POPRAWKA: Problemy z ułatwieniami dostępu do bazy danych w przypadku dużych obciążeń klientów korzystających z modułu EKM na potrzeby szyfrowania i generowania kluczy
Symptomy
W przypadku dużych obciążeń klientów korzystających z usługi Extensible Key Management (EKM) mogą występować sporadyczne problemy z ułatwieniami dostępu do bazy danych. Te problemy z ułatwieniami dostępu są spowodowane częstym tworzeniem lub rotacją wirtualnego pliku dziennika (VLF), który wymaga dostępu do usługi Azure Key Vault (AKV). Jeśli usługa AKV lub usługi pomocnicze, takie jak Tożsamość Microsoft Entra, nie są dostępne podczas tego tworzenia lub rotacji, nie można wykonać tworzenia ani rotacji wirtualnej grupy zabezpieczeń. Ponadto powoduje to problemy z ułatwieniami dostępu do bazy danych.
Pliki VLF można często tworzyć lub obracać, gdy pliki dziennika transakcji są małe lub przyrost automatycznego wzrostu (autogrow) dziennika transakcji jest mały, a nie wystarczająco duży, aby wyprzedzić potrzeby transakcji obciążenia. Aby uzyskać więcej informacji, zobacz Zarządzanie rozmiarem pliku dziennika transakcji.
Rozmiar i częstotliwość tworzenia plików VLF można monitorować przy użyciu sys.dm_db_log_info.
Rozwiązanie
Ten problem został rozwiązany w następujących aktualizacjach zbiorczych dla SQL Server:
Ta poprawka wprowadza flagę śledzenia uruchamiania (TF) 15025. Program TF 15025 umożliwia wyłączenie dostępu akv wymaganego dla nowo utworzonej sieci VLF, co umożliwia kontynuowanie dużych obciążeń klientów bez przerw. Po włączeniu tej flagi śledzenia SQL Server, która używa modułu EKM do szyfrowania i generowania kluczy, nie kontaktuje się z usługą AKV podczas tworzenia lub rotacji VLF.
Aby sprawdzić, czy klucz w usłudze AKV jest nadal używany lub musi zostać wyłączony, należy wykonać jedną z następujących operacji w bazie danych:
- Wykonaj kopię zapasową (dowolny typ kopii zapasowej) bazy danych lub dziennika transakcji.
- Uruchom polecenie
DBCC CHECKDB
względem zaszyfrowanej bazy danych. - Ustaw zaszyfrowaną bazę danych na stan,
OFFLINE
a następnie naONLINE
stan. - Twórca migawkę bazy danych zaszyfrowanej bazy danych.
W dowolnej z wymienionych operacji SQL Server skontaktuje się z usługą AKV i sprawdzi dostęp do klucza podczas tej operacji, jeśli klucz istnieje w usłudze AKV.
Nawet jeśli włączysz program TF 15025, te operacje nadal będą docierać do usługi AKV.
Możesz uruchomić następującą instrukcję języka Transact-SQL (T-SQL), aby sprawdzić stan klucza w bazie danych:
SELECT * FROM sys.dm_database_encryption_keys
Informacje o aktualizacjach zbiorczych dla SQL Server
Każda nowa aktualizacja zbiorcza dla SQL Server zawiera wszystkie poprawki i poprawki zabezpieczeń, które były w poprzedniej kompilacji. Zalecamy zainstalowanie najnowszej kompilacji dla twojej wersji SQL Server:
- Najnowsza aktualizacja zbiorcza dla SQL Server 2022 r.
- Najnowsza aktualizacja zbiorcza dla SQL Server 2019 r.
Stan
Firma Microsoft potwierdziła, że jest to usterka występująca w produktach firmy Microsoft wymienionych w części "Ma zastosowanie do:".
Informacje
- Rozszerzalne zarządzanie kluczami (EKM)
- Zarządzanie rozmiarem pliku dziennika transakcji
- sys.dm_db_log_info (Transact-SQL)
- sys.dm_database_encryption_keys (Transact-SQL)
- OPCJE ALTER DATABASE SET (Transact-SQL)
- Dowiedz się więcej o terminologii używanej przez firmę Microsoft do opisywania aktualizacji oprogramowania
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla