Megosztás a következőn keresztül:

Az Azure SQL-felügyelt példány hivatkozásának konfigurálása szkriptekkel

A következőkre vonatkozik:Felügyelt Azure SQL-példány

Ez a cikk bemutatja, hogyan konfigurálhat kapcsolatot az SQL Server és az Azure SQL Managed Instance között Transact-SQL és PowerShell- vagy Azure CLI-szkriptekkel. A hivatkozással a kezdeti elsődleges adatbázis adatbázisai közel valós időben replikálódnak a másodlagos replikába.

A hivatkozás létrehozása után migráció vagy katasztrófa utáni helyreállítás céljából átállhat a másodlagos replikára.

Jegyzet

Áttekintés

A hivatkozás funkcióval az adatbázisokat replikálhatja a kezdeti elsődlegesről a másodlagos replikára. Az SQL Server 2022 esetében a kezdeti elsődleges az SQL Server vagy az Azure SQL Managed Instance lehet. Az SQL Server 2019-ben és a korábbi verziókban a kezdeti elsődlegesnek az SQL Servernek kell lennie. A hivatkozás konfigurálása után a rendszer replikálja a kezdeti elsődleges adatbázist a másodlagos replikába.

Dönthet úgy, hogy az elsődleges és a másodlagos replika közötti hibrid környezetben hagyja meg a kapcsolatot a folyamatos adatreplikáláshoz, vagy feladatátvételt végezhet az adatbázison a másodlagos replikán, migrálhat az Azure-ba, vagy vészhelyreállítás céljából. Az SQL Server 2019-ben és a korábbi verziókban az Azure SQL felügyelt példányra történő áthelyezés megszakítja a kapcsolatot, és a visszaállás nem támogatott. Az SQL Server 2022-ben lehetősége van fenntartani a kapcsolatot, és a két replika között vissza-vissza feladatokat végrehajtani.

Ha a másodlagos felügyelt példányt csak katasztrófa utáni helyreállításra tervezi használni, úgy takaríthat meg a licencelési költségeken, hogy aktiválja a hibrid feladatátvételi előnyt.

A cikkben található utasítások segítségével manuálisan állíthatja be a kapcsolatot az SQL Server és a felügyelt Azure SQL-példány között. A hivatkozás létrehozása után a forrásadatbázis egy írásvédett másolatot kap a másodlagos célreplikán.

Borravaló

Ha egyszerűsíteni szeretné a T-SQL-szkriptek használatát a környezetének megfelelő paraméterekkel, javasoljuk, hogy használja a Felügyelt példány hivatkozás varázslóját SQL Server Management Studio (SSMS) a hivatkozás létrehozásához szükséges szkript létrehozásához. Az Összegzés lapján az Új felügyelt példány hivatkozás ablakban válassza a Skripteket a Befejezéshelyett.

Előfeltételek

Az adatbázisok replikálásához a következő előfeltételekre van szükség:

Vegye figyelembe a következőket:

  • A hivatkozás funkció hivatkozásonként egy adatbázist támogat. Ha több adatbázist szeretne replikálni egy példányon, hozzon létre egy hivatkozást minden egyes adatbázishoz. Ha például 10 adatbázist szeretne replikálni felügyelt SQL-példányba, hozzon létre 10 különálló hivatkozást.
  • Az SQL Server és az SQL Managed Instance rendszerezésének meg kell egyeznie. A kollációs eltérés okozhatja a kiszolgálónév írásmódjának eltérését, és megakadályozhatja az SQL Server és az SQL Managed Instance közötti sikeres kapcsolatot.
  • Az elsődleges SQL Server kezdeti 1475-ös hibája azt jelzi, hogy új biztonsági mentési láncot kell elindítania egy teljes biztonsági mentés létrehozásával a COPY ONLY lehetőség nélkül.
  • A felügyelt SQL-példányról az SQL Server 2025-be mutató hivatkozás vagy feladatátvétel létrehozásához a felügyelt SQL-példányt az SQL Server 2025 frissítési szabályzatával kell konfigurálni. A felügyelt SQL-példányról az SQL Server 2025-re történő adatreplikálást és feladatátvételt nem támogatják a nem egyező frissítési szabályzattal konfigurált példányok.
  • A felügyelt SQL-példány és az SQL Server 2022 közötti hivatkozás vagy feladatátvétel létrehozásához a felügyelt SQL-példányt az SQL Server 2022 frissítési szabályzatával kell konfigurálni. A felügyelt SQL-példányról az SQL Server 2022-re történő adatreplikálást és feladatátvételt nem támogatják a nem egyező frissítési szabályzattal konfigurált példányok.
  • Bár létrehozhat egy hivatkozást a támogatott verziójú SQL Serverről az Always-up-to-date frissítési szabályzattal konfigurált felügyelt SQL-példányra, a felügyelt SQL-példányra való feladatátvétel után nem tudja többé replikálni az adatokat vagy visszaállítani az SQL Server-példányra.

Engedélyek

SQL Server esetén sysadmin engedélyekkel kell rendelkeznie.

Felügyelt Azure SQL-példány esetén a felügyelt SQL-példány közreműködőitagjának kell lennie, vagy az alábbi egyéni szerepkör-engedélyekkel kell rendelkeznie:

Microsoft.Sql/ erőforrás Szükséges engedélyek
Microsoft.Sql/managedInstances /olvas, /ír
Microsoft.Sql/managedInstances/hybridCertificate /akció
Microsoft.Sql/managedInstances/databases /olvas, /töröl, /ír, /teljesVisszaállítás/művelet, /mentésekOlvasása/művelet, /visszaállításRészletek/olvas
Microsoft.Sql/managedInstances/distributedAvailabilityGroups /olvas, /ír, /töröl, /szerepBeállítása/művelet
Microsoft.Sql/kezeltPéldányok/végpontTanúsítványok /olvas
Microsoft.Sql/managedInstances/hybridLink /olvas, /ír, /töröl
Microsoft.Sql/managedInstances/serverTrustCertificates /ír, /töröl, /olvas

Terminológiai és elnevezési konvenciók

Amikor szkripteket futtat ebből a felhasználói útmutatóból, fontos, hogy ne tévessze össze az SQL Server és az SQL Managed Instance (felügyelt SQL-példányok) neveit a teljes tartományneveikkel (FQDN-eket). Az alábbi táblázat bemutatja, hogy a különböző nevek pontosan mit jelentenek, és hogyan szerezhetik be az értékeiket:

