Příprava prostředí na odkaz – Azure SQL Managed Instance

Platí pro: Azure SQL Managed Instance

V tomto článku se naučíte, jak připravit prostředí na propojení spravované instance, abyste mohli replikovat mezi SQL Serverem a spravovanou instancí Azure SQL.

Poznámka:

Pomocí skriptu ke stažení můžete automatizovat přípravu prostředí pro odkaz na spravovanou instanci. Další informace najdete na blogu o nastavení odkazu pro automatizaci.

Požadavky

Pokud chcete vytvořit propojení mezi SQL Serverem a službou Azure SQL Managed Instance, potřebujete následující požadavky:

• Aktivní předplatné Azure. Pokud žádné nemáte, vytvořte si bezplatný účet.
• Podporovaná verze SQL Serveru s požadovanou aktualizací služby
• Azure SQL Managed Instance. Začněte , pokud ho nemáte.
• Rozhodněte se, ze kterého serveru chcete být počátečním primárním serverem, abyste zjistili, odkud byste měli vytvořit propojení. Konfigurace odkazu z primární instance SQL na sekundární sql Server je podporována pouze od SQL Serveru 2022 CU10.

Upozornění

Při vytváření spravované instance SQL pro použití s funkcí propojení vezměte v úvahu požadavky na paměť pro všechny funkce OLTP v paměti, které SQL Server používá. Další informace najdete v tématu Přehled limitů prostředků služby Azure SQL Managed Instance.

Oprávnění

Pro SQL Server byste měli mít oprávnění správce systému.

Pro spravovanou instanci Azure SQL byste měli být členem přispěvatele služby SQL Managed Instance nebo mít pro vlastní roli následující oprávnění:

Microsoft.Sql/ prostředek	Potřebná oprávnění
Microsoft.Sql/managedInstances	/read, /write
Microsoft.Sql/managedInstances/hybridCertificate	za akci
Microsoft.Sql/managedInstances/databases	/read, /delete, /write, /completeRestore/action, /readBackups/action, /restoreDetails/read
Microsoft.Sql/managedInstances/distributedAvailabilityGroups	/read, /write, /delete, /setRole/action
Microsoft.Sql/managedInstances/endpointCertificates	/číst
Microsoft.Sql/managedInstances/hybridLink	/read, /write, /delete
Microsoft.Sql/managedInstances/serverTrustCertificates	/write, /delete, /read

Příprava instance SQL Serveru

Pokud chcete připravit instanci SQL Serveru, musíte ověřit, že:

• Používáte minimální podporovanou verzi.
• Povolili jste funkci skupin dostupnosti.
• Při spuštění jste přidali správné příznaky trasování.
• Vaše databáze jsou v úplném modelu obnovení a zálohovány.

Aby se tyto změny projevily, musíte restartovat SQL Server.

Instalace aktualizací služby

Ujistěte se, že vaše verze SQL Serveru má nainstalovanou příslušnou servisní aktualizaci, jak je uvedeno v tabulce podpory verzí. Pokud potřebujete nainstalovat jakékoli aktualizace, musíte během aktualizace restartovat instanci SQL Serveru.

Pokud chcete zkontrolovat verzi SQL Serveru, spusťte na SQL Serveru následující skript jazyka Transact-SQL (T-SQL):

-- Run on SQL Server
-- Shows the version and CU of the SQL Server
USE master;
GO
SELECT @@VERSION as 'SQL Server version';

Vytvoření hlavního klíče databáze v master databázi

Pokud ještě neexistuje, vytvořte v master databázi hlavní klíč databáze. Místo následujícího skriptu vložte heslo <strong_password> a uchovávejte ho na důvěrném a bezpečném místě. Spusťte tento skript T-SQL na SQL Serveru:

-- Run on SQL Server
-- Create a master key
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong_password>';

Abyste měli jistotu, že máte hlavní klíč databáze, použijte na SQL Serveru následující skript T-SQL:

-- Run on SQL Server
USE master;
GO
SELECT * FROM sys.symmetric_keys WHERE name LIKE '%DatabaseMasterKey%';

Povolení skupin dostupnosti

Funkce propojení spoléhá na funkci skupiny dostupnosti AlwaysOn, která je ve výchozím nastavení zakázaná. Další informace najdete v tématu Povolení funkce Skupiny dostupnosti AlwaysOn.

