o IP adresách a portech najdete v tématu Typy připojení ke službě Azure SQL Managed Instance.

Do formuláře zadejte připojovací řetězec:

"sqlManagedInstanceConnections": [
   "Server= mysqlserver1.<dns_zone>.database.windows.net;Port=1433;User Id=$username;Password=$password;",
   "Server= mysqlserver2.<dns_zone>.database.windows.net;Port=1433;User Id=$username;Password=$password;" 
] 

Podrobnosti najdete na stránce Připojovací řetězce a příslušný koncový bod ADO.NET pro spravovanou instanci. Pokud používáte veřejný koncový bod spravované instance, nahraďte port 1433 3342.

Pokud chcete monitorovat čitelný sekundární objekt, připojte ;ApplicationIntent=ReadOnly se k připojovací řetězec. SQL Insights podporuje monitorování jedné sekundární repliky vysoké dostupnosti (HA) pro danou primární databázi. Shromážděná data budou označena tak, aby odrážela primární nebo sekundární.

SQL Server na virtuálních počítačích Azure

Pro instanci SQL Serveru, kterou chcete monitorovat, musí být povolený protokol TCP/IP. Připojení TCP z monitorovacího počítače k IP adrese a portu používanému instancí SQL Serveru musí být povolena všemi bránami firewall nebo skupinami zabezpečení sítě (NSG), které mohou existovat v síťové cestě.

Pokud chcete monitorovat SQL Server nakonfigurovaný pro vysokou dostupnost (buď pomocí skupin dostupnosti, nebo instancí clusteru s podporou převzetí služeb při selhání), doporučujeme monitorovat každou instanci SQL Serveru v clusteru jednotlivě, místo abyste se připojovali prostřednictvím naslouchacího procesu skupiny dostupnosti nebo názvu clusteru s podporou převzetí služeb při selhání. Tím se zajistí, že se data monitorování shromažďují bez ohledu na aktuální roli instance (primární nebo sekundární).

Do formuláře zadejte připojovací řetězec:

"sqlVmConnections": [
   "Server=SQLServerInstanceIPAddress1;Port=1433;User Id=$username;Password=$password;",
   "Server=SQLServerInstanceIPAddress2;Port=1433;User Id=$username;Password=$password;"
] 

Použijte IP adresu, na které instance SQL Serveru naslouchá.

Pokud je vaše instance SQL Serveru nakonfigurovaná tak, aby naslouchala na nestandardním portu, nahraďte 1433 tímto číslem portu v připojovací řetězec. Pokud používáte SQL Server na virtuálním počítači Azure, můžete zjistit, který port se má pro prostředek použít na stránce Zabezpečení .

U jakékoli instance SQL Serveru můžete určit všechny IP adresy a porty, na které naslouchá, připojením k instanci a spuštěním následujícího dotazu T-SQL, pokud existuje alespoň jedno připojení TCP k instanci:

SELECT DISTINCT local_net_address, local_tcp_port
FROM sys.dm_exec_connections
WHERE net_transport = 'TCP'
      AND
      protocol_type = 'TSQL';

Vytvořený profil monitorování

Vyberte Přidat monitorovací virtuální počítač a nakonfigurujte virtuální počítač tak, aby shromažďovat data z vašich prostředků SQL. Nevracejte se na kartu Přehled . Během několika minut by se sloupec Stav měl změnit na čtení "Shromažďování", měli byste vidět data pro prostředky SQL, které jste se rozhodli monitorovat.

Pokud se vám nezobrazují data, přečtěte si téma Řešení potíží s SQL Insights (Preview) a identifikujte problém.

Poznámka:

Pokud potřebujete aktualizovat profil monitorování nebo připojovací řetězec na virtuálních počítačích pro monitorování, můžete to udělat prostřednictvím karty Spravovat profil SLUŽBY SQL Insights (Preview). Po uložení aktualizací se změny použijí přibližně za 5 minut.

Další kroky

• Informace o řešení potíží s SQL Insights (Preview) najdete v případě, že SQL Insights po povolení nefunguje správně.