Terminológia Leírás Útmutató a kereséshez
Kezdeti elsődleges 1 Az SQL Server vagy a felügyelt SQL-példány, ahol először hozza létre a hivatkozást az adatbázis másodlagos replikába való replikálásához.
Elsődleges replika Az az SQL Server vagy SQL által kezelt példány, amely jelenleg az elsődleges adatbázist üzemelteti.
Másodlagos replika Az SQL Server vagy felügyelt SQL-példány, amely közel valós idejű replikált adatokat fogad az aktuális elsődleges replikától.
Az SQL Server neve Rövid, egyszavas SQL Server-név. Például: sqlserver1. Hajtsd végre a SELECT @@SERVERNAME-t T-SQL-ből.
SQL Server teljes tartománynév (FQDN) SQL Szerver teljesen kvalifikált tartományneve (FQDN). Például: sqlserver1.domain.com. Tekintse meg a helyszíni hálózati (DNS-) konfigurációt vagy a kiszolgáló nevét, ha Azure-beli virtuális gépet használ.
Felügyelt SQL-példány neve SQL Managed Instance rövid, egyszavas neve. Például: managedinstance1. Tekintse meg a felügyelt példány nevét az Azure Portalon.
Felügyelt SQL-példány teljes tartományneve A felügyelt SQL-példány teljes tartományneve (FQDN). Például: managedinstance1.6d710bcf372b.database.windows.net. Tekintse meg a gazdagép nevét a felügyelt SQL-példány áttekintési oldalán az Azure portálon.
Feloldható tartománynév DNS-név, amely feloldható egy IP-címre. A nslookup sqlserver1.domain.com futtatásának például egy IP-címet kell visszaadnia, például a 10.0.0.1-et. Futtassa nslookup parancsot a parancssorból.
SQL Server IP-címe Az SQL Server IP-címe. Ha több IP-címet használ az SQL Serveren, válassza az Azure-ból elérhető IP-címet. Futtassa ipconfig parancsot az SQL Servert futtató gazda operációs rendszer parancssorából.

1 Az Azure SQL Managed Instance kezdeti elsődleges adatbázisként való konfigurálása a SQL Server 2022 CU10verzióval kezdődően támogatott.

Adatbázis-helyreállítás és mentés beállítása

Ha az SQL Server a kezdeti elsődleges, akkor a hivatkozáson keresztül replikált adatbázisoknak a teljes helyreállítási modellben kell lenniük, és legalább egy biztonsági mentéssel kell rendelkezniük. Mivel a felügyelt Azure SQL-példány automatikusan készít biztonsági másolatot, hagyja ki ezt a lépést, ha a felügyelt SQL-példány a kezdeti elsődleges példány.

Futtassa az alábbi kódot az SQL Serveren minden replikálni kívánt adatbázishoz. Cserélje le a <DatabaseName>-t a tényleges adatbázisnévre.

-- Run on SQL Server
-- Set full recovery model for all databases you want to replicate.
ALTER DATABASE [<DatabaseName>] SET RECOVERY FULL
GO

-- Execute backup for all databases you want to replicate.
BACKUP DATABASE [<DatabaseName>] TO DISK = N'<DiskPath>'
GO

További információ: Teljes adatbázis biztonsági mentése.

Jegyzet

A hivatkozás csak a felhasználói adatbázisok replikálását támogatja. A rendszeradatbázisok replikálása nem támogatott. A példányszintű (master vagy msdb adatbázisokban tárolt) objektumok replikálásához javasoljuk, hogy szkriptelje ki őket, és futtassa a T-SQL-szkripteket a célpéldányon.

Megbízhatóság létrehozása példányok között

Először meg kell állapítania a két példány közötti megbízhatóságot, és biztonságossá kell tennie az adatokat a hálózaton keresztüli kommunikációhoz és titkosításhoz használt végpontokat. Az elosztott rendelkezésre állási csoportok a meglévő rendelkezésre állási csoport adatbázis-tükrözési végpontothasználják ahelyett, hogy saját dedikált végpontjukkal rendelkeznék. Ezért a biztonságot és a megbízhatóságot a rendelkezésre állási csoport adatbázistükrözési végponton keresztül kell konfigurálni a két példány között.

Jegyzet

A hivatkozás az Always On rendelkezésre állási csoport technológiáján alapul. Az adatbázis tükrözési végpontja egy speciális célú végpont, amelyet kizárólag a rendelkezésre állási csoportok használnak más példányok kapcsolatainak fogadásához. Az adatbázis-tükrözési végpont kifejezés nem tévesztendő össze az örökölt SQL Server-adatbázis-tükrözési funkcióval.

A tanúsítványalapú megbízhatóság az egyetlen támogatott módszer az adatbázistükrözési végpontok védelmére az SQL Server és a felügyelt SQL-példány esetében. Ha windowsos hitelesítést használó rendelkezésre állási csoportokkal rendelkezik, másodlagos hitelesítési lehetőségként tanúsítványalapú megbízhatóságot kell hozzáadnia a meglévő tükrözési végponthoz. Ezt a cikk későbbi részében látható ALTER ENDPOINT utasítással teheti meg.

Fontos

A tanúsítványok lejárati dátummal és idővel jönnek létre. Lejáratuk előtt meg kell újítani és cserélni kell őket.

Az alábbi lista áttekintést nyújt az adatbázis-tükrözési végpontok védelmének folyamatáról mind az SQL Server, mind a felügyelt SQL-példány esetében:

  1. Hozzon létre egy tanúsítványt az SQL Serveren, és szerezze be a nyilvános kulcsát.
  2. Szerezze be a felügyelt SQL-példány tanúsítványának nyilvános kulcsát.
  3. Cserélje le a nyilvános kulcsokat az SQL Server és a felügyelt SQL-példány között.
  4. Azure-beli megbízható főtanúsítvány-szolgáltatói kulcsok importálása az SQL Serverre

A következő szakaszok részletesen ismertetik ezeket a lépéseket.

