Samouczek: migrowanie baz danych z obsługą funkcji TDE (wersja zapoznawcza) do usługi Azure SQL w usłudze Azure Data Studio
W celu zabezpieczenia bazy danych programu SQL Server można podjąć środki ostrożności, takie jak projektowanie bezpiecznego systemu, szyfrowanie poufnych zasobów i tworzenie zapory. Jednak fizyczne kradzieże nośników, takich jak stacje lub taśmy, mogą nadal naruszyć bezpieczeństwo danych.
Funkcja TDE zapewnia rozwiązanie tego problemu z szyfrowaniem we/wy w czasie rzeczywistym/odszyfrowywaniem danych magazynowanych (plików danych i dzienników) przy użyciu symetrycznego klucza szyfrowania bazy danych (DEK) zabezpieczonego przez certyfikat. Aby uzyskać więcej informacji na temat ręcznego migrowania certyfikatów TDE, zobacz Przenoszenie chronionej bazy danych TDE do innego programu SQL Server.
Podczas migracji bazy danych chronionej przez funkcję TDE certyfikat (klucz asymetryczny) używany do otwierania klucza szyfrowania bazy danych (DEK) również musi zostać przeniesiony wraz ze źródłową bazą danych. W związku z tym należy ponownie utworzyć certyfikat serwera w master bazie danych docelowego programu SQL Server, aby uzyskać dostęp do plików bazy danych.
Możesz użyć rozszerzenia Azure SQL Migration dla programu Azure Data Studio , aby ułatwić migrowanie baz danych z obsługą funkcji TDE (wersja zapoznawcza) z lokalnego wystąpienia programu SQL Server do usługi Azure SQL.
Proces migracji bazy danych z włączoną funkcją TDE automatyzuje zadania ręczne, takie jak tworzenie kopii zapasowych kluczy certyfikatów bazy danych (DEK), kopiowanie plików certyfikatów z lokalnego programu SQL Server do obiektu docelowego usługi Azure SQL, a następnie ponowne skonfigurowanie funkcji TDE dla docelowej bazy danych.
Ważne
Obecnie obsługiwane są tylko obiekty docelowe usługi Azure SQL Managed Instance. Zaszyfrowane kopie zapasowe nie są obsługiwane.
Z tego samouczka dowiesz się, jak przeprowadzić migrację przykładowej AdventureWorksTDE zaszyfrowanej bazy danych z lokalnego wystąpienia programu SQL Server do wystąpienia zarządzanego usługi Azure SQL.
- Otwieranie kreatora migracji do usługi Azure SQL w narzędziu Azure Data Studio
- Uruchamianie oceny źródłowych baz danych programu SQL Server
- Konfigurowanie migracji certyfikatów TDE
- Nawiązywanie połączenia z obiektem docelowym usługi Azure SQL
- Rozpoczynanie migracji certyfikatu TDE i monitorowanie postępu do ukończenia
Wymagania wstępne
Przed rozpoczęciem samouczka:
Zainstaluj rozszerzenie Azure SQL Migration z witryny Azure Data Studio Marketplace.
Uruchom narzędzie Azure Data Studio jako administrator.
Mieć konto platformy Azure przypisane do jednej z następujących wbudowanych ról:
- Współautor docelowego wystąpienia zarządzanego (i konta magazynu w celu przekazania kopii zapasowych plików certyfikatów TDE z udziału sieciowego SMB).
- Rola czytelnika dla grup zasobów platformy Azure zawierających docelowe wystąpienie zarządzane lub konto usługi Azure Storage.
- Rola właściciela lub współautora dla subskrypcji platformy Azure (wymagana w przypadku tworzenia nowej usługi DMS).
- Alternatywą dla używania powyższych wbudowanych ról jest przypisanie roli niestandardowej. Aby uzyskać więcej informacji, zobacz Role niestandardowe: Online SQL Server to SQL Managed Instance migrations using ADS (Role niestandardowe: Online SQL Server to SQL Managed Instance migrations using ADS).
Utwórz docelowe wystąpienie usługi Azure SQL Managed Instance.
Upewnij się, że identyfikator logowania używany do nawiązywania połączenia ze źródłem programu SQL Server jest członkiem roli serwera sysadmin .
Maszyna, na której usługa Azure Data Studio uruchamia migrację bazy danych z włączoną obsługą funkcji TDE, powinna mieć łączność zarówno ze źródłami, jak i docelowymi serwerami SQL.
Otwieranie kreatora migracji do usługi Azure SQL w narzędziu Azure Data Studio
Aby otworzyć kreatora Migracja do usługi Azure SQL:
W narzędziu Azure Data Studio przejdź do pozycji Połączenia. Połącz się z lokalnym wystąpieniem programu SQL Server. Możesz również nawiązać połączenie z programem SQL Server na maszynie wirtualnej platformy Azure.
Kliknij prawym przyciskiem myszy połączenie serwera i wybierz polecenie Zarządzaj.
W menu serwera w obszarze Ogólne wybierz pozycję Azure SQL Migration.
Na pulpicie nawigacyjnym migracji usługi Azure SQL wybierz pozycję Migruj do usługi Azure SQL , aby otworzyć kreatora migracji.
Na pierwszej stronie kreatora uruchom nową sesję lub wznowij wcześniej zapisaną sesję.
Uruchamianie oceny bazy danych
W kroku 1. Bazy danych do oceny w kreatorze Migracja do usługi Azure SQL wybierz bazy danych, które chcesz ocenić. Następnie wybierz Dalej.
W kroku 2. Wyniki oceny wykonaj następujące kroki:
W obszarze Wybierz element docelowy usługi Azure SQL wybierz pozycję Azure SQL Managed Instance.
Wybierz pozycję Widok/Wybierz , aby wyświetlić wyniki oceny.
W wynikach oceny wybierz bazę danych, a następnie przejrzyj wyniki oceny. W tym przykładzie widać, że
AdventureWorksTDEbaza danych jest chroniona za pomocą funkcji Transparent Data Encryption (TDE). Ocena zaleca przeprowadzenie migracji certyfikatu TDE przed migracją źródłowej bazy danych do docelowego wystąpienia zarządzanego.
Wybierz pozycję Wybierz, aby otworzyć panel konfiguracji migracji TDE.
Konfigurowanie ustawień migracji TDE
W wybranej sekcji Zaszyfrowana baza danych wybierz pozycję Eksportuj moje certyfikaty i klucz prywatny do miejsca docelowego.
W sekcji Informacje opisano wymagane uprawnienia do eksportowania certyfikatów DEK.
Musisz upewnić się, że konto usługi PROGRAMU SQL Server ma dostęp do zapisu do ścieżki udziału sieciowego używanej do tworzenia kopii zapasowych certyfikatów szyfrowania plików. Ponadto bieżący użytkownik powinien mieć uprawnienia administratora na komputerze, na którym istnieje ta ścieżka sieciowa.
Wprowadź ścieżkę sieci.
Następnie sprawdź, czy wyrażam zgodę na używanie moich poświadczeń do uzyskiwania dostępu do certyfikatów. Dzięki tej akcji kreator migracji bazy danych może utworzyć kopię zapasową certyfikatu DEK w udziale sieciowym.
Jeśli nie chcesz, aby kreator migracji pomógł przeprowadzić migrację baz danych z obsługą funkcji TDE. Wybierz pozycję Nie chcę, aby program Azure Data Studio eksportował certyfikaty. Aby pominąć ten krok.
Ważne
Przed kontynuowaniem migracji należy przeprowadzić migrację certyfikatów. W przeciwnym razie migracja zakończy się niepowodzeniem. Aby uzyskać więcej informacji na temat ręcznego migrowania certyfikatów TDE, zobacz Przenoszenie chronionej bazy danych TDE do innego programu SQL Server.
