Környezet előkészítése hivatkozásra – Felügyelt Azure SQL-példány
A következőre vonatkozik: Felügyelt Azure SQL-példány
Ez a cikk bemutatja, hogyan készítheti elő a környezetet egy felügyelt példányra mutató hivatkozásra , hogy replikálható legyen az SQL Server és az Azure SQL Managed Instance között.
Megjegyzés:
Egy letölthető szkripttel automatizálhatja a környezet előkészítését a felügyelt példány hivatkozására. További információ: Automating link setup blog.
Előfeltételek
Az SQL Server és a felügyelt Azure SQL-példány közötti kapcsolat létrehozásához a következő előfeltételekre van szükség:
- Aktív Azure-előfizetés. Ha még nincs előfizetése, hozzon létre egy ingyenes fiókot.
- Az SQL Server támogatott verziója a szükséges szolgáltatásfrissítéssel.
- Azure SQL Managed Instance. Első lépések , ha nem rendelkezik vele.
- Döntse el, hogy melyik kiszolgáló legyen a kezdeti elsődleges, hogy meghatározza, honnan kell létrehoznia a hivatkozást. A felügyelt SQL-példányról elsődleges és az SQL Server másodlagosra mutató hivatkozás konfigurálása csak az SQL Server 2022 CU10-től kezdve támogatott.
Figyelem
Amikor létrehoz egy felügyelt SQL-példányt a hivatkozási funkcióval való használatra, vegye figyelembe a memóriakövetelményeket a memóriában lévő OLTP-szolgáltatásokhoz, amelyeket az SQL Server használ. További információ: Az Azure SQL Managed Instance erőforráskorlátjainak áttekintése.
Permissions
AZ SQL Server esetében sysadmin engedélyekkel kell rendelkeznie.
Felügyelt Azure SQL-példány esetén a felügyelt SQL-példány közreműködőjének kell lennie, vagy az alábbi engedélyekkel kell rendelkeznie egy egyéni szerepkörhöz:
Microsoft.Sql/ erőforrás | Szükséges engedélyek |
---|---|
Microsoft.Sql/managedInstances | /read, /write |
Microsoft.Sql/managedInstances/hybridCertificate | /művelet |
Microsoft.Sql/managedInstances/databases | /read, /delete, /write, /completeRestore/action, /readBackups/action, /restoreDetails/read |
Microsoft.Sql/managedInstances/distributedAvailabilityGroups | /read, /write, /delete, /setRole/action |
Microsoft.Sql/managedInstances/endpointCertificates | /Olvasni |
Microsoft.Sql/managedInstances/hybridLink | /read, /write, /delete |
Microsoft.Sql/managedInstances/serverTrustCertificates | /write, /delete, /read |
Az SQL Server-példány előkészítése
Az SQL Server-példány előkészítéséhez ellenőriznie kell, hogy:
- Ön a minimálisan támogatott verzión van.
- Engedélyezte a rendelkezésre állási csoportok funkciót.
- Az indításkor hozzáadta a megfelelő nyomkövetési jelzőket.
- Az adatbázisok a teljes helyreállítási modellben találhatók, és biztonsági másolatot készítnek.
A módosítások érvénybe lépéséhez újra kell indítania az SQL Servert.
Szolgáltatásfrissítések telepítése
Győződjön meg arról, hogy az SQL Server-verzió rendelkezik a megfelelő karbantartási frissítés telepítésével, a verziótámogatási táblázatban leírtak szerint. Ha frissítéseket kell telepítenie, a frissítés során újra kell indítania az SQL Server-példányt.
Az SQL Server-verzió ellenőrzéséhez futtassa a következő Transact-SQL (T-SQL) szkriptet az SQL Serveren:
-- Run on SQL Server
-- Shows the version and CU of the SQL Server
USE master;
GO
SELECT @@VERSION as 'SQL Server version';
Adatbázis főkulcsának létrehozása az master
adatbázisban
Ha még nincs meg, hozzon létre adatbázis-főkulcsot az master
adatbázisban. Szúrja be a jelszót <strong_password>
a következő szkript helyett, és tartsa azt bizalmas és biztonságos helyen. Futtassa ezt a T-SQL-szkriptet az SQL Serveren:
-- Run on SQL Server
-- Create a master key
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong_password>';
Ha meg szeretné győződni arról, hogy rendelkezik az adatbázis főkulcsával, használja a következő T-SQL-szkriptet az SQL Serveren:
-- Run on SQL Server
USE master;
GO
SELECT * FROM sys.symmetric_keys WHERE name LIKE '%DatabaseMasterKey%';
Rendelkezésre állási csoportok engedélyezése
A hivatkozási funkció az Always On rendelkezésre állási csoportok funkcióra támaszkodik, amely alapértelmezés szerint le van tiltva. További információ: Always On rendelkezésreállási csoportok funkció engedélyezése.