Pokud chcete ověřit, že je funkce skupin dostupnosti povolená, spusťte na SQL Serveru následující skript T-SQL:

-- Run on SQL Server
-- Is the availability groups feature enabled on this SQL Server
DECLARE @IsHadrEnabled sql_variant = (select SERVERPROPERTY('IsHadrEnabled'))
SELECT
    @IsHadrEnabled as 'Is HADR enabled',
    CASE @IsHadrEnabled
        WHEN 0 THEN 'Availability groups DISABLED.'
        WHEN 1 THEN 'Availability groups ENABLED.'
        ELSE 'Unknown status.'
    END
    as 'HADR status'

Důležité

Pokud pro SQL Server 2016 (13.x) potřebujete povolit funkci skupin dostupnosti, budete muset provést další kroky popsané v požadavcích připravit SQL Server 2016 – Azure SQL Managed Instance odkaz. Tyto další kroky nejsou vyžadovány pro SQL Server 2019 (15.x) a novější verze podporované odkazem.

Pokud funkce skupin dostupnosti není povolená, povolte ji následujícím postupem:

1. Otevřete nástroj SQL Server Configuration Manager.

2. V levém podokně vyberte služby SQL Serveru.

3. Klikněte pravým tlačítkem myši na službu SQL Serveru a pak vyberte Vlastnosti.

   

4. Přejděte na kartu Skupiny dostupnosti AlwaysOn.

5. Zaškrtněte políčko Povolit skupiny dostupnosti AlwaysOn a pak vyberte OK.

   

   • Pokud používáte SQL Server 2016 (13.x) a pokud je možnost Povolit skupiny dostupnosti AlwaysOn zakázaná se zprávou This computer is not a node in a failover cluster., postupujte podle dodatečných kroků popsaných v požadavcích pro přípravu SQL Serveru 2016 – odkaz azure SQL Managed Instance. Po dokončení těchto dalších kroků se vraťte a zkuste tento krok zopakovat.

6. V dialogovém okně vyberte OK .

7. Restartujte službu SQL Server.

Povolení příznaků trasování po spuštění

Pokud chcete optimalizovat výkon odkazu, doporučujeme při spuštění povolit následující příznaky trasování:

• -T1800: Tento příznak trasování optimalizuje výkon, když jsou soubory protokolů pro primární a sekundární repliky ve skupině dostupnosti hostované na discích s různými velikostmi sektorů, například 512 bajtů a 4 kB. Pokud primární i sekundární repliky mají velikost sektoru disku 4 kB, tento příznak trasování se nevyžaduje. Další informace najdete v tématu KB3009974.
• -T9567: Tento příznak trasování umožňuje kompresi datového streamu pro skupiny dostupnosti během automatického počátečního nastavení. Komprese zvyšuje zatížení procesoru, ale může výrazně zkrátit dobu přenosu během počátečního nastavení.

Pokud chcete při spuštění povolit tyto příznaky trasování, postupujte následovně:

1. Otevřete nástroj SQL Server Configuration Manager.

2. V levém podokně vyberte služby SQL Serveru.

3. Klikněte pravým tlačítkem myši na službu SQL Serveru a pak vyberte Vlastnosti.

   

4. Přejděte na kartu Spouštěcí parametry . V části Zadání spouštěcího parametru zadejte -T1800 a vyberte Přidat a přidejte spouštěcí parametr. Pak zadejte -T9567 a vyberte Přidat a přidejte další příznak trasování. Výběrem možnosti Použít změny uložte.

   

5. Výběrem ok zavřete okno Vlastnosti .

Další informace najdete v syntaxi povolení příznaků trasování.

Restartujte SQL Server a ověřte konfiguraci.

Po ověření, že používáte podporovanou verzi SQL Serveru, povolte funkci Skupiny dostupnosti AlwaysOn a přidali příznaky trasování spuštění, restartujte instanci SQL Serveru, aby se všechny tyto změny projevily:

1. Otevřete SQL Server Configuration Manager.

2. V levém podokně vyberte služby SQL Serveru.

3. Klikněte pravým tlačítkem myši na službu SQL Serveru a pak vyberte Restartovat.

   

Po restartování spusťte na SQL Serveru následující skript T-SQL, který ověří konfiguraci vaší instance SQL Serveru:

-- Run on SQL Server
-- Shows the version and CU of SQL Server
USE master;
GO
SELECT @@VERSION as 'SQL Server version';
GO
-- Shows if the Always On availability groups feature is enabled
SELECT SERVERPROPERTY ('IsHadrEnabled') as 'Is Always On enabled? (1 true, 0 false)';
GO
-- Lists all trace flags enabled on SQL Server
DBCC TRACESTATUS;

