Руководство по переносу баз данных с поддержкой TDE (предварительная версия) в SQL Azure в Azure Data Studio

  • Статья

Для защиты базы данных SQL Server можно принять меры предосторожности, такие как проектирование безопасной системы, шифрование конфиденциальных ресурсов и создание брандмауэра. Однако физические кражи носителей, таких как диски или ленты, по-прежнему могут компрометации данных.

TDE предоставляет решение этой проблемы с шифрованием и расшифровкой неактивных данных (файлы данных и журналов) в режиме реального времени с помощью ключа шифрования симметричного базы данных (DEK), защищенного сертификатом. Дополнительные сведения о переносе сертификатов TDE вручную см. в разделе "Перемещение защищенной базы данных TDE в другой SQL Server".

При переносе защищенной TDE базы данных сертификат (асимметричный ключ), используемый для открытия ключа шифрования базы данных (DEK), также должен быть перемещен вместе с исходной базой данных. Поэтому необходимо повторно создать сертификат сервера в master базе данных целевого SQL Server для этого экземпляра, чтобы получить доступ к файлам базы данных.

Вы можете использовать расширение миграции SQL Azure для Azure Data Studio , чтобы перенести базы данных с поддержкой TDE (предварительная версия) из локального экземпляра SQL Server в SQL Azure.

Процесс миграции базы данных с поддержкой TDE автоматизирует вручную такие задачи, как резервное копирование ключей сертификатов базы данных (DEK), копирование файлов сертификатов из локального SQL Server в целевой объект SQL Azure, а затем повторное настройку TDE для целевой базы данных.

Важно!

  1. В настоящее время поддерживаются только целевые объекты Управляемый экземпляр SQL Azure.
  2. И зашифрованные резервные копии не поддерживаются.

В этом руководстве описано, как перенести пример AdventureWorksTDE зашифрованной базы данных из локального экземпляра SQL Server в управляемый экземпляр SQL Azure.

  • Откройте мастер миграции в SQL Azure в Azure Data Studio
  • Запуск оценки исходных баз данных SQL Server
  • Настройка миграции сертификатов TDE
  • Подключение в целевой объект SQL Azure
  • Запуск миграции сертификатов TDE и мониторинг хода выполнения до завершения

Необходимые компоненты

Прежде чем приступить к работе с руководством, выполните следующие действия.

  • Скачайте и установите Azure Data Studio.

  • Установите расширение миграции SQL Azure из Azure Data Studio Marketplace.

  • Запустите Azure Data Studio как Администратор istrator.

  • У вас есть учетная запись Azure, назначенная одной из следующих встроенных ролей:

    • Участник целевого управляемого экземпляра (и служба хранилища учетная запись для отправки резервных копий файлов сертификатов TDE из S МБ сетевой общей папки).
    • Роль читателя для групп ресурсов Azure, содержащих целевой управляемый экземпляр или учетную запись хранения Azure.
    • Роль владельца или участника для подписки Azure (требуется при создании новой службы DMS).
    • В качестве альтернативы использованию указанных выше встроенных ролей можно назначить пользовательскую роль. Дополнительные сведения см. в разделе "Пользовательские роли: Онлайн SQL Server для Управляемый экземпляр SQL миграции с помощью ADS".

  • Создайте целевой экземпляр Управляемый экземпляр SQL Azure.

  • Убедитесь, что имя входа, используемое для подключения к источнику SQL Server, является членом роли сервера sysadmin .

  • Компьютер, в котором Azure Data Studio запускает миграцию базы данных с поддержкой TDE, должен иметь подключение как к источникам, так и к целевым серверам SQL.

Откройте мастер миграции в SQL Azure в Azure Data Studio

Чтобы открыть мастер миграции в Azure SQL, выполните следующие действия.

  1. В Azure Data Studio перейдите к Подключение ion. Подключение локальному экземпляру SQL Server. Вы также можете подключиться к SQL Server на виртуальной машине Azure.

  2. Щелкните правой кнопкой мыши подключение к серверу и выберите пункт "Управление".

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. В меню сервера в разделе "Общие" выберите "Миграция SQL Azure".

    Screenshot that shows the Azure Data Studio server menu.

  4. На панели мониторинга миграции SQL Azure выберите "Миграция в Azure SQL ", чтобы открыть мастер миграции.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. На первой странице мастера запустите новый сеанс или возобновите ранее сохраненный сеанс.

Запуск оценки базы данных

  1. На шаге 1. Базы данных для оценки в мастере миграции в SQL Azure выберите базы данных, которые необходимо оценить. Затем выберите Далее.

    Screenshot that shows selecting a database for assessment.

  2. На шаге 2. Результаты оценки выполните следующие действия.

    1. В разделе "Выбор целевого объекта SQL Azure" выберите Управляемый экземпляр SQL Azure.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Выберите "Вид" или " Выбрать ", чтобы просмотреть результаты оценки.

      Screenshot that shows view/select assessment results.

