Aktivera transparent datakryptering på SQL Managed Instance som aktiveras av Azure Arc (förhandsversion)

Den här artikeln beskriver hur du aktiverar och inaktiverar transparent datakryptering (TDE) i vila på en SQL Managed Instance som aktiveras av Azure Arc. I den här artikeln refererar termen hanterad instans till en distribution av SQL Managed Instance som aktiveras av Azure Arc och aktivering/inaktivering av TDE gäller för alla databaser som körs på en hanterad instans.

Mer information om TDE finns i Transparent datakryptering.

När du aktiverar TDE-funktionen gör du följande:

• Alla befintliga databaser krypteras nu automatiskt.
• Alla nyligen skapade databaser krypteras automatiskt.

Kommentar

Som en förhandsgranskningsfunktion omfattas tekniken som presenteras i den här artikeln av kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure.

De senaste uppdateringarna är tillgängliga i viktig information.

Förutsättningar

Innan du fortsätter med den här artikeln måste du ha en SQL Managed Instance aktiverad av Azure Arc-resursen och ansluta till den.

• Skapa en SQL Managed Instance aktiverad av Azure Arc
• Anslut till SQL Managed Instance aktiverat av Azure Arc

Begränsningar

Följande begränsningar gäller när du aktiverar automatisk TDE:

• Endast nivån Generell användning stöds.
• Redundansgrupper stöds inte.

Skapa en hanterad instans med TDE aktiverat (Azure CLI)

I följande exempel skapas en SQL Managed Instance som aktiveras av Azure Arc med en replik, TDE aktiverat:

az sql mi-arc create --name sqlmi-tde --k8s-namespace arc --tde-mode ServiceManaged --use-k8s

Aktivera TDE på den hanterade instansen

När TDE är aktiverat på Arc-aktiverad SQL Managed Instance utför datatjänsten automatiskt följande uppgifter:

1. Lägger till huvudnyckeln master för tjänsthanterad databas i databasen.
2. Lägger till det tjänsthanterade certifikatskyddet.
3. Lägger till de associerade databaskrypteringsnycklarna (DEK) på alla databaser på den hanterade instansen.
4. Aktiverar kryptering på alla databaser på den hanterade instansen.

Du kan ange SQL Managed Instance aktiverat av Azure Arc TDE i något av två lägen:

• Tjänsthanterad
• Kundhanterad

I tjänsthanterat läge kräver TDE att den hanterade instansen använder en tjänsthanterad databashuvudnyckel samt det tjänsthanterade servercertifikatet. Dessa autentiseringsuppgifter skapas automatiskt när tjänsthanterad TDE aktiveras.

I kundhanterat läge använder TDE en tjänsthanterad databashuvudnyckel och använder nycklar som du anger för servercertifikatet. Så här konfigurerar du kundhanterat läge:

1. Skapa ett certifikat.
2. Lagra certifikatet som en hemlighet i samma Kubernetes-namnområde som instansen.

Aktivera

Tjänsthanterad

I följande avsnitt beskrivs hur du aktiverar TDE i tjänsthanterat läge.

Kundhanterad

I följande avsnitt beskrivs hur du aktiverar TDE i kundhanterat läge.

Azure CLI

Om du vill aktivera TDE i tjänsthanterat läge kör du följande kommando:

az sql mi-arc update --tde-mode ServiceManaged

Kubernetes-inbyggda verktyg

Om du vill aktivera TDE i tjänsthanterat läge kör du kubectl-korrigering för att aktivera tjänsthanterad TDE:

kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "ServiceManaged" } } } }'

Exempel:

kubectl patch sqlmi sqlmi-tde --namespace arc --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "ServiceManaged" } } } }'

Azure CLI

Så här aktiverar du TDE i kundhanterat läge med Azure CLI:

1. Skapa ett certifikat.

   openssl req -x509 -newkey rsa:2048 -nodes -keyout <key-file> -days 365 -out <cert-file>
   

2. Skapa en hemlighet för certifikatet.

   Viktigt!

   Lagra hemligheten i samma namnområde som den hanterade instansen

   kubectl create secret generic <tde-secret-name> --from-literal=privatekey.pem="$(cat <key-file>)" --from-literal=certificate.pem="$(cat <cert-file>) --namespace <namespace>"
   

3. Uppdatera och kör följande exempel för att aktivera kundhanterad TDE:

   az sql mi-arc update --tde-mode CustomerManaged --tde-protector-private-key-file <key-file> --tde-protector-public-key-file <cert-file>
   

Kubernetes-inbyggda verktyg

Så här aktiverar du TDE i kundhanterat läge:

1. Skapa ett certifikat.

   openssl req -x509 -newkey rsa:2048 -nodes -keyout <key-file> -days 365 -out <cert-file>
   

2. Skapa en hemlighet för certifikatet.

   Viktigt!

   Lagra hemligheten i samma namnområde som den hanterade instansen

   kubectl create secret generic <tde-secret-name> --from-literal=privatekey.pem="$(cat <key-file>)" --from-literal=certificate.pem="$(cat <cert-file>) --namespace <namespace>"
   

3. Kör kubectl patch ... för att aktivera kundhanterad TDE

   kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "CustomerManaged", "protectorSecret": "<tde-secret-name>" } } } }'
   

   Exempel:

   kubectl patch sqlmi sqlmi-tde --namespace arc --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "CustomerManaged", "protectorSecret": "sqlmi-tde-protector-cert-secret" } } } }'
   

Inaktivera TDE på den hanterade instansen

När TDE är inaktiverat på Arc-aktiverad SQL Managed Instance utför datatjänsten automatiskt följande uppgifter:

1. Inaktiverar kryptering på alla databaser på den hanterade instansen.
2. Släpper de associerade DEK:erna på alla databaser på den hanterade instansen.
3. Släpper det tjänsthanterade certifikatskyddet.
4. Släpper huvudnyckeln master för den tjänsthanterade databasen i databasen.

Azure CLI

Så här inaktiverar du TDE:

az sql mi-arc update --tde-mode Disabled

Kubernetes-inbyggda verktyg

Kör kubectl-korrigering för att inaktivera tjänsthanterad TDE.

kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "Disabled" } } } }'

Exempel:

kubectl patch sqlmi sqlmi-tde --namespace arc --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "Disabled" } } } }'

Säkerhetskopiera en TDE-autentiseringsuppgift

När du säkerhetskopierar autentiseringsuppgifter från den hanterade instansen lagras autentiseringsuppgifterna i containern. Om du vill lagra autentiseringsuppgifter på en beständig volym anger du monteringssökvägen i containern. Exempel: var/opt/mssql/data I följande exempel säkerhetskopieras ett certifikat från den hanterade instansen:

Kommentar

kubectl cp Om kommandot körs från Windows kan kommandot misslyckas när du använder absoluta Windows-sökvägar. Använd relativa sökvägar eller kommandona som anges nedan.

1. Säkerhetskopiera certifikatet från containern till /var/opt/mssql/data.

   USE master;
   GO
   
   BACKUP CERTIFICATE <cert-name> TO FILE = '<cert-path>'
   WITH PRIVATE KEY ( FILE = '<private-key-path>',
   ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>');
   

   Exempel:

   USE master;
   GO
   
   BACKUP CERTIFICATE MyServerCert TO FILE = '/var/opt/mssql/data/servercert.crt'
   WITH PRIVATE KEY ( FILE = '/var/opt/mssql/data/servercert.key',
   ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>');
   

2. Kopiera certifikatet från containern till filsystemet.

   Windows

   kubectl exec -n <namespace> -c arc-sqlmi <pod-name> -- cat <pod-certificate-path> > <local-certificate-path>
   

   Exempel:

   kubectl exec -n arc-ns -c arc-sqlmi sql-0 -- cat /var/opt/mssql/data/servercert.crt > $HOME\sqlcerts\servercert.crt
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <pod-name>:<pod-certificate-path> <local-certificate-path>
   

   Exempel:

   kubectl cp --namespace arc-ns --container arc-sqlmi sql-0:/var/opt/mssql/data/servercert.crt $HOME/sqlcerts/servercert.crt
   

---

3. Kopiera den privata nyckeln från containern till filsystemet.

   Windows

    kubectl exec -n <namespace> -c arc-sqlmi <pod-name> -- cat <pod-private-key-path> > <local-private-key-path>
   

