Dela via

Självstudie: Migrera TDE-aktiverade databaser (förhandsversion) till Azure SQL i Azure Data Studio

  • Artikel

För att skydda en SQL Server-databas kan du vidta försiktighetsåtgärder som att utforma ett säkert system, kryptera konfidentiella tillgångar och skapa en brandvägg. Fysisk stöld av media som enheter eller band kan dock fortfarande kompromettera data.

TDE tillhandahåller en lösning på det här problemet, med I/O-kryptering/dekryptering i realtid av vilande data (data och loggfiler) med hjälp av en symmetrisk databaskrypteringsnyckel (DEK) som skyddas av ett certifikat. Mer information om hur du migrerar TDE-certifikat manuellt finns i Flytta en TDE-skyddad databas till en annan SQL Server.

När du migrerar en TDE-skyddad databas måste även certifikatet (asymmetrisk nyckel) som används för att öppna databaskrypteringsnyckeln (DEK) flyttas tillsammans med källdatabasen. Därför måste du återskapa servercertifikatet i master databasen för sql-målservern för att den instansen ska få åtkomst till databasfilerna.

Du kan använda Azure SQL Migration-tillägget för Azure Data Studio för att migrera TDE-aktiverade databaser (förhandsversion) från en lokal instans av SQL Server till Azure SQL.

Den TDE-aktiverade databasmigreringsprocessen automatiserar manuella uppgifter, till exempel säkerhetskopiering av databascertifikatnycklarna (DEK), kopierar certifikatfilerna från den lokala SQL Server till Azure SQL-målet och konfigurerar sedan om TDE för måldatabasen igen.

Viktigt!

För närvarande stöds endast Azure SQL Managed Instance-mål. Krypterade säkerhetskopior stöds inte.

I den här självstudien får du lära dig hur du migrerar exempelkrypterad AdventureWorksTDE databas från en lokal instans av SQL Server till en Hanterad Azure SQL-instans.

  • Öppna guiden Migrera till Azure SQL i Azure Data Studio
  • Köra en utvärdering av dina SQL Server-källdatabaser
  • Konfigurera migrering av TDE-certifikat
  • Ansluta till ditt Azure SQL-mål
  • Starta migreringen av TDE-certifikatet och övervaka förloppet till slutförande

Förutsättningar

Innan du börjar självstudien:

  • Ladda ned och installera Azure Data Studio.

  • Installera Azure SQL Migration-tillägget från Azure Data Studio Marketplace.

  • Kör Azure Data Studio som administratör.

  • Ha ett Azure-konto som har tilldelats någon av följande inbyggda roller:

    • Deltagare för den hanterade målinstansen (och lagringskontot för att ladda upp dina säkerhetskopior av TDE-certifikatfilerna från SMB-nätverksresursen).
    • Läsarroll för Azure-resursgrupper som innehåller den hanterade målinstansen eller Azure-lagringskontot.
    • Rollen Ägare eller Deltagare för Azure-prenumerationen (krävs om du skapar en ny DMS-tjänst).
    • Som ett alternativ till att använda ovanstående inbyggda roller kan du tilldela en anpassad roll. Mer information finns i Anpassade roller: Online SQL Server till SQL Managed Instance-migreringar med ADS.

  • Skapa en målinstans av Azure SQL Managed Instance.

  • Kontrollera att inloggningen som du använder för att ansluta till SQL Server-källan är medlem i sysadmin-serverrollen.

  • Den dator där Azure Data Studio kör den TDE-aktiverade databasmigreringen bör ha anslutning till både källor och SQL-målservrar.

Öppna guiden Migrera till Azure SQL i Azure Data Studio

Så här öppnar du guiden Migrera till Azure SQL:

  1. I Azure Data Studio går du till Anslutningar. Anslut till din lokala instans av SQL Server. Du kan också ansluta till SQL Server på en virtuell Azure-dator.

  2. Högerklicka på serveranslutningen och välj Hantera.

    Skärmbild som visar en serveranslutning och alternativet Hantera i Azure Data Studio.

  3. På servermenyn under Allmänt väljer du Azure SQL-migrering.

    Skärmbild som visar Azure Data Studio-servermenyn.

  4. I instrumentpanelen för Azure SQL-migrering väljer du Migrera till Azure SQL för att öppna migreringsguiden.

    Skärmbild som visar guiden Migrera till Azure SQL.

  5. På den första sidan i guiden startar du en ny session eller återupptar en tidigare sparad session.

Köra databasutvärdering

  1. I Steg 1: Databaser för utvärdering i guiden Migrera till Azure SQL väljer du de databaser som du vill utvärdera. Välj sedan Nästa.

    Skärmbild som visar hur du väljer en databas för utvärdering.

  2. Slutför följande steg i steg 2: Utvärderingsresultat:

    1. I Välj ditt Azure SQL-mål väljer du Azure SQL Managed Instance.

      Skärmbild som visar hur du väljer målet för Azure SQL Managed Instance.

    2. Välj Visa/välj för att visa utvärderingsresultatet.

      Skärmbild som visar visa/välj utvärderingsresultat.