Vaše verze SQL Serveru by měla být jednou z podporovaných verzí použitých s příslušnými aktualizacemi služeb, měla by být povolená funkce skupiny dostupnosti AlwaysOn a měli byste mít příznak trasování -T1800 a -T9567 povolit. Následující snímek obrazovky je příkladem očekávaného výsledku pro instanci SQL Serveru, která je správně nakonfigurovaná:

Konfigurace síťového připojení

Aby propojení fungovalo, musíte mít síťové připojení mezi SQL Serverem a spravovanou instancí SQL. Možnost sítě, kterou zvolíte, závisí na tom, jestli je vaše instance SQL Serveru v síti Azure.

SQL Server na Azure Virtual Machines

Nasazení SQL Serveru na virtuální počítače Azure ve stejné virtuální síti Azure, která je hostitelem služby SQL Managed Instance, je nejjednodušší metoda, protože mezi těmito dvěma instancemi automaticky existuje síťové připojení. Další informace najdete v tématu Rychlý start: Konfigurace virtuálního počítače Azure pro připojení ke službě Azure SQL Managed Instance.

Pokud je váš SQL Server na virtuálních počítačích Azure v jiné virtuální síti než vaše spravovaná instance, musíte vytvořit připojení mezi oběma virtuálními sítěmi. Tento scénář funguje i v případě, že virtuální sítě nejsou ve stejném předplatném.

Existují dvě možnosti připojení virtuálních sítí:

• Partnerský vztah virtuálních sítí Azure
• Brána VPN typu VNet-to-VNet (Azure Portal, PowerShell, Azure CLI)

Partnerský vztah je vhodnější, protože používá páteřní síť Microsoftu, takže z hlediska připojení neexistuje žádný znatelný rozdíl v latenci mezi virtuálními počítači v partnerské virtuální síti a ve stejné virtuální síti. Partnerský vztah virtuálních sítí se podporuje mezi sítěmi ve stejné oblasti. Globální partnerský vztah virtuálních sítí se podporuje pro instance hostované v podsítích vytvořených po 22. září 2020. Další informace najdete v tématu Nejčastější dotazy.

SQL Server mimo Azure

Pokud je vaše instance SQL Serveru hostovaná mimo Azure, vytvořte připojení VPN mezi SQL Serverem a spravovanou instancí SQL pomocí některé z těchto možností:

• Připojení VPN typu Site-to-Site
• Připojení Azure ExpressRoute

Tip

Pro zajištění nejlepšího výkonu sítě při replikaci dat doporučujeme ExpressRoute. Zřiďte bránu s dostatečnou šířkou pásma pro váš případ použití.

Síťové porty mezi prostředími

Bez ohledu na mechanismus připojení musí být splněny požadavky, aby síťový provoz proudil mezi prostředími:

Pravidla skupiny zabezpečení sítě (NSG) v podsíti, která hostuje spravovanou instanci, musí umožňovat:

• Příchozí port 5022 a rozsah portů 11000–11999 pro příjem provozu ze zdrojové IP adresy SQL Serveru
• Odchozí port 5022 pro odesílání provozu do cílové IP adresy SQL Serveru

Všechny brány firewall v síti hostující SQL Server a hostitelský operační systém musí povolit:

• Příchozí port 5022 otevřený pro příjem provozu ze zdrojového rozsahu IP adres podsítě MI /24 (například 10.0.0.0/24)
• Odchozí porty 5022 a rozsah portů 11000–11999 otevřené pro odesílání provozu do cílového rozsahu IP adres podsítě MI (příklad 10.0.0.0/24)

Následující tabulka popisuje akce portů pro každé prostředí:

Prostředí	Co dělat
SQL Server (v Azure)	Otevřete příchozí i odchozí provoz na portu 5022 pro síťovou bránu firewall do celého rozsahu IP adres podsítě spravované instance SQL. V případě potřeby proveďte totéž v bráně firewall hostitelského operačního systému SQL Serveru (Windows/Linux). Pokud chcete povolit komunikaci na portu 5022, vytvořte ve virtuální síti, která je hostitelem virtuálního počítače, pravidlo skupiny zabezpečení sítě (NSG).
SQL Server (mimo Azure)	Otevřete příchozí i odchozí provoz na portu 5022 pro síťovou bránu firewall do celého rozsahu IP adres podsítě spravované instance SQL. V případě potřeby proveďte totéž v bráně firewall hostitelského operačního systému SQL Serveru (Windows/Linux).
Spravovaná instance SQL	Na webu Azure Portal vytvořte pravidlo NSG, které povolí příchozí a odchozí provoz z IP adresy a sítě hostující SQL Server na portu 5022 a rozsah portů 11000–11999.