Tanúsítvány létrehozása az SQL Serveren, és a nyilvános kulcs importálása felügyelt SQL-példányba

Először hozza létre az adatbázis főkulcsát a master adatbázisban, ha még nincs megadva. Szúrja be a jelszót <strong_password> helyett a következő szkriptbe, és tartsa azt bizalmas és biztonságos helyen. Futtassa ezt a T-SQL-szkriptet az SQL Serveren:

-- Run on SQL Server
-- Create a master key encryption password
-- Keep the password confidential and in a secure place
USE MASTER
IF NOT EXISTS (SELECT * FROM sys.symmetric_keys WHERE symmetric_key_id = 101)
BEGIN
    PRINT 'Creating master key.' + CHAR(13) + 'Keep the password confidential and in a secure place.'
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong_password>'
END
ELSE
    PRINT 'Master key already exists.'
GO

Ezután hozzon létre egy hitelesítési tanúsítványt az SQL Serveren. A következő szkriptben cserélje le a következőt:

  • @cert_expiry_date a kívánt tanúsítvány lejárati dátumával (jövőbeli dátummal).

Jegyezze fel ezt a dátumot, és állítson be egy emlékeztetőt az SQL Server-tanúsítvány lejárati dátuma előtti elforgatására (frissítésére), hogy biztosítsa a hivatkozás folyamatos működését.

Fontos

Erősen ajánlott a szkriptből származó automatikus tanúsítványnév használata. Bár a saját tanúsítványnév testreszabása engedélyezett az SQL Serveren, a név nem tartalmazhat \ karaktereket.

-- Create the SQL Server certificate for the instance link
USE MASTER

-- Customize SQL Server certificate expiration date by adjusting the date below
DECLARE @cert_expiry_date AS varchar(max)='03/30/2025'

-- Build the query to generate the certificate
DECLARE @sqlserver_certificate_name NVARCHAR(MAX) = N'Cert_' + @@servername  + N'_endpoint'
DECLARE @sqlserver_certificate_subject NVARCHAR(MAX) = N'Certificate for ' + @sqlserver_certificate_name
DECLARE @create_sqlserver_certificate_command NVARCHAR(MAX) = N'CREATE CERTIFICATE [' + @sqlserver_certificate_name + '] ' + char (13) +
'    WITH SUBJECT = ''' + @sqlserver_certificate_subject + ''',' + char (13) +
'    EXPIRY_DATE = '''+ @cert_expiry_date + ''''+ char (13)
IF NOT EXISTS (SELECT name from sys.certificates WHERE name = @sqlserver_certificate_name)
BEGIN
    PRINT (@create_sqlserver_certificate_command)
    -- Execute the query to create SQL Server certificate for the instance link
    EXEC sp_executesql @stmt = @create_sqlserver_certificate_command
END
ELSE
    PRINT 'Certificate ' + @sqlserver_certificate_name + ' already exists.'
GO

Ezután használja az alábbi T-SQL-lekérdezést az SQL Serveren a tanúsítvány létrehozásának ellenőrzéséhez:

-- Run on SQL Server
USE MASTER
GO
SELECT * FROM sys.certificates WHERE pvt_key_encryption_type = 'MK'

A lekérdezés eredményei között láthatja, hogy a tanúsítvány a fő kulccsal lett titkosítva.

Most lekérheti a létrehozott tanúsítvány nyilvános kulcsát az SQL Serveren:

-- Run on SQL Server
-- Show the name and the public key of generated SQL Server certificate
USE MASTER
GO
DECLARE @sqlserver_certificate_name NVARCHAR(MAX) = N'Cert_' + @@servername  + N'_endpoint'
DECLARE @PUBLICKEYENC VARBINARY(MAX) = CERTENCODED(CERT_ID(@sqlserver_certificate_name));
SELECT @sqlserver_certificate_name as 'SQLServerCertName'
SELECT @PUBLICKEYENC AS SQLServerPublicKey;

Mentse a SQLServerCertName és SQLServerPublicKey értékeit a kimenetből, mert a következő lépéshez szüksége lesz rá a tanúsítvány importálásakor.

Először győződjön meg arról, hogy bejelentkezett az Azure-ba, és hogy kiválasztotta azt az előfizetést, amelyben a felügyelt példány üzemel. A megfelelő előfizetés kiválasztása különösen fontos, ha több Azure-előfizetéssel rendelkezik a fiókjában.

Cserélje le <SubscriptionID> az Azure-előfizetés azonosítójával.

# Run in Azure Cloud Shell (select PowerShell console)

# Enter your Azure subscription ID
$SubscriptionID = "<SubscriptionID>"

# Login to Azure and select subscription ID
if ((Get-AzContext ) -eq $null)
{
    echo "Logging to Azure subscription"
    Login-AzAccount
}
Select-AzSubscription -SubscriptionName $SubscriptionID

Ezután használja a New-AzSqlInstanceServerTrustCertificate PowerShellt, vagy az sql mi partner-cert create Azure CLI-parancsot a hitelesítési tanúsítvány nyilvános kulcsának az SQL Serverről az Azure-ba való feltöltéséhez, például az alábbi PowerShell-mintát.

Töltse ki a szükséges felhasználói adatokat, másolja ki, illessze be, majd futtassa a szkriptet. Helyettesít:

  • <SQLServerPublicKey> a SQL Server-tanúsítvány nyilvános részével bináris formátumban, amelyet az előző lépésben rögzítettél. Ez egy hosszú sztringérték, amely a 0x-ával kezdődik.
  • <SQLServerCertName> az előző lépésben rögzített SQL Server-tanúsítványnévvel.
  • <ManagedInstanceName> a(z) felügyelt példány rövid nevével.
# Run in Azure Cloud Shell (select PowerShell console)
# ===============================================================================
# POWERSHELL SCRIPT TO IMPORT SQL SERVER PUBLIC CERTIFICATE TO SQL MANAGED INSTANCE
# ===== Enter user variables here ====

# Enter the name for the server SQLServerCertName certificate – for example, "Cert_sqlserver1_endpoint"
$CertificateName = "<SQLServerCertName>"

# Insert the certificate public key blob that you got from SQL Server – for example, "0x1234567..."
$PublicKeyEncoded = "<SQLServerPublicKey>"

# Enter your managed instance short name – for example, "sqlmi"
$ManagedInstanceName = "<ManagedInstanceName>"

# ==== Do not customize the below cmdlets====

# Find out the resource group name
$ResourceGroup = (Get-AzSqlInstance -InstanceName $ManagedInstanceName).ResourceGroupName

# Upload the public key of the authentication certificate from SQL Server to Azure.
New-AzSqlInstanceServerTrustCertificate -ResourceGroupName $ResourceGroup -InstanceName $ManagedInstanceName -Name $CertificateName -PublicKey $PublicKeyEncoded

A művelet eredménye a feltöltött SQL Server-tanúsítvány összegzése az Azure-ba.

Ha egy felügyelt példányra feltöltött összes SQL Server-tanúsítványt látnia kell, használja a Get-AzSqlInstanceServerTrustCertificate PowerShellt vagy az sql mi partner-cert listát Azure CLI-parancsot az Azure Cloud Shellben. A felügyelt SQL-példányra feltöltött SQL Server-tanúsítvány eltávolításához használja a Remove-AzSqlInstanceServerTrustCertificate PowerShellt, vagy az sql mi partner-cert delete Azure CLI-parancsot az Azure Cloud Shellben.

A tanúsítvány nyilvános kulcsának lekérése a felügyelt SQL-példányból, és importálása az SQL Serverre

A kapcsolatvégpont védelmét szolgáló tanúsítvány automatikusan létrejön a felügyelt Azure SQL-példányon. Kérje le a tanúsítvány nyilvános kulcsát a felügyelt SQL-példányból, és importálja azt az SQL Serverbe a Get-AzSqlInstanceEndpointCertificate PowerShell vagy az az sql mi endpoint-cert show Azure CLI parancs használatával, a következő PowerShell-minta alapján.

Figyelem

Az Azure CLI használatakor manuálisan kell hozzáadnia 0x a PublicKey-kimenet elejéhez, amikor a következő lépésekben használja. A PublicKey például a következőhöz hasonló: "0x3082033E30...".

Futtassa a következő szkriptet. Helyettesít:

  • <SubscriptionID> az Azure-előfizetésed azonosítójával.
  • <ManagedInstanceName> a(z) felügyelt példány rövid nevével.
# Run in Azure Cloud Shell (select PowerShell console)
# ===============================================================================
# POWERSHELL SCRIPT TO EXPORT MANAGED INSTANCE PUBLIC CERTIFICATE
# ===== Enter user variables here ====

# Enter your managed instance short name – for example, "sqlmi"
$ManagedInstanceName = "<ManagedInstanceName>"

# ==== Do not customize the following cmdlet ====

# Find out the resource group name
$ResourceGroup = (Get-AzSqlInstance -InstanceName $ManagedInstanceName).ResourceGroupName

# Fetch the public key of the authentication certificate from Managed Instance. Outputs a binary key in the property PublicKey.
Get-AzSqlInstanceEndpointCertificate -ResourceGroupName $ResourceGroup -InstanceName $ManagedInstanceName -EndpointType "DATABASE_MIRRORING" | out-string

Másolja ki a teljes PublicKey-kimenetet (0x-vel kezdődik), ahogy a következő lépésben szükség lesz rá.

Másik lehetőségként, ha problémákat tapasztal a PublicKey másolása során, a T-SQL-parancsot is futtathatja a felügyelt példányon EXEC sp_get_endpoint_certificate 4 a nyilvános kulcs lekéréséhez a hivatkozásvégponthoz.

Ezután importálja a felügyelt példány biztonsági tanúsítványának beszerzett nyilvános kulcsát az SQL Serverre. Futtassa a következő lekérdezést az SQL Serveren a MI-végponttanúsítvány létrehozásához. Helyettesít:

  • <ManagedInstanceFQDN> a felügyelt példány teljes minősített tartománynevével.
  • <PublicKey> az előző lépésben kapott PublicKey értékkel (az Azure Cloud Shellből, amely a következővel kezdődik: 0x). Nem kell idézőjeleket használnia.

Fontos

A tanúsítvány nevének a felügyelt SQL-példány teljes tartománynevének kell lennie, ezért nem módosítható. A hivatkozás nem működik, ha egyéni nevet használ.

-- Run on SQL Server
USE MASTER
CREATE CERTIFICATE [<ManagedInstanceFQDN>]
FROM BINARY = <PublicKey>

Azure-beli megbízható főtanúsítvány-szolgáltatói kulcsok importálása az SQL Serverre

Az Azure által kibocsátott SQL Managed Instance nyilvános kulcstanúsítványok megbízhatóságának biztosításához szükséges az Azure-truszt által kiadott tanúsítványhatósági (CA) kulcsok importálása az SQL Serverre.

Az Azure Hitelesítésszolgáltató adataiból letöltheti a szükséges legfelső szintű hitelesítésszolgáltatói kulcsokat. Legalább töltse le a DigiCert Global Root G2 és a Microsoft RSA Főtanúsítvány 2017 tanúsítványokat, és importálja őket az SQL Server-példányba. Ha azonban néhány hónapnál tovább szeretné futtatni a hivatkozást, töltse le és importálja mind a 7 tanúsítványt a főtanúsítvány-hatóságok szakaszban, hogy elkerülje a lehetséges fennakadásokat abban az esetben, ha az Azure frissíti a megbízható hitelesítésszolgáltatói listát.

Jegyzet

A felügyelt SQL-példány nyilvános kulcsú tanúsítványának tanúsítványútvonalában található főtanúsítványt egy Azure megbízható főtanúsítvány (CA) állítja ki. Az adott legfelső szintű hitelesítésszolgáltató idővel változhat, amikor az Azure frissíti a megbízható hitelesítésszolgáltatói listát. Az egyszerűbb beállítás érdekében telepítse az Azure Főtanúsítvány-hatóságok listájában szereplő összes fő hitelesítésszolgáltatói tanúsítványt. A korábban importált SQL-felügyelt példány nyilvános kulcsának kibocsátójának azonosításával telepítheti csak a szükséges CA-kulcsot.

Mentse a helyi tanúsítványokat az SQL Server-példányra, például a mintaútvonalra C:\Path\To\<name of certificate>.crt , majd importálja a tanúsítványokat az elérési útról az alábbi Transact-SQL szkript használatával. Cserélje le <name of certificate> a tényleges tanúsítványnévre, például DigiCert Global Root G2 vagy Microsoft RSA Root Certificate Authority 2017.

-- Run on SQL Server
-- Import <name of certificate> root-authority certificate (trusted by Azure), if not already present
IF NOT EXISTS (SELECT name FROM sys.certificates WHERE name = N'<name of certificate>')
BEGIN
    PRINT 'Creating <name of certificate> certificate.'
    CREATE CERTIFICATE [<name of certificate>] FROM FILE = 'C:\Path\To\<name of certificate>.crt'

    --Trust certificates issued by <name of certificate> root authority for Azure database.windows.net domains
    DECLARE @CERTID int
    SELECT @CERTID = CERT_ID('<name of certificate>')
    --For government cloud, use the corresponding SQL Database DNS suffix, e.g. '*.database.usgovcloudapi.net', '*.database.chinacloudapi.cn' etc.
    EXEC sp_certificate_add_issuer @CERTID, N'*.database.windows.net'
END
ELSE
    PRINT 'Certificate <name of certificate> already exists.'
GO

Jegyzet

Az sp_certificate_add_issuer SQL Server-környezetből hiányzó tárolt eljárás azt jelzi, hogy az SQL Server-példány nem rendelkezik a megfelelő szolgáltatásfrissítéssel.

Végül ellenőrizze az összes létrehozott tanúsítványt a következő dinamikus felügyeleti nézet (DMV) használatával:

-- Run on SQL Server
USE master
SELECT * FROM sys.certificates

A tanúsítványlánc ellenőrzése

A tanúsítványok ütemezett vagy nem szándékos módosítása ronthatja a hivatkozást. A fennakadások elkerülése érdekében fontos rendszeresen ellenőrizni a tanúsítványláncot az SQL Serveren.

Hagyja ki ezt a lépést, ha új hivatkozást konfigurál, vagy nemrég importálta a tanúsítványokat az előző szakaszokban leírtak szerint.

Az adatbázis tükrözési végpontjának védelme

Ha nem rendelkezik meglévő rendelkezésre állási csoporttal vagy adatbázis-tükrözési végponttal az SQL Serveren, a következő lépés egy adatbázistükrözési végpont létrehozása az SQL Serveren, és a korábban létrehozott SQL Server-tanúsítvánnyal való biztonságossá tétel. Ha rendelkezik egy meglévő rendelkezésre állási csoporttal vagy tükrözési végponttal, ugorjon a Meglévő végpont módosítása szakaszra.

Az adatbázis tükrözési végpontjának létrehozása és védelme az SQL Serveren

Annak ellenőrzéséhez, hogy nincs-e meglévő adatbázistükrözési végpontja, használja a következő szkriptet:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT * FROM sys.database_mirroring_endpoints WHERE type_desc = 'DATABASE_MIRRORING'

Ha az előző lekérdezés nem jelenít meg meglévő adatbázistükrözési végpontot, futtassa az alábbi szkriptet az SQL Serveren a korábban létrehozott SQL Server-tanúsítvány nevének lekéréséhez.

-- Run on SQL Server
-- Show the name and the public key of generated SQL Server certificate
USE MASTER
GO
DECLARE @sqlserver_certificate_name NVARCHAR(MAX) = N'Cert_' + @@servername  + N'_endpoint'
SELECT @sqlserver_certificate_name as 'SQLServerCertName'

Mentse az SQLServerCertName fájlt a kimenetből, ahogy a következő lépésben szüksége lesz rá.

Az alábbi szkripttel hozzon létre egy új adatbázistükrözési végpontot a porton <EndpointPort>, és biztonságossá tegye a végpontot az SQL Server-tanúsítvánnyal. Helyettesít:

  • <SQL_SERVER_CERTIFICATE> az előző lépésben beszerzett SQLServerCertName nevével.
-- Run on SQL Server
-- Create a connection endpoint listener on SQL Server
USE MASTER
CREATE ENDPOINT database_mirroring_endpoint
    STATE=STARTED   
    AS TCP (LISTENER_PORT=<EndpointPort>, LISTENER_IP = ALL)
    FOR DATABASE_MIRRORING (
        ROLE=ALL,
        AUTHENTICATION = CERTIFICATE [<SQL_SERVER_CERTIFICATE>],
        ENCRYPTION = REQUIRED ALGORITHM AES
    )  
GO

Ellenőrizze, hogy a tükrözési végpont a következő szkript futtatásával jött-e létre az SQL Serveren:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT
    name, type_desc, state_desc, role_desc,
    connection_auth_desc, is_encryption_enabled, encryption_algorithm_desc
FROM 
    sys.database_mirroring_endpoints

A sikeresen létrehozott végponti state_desc oszlopnak STARTEDkell lennie.

Új tükrözési végpont jött létre a tanúsítványhitelesítéssel és az AES-titkosítás engedélyezésével.

Meglévő végpont módosítása

Jegyzet

Hagyja ki ezt a lépést, ha most hozott létre egy új tükrözési végpontot. Ezt a lépést csak akkor használja, ha meglévő rendelkezésre állási csoportokat használ egy meglévő adatbázistükrözési végponttal.

Ha meglévő rendelkezésre állási csoportokat használ a hivatkozáshoz, vagy ha már létezik adatbázistükrözési végpont, először ellenőrizze, hogy megfelel-e a hivatkozás következő kötelező feltételeinek:

  • A típusnak DATABASE_MIRRORINGkell lennie.
  • A kapcsolathitelesítésnek CERTIFICATEkell lennie.
  • A titkosítást engedélyezni kell.
  • A titkosítási algoritmusnak AESkell lennie.

Futtassa a következő lekérdezést az SQL Serveren egy meglévő adatbázistükrözési végpont részleteinek megtekintéséhez:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT
    name, type_desc, state_desc, role_desc, connection_auth_desc,
    is_encryption_enabled, encryption_algorithm_desc
FROM
    sys.database_mirroring_endpoints

Ha a kimenet azt mutatja, hogy a meglévő DATABASE_MIRRORING végpont connection_auth_desc nem CERTIFICATE, vagy encryption_algorithm_desc nem AES, a végpontot módosítani kell, hogy megfeleljen a követelményeknek.

Az SQL Serveren ugyanazt az adatbázis-tükrözési végpontot használja mind a rendelkezésre állási csoportok, mind az elosztott rendelkezésre állási csoportok esetében. Ha a connection_auth_desc végpontja NTLM (Windows-hitelesítés) vagy KERBEROS, és Windows-hitelesítésre van szüksége egy meglévő rendelkezésre állási csoporthoz, lehetősége van a végpontot úgy módosítani, hogy több hitelesítési módszert is alkalmazzon, a hitelesítési beállítást NEGOTIATE CERTIFICATE-ra módosítva. Ez a módosítás lehetővé teszi, hogy a meglévő rendelkezésre állási csoport Windows-hitelesítést használjon, miközben a felügyelt SQL-példány tanúsítványhitelesítését használja.

Hasonlóképpen, ha a titkosítás nem tartalmazza az AES-t, és RC4-titkosításra van szüksége, akkor mindkét algoritmus használatához módosíthatja a végpontot. A végpontok módosításának lehetséges lehetőségeiről a sys.database_mirroring_endpointsdokumentációjának oldalán talál további információt.

Az alábbi szkript egy példa arra, hogyan módosíthatja a meglévő adatbázistükrözési végpontot az SQL Serveren. Helyettesít:

  • <YourExistingEndpointName> a meglévő végpont nevével.
  • <SQLServerCertName> a létrehozott SQL Server-tanúsítvány nevével (a fenti lépések egyikében).

Az adott konfigurációtól függően előfordulhat, hogy tovább kell szabnia a szkriptet. A SELECT * FROM sys.certificates használatával is lekérheti a létrehozott tanúsítvány nevét az SQL Serveren.

-- Run on SQL Server
-- Alter the existing database mirroring endpoint to use CERTIFICATE for authentication and AES for encryption
USE MASTER
ALTER ENDPOINT [<YourExistingEndpointName>]   
    STATE=STARTED   
    AS TCP (LISTENER_PORT=<EndpointPort>, LISTENER_IP = ALL)
    FOR DATABASE_MIRRORING (
        ROLE=ALL,
        AUTHENTICATION = WINDOWS NEGOTIATE CERTIFICATE [<SQLServerCertName>],
        ENCRYPTION = REQUIRED ALGORITHM AES
    )
GO

Miután futtatta a ALTER végpontlekérdezést, és beállította a kettős hitelesítési módot Windowsra és tanúsítványra, használja újra ezt a lekérdezést az SQL Serveren az adatbázis tükrözési végpontjának részleteinek megjelenítéséhez:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT
    name, type_desc, state_desc, role_desc, connection_auth_desc,
    is_encryption_enabled, encryption_algorithm_desc
FROM
    sys.database_mirroring_endpoints

Sikeresen módosította az adatbázis tükrözési végpontját egy felügyelt SQL-példányhoz tartozó hivatkozáshoz.

Rendelkezésre állási csoport létrehozása az SQL Serveren

Ha nincs meglévő rendelkezésre állási csoportja, a következő lépés az, hogy létrehoz egyet az SQL Serveren, függetlenül attól, hogy melyik lesz a kezdeti elsődleges.

Jegyzet

Hagyja ki ezt a szakaszt, ha már rendelkezik meglévő rendelkezésre állási csoportval.

A rendelkezésre állási csoport létrehozására szolgáló parancsok eltérőek, ha a felügyelt SQL-példány a kezdeti elsődleges példány, amely csak SQL Server 2022 CU10kezdve támogatott.

Bár ugyanahhoz az adatbázishoz több hivatkozás is létrehozható, a hivatkozás hivatkozásonként csak egy adatbázis replikálását támogatja. Ha több hivatkozást szeretne létrehozni ugyanahhoz az adatbázishoz, használja ugyanazt a rendelkezésre állási csoportot az összes hivatkozáshoz, majd hozzon létre egy új elosztott rendelkezésre állási csoportot minden adatbázis-kapcsolathoz az SQL Server és a felügyelt SQL-példány között.

Ha kezdetben az SQL Server elsődleges kiszolgálóként működik, hozzon létre egy rendelkezésre állási csoportot a következő paraméterekkel a linkhez:

  • Kezdeti elsődleges kiszolgáló neve
  • Adatbázis neve
  • A MANUAL feladatátvételi módja
  • A AUTOMATIC vetésmódja

Először keresse meg az SQL Server nevét a következő T-SQL utasítás futtatásával:

-- Run on the initial primary
SELECT @@SERVERNAME AS SQLServerName

Ezután az alábbi szkripttel hozza létre a rendelkezésre állási csoportot az SQL Serveren. Helyettesít:

  • <AGNameOnSQLServer> az SQL Server rendelkezésre állási csoportjának nevével. Egy felügyelt példány hivatkozásához elérhetőségi csoportonként egy adatbázis szükséges. Több adatbázis esetén több rendelkezésre állási csoportot kell létrehoznia. Fontolja meg az egyes rendelkezésre állási csoportok elnevezését, hogy a neve tükrözze a megfelelő adatbázist – például AG_<db_name>.
  • <DatabaseName> a replikálni kívánt adatbázis nevével.
  • <SQLServerName> az előző lépésben beszerzett SQL Server-példány nevével.
  • <SQLServerIP> az SQL Server IP-címével. Alternatív megoldásként használhat feloldható SQL Server-gazdagépnevet, de meg kell győződnie arról, hogy a név feloldható a felügyelt SQL-példány virtuális hálózatáról.
-- Run on SQL Server
-- Create the primary availability group on SQL Server
USE MASTER
CREATE AVAILABILITY GROUP [<AGNameOnSQLServer>]
WITH (CLUSTER_TYPE = NONE) -- <- Delete this line for SQL Server 2016 only. Leave as-is for all higher versions.
    FOR database [<DatabaseName>]  
    REPLICA ON   
        N'<SQLServerName>' WITH   
            (  
            ENDPOINT_URL = 'TCP://<SQLServerIP>:<EndpointPort>',
            AVAILABILITY_MODE = SYNCHRONOUS_COMMIT,
            FAILOVER_MODE = MANUAL,
            SEEDING_MODE = AUTOMATIC
            );
GO

Fontos

SQL Server 2016 esetén törölje WITH (CLUSTER_TYPE = NONE) a fenti T-SQL utasításból. Hagyja a as-is értéket minden későbbi SQL Server-verzió esetében.