    3. I utvärderingsresultaten väljer du databasen och granskar sedan utvärderingsresultaten. I det här exemplet kan du se att AdventureWorksTDE databasen är skyddad med transparent datakryptering (TDE). Utvärderingen rekommenderar att du migrerar TDE-certifikatet innan du migrerar källdatabasen till målet för den hanterade instansen.

      Skärmbild som visar rapporten med utvärderingsresultat.

    4. Välj Välj för att öppna konfigurationspanelen för TDE-migrering.

Konfigurera TDE-migreringsinställningar

  1. I avsnittet Krypterad databas väljer du Exportera mina certifikat och privat nyckel till målet.

    Skärmbild som visar TDE-migreringskonfigurationen.

    I avsnittet Information beskrivs de behörigheter som krävs för att exportera DEK-certifikaten.

    Du måste se till att SQL Server-tjänstkontot har skrivåtkomst till nätverksresurssökvägen som du använder för att säkerhetskopiera DEK-certifikaten. Den aktuella användaren bör också ha administratörsbehörighet på den dator där den här nätverkssökvägen finns.

  2. Ange nätverkssökvägen.

    Skärmbild som visar TDE-migreringskonfigurationen för en nätverksresurs.

    Kontrollera sedan att jag ger mitt medgivande till att använda mina autentiseringsuppgifter för att komma åt certifikaten. Med den här åtgärden tillåter du att guiden för databasmigrering säkerhetskopierar DEK-certifikatet till nätverksresursen.

  3. Om du inte vill ha migreringsguiden kan du migrera TDE-aktiverade databaser. Välj Jag vill inte att Azure Data Studio ska exportera certifikaten. Hoppa över det här steget.

    Skärmbild som visar hur du avböjer TDE-migreringen.

    Viktigt!

    Du måste migrera certifikaten innan du fortsätter med migreringen, annars misslyckas migreringen. Mer information om hur du migrerar TDE-certifikat manuellt finns i Flytta en TDE-skyddad databas till en annan SQL Server.

  4. Om du vill fortsätta med TDE-certifieringsmigreringen väljer du Använd.

    Skärmbild som visar hur du tillämpar TDE-migreringskonfigurationen.

    Konfigurationspanelen för TDE-migrering stängs, men du kan välja Redigera för att ändra nätverksresurskonfigurationen när som helst. Välj Nästa för att fortsätta migreringsprocessen.

    Skärmbild som visar hur du redigerar TDE-migreringskonfigurationen.

Konfigurera migreringsinställningar

I Steg 3: Azure SQL-målet i guiden Migrera till Azure SQL utför du följande steg för din hanterade målinstans:

  1. Välj ditt Azure-konto, Azure-prenumeration, Azure-region eller -plats och resursgruppen som innehåller den hanterade instansen.

    Skärmbild som visar Azure-kontoinformation.

  2. När du är klar väljer du Migrera certifikat för att starta migreringen av TDE-certifikat.

Starta och övervaka TDE-certifikatmigreringen

  1. I steg 3: Migreringsstatus öppnas panelen Certifikatmigrering. Förloppsinformation för TDE-certifikatmigrering visas på skärmen.

    Skärmbild som visar hur TDE-migreringsprocessen startar.

  2. När TDE-migreringen har slutförts (eller om den har fel) visar sidan relevanta uppdateringar.

    Skärmbild som visar hur TDE-migreringsprocessen fortsätter.

  3. Om du behöver försöka migreringen igen väljer du Försök migrera igen.

    Skärmbild som visar hur du försöker utföra TDE-migreringen igen.

  4. När du är klar väljer du Klar för att fortsätta migreringsguiden.

    Skärmbild som visar hur du slutför TDE-migreringen.

  5. Du kan övervaka processen för varje TDE-certifikat genom att välja Migrera certifikat.

  6. Välj Nästa för att fortsätta migreringsguiden tills du har slutfört databasmigreringen.

    Skärmbild som visar hur du fortsätter databasmigreringen.

    Mer information om hur du migrerar databaser online eller offline till Azure SQL Managed Instance-mål finns i följande stegvisa självstudier:

Steg efter migrering

Din hanterade målinstans bör nu ha databaserna och deras respektive certifikat migrerade. Om du vill verifiera den aktuella statusen för den nyligen migrerade databasen kopierar du och klistrar in följande exempel i ett nytt frågefönster i Azure Data Studio när du är ansluten till ditt mål för den hanterade instansen. Välj sedan Kör.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Frågan returnerar information om databasen, krypteringsstatusen och den väntande procenten slutförd. I det här fallet är det noll eftersom TDE-certifikatet redan har slutförts.

Skärmbild som visar resultaten som returneras av TDE-frågan som anges i det här avsnittet.

Mer information om kryptering med SQL Server finns i Transparent datakryptering (TDE).

Begränsningar

I följande tabell beskrivs den aktuella statusen för TDE-aktiverade databasmigreringar som stöds av Azure SQL-målet:

Mål Support Status
Azure SQL Database Nej
Azure SQL Managed Instance Ja Förhandsversion
SQL Server på virtuell Azure-dator Nej

Relaterat innehåll