Samouczek: migrowanie baz danych z obsługą funkcji TDE (wersja zapoznawcza) do usługi Azure SQL w usłudze Azure Data Studio

Artykuł
10/18/2023

W celu zabezpieczenia bazy danych programu SQL Server można podjąć środki ostrożności, takie jak projektowanie bezpiecznego systemu, szyfrowanie poufnych zasobów i tworzenie zapory. Jednak fizyczne kradzieże nośników, takich jak stacje lub taśmy, mogą nadal naruszyć bezpieczeństwo danych.

Funkcja TDE zapewnia rozwiązanie tego problemu z szyfrowaniem we/wy w czasie rzeczywistym/odszyfrowywaniem danych magazynowanych (plików danych i dzienników) przy użyciu symetrycznego klucza szyfrowania bazy danych (DEK) zabezpieczonego przez certyfikat. Aby uzyskać więcej informacji na temat ręcznego migrowania certyfikatów TDE, zobacz Przenoszenie chronionej bazy danych TDE do innego programu SQL Server.

Podczas migracji bazy danych chronionej przez funkcję TDE certyfikat (klucz asymetryczny) używany do otwierania klucza szyfrowania bazy danych (DEK) również musi zostać przeniesiony wraz ze źródłową bazą danych. W związku z tym należy ponownie utworzyć certyfikat serwera w master bazie danych docelowego programu SQL Server, aby uzyskać dostęp do plików bazy danych.

Możesz użyć rozszerzenia Azure SQL Migration dla programu Azure Data Studio , aby ułatwić migrowanie baz danych z obsługą funkcji TDE (wersja zapoznawcza) z lokalnego wystąpienia programu SQL Server do usługi Azure SQL.

Proces migracji bazy danych z włączoną funkcją TDE automatyzuje zadania ręczne, takie jak tworzenie kopii zapasowych kluczy certyfikatów bazy danych (DEK), kopiowanie plików certyfikatów z lokalnego programu SQL Server do obiektu docelowego usługi Azure SQL, a następnie ponowne skonfigurowanie funkcji TDE dla docelowej bazy danych.

Ważne

Obecnie obsługiwane są tylko obiekty docelowe usługi Azure SQL Managed Instance.
Zaszyfrowane kopie zapasowe nie są obsługiwane.

Z tego samouczka dowiesz się, jak przeprowadzić migrację przykładowej AdventureWorksTDE zaszyfrowanej bazy danych z lokalnego wystąpienia programu SQL Server do wystąpienia zarządzanego usługi Azure SQL.

Otwieranie kreatora migracji do usługi Azure SQL w narzędziu Azure Data Studio
Uruchamianie oceny źródłowych baz danych programu SQL Server
Konfigurowanie migracji certyfikatów TDE
Połączenie do miejsca docelowego usługi Azure SQL
Rozpoczynanie migracji certyfikatu TDE i monitorowanie postępu do ukończenia

Wymagania wstępne

Przed rozpoczęciem samouczka:

Pobierz i zainstaluj program Azure Data Studio.
Zainstaluj rozszerzenie Azure SQL Migration z witryny Azure Data Studio Marketplace.
Uruchom narzędzie Azure Data Studio jako Administracja istrator.
Mieć konto platformy Azure przypisane do jednej z następujących wbudowanych ról:
- Współautor docelowego wystąpienia zarządzanego (i konta magazynu w celu przekazania kopii zapasowych plików certyfikatów TDE z udziału sieciowego SMB).
- Rola czytelnika dla grup zasobów platformy Azure zawierających docelowe wystąpienie zarządzane lub konto usługi Azure Storage.
- Rola właściciela lub współautora dla subskrypcji platformy Azure (wymagana w przypadku tworzenia nowej usługi DMS).
- Alternatywą dla używania powyższych wbudowanych ról jest przypisanie roli niestandardowej. Aby uzyskać więcej informacji, zobacz Role niestandardowe: Online SQL Server to SQL Managed Instance migrations using ADS (Role niestandardowe: Online SQL Server to SQL Managed Instance migrations using ADS).
Utwórz docelowe wystąpienie usługi Azure SQL Managed Instance.
Upewnij się, że identyfikator logowania używany do nawiązywania połączenia ze źródłem programu SQL Server jest członkiem roli serwera sysadmin .
Maszyna, na której usługa Azure Data Studio uruchamia migrację bazy danych z włączoną obsługą funkcji TDE, powinna mieć łączność zarówno ze źródłami, jak i docelowymi serwerami SQL.

Otwieranie kreatora migracji do usługi Azure SQL w narzędziu Azure Data Studio

Aby otworzyć kreatora Migracja do usługi Azure SQL:

W narzędziu Azure Data Studio przejdź do Połączenie ions. Połączenie do lokalnego wystąpienia programu SQL Server. Możesz również nawiązać połączenie z programem SQL Server na maszynie wirtualnej platformy Azure.
Kliknij prawym przyciskiem myszy połączenie serwera i wybierz polecenie Zarządzaj.
W menu serwera w obszarze Ogólne wybierz pozycję Azure SQL Migration.
Na pulpicie nawigacyjnym migracji usługi Azure SQL wybierz pozycję Migruj do usługi Azure SQL , aby otworzyć kreatora migracji.
Na pierwszej stronie kreatora uruchom nową sesję lub wznowij wcześniej zapisaną sesję.