Pomocí následujícího skriptu PowerShellu v hostitelském operačním systému Windows instance SQL Serveru otevřete porty v bráně Windows Firewall:

New-NetFirewallRule -DisplayName "Allow TCP port 5022 inbound" -Direction inbound -Profile Any -Action Allow -LocalPort 5022 -Protocol TCP
New-NetFirewallRule -DisplayName "Allow TCP port 5022 outbound" -Direction outbound -Profile Any -Action Allow -LocalPort 5022 -Protocol TCP

Následující diagram znázorňuje příklad místního síťového prostředí, které označuje, že všechny brány firewall v prostředí musí mít otevřené porty, včetně brány firewall operačního systému hostující SQL Server a všech podnikových bran firewall a/nebo bran:

Důležité

• Porty musí být otevřené v každé bráně firewall v síťovém prostředí, včetně hostitelského serveru, i všech podnikových bran firewall nebo bran v síti. V podnikových prostředích možná budete muset zobrazit informace správce sítě v této části, abyste mohli otevřít další porty v podnikové síťové vrstvě.
• I když se můžete rozhodnout přizpůsobit koncový bod na straně SQL Serveru, čísla portů pro službu SQL Managed Instance se nedají změnit ani přizpůsobit.
• Rozsahy IP adres podsítí hostující spravované instance a SQL Server se nesmí překrývat.

Přidání adres URL pro seznam povolených

V závislosti na nastavení zabezpečení sítě může být potřeba přidat adresy URL pro plně kvalifikovaný název domény služby SQL Managed Instance a některé koncové body správy prostředků, které Azure používá k vašemu seznamu povolených.

Následující seznam obsahuje zdroje, které by se měly přidat do seznamu povolených:

• Plně kvalifikovaný název domény (FQDN) vaší spravované instance SQL. Příklad: managedinstance1.6d710bcf372b.database.windows.net.
• Microsoft Entra Authority
• ID prostředku koncového bodu Microsoft Entra
• Koncový bod Resource Manageru
• Koncový bod služby

Postupujte podle kroků v části Konfigurace SSMS pro cloudy státní správy pro přístup k rozhraní Nástrojů v sadě SQL Server Management Studio (SSMS) a identifikujte konkrétní adresy URL pro prostředky v cloudu, které je potřeba přidat do seznamu povolených.

Testování připojení k síti

Aby propojení fungovalo, je nezbytné obousměrné síťové připojení mezi SQL Serverem a službou SQL Managed Instance. Po otevření portů na straně SQL Serveru a konfiguraci pravidla NSG na straně služby SQL Managed Instance otestujte připojení pomocí aplikace SQL Server Management Studio (SSMS) nebo Transact-SQL.

SSMS

Pokud chcete otestovat síťové připojení mezi SQL Serverem a službou SQL Managed Instance v nástroji SSMS, postupujte takto:

1. Připojte se k instanci, která bude primární replikou v nástroji SSMS.

2. V Průzkumník objektů rozbalte databáze a klikněte pravým tlačítkem myši na databázi, kterou chcete propojit se sekundární databází. >Výběrem odkazu>Testovací připojení ke službě Azure SQL Managed Instance otevřete Průvodce kontrolou sítě:

   

3. Na úvodní stránce průvodce službou Network Checker vyberte Další.

4. Pokud jsou splněny všechny požadavky na stránce Požadavky, vyberte Další. V opačném případě vyřešte všechny nesplněné požadavky a pak vyberte Znovu spustit ověření.

5. Na přihlašovací stránce vyberte Přihlášení, abyste se připojili k druhé instanci, která bude sekundární replikou. Vyberte Další.

6. Zkontrolujte podrobnosti na stránce Zadat možnosti sítě a v případě potřeby zadejte IP adresu. Vyberte Další.

7. Na stránce Souhrn zkontrolujte akce, které průvodce provede, a pak výběrem možnosti Dokončit otestujte připojení mezi těmito dvěma replikami.

8. Zkontrolujte stránku Výsledky a ověřte, že mezi těmito dvěma replikami existuje připojení, a pak vyberte Zavřít a dokončete.

T-SQL

Pokud chcete k otestování připojení použít T-SQL, musíte připojení zkontrolovat v obou směrech. Nejprve otestujte připojení z SQL Serveru ke spravované instanci SQL a pak otestujte připojení ze spravované instance SQL k SQL Serveru.

Testování připojení z SQL Serveru ke spravované instanci SQL

Pomocí agenta SQL Serveru na SQL Serveru můžete spouštět testy připojení z SQL Serveru do služby SQL Managed Instance.

1. Připojte se ke službě SQL Managed Instance a spuštěním následujícího skriptu vygenerujte parametry, které budete potřebovat později:

   SELECT 'DECLARE @serverName NVARCHAR(512) = N''' + value + ''''
   FROM sys.dm_hadr_fabric_config_parameters
   WHERE parameter_name = 'DnsRecordName'
   
   UNION
   
   SELECT 'DECLARE @node NVARCHAR(512) = N''' + NodeName + '.' + Cluster + ''''
   FROM (
       SELECT SUBSTRING(replica_address, 0, CHARINDEX('\', replica_address)) AS NodeName,
           RIGHT(service_name, CHARINDEX('/', REVERSE(service_name)) - 1) AppName,
           JoinCol = 1
       FROM sys.dm_hadr_fabric_partitions fp
       INNER JOIN sys.dm_hadr_fabric_replicas fr
           ON fp.partition_id = fr.partition_id
       INNER JOIN sys.dm_hadr_fabric_nodes fn
           ON fr.node_name = fn.node_name
       WHERE service_name LIKE '%ManagedServer%'
           AND replica_role = 2
   ) t1
   LEFT JOIN (
       SELECT value AS Cluster,
           JoinCol = 1
       FROM sys.dm_hadr_fabric_config_parameters
       WHERE parameter_name = 'ClusterName'
       ) t2
       ON (t1.JoinCol = t2.JoinCol)
   INNER JOIN (
       SELECT [value] AS AppName
       FROM sys.dm_hadr_fabric_config_parameters
       WHERE section_name = 'SQL'
           AND parameter_name = 'InstanceName'
       ) t3
       ON (t1.AppName = t3.AppName)
   
   UNION
   
   SELECT 'DECLARE @port NVARCHAR(512) = N''' + value + ''''
   FROM sys.dm_hadr_fabric_config_parameters
   WHERE parameter_name = 'HadrPort';
   

   Výsledky by měly vypadat jako v následující ukázce:

   

   Výsledky uložte, abyste mohli použít další kroky. Vzhledem k tomu, že se tyto parametry můžou po převzetí služeb při selhání změnit, nezapomeňte je v případě potřeby znovu vygenerovat.

2. Připojte se k SQL Serveru.

3. Otevřete nové okno dotazu a vložte následující skript:

   --START
   -- Parameters section
   DECLARE @node NVARCHAR(512) = N''
   DECLARE @port NVARCHAR(512) = N''
   DECLARE @serverName NVARCHAR(512) = N''
   
   --Script section
   IF EXISTS (
           SELECT job_id
           FROM msdb.dbo.sysjobs_view
           WHERE name = N'TestMILinkConnection'
           )
       EXEC msdb.dbo.sp_delete_job @job_name = N'TestMILinkConnection',
           @delete_unused_schedule = 1
   
   DECLARE @jobId BINARY (16),
       @cmd NVARCHAR(MAX)
   
   EXEC msdb.dbo.sp_add_job @job_name = N'TestMILinkConnection',
       @enabled = 1,
       @job_id = @jobId OUTPUT
   
   SET @cmd = (N'tnc ' + @serverName + N' -port 5022 | select ComputerName, RemoteAddress, TcpTestSucceeded | Format-List')
   
   EXEC msdb.dbo.sp_add_jobstep @job_id = @jobId,
       @step_name = N'Test Port 5022',
       @step_id = 1,
       @cmdexec_success_code = 0,
       @on_success_action = 3,
       @on_fail_action = 3,
       @subsystem = N'PowerShell',
       @command = @cmd,
       @database_name = N'master'
   
   SET @cmd = (N'tnc ' + @node + N' -port ' + @port + ' | select ComputerName, RemoteAddress, TcpTestSucceeded | Format-List')
   
   EXEC msdb.dbo.sp_add_jobstep @job_id = @jobId,
       @step_name = N'Test HADR Port',
       @step_id = 2,
       @cmdexec_success_code = 0,
       @subsystem = N'PowerShell',
       @command = @cmd,
       @database_name = N'master'
   
   EXEC msdb.dbo.sp_add_jobserver @job_id = @jobId,
       @server_name = N'(local)'
   GO
   
   EXEC msdb.dbo.sp_start_job @job_name = N'TestMILinkConnection'
   GO
   
   --Check status every 5 seconds
   DECLARE @RunStatus INT
   
   SET @RunStatus = 10
   
   WHILE (@RunStatus >= 4)
   BEGIN
       SELECT DISTINCT @RunStatus = run_status
       FROM [msdb].[dbo].[sysjobhistory] JH
       INNER JOIN [msdb].[dbo].[sysjobs] J
           ON JH.job_id = J.job_id
       WHERE J.name = N'TestMILinkConnection'
           AND step_id = 0
   
       WAITFOR DELAY '00:00:05';
   END
   
   --Get logs once job completes
   SELECT [step_name],
       SUBSTRING([message], CHARINDEX('TcpTestSucceeded', [message]), CHARINDEX('Process Exit', [message]) - CHARINDEX('TcpTestSucceeded', [message])) AS    TcpTestResult,
       SUBSTRING([message], CHARINDEX('RemoteAddress', [message]), CHARINDEX('TcpTestSucceeded', [message]) - CHARINDEX('RemoteAddress', [message])) AS    RemoteAddressResult,
       [run_status],
       [run_duration],
       [message]
   FROM [msdb].[dbo].[sysjobhistory] JH
   INNER JOIN [msdb].[dbo].[sysjobs] J
       ON JH.job_id = J.job_id
   WHERE J.name = N'TestMILinkConnection'
       AND step_id <> 0
       --END
   

4. @nodeNahraďte hodnoty , @porta @serverName parametry hodnotami, které jste získali z prvního kroku.

5. Spusťte skript a zkontrolujte výsledky. Měli byste vidět výsledky, jako je následující příklad:

   

6. Ověřte výsledky:

   • Výsledek každého testu na tcpTestSucceeded by měl být TcpTestSucceeded : True.
   • RemoteAddresses by měl patřit do rozsahu IP adres podsítě služby SQL Managed Instance.

   Pokud odpověď není úspěšná, ověřte následující nastavení sítě:

   • V bráně firewall sítě i v bráně firewall hostitele SQL Serveru (Windows/Linux) existují pravidla, která umožňují provoz do celého rozsahu IP adres podsítě služby SQL Managed Instance.
   • Existuje pravidlo NSG, které umožňuje komunikaci na portu 5022 pro virtuální síť, která je hostitelem služby SQL Managed Instance.

Testování připojení ze spravované instance SQL k SQL Serveru

Pokud chcete zkontrolovat, že se spravovaná instance SQL může spojit s SQL Serverem, nejprve vytvořte testovací koncový bod. Potom pomocí agenta SQL Serveru spustíte skript PowerShellu tnc s příkazem ping sql Serveru na portu 5022 ze spravované instance SQL.

Pokud chcete vytvořit testovací koncový bod, připojte se k SQL Serveru a spusťte následující skript T-SQL:

-- Run on SQL Server
-- Create the certificate needed for the test endpoint
USE MASTER
CREATE CERTIFICATE TEST_CERT
WITH SUBJECT = N'Certificate for SQL Server',
EXPIRY_DATE = N'3/30/2051'
GO

-- Create the test endpoint on SQL Server
USE MASTER
CREATE ENDPOINT TEST_ENDPOINT
    STATE=STARTED
    AS TCP (LISTENER_PORT=5022, LISTENER_IP = ALL)
    FOR DATABASE_MIRRORING (
        ROLE=ALL,
        AUTHENTICATION = CERTIFICATE TEST_CERT,
        ENCRYPTION = REQUIRED ALGORITHM AES
    )

Pokud chcete ověřit, že koncový bod SQL Serveru přijímá připojení na portu 5022, spusťte v hostitelském operačním systému vaší instance SQL Serveru následující příkaz PowerShellu:

tnc localhost -port 5022

Úspěšný test ukazuje TcpTestSucceeded : True. Potom můžete pokračovat vytvořením úlohy agenta SQL Serveru ve spravované instanci SQL a zkusit otestovat koncový bod testu SQL Serveru na portu 5022 ze spravované instance SQL.

Dále vytvořte úlohu agenta SQL Serveru ve spravované instanci SQL s názvem NetHelper spuštěním následujícího skriptu T-SQL ve spravované instanci SQL. Nahrazení:

• <SQL_SERVER_IP_ADDRESS> s IP adresou SQL Serveru, ke kterému je možné přistupovat ze spravované instance SQL.