    3. В результатах оценки выберите базу данных и просмотрите результаты оценки. В этом примере можно увидеть, что AdventureWorksTDE база данных защищена прозрачным шифрованием данных (TDE). Оценка рекомендуется перенести сертификат TDE перед переносом исходной базы данных в целевой объект управляемого экземпляра.

      Screenshot that shows assessment findings report.

    4. Выберите "Выбрать", чтобы открыть панель конфигурации миграции TDE.

Настройка параметров миграции TDE

  1. В выбранном разделе " Зашифрованная база данных" выберите "Экспорт сертификатов и закрытый ключ" в целевой объект.

    Screenshot that shows the TDE migration configuration.

    Важно!

    В разделе "Сведения" описаны необходимые разрешения для экспорта сертификатов DEK.

    Необходимо убедиться, что у учетной записи службы SQL Server есть доступ на запись к пути к сетевому ресурсу, который будет использоваться для резервного копирования сертификатов DEK. Кроме того, текущий пользователь должен иметь права администратора на компьютере, где существует этот сетевой путь.

  2. Введите сетевой путь.

    Screenshot that shows the TDE migration configuration for a network share.

    Затем проверка я даю согласие на использование моих учетных данных для доступа к сертификатам. С помощью этого действия вы разрешаете мастеру миграции базы данных создать резервную копию сертификата DEK в сетевую папку.

  3. Если мастер миграции не нужен, помогите перенести базы данных с поддержкой TDE. Выберите "Я не хочу, чтобы Azure Data Studio экспортирует сертификаты". Чтобы пропустить этот шаг.

    Screenshot that shows how to decline the TDE migration.

    Важно!

    Прежде чем продолжить миграцию, необходимо перенести сертификаты, в противном случае миграция завершится ошибкой. Дополнительные сведения о переносе сертификатов TDE вручную см. в разделе "Перемещение защищенной базы данных TDE в другой SQL Server".

  4. Если вы хотите продолжить миграцию сертификации TDE, нажмите кнопку "Применить".

    Screenshot that shows how to apply the TDE migration configuration.

    Панель конфигурации миграции TDE будет закрыта, но вы можете выбрать "Изменить ", чтобы изменить конфигурацию сетевой общей папки в любое время. Нажмите кнопку "Далее ", чтобы продолжить процесс миграции.

    Screenshot that shows how to edit the TDE migration configuration.

Настройка параметров миграции

На шаге 3. Целевой объект SQL Azure в мастере миграции в SQL Azure выполните следующие действия для целевого управляемого экземпляра:

  1. Выберите учетную запись Azure, подписку Azure, регион Или расположение Azure и группу ресурсов, содержащую управляемый экземпляр.

    Screenshot that shows Azure account details.

  2. Когда вы будете готовы, выберите "Миграция сертификатов", чтобы начать миграцию сертификатов TDE.

Запуск и мониторинг миграции сертификатов TDE

  1. На шаге 3. Состояние миграции откроется панель миграции сертификатов. Сведения о ходе миграции сертификатов TDE отображаются на экране.

    Screenshot that shows how the TDE migration process starts.

  2. После завершения миграции TDE (или при сбое) на странице отображаются соответствующие обновления.

    Screenshot that shows how the TDE migration process continues.

  3. Если необходимо повторить миграцию, выберите "Повторить миграцию".

    Screenshot that shows how to retry the TDE migration.

  4. Когда вы будете готовы, выберите "Готово ", чтобы продолжить работу мастера миграции.

    Screenshot that shows how to complete the TDE migration.

  5. Вы можете отслеживать процесс для каждого сертификата TDE, выбрав пункт "Миграция сертификатов".

  6. Нажмите кнопку "Далее ", чтобы продолжить работу мастера миграции, пока не завершите миграцию базы данных.

    Screenshot that shows how to continue the database migration.

    Ознакомьтесь со следующими пошаговными руководствами по переносу баз данных в сети или в автономном режиме в целевые объекты Управляемый экземпляр SQL Azure:

Шаги после миграции

Теперь у целевого управляемого экземпляра должны быть базы данных и перенесены соответствующие сертификаты. Чтобы проверить текущее состояние недавно перенесенной базы данных, скопируйте и вставьте следующий пример в новое окно запроса в Azure Data Studio при подключении к целевому объекту управляемого экземпляра. Затем нажмите кнопку Запустить.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Запрос возвращает сведения о базе данных, состоянии шифрования и ожидаемом проценте завершения. В этом случае это нулевая, так как сертификат TDE уже завершен.

Screenshot that shows the results returned by the TDE query provided in this section.

Дополнительные сведения о шифровании с помощью SQL Server см. в разделе "Прозрачное шифрование данных( TDE)".

Ограничения

В следующей таблице описывается текущее состояние миграции баз данных с поддержкой TDE целевым объектом SQL Azure:

Назначение Поддержка Состояние
База данных SQL Azure No
Управляемый экземпляр SQL Azure Да Предварительный просмотр
SQL Server на виртуальной машине Azure No

Связанный контент