Tutorial: Migrieren von TDE-fähigen Datenbanken (Vorschau) zu Azure SQL in Azure Data Studio

  • Artikel

Zum Schützen einer SQL Server-Datenbank können Sie Vorkehrungen treffen, etwa Entwerfen eines sicheren Systems, Verschlüsseln vertraulicher Ressourcen und Erstellen einer Firewall. Durch physischen Diebstahl von Medien wie Laufwerken oder Bändern können die Daten jedoch weiterhin kompromittiert werden.

TDE bietet eine Lösung für dieses Problem in Form von E/A-Verschlüsselung/Entschlüsselung ruhender Daten (Daten- und Protokolldateien) in Echtzeit mithilfe eines durch ein Zertifikat gesicherten symmetrischen Datenbankverschlüsselungsschlüssels (DEK). Weitere Informationen zum manuellen Migrieren von TDE-Zertifikaten finden Sie unter Verschieben einer TDE-geschützten Datenbank auf einen anderen SQL-Server.

Wenn Sie eine TDE-geschützte Datenbank migrieren, muss das Zertifikat (asymmetrischer Schlüssel) zum Öffnen des Datenbankverschlüsselungsschlüssels (DEK) zusammen mit der Quelldatenbank verschoben werden. Daher müssen Sie das Serverzertifikat in der master-Datenbank des SQL Server-Ziels neu erstellen, damit diese Instanz auf die Datenbankdateien zugreifen kann.

Zur Hilfestellung bei der Migration von TDE-fähigen Datenbanken (Vorschau) von einer lokalen SQL Server-Instanz zu Azure SQL können Sie die Azure SQL-Migrationserweiterung für Azure Data Studio verwenden.

Im Migrationsprozess TDE-fähiger Datenbanken werden manuelle Aufgaben automatisiert, z. B. das Sichern der Datenbankzertifikatschlüssel (DEK), das Kopieren der Zertifikatsdateien vom lokalen SQL-Server in das Azure SQL-Ziel und das anschließende erneute Konfigurieren von TDE für die Zieldatenbank.

Wichtig

  1. Derzeit werden nur Azure SQL Managed Instance-Ziele unterstützt.
  2. Und Encrypted Backups werden nicht unterstützt.

In diesem Tutorial erfahren Sie, wie Sie die verschlüsselte Beispieldatenbank AdventureWorksTDE von einer lokalen Instanz von SQL Server zu Azure SQL Managed Instance migrieren.

  • Öffnen des Assistenten zum Migrieren zu Azure SQL in Azure Data Studio
  • Ausführen einer Bewertung Ihrer SQL Server-Quelldatenbanken
  • Konfigurieren der TDE-Zertifikatmigration
  • Herstellen einer Verbindung mit Ihrem Azure SQL-Ziel
  • Starten Ihrer TDE-Zertifikatmigration und Überwachen des Fortschritts bis zum Abschluss

Voraussetzungen

Vorbereitungsmaßnahmen vor dem Ausführen des Tutorials:

  • Herunterladen und Installieren von Azure Data Studio.

  • Installieren der Azure SQL-Migrationserweiterung aus Azure Data Studio Marketplace.

  • Führen Sie Azure Data Studio als Administrator*in aus.

  • Verwenden Sie ein Azure-Konto, das einer der folgenden integrierten Rollen zugewiesen ist:

    • „Mitwirkender“ für die verwaltete Zielinstanz (und „Speicherkonto“ zum Hochladen Ihrer Sicherungen der TDE-Zertifikatsdateien von der SMB-Netzwerkfreigabe).
    • Rolle „Leser“ für die Azure-Ressourcengruppen, die die verwaltete Zielinstanz oder das Azure Storage-Konto enthalten.
    • Rolle „Besitzer“ oder „Mitwirkender“ für das Azure-Abonnement (erforderlich bei Erstellung neuer DMS-Dienste)
    • Alternativ zur Verwendung der angegebenen integrierten Rollen können Sie auch eine benutzerdefinierte Rolle zuweisen. Weitere Informationen finden Sie unter Benutzerdefinierte Rollen: Onlinemigrationsvorgänge von SQL Server zu SQL Managed Instance mit ADS.

  • Erstellen Sie eine Zielinstanz vonAzure SQL Managed Instance.