-- Run on SQL managed instance
-- SQL_SERVER_IP_ADDRESS should be an IP address that could be accessed from the SQL Managed Instance host machine.
DECLARE @SQLServerIpAddress NVARCHAR(MAX) = '<SQL_SERVER_IP_ADDRESS>'; -- insert your SQL Server IP address in here
DECLARE @tncCommand NVARCHAR(MAX) = 'tnc ' + @SQLServerIpAddress + ' -port 5022 -InformationLevel Quiet';
DECLARE @jobId BINARY(16);

IF EXISTS (
        SELECT *
        FROM msdb.dbo.sysjobs
        WHERE name = 'NetHelper'
        ) THROW 70000,
    'Agent job NetHelper already exists. Please rename the job, or drop the existing job before creating it again.',
    1
    -- To delete NetHelper job run: EXEC msdb.dbo.sp_delete_job @job_name=N'NetHelper'
    EXEC msdb.dbo.sp_add_job @job_name = N'NetHelper',
        @enabled = 1,
        @description = N'Test SQL Managed Instance to SQL Server network connectivity on port 5022.',
        @category_name = N'[Uncategorized (Local)]',
        @owner_login_name = N'sa',
        @job_id = @jobId OUTPUT;

EXEC msdb.dbo.sp_add_jobstep @job_id = @jobId,
    @step_name = N'TNC network probe from SQL MI to SQL Server',
    @step_id = 1,
    @os_run_priority = 0,
    @subsystem = N'PowerShell',
    @command = @tncCommand,
    @database_name = N'master',
    @flags = 40;

EXEC msdb.dbo.sp_update_job @job_id = @jobId,
    @start_step_id = 1;

EXEC msdb.dbo.sp_add_jobserver @job_id = @jobId,
    @server_name = N'(local)';

Tip

Pokud potřebujete upravit IP adresu SQL Serveru pro sondu připojení ze spravované instance SQL, odstraňte úlohu NetHelper spuštěním EXEC msdb.dbo.sp_delete_job @job_name=N'NetHelper'příkazu a znovu vytvořte úlohu NetHelper pomocí předchozího skriptu.

Pak vytvořte uloženou proceduru ExecuteNetHelper , která pomáhá spustit úlohu a získá výsledky ze síťové sondy. Ve spravované instanci SQL spusťte následující skript T-SQL:

-- Run on managed instance
IF EXISTS(SELECT * FROM sys.objects WHERE name = 'ExecuteNetHelper')
    THROW 70001, 'Stored procedure ExecuteNetHelper already exists. Rename or drop the existing procedure before creating it again.', 1
GO
CREATE PROCEDURE ExecuteNetHelper AS
-- To delete the procedure run: DROP PROCEDURE ExecuteNetHelper
BEGIN
    -- Start the job.
    DECLARE @NetHelperstartTimeUtc DATETIME = GETUTCDATE();
    DECLARE @stop_exec_date DATETIME = NULL;

    EXEC msdb.dbo.sp_start_job @job_name = N'NetHelper';

    -- Wait for job to complete and then see the outcome.
    WHILE (@stop_exec_date IS NULL)
    BEGIN
        -- Wait and see if the job has completed.
        WAITFOR DELAY '00:00:01'

        SELECT @stop_exec_date = sja.stop_execution_date
        FROM msdb.dbo.sysjobs sj
        INNER JOIN msdb.dbo.sysjobactivity sja
            ON sj.job_id = sja.job_id
        WHERE sj.name = 'NetHelper'

        -- If job has completed, get the outcome of the network test.
        IF (@stop_exec_date IS NOT NULL)
        BEGIN
            SELECT sj.name JobName,
                sjsl.date_modified AS 'Date executed',
                sjs.step_name AS 'Step executed',
                sjsl.log AS 'Connectivity status'
            FROM msdb.dbo.sysjobs sj
            LEFT JOIN msdb.dbo.sysjobsteps sjs
                ON sj.job_id = sjs.job_id
            LEFT JOIN msdb.dbo.sysjobstepslogs sjsl
                ON sjs.step_uid = sjsl.step_uid
            WHERE sj.name = 'NetHelper'
        END

        -- In case of operation timeout (90 seconds), print timeout message.
        IF (datediff(second, @NetHelperstartTimeUtc, getutcdate()) > 90)
        BEGIN
            SELECT 'NetHelper timed out during the network check. Please investigate SQL Agent logs for more information.'

            BREAK;
        END
    END
END;

Spuštěním následujícího dotazu na spravovanou instanci SQL spusťte uloženou proceduru, která spustí úlohu agenta NetHelper a zobrazí výsledný protokol:

-- Run on managed instance
EXEC ExecuteNetHelper;

Pokud bylo připojení úspěšné, zobrazí Truese protokol . Pokud připojení nebylo úspěšné, zobrazí Falsese protokol .

Pokud připojení nebylo úspěšné, ověřte následující položky:

• Brána firewall na hostitelské instanci SQL Serveru umožňuje příchozí a odchozí komunikaci na portu 5022.
• Pravidlo skupiny zabezpečení sítě pro virtuální síť, která je hostitelem služby SQL Managed Instance, umožňuje komunikaci na portu 5022.
• Pokud je vaše instance SQL Serveru na virtuálním počítači Azure, pravidlo NSG umožňuje komunikaci na portu 5022 ve virtuální síti, která je hostitelem virtuálního počítače.
• SQL Server je spuštěný.
• Na SQL Serveru existuje testovací koncový bod.

Po vyřešení problémů znovu spusťte sondu sítě NetHelper spuštěním EXEC ExecuteNetHelper ve spravované instanci.

Nakonec po úspěšném testu sítě zahoďte testovací koncový bod a certifikát na SQL Serveru pomocí následujících příkazů T-SQL:

-- Run on SQL Server
DROP ENDPOINT TEST_ENDPOINT;
GO
DROP CERTIFICATE TEST_CERT;
GO

Upozornění

Pokračujte dalšími kroky jenom v případě, že jste ověřili síťové připojení mezi zdrojovým a cílovým prostředím. V opačném případě před pokračováním vyřešte potíže s připojením k síti.

Migrace certifikátu databáze chráněné transparentním šifrováním dat (volitelné)

Pokud propojíte databázi SQL Serveru chráněnou službou transparentní šifrování dat (TDE) se spravovanou instancí, musíte před použitím odkazu migrovat odpovídající šifrovací certifikát z místní instance nebo z instance SQL Serveru virtuálního počítače Azure do spravované instance. Podrobný postup najdete v tématu Migrace certifikátu databáze chráněné transparentním šifrováním dat do spravované instance Azure SQL.

Databáze služby SQL Managed Instance, které jsou šifrované pomocí klíčů transparentního šifrování dat spravované službou, nejde propojit s SQL Serverem. Šifrovanou databázi můžete propojit s SQL Serverem jenom v případě, že byla šifrovaná pomocí klíče spravovaného zákazníkem a cílový server má přístup ke stejnému klíči, který se používá k šifrování databáze. Další informace najdete v tématu Nastavení transparentního šifrování dat SQL Serveru pomocí služby Azure Key Vault.

Instalace aplikace SSMS

SQL Server Management Studio (SSMS) je nejjednodušší způsob, jak použít odkaz na spravovanou instanci. Stáhněte si SSMS verze 19.0 nebo novější a nainstalujte ho do klientského počítače.

Po dokončení instalace otevřete SSMS a připojte se k podporované instanci SQL Serveru. Klikněte pravým tlačítkem myši na uživatelskou databázi a ověřte, že se v nabídce zobrazí možnost propojení azure SQL Managed Instance.

Konfigurace SSMS pro cloudy státní správy

Pokud chcete nasadit službu SQL Managed Instance do cloudu pro státní správu, musíte upravit nastavení aplikace SQL Server Management Studio (SSMS) tak, aby používala správný cloud. Pokud službu SQL Managed Instance nenasazujete do cloudu pro státní správu, přeskočte tento krok.

Pokud chcete aktualizovat nastavení SSMS, postupujte takto:

1. Otevřete aplikaci SSMS.
2. V nabídce vyberte Nástroje a pak zvolte Možnosti.
3. Rozbalte služby Azure a vyberte Azure Cloud.
4. V části Vybrat cloud Azure použijte rozevírací seznam a zvolte AzureUSGovernment nebo jiný cloud pro státní správu, jako je AzureChinaCloud:

Pokud se chcete vrátit do veřejného cloudu, v rozevíracím seznamu zvolte AzureCloud .

Související obsah

• Přehled funkce odkazu na spravovanou instanci
• Konfigurace propojení mezi SQL Serverem a spravovanou instancí SQL pomocí SSMS
• Konfigurace propojení mezi SQL Serverem a spravovanou instancí SQL pomocí skriptů