Ezután hozza létre az elosztott rendelkezésre állási csoportot az SQL Serveren. Ha több hivatkozást szeretne létrehozni, akkor minden hivatkozáshoz létre kell hoznia egy elosztott rendelkezésre állási csoportot, még akkor is, ha több hivatkozást hoz létre ugyanahhoz az adatbázishoz.

Cserélje le a következő értékeket, majd futtassa a T-SQL-szkriptet az elosztott rendelkezésre állási csoport létrehozásához.

  • <DAGName> az elosztott rendelkezésre állási csoport nevével. Mivel ugyanahhoz az adatbázishoz több hivatkozást is konfigurálhat úgy, hogy minden hivatkozáshoz létrehoz egy elosztott rendelkezésre állási csoportot, fontolja meg az egyes elosztott rendelkezésre állási csoportok elnevezését – például DAG1_<db_name>, DAG2_<db_name>.
  • <AGNameOnSQLServer> az előző lépésben létrehozott rendelkezésre állási csoport nevével.
  • <AGNameOnSQLMI> a rendelkezésre állási csoport nevével az SQL Managed Instance-on. A névnek egyedinek kell lennie az SQL MI-ben. Fontolja meg az egyes rendelkezésre állási csoportok elnevezését, hogy a neve tükrözze a megfelelő adatbázist – például AG_<db_name>_MI.
  • <SQLServerIP>-t cserélje le az előző lépésből származó SQL Server IP-címére. Alternatív megoldásként használhat feloldható SQL Server-gazdagépnevet, de győződjön meg arról, hogy a név feloldható a felügyelt SQL-példány virtuális hálózatáról (ehhez egyéni Azure DNS-t kell konfigurálni a felügyelt példány alhálózatához).
  • <ManagedInstanceName> a(z) felügyelt példány rövid nevével.
  • <ManagedInstanceFQDN> az Ön által felügyelt példány teljes tartománynevével.
-- Run on SQL Server
-- Create a distributed availability group for the availability group and database
-- ManagedInstanceName example: 'sqlmi1'
-- ManagedInstanceFQDN example: 'sqlmi1.73d19f36a420a.database.windows.net'
USE MASTER
CREATE AVAILABILITY GROUP [<DAGName>]
WITH (DISTRIBUTED) 
    AVAILABILITY GROUP ON  
    N'<AGNameOnSQLServer>' WITH 
    (
      LISTENER_URL = 'TCP://<SQLServerIP>:<EndpointPort>',
      AVAILABILITY_MODE = ASYNCHRONOUS_COMMIT,
      FAILOVER_MODE = MANUAL,
      SEEDING_MODE = AUTOMATIC,
      SESSION_TIMEOUT = 20
    ),
    N'<AGNameOnSQLMI>' WITH
    (
      LISTENER_URL = 'tcp://<ManagedInstanceFQDN>:5022;Server=[<ManagedInstanceName>]',
      AVAILABILITY_MODE = ASYNCHRONOUS_COMMIT,
      FAILOVER_MODE = MANUAL,
      SEEDING_MODE = AUTOMATIC
    );
GO

Rendelkezésre állási csoportok ellenőrzése

Az alábbi szkripttel listázhatja az SQL Server-példány összes rendelkezésre állási csoportját és elosztott rendelkezésre állási csoportját. Ezen a ponton a rendelkezésre állási csoport állapota connectedlegyen, és az elosztott rendelkezésre állási csoportok állapota pedig disconnected. Az elosztott rendelkezésre állási csoport állapota csak akkor lép connected állapotba, amikor csatlakozik a felügyelt SQL-példányhoz.

-- Run on SQL Server
-- This will show that the availability group and distributed availability group have been created on SQL Server.
SELECT * FROM sys.availability_groups

Másik lehetőségként az SSMS Object Explorerrel is megkeresheti a rendelkezésre állási csoportokat és az elosztott rendelkezésre állási csoportokat. Bontsa ki az Always On High Availability mappát, majd a rendelkezésre állási csoportok mappát.

Végül létrehozhatja a hivatkozást. A parancsok attól függően különböznek, hogy melyik példány az elsődleges példány. A hivatkozás létrehozásához használja a New-AzSqlInstanceLink PowerShellt vagy az sql mi link create Azure CLI-parancsot, például a jelen szakaszban található PowerShell-példát. A hivatkozás létrehozása egy felügyelt SQL-példányból jelenleg nem támogatott az Azure CLI-vel.

Ha egy felügyelt példány összes hivatkozását látnia kell, használja a Get-AzSqlInstanceLink PowerShellt, vagy az sql mi link Azure CLI-parancsot az Azure Cloud Shellben.

A folyamat egyszerűsítése érdekében jelentkezzen be az Azure Portalra, és futtassa a következő szkriptet az Azure Cloud Shellből. Helyettesít:

  • <ManagedInstanceName> a(z) felügyelt példány rövid nevével.
  • <AGNameOnSQLServer> az SQL Serveren létrehozott rendelkezésre állási csoport nevével.
  • <AGNameOnSQLMI> a felügyelt SQL-példányon létrehozott rendelkezésre állási csoport nevével.
  • <DAGName> az SQL Serveren létrehozott elosztott rendelkezésre állási csoport nevével.
  • Az adatbázis replikálva van az SQL Server rendelkezésre állási csoportjában <DatabaseName>.
  • <SQLServerIP> helyettesítse az SQL Server IP-címével. A megadott IP-címnek felügyelt példány által elérhetőnek kell lennie.

Jegyzet

Ha egy már létező rendelkezésre állási csoportra mutató hivatkozást szeretne létrehozni, adja meg a figyelő IP-címét a <SQLServerIP> paraméter megadásakor. Győződjön meg arról, hogy az összes rendelkezésreállási csoport csomópontja és a felügyelt SQL-példány között létrejött a megbízhatóság (lásd A példányok közötti megbízhatóság létrehozása szakaszt).

#  Run in Azure Cloud Shell (select PowerShell console)
# =============================================================================
# POWERSHELL SCRIPT TO CREATE MANAGED INSTANCE LINK
# Instructs Managed Instance to join distributed availability group on SQL Server
# ===== Enter user variables here ====

# Enter your managed instance name – for example, "sqlmi1"
$ManagedInstanceName = "<ManagedInstanceName>"

# Enter the availability group name that was created on SQL Server
$AGNameOnSQLServer = "<AGNameOnSQLServer>"

# Enter the availability group name that was created on SQL Managed Instance
$AGNameOnSQLMI = "<AGNameOnSQLMI>"

# Enter the distributed availability group name that was created on SQL Server
$DAGName = "<DAGName>"

# Enter the database name that was placed in the availability group for replication
$DatabaseName = "<DatabaseName>"

# Enter the SQL Server IP
$SQLServerIP = "<SQLServerIP>"

# ==== Do not customize the following cmdlet ====

# Find out the resource group name
$ResourceGroup = (Get-AzSqlInstance -InstanceName $ManagedInstanceName).ResourceGroupName

# Build properly formatted connection endpoint
$SourceIP = "TCP://" + $SQLServerIP + ":<EndpointPort>"

# Create link on managed instance. Join distributed availability group on SQL Server.
New-AzSqlInstanceLink -ResourceGroupName $ResourceGroup -InstanceName $ManagedInstanceName -Name $DAGName |
-PartnerAvailabilityGroupName $AGNameOnSQLServer -InstanceAvailabilityGroupName $AGNameOnSQLMI |
-Database @($DatabaseName) -PartnerEndpoint $SourceIP -InstanceLinkRole Secondary

Ennek a műveletnek az eredménye a hozzászólási link létrehozására vonatkozó kérés sikeres végrehajtásának időbélyegzője.

A felügyelt SQL-példány és az SQL Server közötti kapcsolat ellenőrzéséhez futtassa az alábbi lekérdezést az SQL Serveren. A kapcsolat nem lesz azonnali. A DMV-nek akár egy percbe is telhet, mire elkezdi jelezni a sikeres kapcsolatot. Frissítse a DMV-t, amíg a kapcsolat 'CSATLAKOZTATVA'-ként nem jelenik meg az SQL Managed Instance replikájához.

-- Run on SQL Server
SELECT
    r.replica_server_name AS [Replica],
    r.endpoint_url AS [Endpoint],
    rs.connected_state_desc AS [Connected state],
    rs.last_connect_error_description AS [Last connection error],
    rs.last_connect_error_number AS [Last connection error No],
    rs.last_connect_error_timestamp AS [Last error timestamp]
FROM
    sys.dm_hadr_availability_replica_states rs
    JOIN sys.availability_replicas r
    ON rs.replica_id = r.replica_id

A kapcsolat létrejötte után Objektumkezelő az SSMS-ben előfordulhat, hogy a replikált adatbázis kezdetben a másodlagos replikán jelenik meg egy Visszaállítás állapotban, amikor a kezdeti vetés fázisa áthelyezi és visszaállítja az adatbázis teljes biztonsági mentését. Az adatbázis visszaállítása után a replikációnak fel kell hoznia a két adatbázist egy szinkronizált állapotba. Az adatbázis a kezdeti feltöltés befejezése után már nem lesz visszaállítási állapotban. A kis adatbázisok kezdeti feltöltése elég gyors lehet ahhoz, hogy a kezdeti Visszaállítás állapot ne jelenjen meg az SSMS-ben.

Fontos

  • A kapcsolat csak akkor működik, ha az SQL Server és a felügyelt SQL-példány között hálózati kapcsolat áll fenn. A hálózati kapcsolatok hibaelhárításához kövesse a Hálózati kapcsolat tesztelésecímű témakör lépéseit.
  • Készítsen rendszeres biztonsági másolatot a naplófájlról az SQL Serveren. Ha a felhasznált naplóterület eléri a 100%-ot, a felügyelt SQL-példányra történő replikáció leáll, amíg a helyhasználat nem csökken. Javasoljuk, hogy napi feladat beállításával automatizálja a naplók biztonsági mentését. További információkért lásd: Naplófájlok biztonsági mentése a(z) SQL Server-en.

Készítse el az első tranzakciónapló biztonsági mentést

Ha az SQL Server a kezdeti elsődleges példány, fontos, hogy az első tranzakciónapló biztonsági mentését az SQL Server kezdeti vetésének befejezése után készítse el, miután az adatbázis kijött a Visszaállítás... állapotból az Azure SQL Managed Instance-t. Ezután rendszeresen készítsen biztonsági másolatot SQL Server-tranzakciónaplókról, hogy minimalizálja a túlzott mértékű naplónövekedést, mialatt az SQL Server elsődleges szerepkörben van.

Ha a felügyelt SQL-példány az elsődleges, nem kell semmilyen műveletet elvégeznie, mivel az Azure SQL Managed Instance automatikusan készít napló biztonsági mentéseket.

Ha el szeretné dobni a hivatkozást, vagy azért, mert már nincs rá szükség, vagy mert helyrehozhatatlan állapotban van, és újra létre kell hoznia, ezt a PowerShell és a T-SQL használatával teheti meg.

Először használja a Remove-AzSqlInstanceLink PowerShell parancsot a hivatkozás elvetéséhez, például a következő példában:

Remove-AzSqlInstanceLink -ResourceGroupName $ResourceGroup -InstanceName $managedInstanceName -Name $DAGName -Force

Ezután futtassa a következő T-SQL-szkriptet az SQL Serveren az elosztott rendelkezésre állási csoport elvetéséhez. Cserélje le a <DAGName> a hivatkozás létrehozásához használt elosztott rendelkezésre állási csoport nevére:

USE MASTER 
GO 

DROP AVAILABILITY GROUP <DAGName>  
GO

Végül, ha már nincs használatban, eltávolíthatja a rendelkezésre állási csoportot. Ehhez cserélje le a <AGName> a rendelkezésre állási csoport nevére, majd futtassa a megfelelő példányon:

DROP AVAILABILITY GROUP <AGName>  
GO

Hibaelhárítás

Ha a hivatkozás létrehozásakor hibaüzenet jelenik meg, további információért tekintse át a hibaüzenetet a lekérdezés kimeneti ablakában. További információért tekintse meg a hivatkozás problémáinak elhárítását.

Kapcsolódó tartalom

A hivatkozás használata:

További információ a hivatkozásról:

Egyéb replikációs és migrálási forgatókönyvek esetén fontolja meg a következő szempontokat:

  • Last updated on