Delen via

Zelfstudie: TDE-databases (preview) migreren naar Azure SQL in Azure Data Studio

  • Artikel

Voor het beveiligen van een SQL Server-database kunt u voorzorgsmaatregelen nemen, zoals het ontwerpen van een beveiligd systeem, het versleutelen van vertrouwelijke assets en het bouwen van een firewall. Fysieke diefstal van media, zoals stations of tapes, kan de gegevens echter nog steeds in gevaar komen.

TDE biedt een oplossing voor dit probleem, met realtime I/O-versleuteling/ontsleuteling van data-at-rest (gegevens- en logboekbestanden) met behulp van een symmetrische databaseversleutelingssleutel (DEK) die wordt beveiligd door een certificaat. Zie Een met TDE beveiligde database verplaatsen naar een andere SQL Server voor meer informatie over het handmatig migreren van TDE-certificaten.

Wanneer u een met TDE beveiligde database migreert, moet het certificaat (asymmetrische sleutel) dat wordt gebruikt om de DATABASEversleutelingssleutel (DEK) te openen, ook samen met de brondatabase worden verplaatst. Daarom moet u het servercertificaat opnieuw maken in de master database van de doel-SQL Server voor dat exemplaar voor toegang tot de databasebestanden.

U kunt de Azure SQL Migration-extensie voor Azure Data Studio gebruiken om u te helpen bij het migreren van databases met TDE-functionaliteit (preview) van een on-premises exemplaar van SQL Server naar Azure SQL.

Het databasemigratieproces met TDE-functionaliteit automatiseert handmatige taken, zoals het maken van een back-up van de databasecertificaatsleutels (DEK), het kopiƫren van de certificaatbestanden van de on-premises SQL-server naar het Azure SQL-doel en het opnieuw configureren van TDE voor de doeldatabase.

Belangrijk

Op dit moment worden alleen Azure SQL Managed Instance-doelen ondersteund. Versleutelde back-ups worden niet ondersteund.

In deze zelfstudie leert u hoe u de versleutelde voorbeelddatabase AdventureWorksTDE migreert van een on-premises exemplaar van SQL Server naar een met Azure SQL beheerd exemplaar.

  • De wizard Migreren naar Azure SQL openen in Azure Data Studio
  • Een evaluatie uitvoeren van uw SQL Server-brondatabases
  • De migratie van uw TDE-certificaten configureren
  • Verbinding maken met uw Azure SQL-doel
  • Start de migratie van uw TDE-certificaat en controleer de voortgang tot voltooiing

Vereisten

Voordat u met de zelfstudie begint:

  • Download en installeer Azure Data Studio.

  • Installeer de Azure SQL Migration-extensie vanuit Azure Data Studio Marketplace.

  • Voer Azure Data Studio uit als beheerder.

  • Een Azure-account hebben dat is toegewezen aan een van de volgende ingebouwde rollen:

    • Inzender voor het beheerde doelexemplaren (en opslagaccount voor het uploaden van uw back-ups van de TDE-certificaatbestanden van de SMB-netwerkshare).
    • Lezerrol voor de Azure-resourcegroepen die het beheerde doelexemplaren of het Azure-opslagaccount bevatten.
    • De rol Eigenaar of Inzender voor het Azure-abonnement (vereist als u een nieuwe DMS-service maakt).
    • Als alternatief voor het gebruik van de bovenstaande ingebouwde rollen kunt u een aangepaste rol toewijzen. Zie Aangepaste rollen: Online SQL Server naar SQL Managed Instance-migraties met ADS voor meer informatie.

  • Maak een doelexemplaren van Azure SQL Managed Instance.

  • Zorg ervoor dat de aanmelding die u gebruikt om verbinding te maken met de SQL Server-bron lid is van de serverfunctie sysadmin .

  • De machine waarop Azure Data Studio de databasemigratie met TDE uitvoert, moet verbinding hebben met zowel bronnen als doel-SQL-servers.

De wizard Migreren naar Azure SQL openen in Azure Data Studio

De wizard Migreren naar Azure SQL openen:

  1. Ga in Azure Data Studio naar Verbindingen. Maak verbinding met uw on-premises exemplaar van SQL Server. U kunt ook verbinding maken met SQL Server op een virtuele Azure-machine.

  2. Klik met de rechtermuisknop op de serververbinding en selecteer Beheren.

    Schermopname van een serververbinding en de optie Beheren in Azure Data Studio.

  3. Selecteer Azure SQL Migration in het servermenu onder Algemeen.

    Schermopname van het menu Azure Data Studio-server.

  4. Selecteer In het Azure SQL Migration-dashboard de optie Migreren naar Azure SQL om de migratiewizard te openen.

    Schermopname van de wizard Migreren naar Azure SQL.

  5. Start op de eerste pagina van de wizard een nieuwe sessie of hervat een eerder opgeslagen sessie.

Database-evaluatie uitvoeren

  1. In stap 1: Databases voor evaluatie in de wizard Migreren naar Azure SQL selecteert u de databases die u wilt evalueren. Selecteer vervolgens Volgende.

    Schermopname van het selecteren van een database voor evaluatie.

  2. Voer in stap 2: Evaluatieresultaten de volgende stappen uit:

    1. Selecteer in Kies uw Azure SQL-doel de optie Azure SQL Managed Instance.

      Schermopname van het selecteren van het azure SQL Managed Instance-doel.

    2. Selecteer Weergeven/Selecteren om de evaluatieresultaten weer te geven.

      Schermopname van het weergeven/selecteren van evaluatieresultaten.