Jeśli chcesz kontynuować migrację certyfikacji TDE, wybierz pozycję Zastosuj.
Panel konfiguracji migracji TDE zostanie zamknięty, ale w dowolnym momencie możesz wybrać pozycję Edytuj , aby zmodyfikować konfigurację udziału sieciowego. Wybierz przycisk Dalej , aby kontynuować proces migracji.
Konfigurowanie ustawień migracji
W kroku 3. Obiekt docelowy usługi Azure SQL w kreatorze Migracja do usługi Azure SQL wykonaj następujące kroki dla docelowego wystąpienia zarządzanego:
Wybierz konto platformy Azure, subskrypcję platformy Azure, region lub lokalizację platformy Azure oraz grupę zasobów zawierającą wystąpienie zarządzane.
Gdy wszystko będzie gotowe, wybierz pozycję Migruj certyfikaty , aby rozpocząć migrację certyfikatów TDE.
Uruchamianie i monitorowanie migracji certyfikatu TDE
W kroku 3. Stan migracji zostanie otwarty panel Migracja certyfikatów. Szczegóły postępu migracji certyfikatów TDE są wyświetlane na ekranie.
Po zakończeniu migracji TDE (lub jeśli wystąpią błędy), na stronie zostaną wyświetlone odpowiednie aktualizacje.
Jeśli musisz ponowić próbę migracji, wybierz pozycję Ponów próbę migracji.
Gdy wszystko będzie gotowe, wybierz pozycję Gotowe , aby kontynuować pracę kreatora migracji.
Proces każdego certyfikatu TDE można monitorować, wybierając pozycję Migruj certyfikaty.
Wybierz przycisk Dalej , aby kontynuować pracę kreatora migracji do momentu ukończenia migracji bazy danych.
Zapoznaj się z następującymi samouczkami krok po kroku, aby uzyskać więcej informacji na temat migrowania baz danych w trybie online lub offline do obiektów docelowych usługi Azure SQL Managed Instance:
Kroki do wykonania po migracji
Docelowe wystąpienie zarządzane powinno teraz mieć bazy danych i ich odpowiednie certyfikaty. Aby sprawdzić bieżący stan ostatnio zmigrowanej bazy danych, skopiuj i wklej poniższy przykład do nowego okna zapytania w narzędziu Azure Data Studio, gdy połączono się z docelowym wystąpieniem zarządzanym. Następnie wybierz pozycję Uruchom.
USE master;
GO
SELECT db_name(database_id),
key_algorithm,
encryption_state_desc,
encryption_scan_state_desc,
percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO
Zapytanie zwraca informacje dotyczące bazy danych, stanu szyfrowania i oczekującego procentu ukończenia. W takim przypadku jest to zero, ponieważ certyfikat TDE został już ukończony.
Aby uzyskać więcej informacji na temat szyfrowania za pomocą programu SQL Server, zobacz Transparent Data Encryption (TDE).
Ograniczenia
W poniższej tabeli opisano bieżący stan migracji baz danych z obsługą funkcji TDE przez element docelowy usługi Azure SQL:
| Obiekt docelowy | Pomoc techniczna | Stan |
|---|---|---|
| Azure SQL Database | Nie. | |
| Wystąpienie zarządzane Azure SQL | Tak | Podgląd |
| Program SQL Server na maszynie wirtualnej platformy Azure | Nie. |
Powiązana zawartość
- Migrowanie baz danych przy użyciu rozszerzenia Azure SQL Migration dla usługi Azure Data Studio
- Samouczek: migrowanie programu SQL Server do usługi Azure SQL Database — offline
- Samouczek: migrowanie programu SQL Server do usługi Azure SQL Managed Instance — Online
- Samouczek: migrowanie programu SQL Server do programu SQL Server na maszynach wirtualnych platformy Azure — online