Share via

Zelfstudie: TDE-databases (preview) migreren naar Azure SQL in Azure Data Studio

  • Artikel

Voor het beveiligen van een SQL Server-database kunt u voorzorgsmaatregelen nemen, zoals het ontwerpen van een beveiligd systeem, het versleutelen van vertrouwelijke assets en het bouwen van een firewall. Fysieke diefstal van media, zoals stations of tapes, kan de gegevens echter nog steeds in gevaar komen.

TDE biedt een oplossing voor dit probleem, met realtime I/O-versleuteling/ontsleuteling van data-at-rest (gegevens- en logboekbestanden) met behulp van een symmetrische databaseversleutelingssleutel (DEK) die wordt beveiligd door een certificaat. Zie Een met TDE beveiligde database verplaatsen naar een andere SQL Server voor meer informatie over het handmatig migreren van TDE-certificaten.

Wanneer u een met TDE beveiligde database migreert, moet het certificaat (asymmetrische sleutel) dat wordt gebruikt om de DATABASEversleutelingssleutel (DEK) te openen, ook samen met de brondatabase worden verplaatst. Daarom moet u het servercertificaat opnieuw maken in de master database van de doel-SQL Server voor dat exemplaar voor toegang tot de databasebestanden.

U kunt de Azure SQL Migration-extensie voor Azure Data Studio gebruiken om u te helpen bij het migreren van databases met TDE-functionaliteit (preview) van een on-premises exemplaar van SQL Server naar Azure SQL.

Het databasemigratieproces met TDE-functionaliteit automatiseert handmatige taken, zoals het maken van een back-up van de databasecertificaatsleutels (DEK), het kopiƫren van de certificaatbestanden van de on-premises SQL-server naar het Azure SQL-doel en het opnieuw configureren van TDE voor de doeldatabase.

Belangrijk

  1. Op dit moment worden alleen Azure SQL Managed Instance-doelen ondersteund.
  2. Versleutelde back-ups worden niet ondersteund.

In deze zelfstudie leert u hoe u de versleutelde voorbeelddatabase AdventureWorksTDE migreert van een on-premises exemplaar van SQL Server naar een met Azure SQL beheerd exemplaar.

  • De wizard Migreren naar Azure SQL openen in Azure Data Studio
  • Een evaluatie uitvoeren van uw SQL Server-brondatabases
  • De migratie van uw TDE-certificaten configureren
  • Verbinding maken naar uw Azure SQL-doel
  • Start de migratie van uw TDE-certificaat en controleer de voortgang tot voltooiing

Vereisten

Voordat u met de zelfstudie begint:

  • Download en installeer Azure Data Studio.

  • Installeer de Azure SQL Migration-extensie vanuit Azure Data Studio Marketplace.

  • Voer Azure Data Studio uit als Beheer istrator.

  • Een Azure-account hebben dat is toegewezen aan een van de volgende ingebouwde rollen:

    • Inzender voor het beheerde doelexemplaren (en opslagaccount voor het uploaden van uw back-ups van de TDE-certificaatbestanden van de SMB-netwerkshare).
    • Lezerrol voor de Azure-resourcegroepen die het beheerde doelexemplaren of het Azure-opslagaccount bevatten.
    • De rol Eigenaar of Inzender voor het Azure-abonnement (vereist als u een nieuwe DMS-service maakt).
    • Als alternatief voor het gebruik van de bovenstaande ingebouwde rollen kunt u een aangepaste rol toewijzen. Zie Aangepaste rollen: Online SQL Server naar SQL Managed Instance-migraties met ADS voor meer informatie.

  • Maak een doelexemplaren van Azure SQL Managed Instance.

  • Zorg ervoor dat de aanmelding die u gebruikt om verbinding te maken met de SQL Server-bron lid is van de serverfunctie sysadmin .

  • De machine waarop Azure Data Studio de databasemigratie met TDE uitvoert, moet verbinding hebben met zowel bronnen als doel-SQL-servers.

De wizard Migreren naar Azure SQL openen in Azure Data Studio

De wizard Migreren naar Azure SQL openen:

  1. Ga in Azure Data Studio naar Verbinding maken ions. Verbinding maken naar uw on-premises exemplaar van SQL Server. U kunt ook verbinding maken met SQL Server op een virtuele Azure-machine.

  2. Klik met de rechtermuisknop op de serververbinding en selecteer Beheren.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. Selecteer Azure SQL Migration in het servermenu onder Algemeen.

    Screenshot that shows the Azure Data Studio server menu.

  4. Selecteer In het Azure SQL Migration-dashboard de optie Migreren naar Azure SQL om de migratiewizard te openen.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. Start op de eerste pagina van de wizard een nieuwe sessie of hervat een eerder opgeslagen sessie.

Database-evaluatie uitvoeren

  1. In stap 1: Databases voor evaluatie in de wizard Migreren naar Azure SQL selecteert u de databases die u wilt evalueren. Selecteer vervolgens Volgende.

    Screenshot that shows selecting a database for assessment.

  2. Voer in stap 2: Evaluatieresultaten de volgende stappen uit:

    1. Selecteer in Kies uw Azure SQL-doel de optie Azure SQL Managed Instance.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Selecteer Weergeven/Selecteren om de evaluatieresultaten weer te geven.

      Screenshot that shows view/select assessment results.

    3. Selecteer in de evaluatieresultaten de database en bekijk vervolgens de resultaten van de evaluatie. In dit voorbeeld ziet u dat de AdventureWorksTDE database is beveiligd met TDE (Transparent Data Encryption). De evaluatie raadt aan om het TDE-certificaat te migreren voordat de brondatabase naar het doel van het beheerde exemplaar wordt gemigreerd.

      Screenshot that shows assessment findings report.

    4. Kies Selecteren om het configuratiepaneel voor TDE-migratie te openen.

TDE-migratie-instellingen configureren

  1. Selecteer in de geselecteerde sectie Versleutelde database mijn certificaten en persoonlijke sleutel exporteren naar het doel.

    Screenshot that shows the TDE migration configuration.

    Belangrijk

    In de sectie Infovak worden de vereiste machtigingen beschreven voor het exporteren van de DEK-certificaten.

    U moet ervoor zorgen dat het SQL Server-serviceaccount schrijftoegang heeft tot het netwerksharepad dat u gebruikt om een back-up te maken van de DEK-certificaten. De huidige gebruiker moet ook beheerdersbevoegdheden hebben op de computer waarop dit netwerkpad bestaat.

  2. Voer het netwerkpad in.

    Screenshot that shows the TDE migration configuration for a network share.

    Controleer vervolgens of ik toestemming geef om mijn referenties te gebruiken voor toegang tot de certificaten. Met deze actie staat u de wizard databasemigratie toe om een back-up te maken van uw DEK-certificaat in de netwerkshare.

  3. Als u de migratiewizard niet wilt, kunt u databases met TDE-functionaliteit migreren. Selecteer dat ik niet wil dat Azure Data Studio de certificaten exporteert. Sla deze stap over.

    Screenshot that shows how to decline the TDE migration.

    Belangrijk

    U moet de certificaten migreren voordat u doorgaat met de migratie, anders mislukt de migratie. Zie Een met TDE beveiligde database verplaatsen naar een andere SQL Server voor meer informatie over het handmatig migreren van TDE-certificaten.

  4. Als u wilt doorgaan met de TDE-certificeringsmigratie, selecteert u Toepassen.

    Screenshot that shows how to apply the TDE migration configuration.

    Het configuratievenster voor TDE-migratie wordt gesloten, maar u kunt Bewerken selecteren om de configuratie van uw netwerkshare op elk gewenst moment te wijzigen. Selecteer Volgende om door te gaan met het migratieproces.

    Screenshot that shows how to edit the TDE migration configuration.

Migratie-instellingen configureren

Voer in stap 3: Azure SQL-doel in de wizard Migreren naar Azure SQL de volgende stappen uit voor uw beheerde doelexemplaren:

  1. Selecteer uw Azure-account, Azure-abonnement, de Azure-regio of -locatie en de resourcegroep die het beheerde exemplaar bevat.

    Screenshot that shows Azure account details.

  2. Wanneer u klaar bent, selecteert u Certificaten migreren om de migratie van TDE-certificaten te starten.

De migratie van het TDE-certificaat starten en bewaken

  1. In stap 3: Migratiestatus wordt het deelvenster Certificatenmigratie geopend. De voortgangsdetails van de migratie van TDE-certificaten worden weergegeven op het scherm.

    Screenshot that shows how the TDE migration process starts.

  2. Zodra de TDE-migratie is voltooid (of als deze fouten heeft), worden de relevante updates weergegeven op de pagina.

    Screenshot that shows how the TDE migration process continues.

  3. Als u de migratie opnieuw moet uitvoeren, selecteert u Migratie opnieuw proberen.

    Screenshot that shows how to retry the TDE migration.

  4. Wanneer u klaar bent, selecteert u Gereed om door te gaan met de migratiewizard.

    Screenshot that shows how to complete the TDE migration.

  5. U kunt het proces voor elk TDE-certificaat bewaken door Migrate-certificaten te selecteren.

  6. Selecteer Volgende om door te gaan met de migratiewizard totdat u de databasemigratie hebt voltooid.

    Screenshot that shows how to continue the database migration.

    Raadpleeg de volgende stapsgewijze zelfstudies voor meer informatie over het online of offline migreren van databases naar Azure SQL Managed Instance-doelen:

Stappen na migratie

Het beheerde doelexemplaren moeten nu de databases en hun respectieve certificaten worden gemigreerd. Als u de huidige status van de onlangs gemigreerde database wilt controleren, kopieert en plakt u het volgende voorbeeld in een nieuw queryvenster in Azure Data Studio terwijl deze is verbonden met het doel van uw beheerde exemplaar. Selecteer vervolgens Uitvoeren.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

De query retourneert de informatie over de database, de versleutelingsstatus en het voltooide percentage in behandeling. In dit geval is het nul omdat het TDE-certificaat al is voltooid.

Screenshot that shows the results returned by the TDE query provided in this section.

Zie TDE (Transparent Data Encryption) voor meer informatie over versleuteling met SQL Server.

Beperkingen

In de volgende tabel wordt de huidige status beschreven van de ondersteuning voor TDE-databasemigraties door het Azure SQL-doel:

Doel Ondersteuning Status
Azure SQL-database Nee
Azure SQL Managed Instance Ja Preview
SQL Server op Azure VM Nee

Gerelateerde inhoud