    3. Selecteer in de evaluatieresultaten de database en bekijk vervolgens de resultaten van de evaluatie. In dit voorbeeld ziet u dat de AdventureWorksTDE database is beveiligd met TDE (Transparent Data Encryption). De evaluatie raadt aan om het TDE-certificaat te migreren voordat de brondatabase naar het doel van het beheerde exemplaar wordt gemigreerd.

      Schermopname van het rapport evaluatieresultaten.

    4. Kies Selecteren om het configuratiepaneel voor TDE-migratie te openen.

TDE-migratie-instellingen configureren

  1. Selecteer in de geselecteerde sectie Versleutelde database mijn certificaten en persoonlijke sleutel exporteren naar het doel.

    Schermopname van de configuratie van de TDE-migratie.

    In de sectie Infovak worden de vereiste machtigingen beschreven voor het exporteren van de DEK-certificaten.

    U moet ervoor zorgen dat het SQL Server-serviceaccount schrijftoegang heeft tot het netwerksharepad dat u gebruikt om een back-up te maken van de DEK-certificaten. De huidige gebruiker moet ook beheerdersbevoegdheden hebben op de computer waarop dit netwerkpad bestaat.

  2. Voer het netwerkpad in.

    Schermopname van de configuratie van de TDE-migratie voor een netwerkshare.

    Controleer vervolgens of ik toestemming geef om mijn referenties te gebruiken voor toegang tot de certificaten. Met deze actie staat u de wizard databasemigratie toe om een back-up te maken van uw DEK-certificaat in de netwerkshare.

  3. Als u de migratiewizard niet wilt, kunt u databases met TDE-functionaliteit migreren. Selecteer dat ik niet wil dat Azure Data Studio de certificaten exporteert. Sla deze stap over.

    Schermopname van het weigeren van de TDE-migratie.

    Belangrijk

    U moet de certificaten migreren voordat u doorgaat met de migratie, anders mislukt de migratie. Zie Een met TDE beveiligde database verplaatsen naar een andere SQL Server voor meer informatie over het handmatig migreren van TDE-certificaten.

  4. Als u wilt doorgaan met de TDE-certificeringsmigratie, selecteert u Toepassen.

    Schermopname van het toepassen van de TDE-migratieconfiguratie.

    Het configuratievenster voor TDE-migratie wordt gesloten, maar u kunt Bewerken selecteren om de configuratie van uw netwerkshare op elk gewenst moment te wijzigen. Selecteer Volgende om door te gaan met het migratieproces.

    Schermopname van het bewerken van de configuratie van de TDE-migratie.

Migratie-instellingen configureren

Voer in stap 3: Azure SQL-doel in de wizard Migreren naar Azure SQL de volgende stappen uit voor uw beheerde doelexemplaren:

  1. Selecteer uw Azure-account, Azure-abonnement, de Azure-regio of -locatie en de resourcegroep die het beheerde exemplaar bevat.

    Schermopname van azure-accountgegevens.

  2. Wanneer u klaar bent, selecteert u Certificaten migreren om de migratie van TDE-certificaten te starten.

De migratie van het TDE-certificaat starten en bewaken

  1. In stap 3: Migratiestatus wordt het deelvenster Certificatenmigratie geopend. De voortgangsdetails van de migratie van TDE-certificaten worden weergegeven op het scherm.

    Schermopname van hoe het TDE-migratieproces wordt gestart.

  2. Zodra de TDE-migratie is voltooid (of als deze fouten heeft), worden de relevante updates weergegeven op de pagina.

    Schermopname van hoe het TDE-migratieproces wordt voortgezet.

  3. Als u de migratie opnieuw moet uitvoeren, selecteert u Migratie opnieuw proberen.

    Schermopname die laat zien hoe u de TDE-migratie opnieuw kunt uitvoeren.

  4. Wanneer u klaar bent, selecteert u Gereed om door te gaan met de migratiewizard.

    Schermopname van het voltooien van de TDE-migratie.

  5. U kunt het proces voor elk TDE-certificaat bewaken door Migrate-certificaten te selecteren.

  6. Selecteer Volgende om door te gaan met de migratiewizard totdat u de databasemigratie hebt voltooid.

    Schermopname die laat zien hoe u de databasemigratie kunt voortzetten.

    Raadpleeg de volgende stapsgewijze zelfstudies voor meer informatie over het online of offline migreren van databases naar Azure SQL Managed Instance-doelen:

Stappen na migratie

Het beheerde doelexemplaren moeten nu de databases en hun respectieve certificaten worden gemigreerd. Als u de huidige status van de onlangs gemigreerde database wilt controleren, kopieert en plakt u het volgende voorbeeld in een nieuw queryvenster in Azure Data Studio terwijl deze is verbonden met het doel van uw beheerde exemplaar. Selecteer vervolgens Uitvoeren.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

De query retourneert de informatie over de database, de versleutelingsstatus en het voltooide percentage in behandeling. In dit geval is het nul omdat het TDE-certificaat al is voltooid.

Schermopname van de resultaten die worden geretourneerd door de TDE-query die in deze sectie is opgegeven.

Zie TDE (Transparent Data Encryption) voor meer informatie over versleuteling met SQL Server.

Beperkingen

In de volgende tabel wordt de huidige status beschreven van de ondersteuning voor TDE-databasemigraties door het Azure SQL-doel:

Doel Ondersteuning Status
Azure SQL-database Nee
Azure SQL Managed Instance Ja Preview uitvoeren
SQL Server op Azure VM Nee

Gerelateerde inhoud