Självstudie: Migrera TDE-aktiverade databaser (förhandsversion) till Azure SQL i Azure Data Studio

  • Artikel

För att skydda en SQL Server-databas kan du vidta försiktighetsåtgärder som att utforma ett säkert system, kryptera konfidentiella tillgångar och skapa en brandvägg. Fysisk stöld av media som enheter eller band kan dock fortfarande kompromettera data.

TDE tillhandahåller en lösning på det här problemet, med I/O-kryptering/dekryptering i realtid av vilande data (data och loggfiler) med hjälp av en symmetrisk databaskrypteringsnyckel (DEK) som skyddas av ett certifikat. Mer information om hur du migrerar TDE-certifikat manuellt finns i Flytta en TDE-skyddad databas till en annan SQL Server.

När du migrerar en TDE-skyddad databas måste även certifikatet (asymmetrisk nyckel) som används för att öppna databaskrypteringsnyckeln (DEK) flyttas tillsammans med källdatabasen. Därför måste du återskapa servercertifikatet i master databasen för sql-målservern för att den instansen ska få åtkomst till databasfilerna.

Du kan använda Azure SQL Migration-tillägget för Azure Data Studio för att migrera TDE-aktiverade databaser (förhandsversion) från en lokal instans av SQL Server till Azure SQL.

Den TDE-aktiverade databasmigreringsprocessen automatiserar manuella uppgifter, till exempel säkerhetskopiering av databascertifikatnycklarna (DEK), kopierar certifikatfilerna från den lokala SQL Server till Azure SQL-målet och konfigurerar sedan om TDE för måldatabasen igen.

Viktigt!

  1. För närvarande stöds endast Azure SQL Managed Instance-mål.
  2. Och krypterade säkerhetskopior stöds inte.

I den här självstudien får du lära dig hur du migrerar exempelkrypterad AdventureWorksTDE databas från en lokal instans av SQL Server till en Hanterad Azure SQL-instans.

  • Öppna guiden Migrera till Azure SQL i Azure Data Studio
  • Köra en utvärdering av dina SQL Server-källdatabaser
  • Konfigurera migrering av TDE-certifikat
  • Anslut till ditt Azure SQL-mål
  • Starta migreringen av TDE-certifikatet och övervaka förloppet till slutförande

Förutsättningar

Innan du börjar självstudien:

  • Ladda ned och installera Azure Data Studio.

  • Installera Azure SQL Migration-tillägget från Azure Data Studio Marketplace.

  • Kör Azure Data Studio som administratör.

  • Ha ett Azure-konto som har tilldelats någon av följande inbyggda roller:

    • Deltagare för den hanterade målinstansen (och lagringskontot för att ladda upp dina säkerhetskopior av TDE-certifikatfilerna från SMB-nätverksresursen).
    • Läsarroll för Azure-resursgrupper som innehåller den hanterade målinstansen eller Azure-lagringskontot.
    • Rollen Ägare eller Deltagare för Azure-prenumerationen (krävs om du skapar en ny DMS-tjänst).
    • Som ett alternativ till att använda ovanstående inbyggda roller kan du tilldela en anpassad roll. Mer information finns i Anpassade roller: Online SQL Server till SQL Managed Instance-migreringar med ADS.

  • Skapa en målinstans av Azure SQL Managed Instance.

  • Kontrollera att inloggningen som du använder för att ansluta till SQL Server-källan är medlem i sysadmin-serverrollen.

  • Den dator där Azure Data Studio kör den TDE-aktiverade databasmigreringen bör ha anslutning till både källor och SQL-målservrar.

Öppna guiden Migrera till Azure SQL i Azure Data Studio

Så här öppnar du guiden Migrera till Azure SQL:

  1. I Azure Data Studio går du till Anslut ions. Anslut till din lokala instans av SQL Server. Du kan också ansluta till SQL Server på en virtuell Azure-dator.

  2. Högerklicka på serveranslutningen och välj Hantera.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. På servermenyn under Allmänt väljer du Azure SQL-migrering.

    Screenshot that shows the Azure Data Studio server menu.

  4. I instrumentpanelen för Azure SQL-migrering väljer du Migrera till Azure SQL för att öppna migreringsguiden.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. På den första sidan i guiden startar du en ny session eller återupptar en tidigare sparad session.

Köra databasutvärdering

  1. I Steg 1: Databaser för utvärdering i guiden Migrera till Azure SQL väljer du de databaser som du vill utvärdera. Välj sedan Nästa.

    Screenshot that shows selecting a database for assessment.

  2. Slutför följande steg i steg 2: Utvärderingsresultat:

    1. I Välj ditt Azure SQL-mål väljer du Azure SQL Managed Instance.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Välj Visa/välj för att visa utvärderingsresultatet.

      Screenshot that shows view/select assessment results.

