Azure 機密 VM に SQL Server をデプロイする

  • [アーティクル]

適用対象:Azure VM 上の SQL Server

この記事では、Azure 機密 VM に SQL Server をデプロイする方法について説明します。

概要

Azure 機密 VM は、ハードウェアによって適用される強力な境界を提供します。これにより、ホスト オペレーターのアクセスからゲスト OS を強力に保護することができます。 Azure VM 上でご利用の SQL Server に対して機密 VM サイズを選択すると、保護レイヤーが追加され、それにより、確実に機密データをクラウドに格納し、厳格なコンプライアンス要件を満たすことができます。

Azure 機密 VM では、SEV-SNP テクノロジを備えた AMD プロセッサを活用しています。このプロセッサでは自身で生成したキーを使用して VM のメモリを暗号化します。 これは、使用中のデータ (SQL Server プロセスのメモリ内で処理されるデータ) を、ホスト OS からの不正アクセスから保護するのに役立ちます。 また、仮想マシンのトラステッド プラットフォーム モジュール (TPM) チップにバインドされたキーを使用して機密 VM の OS ディスクを暗号化し、保存データの保護を強化することもできます。

Azure 機密 VM は、汎用およびメモリ最適化の両方の VM サイズ シリーズで利用できます。

ディスク暗号化に関する推奨事項は、機密 VM の場合と、その他の VM サイズの場合とでは異なります。 詳細については、ディスクの暗号化に関するページを参照してください。

機密 VM に SQL Server をデプロイする

機密 VM をデプロイする詳細な手順については、クイック スタート: Azure VM への SQL Server のデプロイに関するページを参照してください。

SQL Server VM を機密 Azure VM にデプロイするには、SQL Server VM をデプロイする際に次の値を選択してください。

  1. サポートされているリージョンを選択します。 リージョンのサポート可能性を検証するには、Azure リージョン別の利用可能な VM 製品に関するページで ECadsv5-series または DCadsv5-series を探してください。
  2. [セキュリティの種類][機密仮想マシン] に設定します。 このオプションが淡色表示されている場合は、選択したリージョンで機密 VM が現在サポートされていない可能性があります。 ドロップダウンから別のリージョンを選択します。
  3. サポートされている機密 SQL Server イメージを選択します。 SQL Server イメージを変更するには、[すべてのイメージを表示] を選択してから、[セキュリティの種類] = [機密 VM] でフィルター処理して、機密 VM をサポートするすべての SQL Server イメージを識別します。
  4. サポートされている VM サイズを選択します。 使用可能なすべてのサイズを表示するには、[すべてのサイズを表示] を選択して、機密 VM をサポートするすべての VM サイズと、それをサポートしていないサイズを識別します。
  5. (省略可能) 機密ディスク暗号化を構成します。 クイックスタートのディスクに関するセクションにある手順に従います。

使用可能なイメージを特定する

機密 VM をサポートするすべての SQL Server イメージを表示するには、Azure portal から SQL Server 仮想マシンのデプロイを開始して、[基本] タブ[イメージ] の下にある [すべてのイメージを表示] を選択して、Azure Marketplace を開きます。 「sql」と検索ボックスに入力し、[セキュリティの種類 = 機密] を選択してオプションをフィルター処理することで、機密 VM をサポートするすべての SQL Server イメージを表示します。

制限事項

  • 現時点で Azure 機密 VM をサポートしているのは、次のリストにある事前構築済みの SQL Server イメージに限られています。 SQL Server のバージョン/エディション/オペレーティング システムと機密 VM の別の組み合わせを使用する場合は、選択したイメージをデプロイしてから、SQL Server を自身でインストールします。
    • SQL Server 2022 Enterprise / Developer / Standard / Web on Windows Server 2022 - x64 Gen 2
    • SQL Server 2019 Enterprise on Windows Server 2022 Database Engine Only - x64 Gen 2.
    • SQL Server 2017 Enterprise on Windows Server 2019 Database Engine Only - x64 Gen 2
  • 機密 VM は、現在すべてのリージョンで使用できるわけではありません。 リージョンのサポート可能性を検証するには、Azure リージョン別の利用可能な VM 製品に関するページで ECadsv5-series または DCadsv5-series を探してください。

次のステップ

この記事では、Azure portal で機密仮想マシンに SQL Server をデプロイする方法について説明しました。 新しい SQL Server にデータを移行する方法の詳細については、次の記事を参照してください。

SQL VM にデータベースを移行する