Biztonsági mentés és URL-cím visszaállítása felügyelt identitásokkal

A következőkre vonatkozik:SQL Server Azure-beli virtuális gépen (csak Windows rendszeren)

Ez a cikk bemutatja, hogyan készíthet biztonsági másolatot és állíthat vissza SQL Server adatbázisokat Azure-beli virtuális gépeken (VM) URL-címen keresztül a Microsoft Entra által felügyelt identitások használatával.

Áttekintés

Az SQL Server 2022 17-es kumulatív frissítésétől (CU17) kezdve az SQL Server hitelesítő adataival rendelkező felügyelt identitások használatával biztonsági másolatot készíthet az SQL Serverről az Azure-beli virtuálisgép-adatbázisokról, és visszaállíthatja az Azure Blob Storage-ból. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak.

Előfeltételek

• Az Azure VM-en futtatott SQL Server 2022 CU17 vagy újabb verzió az SQL IaaS Agent bővítményben regisztrálva.
• Az URL-címről biztonsági másolatot készítő vagy az URL-címről visszaállító SQL Server-példányt Microsoft Entra-hitelesítéssel kell konfigurálni, függetlenül attól, hogy a bővítményben regisztrált példányról van-e szó.
• Egy Azure Blob Storage-fiók.
• Érvényes hálózati hozzáférés az Azure Blob Storage-hoz és a Windows Tűzfalhoz a gazdagépen a kimenő kapcsolat és az érvényes tárfiók-szolgáltatásvégpontok engedélyezéséhez.
• Az Azure-beli virtuális gépen futó SQL Server elsődleges felügyelt identitásának a következőre van szüksége:
  • Felhasználó által hozzárendelt felügyelt identitás vagy rendszer által hozzárendelt felügyelt identitás hozzárendelése. További információért lásd: Felügyelt identitások konfigurálása az Azure virtuális gépein.
  • Storage Blob Data Contributor Az elsődleges felügyelt identitás szerepkörének hozzárendelése a tárfiókhoz.

Kiszolgáló hitelesítő adatainak létrehozása felügyelt identitások használatával

A T-SQL-parancsok BACKUP DATABASE <database name> TO URL és RESTORE <database name> FROM URL a felügyelt identitások használatához létre kell hoznia egy kiszolgálói hitelesítő adatot, amely a felügyelt identitást használja. A hitelesítő adatok neve az Azure Storage URL-címét jelöli, és jelzi az adatbázis biztonsági mentésének helyét.

Az alábbi példa bemutatja, hogyan hozhat létre hitelesítő adatokat egy felügyelt identitáshoz:

CREATE CREDENTIAL [https://<storage-account-name>.blob.core.windows.net/<container-name>]
    WITH IDENTITY = 'Managed Identity'

A WITH IDENTITY = 'Managed Identity' záradékhoz elsődleges felügyelt identitásra van szükség, amely az Azure-beli virtuális gépen futó SQL Serverhez van hozzárendelve.

További információ azokról a hibaüzenetekről, amelyek akkor fordulhatnak elő, ha az elsődleges felügyelt identitás nincs hozzárendelve vagy megfelelő engedélyekkel rendelkezik, tekintse meg a Hibaüzenetek szakaszt .

URL-címre BIZTONSÁGI MENTÉS felügyelt identitás használatával

A hitelesítő adatok létrehozása után az adatbázisokat biztonsági mentésre és az Azure Blob Storage-ba való visszaállítására használhatja. Győződjön meg arról, hogy az Azure-beli virtuális gépen futó SQL Server elsődleges felügyelt identitása rendelkezik a Storage Blob Data Contributor tárfiókhoz rendelt szerepkörrel.

Az alábbi példa bemutatja, hogyan lehet biztonsági másolatot készíteni egy adatbázisról az Azure Blob Storage-ba a felügyelt identitás hitelesítő adatainak használatával:

BACKUP DATABASE [AdventureWorks]
    TO URL = 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak'

URL-címről való visszaállítás felügyelt identitás használatával

Az alábbi példa bemutatja, hogyan állíthat vissza adatbázist az Azure Blob Storage-ból a felügyelt identitás hitelesítő adataival:

RESTORE DATABASE [AdventureWorks]
    FROM URL = 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak'

Hibaüzenetek

A 4675-ös nyomkövetési jelzővel ellenőrizheti a felügyelt identitással létrehozott hitelesítő adatokat. Ha az utasítást a CREATE CREDENTIAL 4675-ös nyomkövetési jelző engedélyezése nélkül futtatja, a rendszer nem ad vissza hibaüzenetet, ha az elsődleges felügyelt identitás nincs beállítva a kiszolgálóhoz. A hiba elhárításához törölnie kell a hitelesítő adatokat, és újra létre kell hoznia a hitelesítő adatokat, miután a nyomkövetési jelző engedélyezve van.

Nincs hozzárendelve elsődleges felügyelt identitás

Ha nem rendel hozzá elsődleges felügyelt identitást az Azure-beli virtuális gépen futó SQL Serverhez, a biztonsági mentési és visszaállítási műveletek meghiúsulnak egy hibaüzenettel, amely jelzi, hogy a felügyelt identitás nincs kiválasztva.