    3. I utvärderingsresultaten väljer du databasen och granskar sedan utvärderingsresultaten. I det här exemplet kan du se att AdventureWorksTDE databasen är skyddad med transparent datakryptering (TDE). Utvärderingen rekommenderar att du migrerar TDE-certifikatet innan du migrerar källdatabasen till målet för den hanterade instansen.

      Screenshot that shows assessment findings report.

    4. Välj Välj för att öppna konfigurationspanelen för TDE-migrering.

Konfigurera TDE-migreringsinställningar

  1. I avsnittet Krypterad databas väljer du Exportera mina certifikat och privat nyckel till målet.

    Screenshot that shows the TDE migration configuration.

    Viktigt!

    I avsnittet Information beskrivs de behörigheter som krävs för att exportera DEK-certifikaten.

    Du måste se till att SQL Server-tjänstkontot har skrivåtkomst till nätverksresurssökvägen som du ska använda för att säkerhetskopiera DEK-certifikaten. Den aktuella användaren bör också ha administratörsbehörighet på den dator där den här nätverkssökvägen finns.

  2. Ange nätverkssökvägen.

    Screenshot that shows the TDE migration configuration for a network share.

    Kontrollera sedan att jag ger mitt medgivande till att använda mina autentiseringsuppgifter för att komma åt certifikaten. Med den här åtgärden tillåter du att guiden för databasmigrering säkerhetskopierar DEK-certifikatet till nätverksresursen.

  3. Om du inte vill ha migreringsguiden kan du migrera TDE-aktiverade databaser. Välj Jag vill inte att Azure Data Studio ska exportera certifikaten. Hoppa över det här steget.

    Screenshot that shows how to decline the TDE migration.

    Viktigt!

    Du måste migrera certifikaten innan du fortsätter med migreringen, annars misslyckas migreringen. Mer information om hur du migrerar TDE-certifikat manuellt finns i Flytta en TDE-skyddad databas till en annan SQL Server.

  4. Om du vill fortsätta med TDE-certifieringsmigreringen väljer du Använd.

    Screenshot that shows how to apply the TDE migration configuration.

    Konfigurationspanelen för TDE-migrering stängs, men du kan välja Redigera för att ändra nätverksresurskonfigurationen när som helst. Välj Nästa för att fortsätta migreringsprocessen.

    Screenshot that shows how to edit the TDE migration configuration.

Konfigurera migreringsinställningar

I Steg 3: Azure SQL-målet i guiden Migrera till Azure SQL utför du följande steg för din hanterade målinstans:

  1. Välj ditt Azure-konto, Azure-prenumeration, Azure-region eller -plats och resursgruppen som innehåller den hanterade instansen.

    Screenshot that shows Azure account details.

  2. När du är klar väljer du Migrera certifikat för att starta migreringen av TDE-certifikat.

Starta och övervaka TDE-certifikatmigreringen

  1. I steg 3: Migreringsstatus öppnas panelen Certifikatmigrering. Förloppsinformation för TDE-certifikatmigrering visas på skärmen.

    Screenshot that shows how the TDE migration process starts.

  2. När TDE-migreringen har slutförts (eller om den har fel) visar sidan relevanta uppdateringar.

    Screenshot that shows how the TDE migration process continues.

  3. Om du behöver försöka migreringen igen väljer du Försök migrera igen.

    Screenshot that shows how to retry the TDE migration.

  4. När du är klar väljer du Klar för att fortsätta migreringsguiden.

    Screenshot that shows how to complete the TDE migration.

  5. Du kan övervaka processen för varje TDE-certifikat genom att välja Migrera certifikat.

  6. Välj Nästa för att fortsätta migreringsguiden tills du har slutfört databasmigreringen.

    Screenshot that shows how to continue the database migration.

    Mer information om hur du migrerar databaser online eller offline till Azure SQL Managed Instance-mål finns i följande stegvisa självstudier:

Steg efter migrering

Din hanterade målinstans bör nu ha databaserna och deras respektive certifikat migrerade. Om du vill verifiera den aktuella statusen för den nyligen migrerade databasen kopierar du och klistrar in följande exempel i ett nytt frågefönster i Azure Data Studio när du är ansluten till ditt mål för den hanterade instansen. Välj sedan Kör.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Frågan returnerar information om databasen, krypteringsstatusen och den väntande procenten slutförd. I det här fallet är det noll eftersom TDE-certifikatet redan har slutförts.

Screenshot that shows the results returned by the TDE query provided in this section.

Mer information om kryptering med SQL Server finns i Transparent datakryptering (TDE).

Begränsningar

I följande tabell beskrivs den aktuella statusen för TDE-aktiverade databasmigreringar som stöds av Azure SQL-målet:

Mål Support Status
Azure SQL Database Nej
Azure SQL Managed Instance Ja Förhandsgranska
SQL Server på virtuell Azure-dator Nej

Relaterat innehåll