   Exempel:

   kubectl exec -n arc-ns -c arc-sqlmi sql-0 -- cat /var/opt/mssql/data/servercert.key > $HOME\sqlcerts\servercert.key
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <pod-name>:<pod-private-key-path> <local-private-key-path>
   

   Exempel:

   kubectl cp --namespace arc-ns --container arc-sqlmi sql-0:/var/opt/mssql/data/servercert.key $HOME/sqlcerts/servercert.key
   

---

4. Ta bort certifikatet och den privata nyckeln från containern.

   kubectl exec -it --namespace <namespace> --container arc-sqlmi <pod-name> -- bash -c "rm <certificate-path> <private-key-path>
   

   Exempel:

   kubectl exec -it --namespace arc-ns --container arc-sqlmi sql-0 -- bash -c "rm /var/opt/mssql/data/servercert.crt /var/opt/mssql/data/servercert.key"
   

Återställa en TDE-autentiseringsuppgift till en hanterad instans

Om du vill återställa autentiseringsuppgifterna, kopierar du dem till containern och kör motsvarande T-SQL efteråt.

Kommentar

kubectl cp Om kommandot körs från Windows kan kommandot misslyckas när du använder absoluta Windows-sökvägar. Använd relativa sökvägar eller kommandona som anges nedan. Om du vill återställa databassäkerhetskopior som har gjorts innan du aktiverar TDE måste du inaktivera TDE på SQL Managed Instance, återställa databassäkerhetskopian och aktivera TDE igen.

1. Kopiera certifikatet från filsystemet till containern.

   Windows

   type <local-certificate-path> | kubectl exec -i -n <namespace> -c arc-sqlmi <pod-name> -- tee <pod-certificate-path>
   

   Exempel:

   type $HOME\sqlcerts\servercert.crt | kubectl exec -i -n arc-ns -c arc-sqlmi sql-0 -- tee /var/opt/mssql/data/servercert.crt
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <local-certificate-path> <pod-name>:<pod-certificate-path>
   

   Exempel:

   kubectl cp --namespace arc-ns --container arc-sqlmi $HOME/sqlcerts/servercert.crt sql-0:/var/opt/mssql/data/servercert.crt
   

---

2. Kopiera den privata nyckeln från filsystemet till containern.

   Windows

   type <local-private-key-path> | kubectl exec -i -n <namespace> -c arc-sqlmi <pod-name> -- tee <pod-private-key-path>
   

   Exempel:

   type $HOME\sqlcerts\servercert.key | kubectl exec -i -n arc-ns -c arc-sqlmi sql-0 -- tee /var/opt/mssql/data/servercert.key
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <local-private-key-path> <pod-name>:<pod-private-key-path>
   

   Exempel:

   kubectl cp --namespace arc-ns --container arc-sqlmi $HOME/sqlcerts/servercert.key sql-0:/var/opt/mssql/data/servercert.key
   

3. Skapa certifikatet med hjälp av filsökvägar från /var/opt/mssql/data.

   USE master;
   GO
   
   CREATE CERTIFICATE <certicate-name>
   FROM FILE = '<certificate-path>'
   WITH PRIVATE KEY ( FILE = '<private-key-path>',
       DECRYPTION BY PASSWORD = '<UseStrongPasswordHere>' );
   

   Exempel:

   USE master;
   GO
   
   CREATE CERTIFICATE MyServerCertRestored
   FROM FILE = '/var/opt/mssql/data/servercert.crt'
   WITH PRIVATE KEY ( FILE = '/var/opt/mssql/data/servercert.key',
       DECRYPTION BY PASSWORD = '<UseStrongPasswordHere>' );
   

4. Ta bort certifikatet och den privata nyckeln från containern.

   kubectl exec -it --namespace <namespace> --container arc-sqlmi <pod-name> -- bash -c "rm <certificate-path> <private-key-path>
   

   Exempel:

   kubectl exec -it --namespace arc-ns --container arc-sqlmi sql-0 -- bash -c "rm /var/opt/mssql/data/servercert.crt /var/opt/mssql/data/servercert.key"
   

Relaterat innehåll

Transparent datakryptering