Msg 37563, Level 16, State 2, Line 14
The primary managed identity is not selected for this server. Enable the primary managed identity for Microsoft Entra authentication for this server. For more information see (https://aka.ms/sql-server-managed-identity-doc).`

Nincs Storage Blob Data Contributor hozzárendelt szerepkör

Ha nem rendeli hozzá a Storage Blob Data Contributor szerepkört az Azure-beli virtuális gépen futó SQL Server elsődleges felügyelt identitásához, a BACKUP művelet egy hibaüzenettel meghiúsul, amely azt jelzi, hogy a hozzáférés megtagadva.

Msg 3201, Level 16, State 1, Line 31
Cannot open backup device 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak'. Operating system error 5(Access is denied.).
Msg 3013, Level 16, State 1, Line 31
BACKUP DATABASE is terminating abnormally.

Ha nem rendeli hozzá a Storage Blob Data Contributor szerepkört az Azure-beli virtuális gépen futó SQL Server felügyelt identitásához, a RESTORE művelet egy hibaüzenettel meghiúsul, amely azt jelzi, hogy a hozzáférés megtagadva.

Msg 3201, Level 16, State 1, Line 31
Cannot open backup device 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak'. Operating system error 5(Access is denied.).
Msg 3013, Level 16, State 1, Line 31
RESTORE DATABASE is terminating abnormally.

Hálózati vagy tűzfalproblémák

Ha nem konfigurál érvényes hálózati hozzáférést az Azure Blob Storage-hoz, és nem állítja be a Windows tűzfal engedélyeit a gazdagépen a kimenő kapcsolat engedélyezéséhez, valamint az érvényes tárfiók-szolgáltatásvégpontok nincsenek konfigurálva, a BACKUP művelet meghiúsul egy hibaüzenettel, amely a hozzáférés megtagadását jelzi.

Msg 3201, Level 16, State 1, Line 31
Cannot open backup device 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak'. Operating system error 5(Access is denied.).
Msg 3013, Level 16, State 1, Line 31
BACKUP DATABASE is terminating abnormally.

Ha nem konfigurál érvényes hálózati hozzáférést az Azure Blob Storage számára, és nem állítja be a Windows tűzfal megfelelő engedélyeit a gazdagépen a kimenő kapcsolat engedélyezéséhez, valamint ha nincsenek beállítva érvényes tárfiók szolgáltatási végpontok, a RESTORE művelet hibaüzenettel meghiúsul, mely szerint a hozzáférés megtagadva.

Msg 3201, Level 16, State 1, Line 31
Cannot open backup device 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak'. Operating system error 5(Access is denied.).
Msg 3013, Level 16, State 1, Line 31
RESTORE DATABASE is terminating abnormally.

Adatbázisnév duplikálása

Ha az eredeti adatbázis ugyanazzal a névvel rendelkezik a tárolóban, az új adatbázis ugyanabba a tárolási útvonalra való visszaállítása a következő hibával meghiúsul:

Msg 1834, Level 16, State 1, Line 35
RESTORE DATABASE AdventureWorks
FROM URL = 'https://<storage-account-name>.blob.core.windows.net/<container-name>/AdventureWorks.bak';
Msg 1834, Level 16, State 1, Line 35
The file 'C:\Server\sqlservr\data\AdventureWorks.mdf' cannot be overwritten.  It is being used by the database 'AdventureWorks'.
Msg 3156, Level 16, State 4, Line 35
File 'AdventureWorks' cannot be restored to 'C:\Server\sqlservr\data\AdventureWorks.mdf'. Use WITH MOVE to identify a valid location for the file.

A probléma megoldásához helyezze el az eredeti adatbázist, vagy helyezze át a használt fájlokat egy másik helyre az adatbázis visszaállítása előtt. További információ: Adatbázis visszaállítása új helyre (SQL Server).

Korlátozások

• Az Azure-beli virtuális gépen futó SQL Server támogatja a kiszolgálószintű felügyelt identitást, a helyszíni SQL Server azonban nem. A Linux nem támogatja a kiszolgálószintű felügyelt identitást.

• Az Azure VM-en futó SQL Server a SQL Server 2022 CU17-től kezdve támogatja a felügyelt identitást BACKUP TO URL és RESTORE FROM URL. A helyszíni SQL Server az SQL Server 2025-től kezdve BACKUP TO URL vagy RESTORE FROM URL felügyeleti identitással támogatja.

• Az átállási fürtpéldány (FCI) nem támogatja a kezelt identitásokat.

• Csak ugyanazzal a felügyelt identitással futtatható BACKUP TO URL , amelyet az Azure-beli virtuális gépeken futó SQL Serverhez használ, függetlenül attól, hogy a kiszolgálón egy vagy több SQL Server-példány található-e a virtuális gépen.

Kapcsolódó tartalom

• Microsoft Entra-hitelesítés engedélyezése azure-beli virtuális gépeken futó SQL Serverhez
• Azure Storage-fiók létrehozása
• SQL Server biztonsági mentése a Microsoft Azure Blob Storage URL-címére
• HITELESÍTŐ ADATOK LÉTREHOZÁSA (Transact-SQL)
• Nyomkövetési jelző 4675