Uruchamianie oceny bazy danych

W kroku 1. Bazy danych do oceny w kreatorze Migracja do usługi Azure SQL wybierz bazy danych, które chcesz ocenić. Następnie wybierz Dalej.
W kroku 2. Wyniki oceny wykonaj następujące kroki:
1. W obszarze Wybierz element docelowy usługi Azure SQL wybierz pozycję Azure SQL Managed Instance.
2. Wybierz pozycję Widok/Wybierz , aby wyświetlić wyniki oceny.
3. W wynikach oceny wybierz bazę danych, a następnie przejrzyj wyniki oceny. W tym przykładzie widać, że AdventureWorksTDE baza danych jest chroniona za pomocą funkcji Transparent Data Encryption (TDE). Ocena zaleca przeprowadzenie migracji certyfikatu TDE przed migracją źródłowej bazy danych do docelowego wystąpienia zarządzanego.
4. Wybierz pozycję Wybierz, aby otworzyć panel konfiguracji migracji TDE.

Konfigurowanie ustawień migracji TDE

W wybranej sekcji Zaszyfrowana baza danych wybierz pozycję Eksportuj moje certyfikaty i klucz prywatny do miejsca docelowego.

Ważne

W sekcji Informacje opisano wymagane uprawnienia do eksportowania certyfikatów DEK.

Musisz upewnić się, że konto usługi PROGRAMU SQL Server ma dostęp do zapisu do ścieżki udziału sieciowego, której będziesz używać do tworzenia kopii zapasowych certyfikatów SZYFROWANIA plików. Ponadto bieżący użytkownik powinien mieć uprawnienia administratora na komputerze, na którym istnieje ta ścieżka sieciowa.
Wprowadź ścieżkę sieci.

Następnie sprawdź, czy wyrażam zgodę na używanie moich poświadczeń do uzyskiwania dostępu do certyfikatów. Dzięki tej akcji kreator migracji bazy danych może utworzyć kopię zapasową certyfikatu DEK w udziale sieciowym.
Jeśli nie chcesz, aby kreator migracji pomógł przeprowadzić migrację baz danych z obsługą funkcji TDE. Wybierz pozycję Nie chcę, aby program Azure Data Studio eksportował certyfikaty. Aby pominąć ten krok.

Ważne

Przed kontynuowaniem migracji należy przeprowadzić migrację certyfikatów. W przeciwnym razie migracja zakończy się niepowodzeniem. Aby uzyskać więcej informacji na temat ręcznego migrowania certyfikatów TDE, zobacz Przenoszenie chronionej bazy danych TDE do innego programu SQL Server.
Jeśli chcesz kontynuować migrację certyfikacji TDE, wybierz pozycję Zastosuj.

Panel konfiguracji migracji TDE zostanie zamknięty, ale w dowolnym momencie możesz wybrać pozycję Edytuj , aby zmodyfikować konfigurację udziału sieciowego. Wybierz przycisk Dalej , aby kontynuować proces migracji.

Konfigurowanie ustawień migracji

W kroku 3. Obiekt docelowy usługi Azure SQL w kreatorze Migracja do usługi Azure SQL wykonaj następujące kroki dla docelowego wystąpienia zarządzanego:

Wybierz konto platformy Azure, subskrypcję platformy Azure, region lub lokalizację platformy Azure oraz grupę zasobów zawierającą wystąpienie zarządzane.
Gdy wszystko będzie gotowe, wybierz pozycję Migruj certyfikaty , aby rozpocząć migrację certyfikatów TDE.

Uruchamianie i monitorowanie migracji certyfikatu TDE

W kroku 3. Stan migracji zostanie otwarty panel Migracja certyfikatów. Szczegóły postępu migracji certyfikatów TDE są wyświetlane na ekranie.
Po zakończeniu migracji TDE (lub jeśli wystąpią błędy), na stronie zostaną wyświetlone odpowiednie aktualizacje.
Jeśli musisz ponowić próbę migracji, wybierz pozycję Ponów próbę migracji.
Gdy wszystko będzie gotowe, wybierz pozycję Gotowe , aby kontynuować pracę kreatora migracji.
Proces każdego certyfikatu TDE można monitorować, wybierając pozycję Migruj certyfikaty.
Wybierz przycisk Dalej , aby kontynuować pracę kreatora migracji do momentu ukończenia migracji bazy danych.

Zapoznaj się z następującymi samouczkami krok po kroku, aby uzyskać więcej informacji na temat migrowania baz danych w trybie online lub offline do obiektów docelowych usługi Azure SQL Managed Instance:
- Samouczek: migrowanie programu SQL Server do usługi Azure SQL Managed Instance w trybie online
- Samouczek: migrowanie programu SQL Server do usługi Azure SQL Managed Instance w trybie offline

Kroki do wykonania po migracji

Docelowe wystąpienie zarządzane powinno teraz mieć bazy danych i ich odpowiednie certyfikaty. Aby sprawdzić bieżący stan ostatnio zmigrowanej bazy danych, skopiuj i wklej poniższy przykład do nowego okna zapytania w narzędziu Azure Data Studio, gdy połączono się z docelowym wystąpieniem zarządzanym. Następnie wybierz pozycję Uruchom.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Zapytanie zwraca informacje dotyczące bazy danych, stanu szyfrowania i oczekującego procentu ukończenia. W takim przypadku jest to zero, ponieważ certyfikat TDE został już ukończony.

Screenshot that shows the results returned by the TDE query provided in this section.

Aby uzyskać więcej informacji na temat szyfrowania za pomocą programu SQL Server, zobacz Transparent Data Encryption (TDE).

Ograniczenia

W poniższej tabeli opisano bieżący stan migracji baz danych z obsługą funkcji TDE przez element docelowy usługi Azure SQL:

Obiekt docelowy	Pomoc techniczna	Stan
Azure SQL Database	Nie.
Wystąpienie zarządzane Azure SQL	Tak	Podgląd
Program SQL Server na maszynie wirtualnej platformy Azure	Nie.