Ellenőrzőlista: Ajánlott eljárások SQL Server Azure-beli virtuális gépeken

A következőkre vonatkozik: SQL Server Azure-beli virtuális gépen

Ez a cikk egy gyors ellenőrzőlistát biztosít az Ajánlott eljárások és irányelvek sorozataként az Azure Virtual Machines (virtuális gépek) SQL Server teljesítményének optimalizálásához.

Az átfogó részletekért tekintse meg a sorozat további cikkeit: virtuális gép mérete, tárolás, biztonság, HADR-konfiguráció, Alapterv gyűjtése.

Engedélyezze az SQL Assessmentet az Azure-beli virtuális gépeken SQL Server, és a SQL Server az ismert ajánlott eljárások alapján lesz kiértékelve, és az eredményeket a Azure Portal SQL virtuális gépek felügyeleti oldalán találhatja meg.

Az SQL Server virtuális gépek teljesítményének optimalizálását és a felügyelet automatizálását szolgáló legújabb funkciókkal kapcsolatos videókért tekintse át az alábbi, közzétett adatokkal kapcsolatos videókat:

Áttekintés

Az Azure Virtual Machines SQL Server futtatása közben továbbra is ugyanazokat az adatbázisteljesítmény-finomhangolási beállításokat használja, amelyek a helyszíni kiszolgálói környezetekben SQL Server alkalmazhatók. A nyilvános felhőben lévő relációs adatbázisok teljesítménye azonban számos tényezőtől függ, például egy virtuális gép méretétől és az adatlemezek konfigurációjától.

Általában a költségek optimalizálása és a teljesítmény optimalizálása között van kompromisszum. Ez a teljesítményre vonatkozó ajánlott eljárások sorozat a legjobb teljesítményt nyújtja az Azure Virtual Machines SQL Server számára. Ha a számítási feladat kevésbé igényes, előfordulhat, hogy nem kell minden javasolt optimalizálást igényelni. A javaslatok kiértékelése során vegye figyelembe a teljesítményigényeket, a költségeket és a számítási feladatok mintáit.

Virtuális gép mérete

Az alábbiakban az Azure-beli virtuális gépeken futó SQL Server virtuálisgép-méretével kapcsolatos ajánlott eljárásokat soroljuk fel:

  • Az új Ebdsv5-sorozat a legmagasabb I/O-teljesítmény-virtuális mag arányt biztosítja az Azure-ban, valamint 8 memória–virtuális mag arányt. Ez a sorozat az Azure-beli virtuális gépeken SQL Server számítási feladatokhoz nyújtja a legjobb ár-teljesítményt. Ezt a sorozatot a legtöbb SQL Server számítási feladatnál érdemes először figyelembe venni.
  • Használjon 4 vagy több vCPU-val rendelkező virtuálisgép-méretet, például a E4ds_v5 vagy annál nagyobbat.
  • Az SQL Server-alapú számítási feladatok lehető legjobb teljesítményének biztosításához használjon memóriaoptimalizált virtuálisgép-méreteket.
  • Az Edsv5 sorozat, az M- és az Mv2-sorozat az OLTP számítási feladatokhoz szükséges optimális memória-vCore arányt kínálja.
  • Az M sorozatú virtuális gépek a legmagasabb memória-virtuális mag arányt kínálják az Azure-ban. Fontolja meg ezeket a virtuális gépeket kritikus fontosságú és adattárház-számítási feladatokhoz.
  • Használja Azure Marketplace lemezképeket a SQL Server Virtual Machines üzembe helyezéséhez, mivel a SQL Server beállítások és tárolási beállítások az optimális teljesítmény érdekében vannak konfigurálva.
  • Gyűjtse össze a cél számítási feladat teljesítményjellemzőit, és használja őket a megfelelő virtuálisgép-méret meghatározására a vállalat számára.
  • A Data Migration Assistant és a termékváltozat javaslati eszközeinek használatával keresse meg a meglévő SQL Server számítási feladathoz megfelelő virtuálisgép-méretet.
  • Az Azure Data Studio használatával migrálhat az Azure-ba.

További információért tekintse meg az átfogó virtuálisgép-méretre vonatkozó ajánlott eljárásokat.

Tárolás

Az alábbi gyors ellenőrzőlista tartalmazza a SQL Server Azure-beli virtuális gépen való futtatásához ajánlott tárolási konfigurációs eljárásokat:

  • A lemeztípus kiválasztása előtt monitorozza az alkalmazást, és határozza meg a tárolási sávszélességre és a késésre vonatkozó követelményeket SQL Server adatokra, naplókra és tempdb fájlokra vonatkozóan.
  • A tárolási teljesítmény optimalizálása érdekében tervezze meg a legmagasabb elérhető IOPS-t, és használja az adat-gyorsítótárazást teljesítményfunkcióként az adatolvasáshoz, miközben elkerüli a virtuális gépek és lemezek korlátozását/szabályozását.
  • Adatok, naplók és tempdb fájlok elhelyezése külön meghajtókon.
    • Az adatmeghajtóhoz használjon prémium P30- és P40- vagy kisebb lemezeket a gyorsítótár támogatásának biztosításához
    • A prémium P30- P80-lemezek kiértékelése során a kapacitás és a tesztelési teljesítmény és a költségek naplómeghajtó-csomagja esetében.
    • Ha ezredmásodperc alatti tárolási késésre van szükség, használja az Azure ultralemezeit a tranzakciónaplóhoz.
    • Az M sorozatú virtuális gépek üzembe helyezéséhez fontolja meg az Írásgyorsító használatát az Azure ultralemezek használatával.
    • Helyezze a tempdb-t a helyi rövid élettartamú SSD-meghajtóra a D:\legtöbb olyan SQL Server számítási feladathoz, amely nem része a feladatátvevőfürt-példánynak (FCI) az optimális virtuálisgép-méret kiválasztása után.
    • Ha a helyi meghajtó kapacitása nem elegendő a számára tempdb, fontolja meg a virtuális gép méretezését. További információt az Adatfájl gyorsítótárazási szabályzatai című témakörben talál.
    • FCI-hely tempdb a megosztott tárolóban.
    • Ha az FCI számítási feladat nagymértékben függ a tempdb lemez teljesítményétől, akkor speciális konfigurációs helyként tempdb a helyi rövid élettartamú SSD-meghajtón (alapértelmezett D:\) található, amely nem része az FCI-tárolónak. Ehhez a konfigurációhoz egyéni monitorozásra és műveletre lesz szükség annak biztosításához, hogy a helyi rövid élettartamú SSD-meghajtó (alapértelmezett D:\) mindig elérhető legyen, mivel a meghajtó meghibásodásai nem aktiválják az FCI-ből származó műveletet.
  • Több Azure-adatlemez leválasztása a Tárolóhelyek használatával az I/O-sávszélesség növeléséhez a cél virtuális gép IOPS- és átviteli sebességkorlátjaiig.
  • Állítsa a gazdagép gyorsítótárazását írásvédettre adatfájllemezek esetében.
  • Állítsa a gazdagép gyorsítótárazását a naplófájllemezek egyikére sem.
    • Ne engedélyezze az olvasási/írási gyorsítótárazást olyan lemezeken, amelyek SQL Server adatokat vagy naplófájlokat tartalmaznak.
    • A lemez gyorsítótár-beállításainak módosítása előtt mindig állítsa le a SQL Server szolgáltatást.
  • A fejlesztési és tesztelési számítási feladatokhoz fontolja meg a standard tároló használatát. Éles számítási feladatokhoz nem ajánlott standard HDD/SDD használata.
  • A kreditalapú lemezkitörést (P1-P20) csak kisebb fejlesztési/tesztelési számítási feladatok és részlegrendszerek esetében szabad figyelembe venni.
  • A tárfiók kiépítése a SQL Server virtuális géppel azonos régióban.
  • Tiltsa le az Azure georedundáns tárolást (georeplikációt), és használja az LRS-t (helyi redundáns tárolás) a tárfiókon.
  • Formázza az adatlemezt úgy, hogy az ideiglenes D:\ meghajtótól eltérő meghajtón elhelyezett összes adatfájlhoz 64 KB-os foglalási egységméretet használjon (amely alapértelmezés szerint 4 KB). SQL Server Azure Marketplace üzembe helyezett virtuális gépek a foglalási egység méretével formázott adatlemezekkel és a tárolókészlet 64 KB-ra van állítva.
  • Engedélyezze az SQL ajánlott eljárásainak felmérését a lehetséges teljesítményproblémák azonosításához, és értékelje ki, hogy a SQL Server virtuális gép úgy van-e konfigurálva, hogy kövesse az ajánlott eljárásokat.
  • Tekintse át és monitorozza a lemez- és virtuálisgép-korlátokat a Tárolási I/O-kihasználtsági metrikák használatával.

További információért tekintse meg az átfogó tárolási ajánlott eljárásokat.

SQL Server funkciók

Az alábbiakban a konfigurációs beállítások SQL Server ajánlott eljárásainak gyors ellenőrzőlistája látható, amikor éles Környezetben futó Azure-beli virtuális gépen futtatja a SQL Server-példányokat:

Azure-szolgáltatások

Az alábbiakban a SQL Server Azure-beli virtuális gépen való futtatásakor az Azure-ra vonatkozó ajánlott eljárások gyors ellenőrzőlistája látható:

HADR-konfiguráció

A magas rendelkezésre állású és vészhelyreállítási (HADR) funkciók, például az Always On rendelkezésre állási csoport és a feladatátvevő fürt példánya a Windows Server feladatátvevő fürt mögöttes technológiájára támaszkodnak. Tekintse át a HADR-beállítások módosításának ajánlott eljárásait a felhőkörnyezet jobb támogatása érdekében.

A Windows-fürt esetében vegye figyelembe az alábbi ajánlott eljárásokat:

  • Ha lehetséges, helyezze üzembe a SQL Server virtuális gépeket több alhálózaton, hogy elkerülje a Azure Load Balancer vagy az elosztott hálózatnév (DNN) függőségét, hogy a forgalmat a HADR-megoldáshoz irányíthassa. Tekintse át a [Rendelkezésre állási csoportok]/azure/azure-sql/virtual-machines/windows/availability-group-overview#deployment-options) Azure-ban történő üzembe helyezésének különböző módjait.
  • Módosítsa a fürtöt kevésbé agresszív paraméterekre, hogy elkerülje az átmeneti hálózati hibák vagy az Azure platformkarbantartás váratlan kimaradását. További információ: szívverési és küszöbérték-beállítások. Windows Server 2012 és újabb verziók esetén használja a következő ajánlott értékeket:
    • SameSubnetDelay: 1 másodperc
    • SameSubnetThreshold: 40 szívverés
    • CrossSubnetDelay: 1 másodperc
    • CrossSubnetThreshold: 40 szívverés
  • Helyezze a virtuális gépeket egy rendelkezésre állási csoportba vagy különböző rendelkezésre állási zónákba. További információ: Virtuális gépek rendelkezésre állási beállításai.
  • Fürtcsomópontonként egyetlen hálózati adaptert és egyetlen alhálózatot használjon.
  • Konfigurálja a fürt kvórumszavazását úgy, hogy 3 vagy több páratlan számú szavazatot használjon. Ne rendeljen szavazatokat vészhelyreállítási régiókhoz.
  • Gondosan monitorozza az erőforráskorlátokat , hogy elkerülje az erőforrás-korlátozások miatti váratlan újraindításokat vagy feladatátvételeket.
    • Győződjön meg arról, hogy az operációs rendszer, az illesztőprogramok és a SQL Server a legújabb buildek.
    • Optimalizálja az Azure-beli virtuális gépeken SQL Server teljesítményét. További információért tekintse át a cikk többi szakaszát.
    • Csökkentse vagy terjessze el a számítási feladatokat az erőforráskorlátok elkerülése érdekében.
    • A korlátozások elkerülése érdekében lépjen olyan virtuális gépre vagy lemezre, amelyet a korlátja nagyobb.

A SQL Server rendelkezésre állási csoport vagy feladatátvevő fürtpéldány esetében vegye figyelembe az alábbi ajánlott eljárásokat:

  • Ha gyakran tapasztal váratlan hibákat, kövesse a cikk további részében ismertetett ajánlott teljesítmény-ajánlott eljárásokat.
  • Ha SQL Server virtuális gép teljesítményének optimalizálása nem oldja meg a váratlan feladatátvételeket, fontolja meg a rendelkezésre állási csoport vagy feladatátvevő fürt példány figyelésének lazítását. Ez azonban nem feltétlenül oldja meg a probléma mögöttes forrását, és a hiba valószínűségének csökkentésével elfedheti a tüneteket. Előfordulhat, hogy továbbra is ki kell vizsgálnia és kezelnie kell a mögöttes kiváltó okot. Windows Server 2012 vagy magasabb értékek esetén használja a következő ajánlott értékeket:
    • Bérlet időtúllépése: Ezzel az egyenletel kiszámíthatja a bérlet időkorlátjának maximális értékét:
      • Lease timeout < (2 * SameSubnetThreshold * SameSubnetDelay).
      • Kezdje 40 másodperccel. Ha a korábban javasolt laza SameSubnetThreshold és SameSubnetDelay értékeket használja, ne haladja meg a bérlet időkorlátjának 80 másodpercét.
    • Hibák maximális száma egy adott időszakban: Ezt az értéket 6-ra állíthatja.
    • Állapotellenőrzés időtúllépése: Ezt az értéket kezdetben 60000 értékre állíthatja, és szükség szerint módosíthatja.
  • Ha a virtuális hálózat nevét (VNN) és Azure Load Balancer használja a HADR-megoldáshoz való csatlakozáshoz, adja meg MultiSubnetFailover = true a kapcsolati sztring, még akkor is, ha a fürt csak egy alhálózatra terjed ki.
    • Ha az ügyfél nem támogatja MultiSubnetFailover = True , előfordulhat, hogy rövidebb ideig kell beállítania RegisterAllProvidersIP = 0 és HostRecordTTL = 300 gyorsítótárazza az ügyfél hitelesítő adatait. Ez azonban további lekérdezéseket okozhat a DNS-kiszolgálónak.
  • Ha elosztott hálózatnévvel (DNN) szeretne csatlakozni a HADR-megoldáshoz, vegye figyelembe a következőket:
    • Olyan ügyfélillesztőt kell használnia, amely támogatja MultiSubnetFailover = Truea -t, és ennek a paraméternek a kapcsolati sztring kell lennie.
    • Használjon egyedi DNN-portot a kapcsolati sztring, amikor egy rendelkezésre állási csoport DNN-figyelőjéhez csatlakozik.
  • Használjon adatbázis-tükrözési kapcsolati sztring egy alapszintű rendelkezésre állási csoporthoz, hogy megkerülje a terheléselosztó vagy a DNN szükségességét.
  • A magas rendelkezésre állású megoldás üzembe helyezése előtt ellenőrizze a VHD-k szektorméretét, hogy elkerülje a helytelenül kiosztott I/OS-t. További információ: KB3009974 .
  • Ha az SQL Server adatbázismotor, az Always On rendelkezésreállási csoport figyelője vagy a feladatátvevő fürtpéldány állapottesztje úgy van konfigurálva, hogy 49 152 és 65 536 közötti portot használjon (a TCP/IP alapértelmezett dinamikus porttartománya), adjon hozzá kivételt minden porthoz. Ez megakadályozza, hogy más rendszerek dinamikusan hozzárendelje ugyanazt a portot. Az alábbi példa egy kizárást hoz létre az 59999-ös porthoz:
    • netsh int ipv4 add excludedportrange tcp startport=59999 numberofports=1 store=persistent

További információért tekintse meg a HADR átfogó ajánlott eljárásait.

Biztonság

Az ebben a szakaszban található ellenőrzőlista az Azure-beli virtuális gépeken SQL Server ajánlott biztonsági eljárásokat ismerteti.

SQL Server funkciók és képességek adatszinten biztosítanak biztonsági módszert, és a felhőalapú és hibrid megoldások infrastruktúraszintjén is így érhetik el a mélységi védelmet. Emellett az Azure biztonsági intézkedésekkel titkosíthatja a bizalmas adatokat, megvédheti a virtuális gépeket a vírusoktól és kártevőktől, biztonságossá teheti a hálózati forgalmat, azonosíthatja és észlelheti a fenyegetéseket, megfelelhet a megfelelőségi követelményeknek, és egyetlen módszert biztosít a hibrid felhőben felmerülő biztonsági igények felügyeletéhez és jelentéskészítéséhez.

  • A Azure Security Center használatával kiértékelheti és végrehajthatja az adatkörnyezet biztonsági helyzetének javítását. Az Olyan képességek, mint az Azure Advanced Threat Protection (ATP) a hibrid számítási feladatokban felhasználhatók a biztonsági kiértékelés javítása és a kockázatokra való reagálás képessége érdekében. A SQL Server virtuális gép regisztrálása az SQL IaaS-ügynök bővítményével Azure Security Center értékeléseket a Azure Portal SQL virtuálisgép-erőforrásán belül.
  • Az SQL-hez készült Microsoft Defender segítségével felderítheti és elháríthatja az adatbázis lehetséges biztonsági réseit, valamint észlelheti azokat a rendellenes tevékenységeket, amelyek fenyegetést jelenthetnek a SQL Server példányra és adatbázisrétegre.
  • A sebezhetőségi felmérés az SQL-Microsoft Defender része, amely képes felderíteni és elhárítani a SQL Server környezet lehetséges kockázatait. Betekintést nyújt a biztonsági állapotba, és végrehajtható lépéseket tartalmaz a biztonsági problémák megoldásához.
  • Az Azure-beli bizalmas virtuális gépek használatával megerősítheti a használatban lévő adatok és az inaktív adatok védelmét a gazdagép-kezelő hozzáférésével szemben. Az Azure-beli bizalmas virtuális gépek segítségével magabiztosan tárolhatja bizalmas adatait a felhőben, és szigorú megfelelőségi követelményeknek is megfelelhet.
  • Ha 2022-SQL Server van, fontolja meg az Azure Active Directory-hitelesítés használatát a SQL Server példányához való csatlakozáshoz.
  • Az Azure Advisor elemzi az erőforrás-konfigurációt és a használati telemetriát, majd olyan megoldásokat javasol, amelyek segíthetnek az Azure-erőforrások költséghatékonyságának, teljesítményének, magas rendelkezésre állásának és biztonságának javításában. Használja ki az Azure Advisort a virtuális gép, az erőforráscsoport vagy az előfizetés szintjén az Azure-üzemelő példányok optimalizálására vonatkozó ajánlott eljárások azonosításához és alkalmazásához.
  • Az Azure Disk Encryptiont akkor használja, ha a megfelelőségi és biztonsági követelmények megkövetelik az adatok végpontok közötti titkosítását a titkosítási kulcsokkal, beleértve a rövid élettartamú (helyileg csatlakoztatott ideiglenes) lemez titkosítását is.
  • Managed Disks alapértelmezés szerint inaktív állapotban vannak titkosítva az Azure Storage Service Encryption használatával, ahol a titkosítási kulcsok a Microsoft által az Azure-ban tárolt kulcsok.
  • A felügyelt lemeztitkosítási lehetőségek összehasonlításához tekintse át a felügyelt lemeztitkosítás összehasonlító diagramját
  • A felügyeleti portokat be kell zárni a virtuális gépeken – A nyitott távfelügyeleti portok magas szintű kockázatnak teszik ki a virtuális gépet az internetes támadások miatt. Ezek a támadások találgatásos hitelesítő adatokkal próbálnak rendszergazdai hozzáférést szerezni a géphez.
  • Igény szerinti (JIT) hozzáférés bekapcsolása Azure-beli virtuális gépekhez
  • Használja az Azure Bastiont távoli asztali protokollon (RDP) keresztül.
  • Zárolja a portokat, és csak a szükséges alkalmazásforgalmat engedélyezze a Azure Firewall használatával, amely egy felügyelt szolgáltatásként nyújtott tűzfal (FaaS), amely a kiszolgálóhoz való hozzáférést az eredeti IP-cím alapján engedélyezi vagy megtagadja.
  • Hálózati biztonsági csoportok (NSG-k) használata az Azure-beli virtuális hálózatokon lévő Azure-erőforrások felé és onnan érkező hálózati forgalom szűréséhez
  • Az alkalmazásbiztonsági csoportok segítségével a kiszolgálókat hasonló portszűrési követelményekkel csoportosíthatja, hasonló funkciókkal, például webkiszolgálókkal és adatbázis-kiszolgálókkal.
  • Web- és alkalmazáskiszolgálók esetén az Azure Distributed Denial of Service (DDoS) védelmet használja. A DDoS-támadások a hálózati erőforrások túlterhelésére és kimerítésére szolgálnak, így az alkalmazások lassúak vagy nem válaszolnak. A DDos-támadások gyakran a felhasználói felületek megcélzására irányulnak. Az Azure DDoS Protection megtisztítja a nem kívánt hálózati forgalmat, mielőtt az hatással lenne a szolgáltatás rendelkezésre állására
  • A virtuálisgép-bővítmények segítségével elháríthatja a kártevőirtókat, a kívánt állapotot, a fenyegetésészlelést, a megelőzést és a javítást az operációs rendszer, a gép és a hálózati szintek fenyegetéseinek kezeléséhez:
  • A Azure Policy használatával olyan üzleti szabályokat hozhat létre, amelyek alkalmazhatók a környezetére. Az Azure Policies úgy értékeli ki az Azure-erőforrásokat, hogy összehasonlítja ezeknek az erőforrásoknak a tulajdonságait a JSON-formátumban meghatározott szabályokkal.
  • Az Azure Blueprints segítségével a felhőmérnökök és központi informatikai csoportok meghatározhatnak egy megismételhető Azure-erőforráskészletet, amely megvalósítja és betartja a vállalat szabványait, mintázatait és követelményeit. Az Azure Blueprints különbözik az Azure-szabályzatoktól.

Következő lépések

További információért tekintse meg az ajánlott eljárásokat ismertető sorozat további cikkeit:

Fontolja meg az SQL Assessment engedélyezését SQL Server Azure-beli virtuális gépeken.

Tekintse át az Azure Virtual Machines áttekintésében SQL Server SQL Server virtuális gépekről szóló cikkeket. Ha kérdése van az SQL Servert futtató virtuális gépek használatával kapcsolatban, tekintse meg a gyakori kérdéseket.