A rendelkezésre állási csoportok funkció engedélyezésének ellenőrzéséhez futtassa a következő T-SQL-szkriptet az SQL Serveren:
-- Run on SQL Server
-- Is the availability groups feature enabled on this SQL Server
DECLARE @IsHadrEnabled sql_variant = (select SERVERPROPERTY('IsHadrEnabled'))
SELECT
@IsHadrEnabled as 'Is HADR enabled',
CASE @IsHadrEnabled
WHEN 0 THEN 'Availability groups DISABLED.'
WHEN 1 THEN 'Availability groups ENABLED.'
ELSE 'Unknown status.'
END
as 'HADR status'
Fontos
Az SQL Server 2016 (13.x) esetében, ha engedélyeznie kell a rendelkezésre állási csoportok funkciót, az SQL Server 2016 előfeltételeinek előkészítése – Felügyelt Azure SQL-példány hivatkozásában dokumentált további lépéseket kell végrehajtania. Ezek a további lépések nem szükségesek az SQL Server 2019 (15.x) és a hivatkozás által támogatott újabb verziók esetében.
Ha a rendelkezésre állási csoportok funkció nincs engedélyezve, az alábbi lépésekkel engedélyezheti:
Open SQL Server Configuration Manager.
Válassza ki az SQL Server Servicest a bal oldali panelen.
Kattintson a jobb gombbal az SQL Server szolgáltatásra, majd válassza a Tulajdonságok lehetőséget.
Nyissa meg a Mindig rendelkezésre állási csoportok lapot.
Jelölje be az Always On rendelkezésre állási csoportok engedélyezése jelölőnégyzetet, majd kattintson az OK gombra.
- Ha az SQL Server 2016 -ot (13.x) használja, és ha az Always On rendelkezésre állási csoportok engedélyezése lehetőség le van tiltva üzenettel
This computer is not a node in a failover cluster.
, kövesse az SQL Server 2016 előfeltételeinek előkészítése – Felügyelt Azure SQL-példány hivatkozása című cikkben leírt további lépéseket. Miután elvégezte ezeket a további lépéseket, térjen vissza, és próbálkozzon újra a lépéssel.
- Ha az SQL Server 2016 -ot (13.x) használja, és ha az Always On rendelkezésre állási csoportok engedélyezése lehetőség le van tiltva üzenettel
Válassza az OK gombot a párbeszédpanelen.
Indítsa újra az SQL Server szolgáltatást.
Indítási nyomkövetési jelzők engedélyezése
A hivatkozás teljesítményének optimalizálásához javasoljuk, hogy indításkor engedélyezze a következő nyomkövetési jelzőket:
-T1800
: Ez a nyomkövetési jelző optimalizálja a teljesítményt, ha a rendelkezésre állási csoport elsődleges és másodlagos replikáinak naplófájljai különböző szektorméretű lemezeken vannak tárolva, például 512 bájt és 4 KB. Ha az elsődleges és a másodlagos replika lemezterületének mérete 4 KB, akkor ez a nyomkövetési jelző nem szükséges. További információ: KB3009974.-T9567
: Ez a nyomkövetési jelző lehetővé teszi az adatfolyam tömörítését a rendelkezésre állási csoportok számára az automatikus vetés során. A tömörítés növeli a processzor terhelését, de jelentősen csökkentheti az átviteli időt a vetés során.
A nyomkövetési jelzők indításkor történő engedélyezéséhez kövesse az alábbi lépéseket:
Open SQL Server Configuration Manager.
Válassza ki az SQL Server Servicest a bal oldali panelen.
Kattintson a jobb gombbal az SQL Server szolgáltatásra, majd válassza a Tulajdonságok lehetőséget.
Lépjen az Indítási paraméterek lapra. Az Indítási paraméter megadása mezőben adja meg
-T1800
és válassza a Hozzáadás lehetőséget az indítási paraméter hozzáadásához. Ezután adja meg-T9567
és válassza a Hozzáadás lehetőséget a másik nyomkövetési jelző hozzáadásához. Select Apply to save your changes.A Tulajdonságok ablak bezárásához kattintson az OK gombra.
További információkért tekintse meg a nyomkövetési jelzők engedélyezéséhez használt szintaxist.