  • Stellen Sie sicher, dass die Anmeldung, mit der Sie eine Verbindung mit der SQL Server-Quelle herstellen, Mitglied der Serverrolle sysadmin ist.

  • Der Computer, auf dem Azure Data Studio die Migration der TDE-fähigen Datenbank ausführt, sollte mit den SQL Server-Quellen und den -Zielen verbunden sein.

Öffnen des Assistenten zum Migrieren zu Azure SQL in Azure Data Studio

So öffnen Sie den Assistenten zum Migrieren zu Azure SQL:

  1. Navigieren Sie in Azure Data Studio zu Verbindungen. Stellen Sie eine Verbindung mit Ihrer lokalen Instanz von SQL Server her. Sie können auch eine Verbindung mit SQL Server auf einem virtuellen Azure-Computer herstellen.

  2. Klicken Sie mit der rechten Maustaste auf die Serververbindung, und wählen Sie Verwalten aus.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. Wählen Sie im Servermenü unter Allgemein die Option Azure SQL Migration aus.

    Screenshot that shows the Azure Data Studio server menu.

  4. Wählen Sie im Azure SQL Migration-Dashboard die Option Zu Azure SQL migrieren aus, um den Migrations-Assistenten zu öffnen.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. Starten Sie auf der ersten Seite des Assistenten eine neue Sitzung, oder setzen Sie eine zuvor gespeicherte Sitzung fort.

Ausführen der Datenbankbewertung

  1. Wählen Sie unter Schritt 1: Datenbanken für die Bewertung im Assistenten zum Migrieren zu Azure SQL die Datenbanken aus, die Sie bewerten möchten. Wählen Sie anschließend Weiter aus.

    Screenshot that shows selecting a database for assessment.

  2. Führen Sie in Schritt 2: Bewertungsergebnisse die folgenden Schritte aus:

    1. Wählen Sie unter Azure SQL Ziel auswählen die Option Azure SQL Managed Instance aus.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Wählen Sie Anzeigen/Auswählen aus, um die Bewertungsergebnisse anzuzeigen.

      Screenshot that shows view/select assessment results.

    3. Wählen Sie in den Bewertungsergebnissen die Datenbank aus, und überprüfen Sie die Bewertungsergebnisse. In diesem Beispiel sehen Sie, dass die Datenbank AdventureWorksTDE mit transparenter Datenverschlüsselung (Transparent Data Encryption, TDE) geschützt ist. Bei der Bewertung wird empfohlen, das TDE-Zertifikat zu migrieren, bevor der Migration der Quelldatenbank zum Ziel mit verwalteter Instanz stattfindet.

      Screenshot that shows assessment findings report.

    4. Wählen Sie Auswählen aus, um den TDE-Migrationskonfigurationsbereich zu öffnen.

Konfigurieren der TDE-Migrationseinstellungen

  1. Wählen Sie im Abschnitt Verschlüsselte Datenbank die Option Meine Zertifikate und privaten Schlüssel in das Ziel exportieren aus.

    Screenshot that shows the TDE migration configuration.

    Wichtig

    Im Abschnitt Infobox werden die erforderlichen Berechtigungen zum Exportieren der DEK-Zertifikate beschrieben.

    Sie müssen sicherstellen, dass das SQL Server-Dienstkonto über Schreibzugriff auf den Netzwerkfreigabepfad zum Sichern der DEK-Zertifikate verfügt. Außerdem sollte der aktuelle Benutzer oder die aktualle Benutzerin über Administratorberechtigungen auf dem Computer verfügen, auf dem dieser Netzwerkpfad vorhanden ist.

  2. Geben Sie den Netzwerkpfad ein.

    Screenshot that shows the TDE migration configuration for a network share.

    Aktivieren Sie dann Ich willige ein, meine Anmeldeinformationen für den Zugriff auf die Zertifikate zu verwenden. Mit dieser Aktion lassen Sie zu, dass der Datenbankmigrations-Assistent Ihr DEK-Zertifikat in der Netzwerkfreigabe sichern kann.

  3. Wenn Sie nicht möchte, dass der Migrations-Assistenten Ihnen beim Migrieren TDE-fähiger Datenbanken hilft, wählen Sie Ich möchte nicht, dass Azure Data Studio die Zertifikate exportiert aus, um diesen Schritt zu überspringen.

    Screenshot that shows how to decline the TDE migration.

    Wichtig

    Sie müssen die Zertifikate migrieren, bevor Sie mit der Migration fortfahren. Andernfalls tritt bei der Migration ein Fehler auf. Weitere Informationen zum manuellen Migrieren von TDE-Zertifikaten finden Sie unter Verschieben einer TDE-geschützten Datenbank auf einen anderen SQL-Server.

  4. Wenn Sie mit der Migration der TDE-Zertifizierung fortfahren möchten, wählen Sie Anwenden aus.

    Screenshot that shows how to apply the TDE migration configuration.

    Der Bereich der TDE-Migrationskonfiguration wird geschlossen, Sie können jedoch jederzeit Bearbeiten auswählen, um die Konfiguration Ihrer Netzwerkfreigabe zu ändern. Wählen Sie Weiter aus, um den Migrationsvorgang fortzusetzen.

    Screenshot that shows how to edit the TDE migration configuration.

Konfigurieren von Migrationseinstellungen

Führen Sie in Schritt 3: Azure SQL-Ziel im Assistenten zum Migrieren zu Azure SQL die folgenden Schritte für Ihre verwaltete Zielinstanz aus:

  1. Wählen Sie Ihr Azure-Konto, Ihr Azure-Abonnement, die Azure-Region oder den Speicherort sowie die Ressourcengruppe aus, die die verwaltete Instanz enthält.

    Screenshot that shows Azure account details.

  2. Wenn Sie bereit sind, wählen Sie Zertifikate migrieren aus, um die Migration von TDE-Zertifikaten zu starten.

Starten und Überwachen der TDE-Zertifikatmigration

  1. In Schritt 3: Migrationsstatus wird der Bereich Zertifikatmigration geöffnet. Die Details zum Migrationsstatus der TDE-Zertifikate werden auf dem Bildschirm angezeigt.

    Screenshot that shows how the TDE migration process starts.

  2. Sobald die TDE-Migration abgeschlossen wurde (oder Fehler aufgetreten sind), werden auf der Seite die relevanten Updates angezeigt.

    Screenshot that shows how the TDE migration process continues.

  3. Falls Sie die Migration wiederholen müssen, wählen Sie Migration wiederholen aus.

    Screenshot that shows how to retry the TDE migration.

  4. Wenn Sie bereit sind, wählen Sie Fertig aus, um den Migrations-Assistenten fortzusetzen.

    Screenshot that shows how to complete the TDE migration.

  5. Sie können den Prozess für jedes TDE-Zertifikat überwachen, indem Sie Zertifikate migrieren auswählen.

  6. Wählen Sie Weiter aus, um den Migrations-Assistenten fortzusetzen, bis die Datenbankmigration abgeschlossen ist.

    Screenshot that shows how to continue the database migration.

    In den folgenden ausführlichen Tutorials finden Sie weitere Informationen zum Migrieren von Datenbanken online oder offline zu Azure SQL Managed Instance-Zielen:

Schritte nach der Migration

Ihre verwaltete Zielinstanz sollte nun über die Datenbanken verfügen, und die entsprechenden Zertifikate sollten migriert sein. Um den aktuellen Status der kürzlich migrierten Datenbank zu überprüfen, kopieren Sie das folgende Beispiel, und fügen Sie es in ein neues Abfragefenster in Azure Data Studio ein, während eine Verbindung mit Ihrer verwalteten Zielinstanz besteht. Wählen Sie dann Ausführen aus.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Die Abfrage gibt die Informationen zur Datenbank, den Verschlüsselungsstatus und den Prozentsatz des noch ausstehenden Vorgangs bis zum Abschluss zurück. In diesem Fall ist dieser null, da das TDE-Zertifikat bereits abgeschlossen wurde.

Screenshot that shows the results returned by the TDE query provided in this section.

Weitere Informationen zur Verschlüsselung mit SQL Server finden Sie unter Transparent Data Encryption (TDE).

Begrenzungen

In der folgenden Tabelle wird der aktuelle Status der Unterstützung von Migrationsvorgängen TDE-fähiger Datenbanken zum Azure SQL-Ziel dargestellt:

Ziel Support Status
Azure SQL-Datenbank Nein
Verwaltete Azure SQL-Instanz Ja Vorschau
SQL Server auf Azure-VMs Nein

Zugehöriger Inhalt