Indítsa újra az SQL Servert, és ellenőrizze a konfigurációt
Miután meggyőződött arról, hogy az SQL Server támogatott verzióján van, engedélyezte az Always On rendelkezésre állási csoportok funkciót, és hozzáadta az indítási nyomkövetési jelzőket, indítsa újra az SQL Server-példányt az összes módosítás alkalmazásához:
Nyissa meg a SQL Server Konfigurációkezelő.
Válassza ki az SQL Server Servicest a bal oldali panelen.
Kattintson a jobb gombbal az SQL Server szolgáltatásra, majd válassza az Újraindítás lehetőséget.
Az újraindítás után futtassa a következő T-SQL-szkriptet az SQL Serveren az SQL Server-példány konfigurációjának ellenőrzéséhez:
-- Run on SQL Server
-- Shows the version and CU of SQL Server
USE master;
GO
SELECT @@VERSION as 'SQL Server version';
GO
-- Shows if the Always On availability groups feature is enabled
SELECT SERVERPROPERTY ('IsHadrEnabled') as 'Is Always On enabled? (1 true, 0 false)';
GO
-- Lists all trace flags enabled on SQL Server
DBCC TRACESTATUS;
Az SQL Server-verziónak az egyik támogatott verziónak kell lennie a megfelelő szolgáltatásfrissítésekkel, engedélyeznie kell az Always On rendelkezésre állási csoportok funkciót, és engedélyeznie kell a nyomkövetési jelzőket-T1800
.-T9567
Az alábbi képernyőkép egy megfelelően konfigurált SQL Server-példány várt kimenetére mutat példát:
Hálózati kapcsolat konfigurálása
A kapcsolat működéséhez hálózati kapcsolatnak kell lennie az SQL Server és a felügyelt SQL-példány között. A választott hálózati beállítás attól függ, hogy az SQL Server-példány egy Azure-hálózaton található-e.
SQL Server az Azure Virtual Machines szolgáltatásban
Az SQL Server üzembe helyezése az Azure-beli virtuális gépeken ugyanazon az Azure-beli virtuális hálózaton, amely a felügyelt SQL-példányt üzemelteti, a legegyszerűbb módszer, mivel a két példány között automatikusan létrejön a hálózati kapcsolat. További információ : Rövid útmutató: Azure-beli virtuális gép konfigurálása felügyelt Azure SQL-példányhoz való csatlakozáshoz.
Ha az Azure Virtual Machines-példányon futó SQL Server egy másik virtuális hálózatban található, mint a felügyelt példány, akkor mindkét virtuális hálózat között kapcsolatot kell létesítenie. The virtual networks don't have to be in the same subscription for this scenario to work.
Két lehetőség van a virtuális hálózatok csatlakoztatására:
- Azure-beli virtuális hálózatok közötti társviszony-létesítés
- Virtuális hálózatok közötti VPN-átjáró (Azure Portal, PowerShell, Azure CLI)
A társviszony-létesítés előnyösebb, mert a Microsoft gerinchálózatát használja, így a kapcsolat szempontjából nincs észrevehető különbség a virtuális gépek közötti késésben egy társhálózatban és ugyanabban a virtuális hálózatban. A virtuális hálózatok közötti társviszony-létesítés támogatott az ugyanabban a régióban lévő hálózatok között. A 2020. szeptember 22. után létrehozott alhálózatokban üzemeltetett példányok esetében a globális virtuális hálózatok közötti társviszony-létesítés támogatott. További információ: Gyakori kérdések (GYIK).
Sql Server az Azure-on kívül
Ha az SQL Server-példányt az Azure-on kívül üzemelteti, hozzon létre VPN-kapcsolatot az SQL Server és a felügyelt SQL-példány között az alábbi lehetőségek egyikével:
- Helyek közötti VPN-kapcsolat
- Azure ExpressRoute connection
Tipp.
Az adatok replikálásakor a legjobb hálózati teljesítmény érdekében javasoljuk az ExpressRoute használatát. Elég sávszélességű átjáró kiépítése a használati esethez.
Hálózati portok a környezetek között
A kapcsolati mechanizmustól függetlenül a környezetek közötti hálózati forgalomnak teljesítenie kell a követelményeket:
A felügyelt példányt üzemeltető alhálózat hálózati biztonsági csoportjának (NSG) szabályainak engedélyeznie kell a következőt:
- Az 5022-s bejövő port és az 11000-11999-ös porttartomány a forrás SQL Server IP-címéről érkező forgalom fogadásához
- Kimenő 5022-s port, amely forgalmat küld a cél SQL Server IP-címre
Az SQL Servert futtató hálózat összes tűzfalának és a gazdagép operációs rendszerének engedélyeznie kell a következőt:
- Az 5022-ben megnyitott bejövő port a /24 MI-alhálózat forrás IP-tartományából érkező forgalom fogadásához (például 10.0.0.0/24)
- Az 5022-s kimenő portok és az 11000–11999 közötti porttartomány megnyílt, hogy forgalmat küldjön a MI-alhálózat cél IP-címtartományára (10.0.0.0/24- ös példa)
Az alábbi táblázat az egyes környezetekhez tartozó portműveleteket ismerteti:
Environment | Teendők |
---|---|
SQL Server (az Azure-ban) | Nyissa meg mind a bejövő, mind a kimenő forgalmat az 5022-s porton a hálózati tűzfal számára a felügyelt SQL-példány teljes alhálózati IP-tartományára. Ha szükséges, végezze el ugyanezt az SQL Server gazda operációs rendszer (Windows/Linux) tűzfalán is. Az 5022-s porton való kommunikáció engedélyezéséhez hozzon létre egy hálózati biztonsági csoport (NSG) szabályt a virtuális gépet üzemeltető virtuális hálózaton. |
SQL Server (az Azure-on kívül) | Nyissa meg mind a bejövő, mind a kimenő forgalmat az 5022-s porton a hálózati tűzfal számára a felügyelt SQL-példány teljes alhálózati IP-tartományára. Ha szükséges, végezze el ugyanezt az SQL Server gazda operációs rendszer (Windows/Linux) tűzfalán is. |
SQL Managed Instance | Hozzon létre egy NSG-szabályt az Azure Portalon, amely engedélyezi a bejövő és kimenő forgalmat az IP-címről és az SQL Servert üzemeltető hálózatról az 5022-es porton és az 11000-11999-es porttartományon. |
A következő PowerShell-szkripttel nyissa meg a portokat a Windows tűzfalon az SQL Server-példány Windows-gazda operációs rendszerén:
New-NetFirewallRule -DisplayName "Allow TCP port 5022 inbound" -Direction inbound -Profile Any -Action Allow -LocalPort 5022 -Protocol TCP
New-NetFirewallRule -DisplayName "Allow TCP port 5022 outbound" -Direction outbound -Profile Any -Action Allow -LocalPort 5022 -Protocol TCP
Az alábbi ábrán egy helyszíni hálózati környezet példája látható, amely azt jelzi, hogy a környezet összes tűzfalának nyitott portokkal kell rendelkeznie, beleértve az SQL Servert futtató operációsrendszer-tűzfalat, valamint a vállalati tűzfalakat és/vagy átjárókat:
Fontos
- A portoknak nyitva kell lenniük a hálózati környezet minden tűzfalán, beleértve a gazdakiszolgálót, valamint a hálózati vállalati tűzfalakat vagy átjárókat. Vállalati környezetekben előfordulhat, hogy meg kell jelenítenie a hálózati rendszergazdának az ebben a szakaszban található információkat, hogy további portokat nyisson meg a vállalati hálózati rétegben.
- Bár dönthet úgy, hogy testre szabja a végpontot az SQL Server oldalán, a felügyelt SQL-példány portszámai nem módosíthatók és nem szabhatók testre.
- A felügyelt példányokat üzemeltető alhálózatok IP-címtartományai és az SQL Server nem fedi egymást.
URL-címek hozzáadása az engedélyezési listához
A hálózati biztonsági beállításoktól függően szükség lehet URL-címek hozzáadására a felügyelt SQL-példány teljes tartománynevéhez és az Azure által az engedélyezési listához használt erőforrás-kezelési végpontokhoz.
Az alábbi lista felsorolja azokat az erőforrásokat, amelyeket hozzá kell adni az engedélyezési listához:
- A felügyelt SQL-példány teljes tartományneve (FQDN). Például: managedinstance1.6d710bcf372b.database.windows.net.
- Microsoft Entra Authority
- Microsoft Entra-végpont erőforrás-azonosítója
- Resource Manager-végpont
- Szolgáltatásvégpont
Az SQL Server Management Studio (SSMS) Eszközök felületének eléréséhez kövesse az SSMS konfigurálása kormányzati felhőkhöz című szakasz lépéseit, és azonosítsa a felhőbeli erőforrások adott URL-címeit, amelyeket fel kell vennie az engedélyezési listára.
Hálózati kapcsolat tesztelése
A kapcsolat működéséhez kétirányú hálózati kapcsolatra van szükség az SQL Server és a felügyelt SQL-példány között. Miután megnyitotta a portokat az SQL Server oldalán, és konfigurált egy NSG-szabályt a felügyelt SQL-példány oldalán, tesztelje a kapcsolatot az SQL Server Management Studio (SSMS) vagy a Transact-SQL használatával.
Az SQL Server és a felügyelt SQL-példány közötti hálózati kapcsolat SSMS-ben való teszteléséhez kövesse az alábbi lépéseket:
Csatlakozás arra a példányra, amely az SSMS elsődleges replikája lesz.
Az Object Explorerben bontsa ki az adatbázisokat, és kattintson a jobb gombbal a másodlagos adatbázisra. Válassza a Tasks Azure SQL Managed Instance link Test Csatlakozás ion (Feladatok>azure SQL Managed Instance link>Test Csatlakozás ion) lehetőséget a Hálózat-ellenőrző varázsló megnyitásához:
Válassza a Tovább lehetőséget a Hálózat-ellenőrző varázsló Bevezetés lapján.
Ha az Előfeltételek lapon minden követelmény teljesül, válassza a Tovább gombot. Egyéb esetben oldja fel a nem teljesült előfeltételeket, majd válassza az Ellenőrzés újrafuttatása lehetőséget.
A Bejelentkezési lapon válassza a Bejelentkezés lehetőséget a másodlagos replikaként használt másik példányhoz való csatlakozáshoz. Válassza a Következő lehetőséget.
Ellenőrizze a részleteket a Hálózatbeállítások megadása lapon, és szükség esetén adjon meg egy IP-címet. Válassza a Következő lehetőséget.
Az Összegzés lapon tekintse át a varázsló által végrehajtott műveleteket, majd válassza a Befejezés lehetőséget a két replika közötti kapcsolat teszteléséhez.
Tekintse át az Eredmények lapot a két replika közötti kapcsolat ellenőrzéséhez, majd kattintson a Bezárás gombra a befejezéshez.
Figyelem
Csak akkor végezze el a következő lépéseket, ha ellenőrizte a hálózati kapcsolatot a forrás- és célkörnyezetek között. Ellenkező esetben a folytatás előtt hárítsa el a hálózati csatlakozási problémákat.
TDE által védett adatbázis tanúsítványának migrálása (nem kötelező)
Ha transzparens adattitkosítás (TDE) által védett SQL Server-adatbázist egy felügyelt példányhoz csatol, a hivatkozás használata előtt át kell telepítenie a megfelelő titkosítási tanúsítványt a helyszíni vagy az Azure-beli virtuálisgép-SQL Server-példányról a felügyelt példányra. Részletes lépésekért lásd : TDE által védett adatbázis tanúsítványának migrálása felügyelt Azure SQL-példányba.
A szolgáltatás által felügyelt TDE-kulcsokkal titkosított SQL Managed Instance-adatbázisok nem csatolhatók az SQL Serverhez. A titkosított adatbázist csak akkor csatolhatja az SQL Serverhez, ha az ügyfél által felügyelt kulccsal lett titkosítva, és a célkiszolgáló hozzáfér az adatbázis titkosításához használt kulcshoz. További információ: Az SQL Server TDE beállítása az Azure Key Vaulttal.
SSMS telepítése
Az SQL Server Management Studio (SSMS) a felügyelt példány hivatkozásának legegyszerűbb módja. Töltse le az SSMS 19.0-s vagy újabb verzióját, és telepítse az ügyfélszámítógépre.
A telepítés befejezése után nyissa meg az SSMS-t, és csatlakozzon a támogatott SQL Server-példányhoz. Kattintson a jobb gombbal egy felhasználói adatbázisra, és ellenőrizze, hogy megjelenik-e az Azure SQL Managed Instance hivatkozási lehetőség a menüben.
SSMS konfigurálása kormányzati felhőkhöz
Ha a felügyelt SQL-példányt kormányzati felhőben szeretné üzembe helyezni, módosítania kell az SQL Server Management Studio (SSMS) beállításait a megfelelő felhő használatához. Ha nem kormányzati felhőben helyezi üzembe a felügyelt SQL-példányt, hagyja ki ezt a lépést.
Az SSMS-beállítások frissítéséhez kövesse az alábbi lépéseket:
- Nyissa meg az SSMS-t.
- A menüben válassza az Eszközök , majd a Beállítások lehetőséget.
- Bontsa ki az Azure-szolgáltatásokat, és válassza az Azure Cloudot.
- Az Azure Cloud kiválasztása csoportban a legördülő listában válassza ki az AzureUSGovernment vagy egy másik kormányzati felhőt, például az AzureChinaCloudot:
Ha vissza szeretne lépni a nyilvános felhőbe, válassza az AzureCloudot a legördülő listából.
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: