Bulutta yeni DBA – Geçiş sonrasında Azure SQL Veritabanı yönetme
Şunlar için geçerlidir:
Azure SQL Veritabanı
Geleneksel kendi kendine yönetilen, kendi kendini denetlemiş ortamdan PaaS ortamına geçmek ilk başta biraz zor görünebilir. Bir uygulama geliştiricisi veya DBA olarak, uygulamanızı her zaman kullanılabilir, performanslı, güvenli ve dayanıklı tutmanıza yardımcı olacak temel platform özelliklerini bilmek istersiniz. Bu makale tam olarak bunu yapmayı amaçlamaktadır. Makale, kaynakları kısaca düzenler ve uygulamanızı verimli bir şekilde yönetmek ve çalışır durumda tutmak ve bulutta en iyi sonuçları elde etmek için tek ve havuza alınan veritabanlarıyla Azure SQL Veritabanı temel özelliklerini en iyi şekilde kullanma konusunda size rehberlik sağlar. Bu makalenin tipik hedef kitlesi şunlardır:
- Uygulamalarının Azure SQL Veritabanı geçişini değerlendiriyor ve uygulamalarınızı modernleştiriyor.
- Uygulamalarını geçirme sürecindedir – Devam eden geçiş senaryosu.
- Buluttaki yeni DBA Azure SQL Veritabanı geçişini kısa süre önce tamamladınız.
Bu makalede, elastik havuzlardaki tek veritabanları ve havuza alınan veritabanlarıyla çalışırken kolayca yararlanabileceğiniz bir platform olarak Azure SQL Veritabanı temel özelliklerinden bazıları ele alınmaktadır. bunlar şunlardır:
- Azure portalını kullanarak veritabanlarını izleme
- İş sürekliliği ve olağanüstü durum kurtarma (BCDR)
- Güvenlik ve uyumluluk
- Akıllı veritabanı izleme ve bakım
- Veri taşıma
Not
Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.
Azure portalını kullanarak veritabanlarını izleme
Azure portalında veritabanınızı seçip İzleme grafiğine tıklayarak tek bir veritabanının kullanımını izleyebilirsiniz. Bu işlem sonrasında bir Ölçüm penceresi görüntülenir. Grafiği düzenle düğmesine tıklayarak değişiklik yapabilirsiniz. Şu ölçümleri ekleyin:
- CPU yüzdesi
- DTU yüzdesi
- Veri G/Ç yüzdesi
- Veri boyutu yüzdesi
Bu ölçümleri ekledikten sonra Ölçüm penceresinde daha fazla bilgiyle İzleme grafiğinde görüntülemeye devam edebilirsiniz. Dört ölçümün tümü de veritabanınızın ortalama DTU kullanım yüzdesini gösterir. Hizmet katmanları hakkında daha fazla bilgi için DTU tabanlı satın alma modeli ve sanal çekirdek tabanlı satın alma modeli makalelerine bakın.
Performans ölçümlerine ilişkin uyarıları da yapılandırabilirsiniz. Ölçüm penceresinde Uyarı ekle düğmesini seçin. Uyarınızı yapılandırmak için sihirbazı takip edin. Ölçümlerin belirli bir eşiği aşması veya belirli bir eşiğin altına düşmesi halinde uyarı alabilirsiniz.
Örneğin, veritabanınızdaki bir iş yükünün artmasını bekliyorsanız bir e-posta uyarısı yapılandırarak veritabanınızın herhangi bir performans ölçümünde %80 sınırına ulaşması halinde uyarı alabilirsiniz. Bunu bir sonraki en yüksek işlem boyutuna ne zaman geçmeniz gerekebileceğini öğrenmek için erken uyarı olarak kullanabilirsiniz.
Performans ölçümleri, daha düşük bir işlem boyutuna düşürme olanağınız olup olmadığını belirlemenize de yardımcı olabilir. Standart S2 veritabanı kullandığınızı varsayalım ve tüm performans ölçümleri veritabanının belirli bir anda ortalama %10'dan fazlasını kullanmadığını gösterir. veritabanının Standart S1'de iyi çalışması olasıdır. Ancak, daha düşük bir işlem boyutuna geçme kararı vermeden önce ani artış gösteren veya dalgalanmış iş yüklerine dikkat edin.
İş sürekliliği ve olağanüstü durum kurtarma (BCDR)
İş sürekliliği ve olağanüstü durum kurtarma özellikleri, olağanüstü durum söz konusu olduğunda her zamanki gibi işinizi sürdürmenizi sağlar. Olağanüstü durum veritabanı düzeyinde bir olay (örneğin, birisi yanlışlıkla önemli bir tabloyu düşürebilir) veya veri merkezi düzeyinde bir olay (bölgesel felaket, örneğin bir tsunami) olabilir.
SQL Veritabanı'da yedeklemeler oluşturma ve yönetme Nasıl yaparım?
Azure SQL Veritabanı'da yedeklemeler oluşturmazsınız ve bunun nedeni, bunu yapmak zorunda olmadığınızdır. SQL Veritabanı veritabanlarını sizin için otomatik olarak yedekler, bu nedenle artık yedeklemeleri zamanlama, alma ve yönetme konusunda endişelenmeniz gerekmez. Platform her hafta tam yedekleme, birkaç saatte bir değişiklik yedeklemesi ve olağanüstü durum kurtarmanın verimli ve veri kaybının en az düzeyde olmasını sağlamak için 5 dakikada bir günlük yedeklemesi alır. İlk tam yedekleme, bir veritabanı oluşturduğunuzda gerçekleşir. Bu yedeklemeler "Bekletme Süresi" olarak adlandırılan belirli bir süre boyunca kullanılabilir ve seçtiğiniz hizmet katmanına göre değişir. SQL Veritabanı kullanarak bu saklama süresi içinde belirli bir noktaya geri yükleme olanağı sağlarZaman Kurtarma 'nın (PITR) noktası.
| Hizmet katmanı | Gün olarak tutma dönemi |
|---|---|
| Temel | 7 |
| Standart | 35 |
| Premium | 35 |
Buna ek olarak, Uzun Süreli Saklama (LTR) özelliği, yedekleme dosyalarınızı özellikle 10 yıla kadar çok daha uzun süre saklamanıza ve bu süre içinde herhangi bir noktada bu yedeklemelerden verileri geri yüklemenize olanak tanır. Ayrıca, bölgesel felaketlere karşı dayanıklılığı sağlamak için veritabanı yedekleri coğrafi olarak çoğaltılmış depolamada tutulur. Ayrıca bu yedeklemeleri bekletme süresi içinde herhangi bir zamanda herhangi bir Azure bölgesinde geri yükleyebilirsiniz. Daha fazla bilgi edinmek için bkz . İş sürekliliğine genel bakış .
Nasıl yaparım? veri merkezi düzeyinde bir olağanüstü durum veya bölgesel bir felaket durumunda iş sürekliliğini güvence altına alma
Veritabanı yedeklemeleriniz, bölgesel bir olağanüstü durum sırasında yedeklemeyi başka bir Azure bölgesine geri yükleyebilmenizi sağlamak için coğrafi olarak çoğaltılmış depolamada depolanır. Buna coğrafi geri yükleme adı verilir. Coğrafi geri yükleme için RPO (Kurtarma Noktası Hedefi) genellikle < 1 saat ve ERT 'dir (Tahmini Kurtarma Süresi) - birkaç dakika - saat.
Görev açısından kritik veritabanları için Azure SQL Veritabanı, özgün veritabanınızın coğrafi olarak çoğaltılmış ikincil kopyasını başka bir bölgede oluşturan etkin coğrafi çoğaltma sunar. Örneğin, veritabanınız başlangıçta Azure Batı ABD bölgesinde barındırılıyorsa ve bölgesel olağanüstü durum dayanıklılığı istiyorsanız Batı ABD'deki veritabanının etkin coğrafi çoğaltmasını Doğu ABD'ye oluşturun. Batı ABD'ye felaket geldiğinde Doğu ABD bölgesine yük devredebilirsiniz.
Etkin coğrafi çoğaltmaya ek olarak, yük devretme grupları bir grup veritabanının çoğaltmasını ve yük devretmesini yönetmek için kullanışlı bir yol sağlar. Aynı veya farklı bölgelerde birden çok veritabanı içeren bir yük devretme grubu oluşturabilirsiniz. Ardından yük devretme grubundaki tüm veritabanlarının ikincil bölgeye yük devretmesini başlatabilirsiniz. Daha fazla bilgi için bkz . Yük devretme grupları.
Veri merkezi veya kullanılabilirlik alanı hatalarında dayanıklılık elde etmek için veritabanı veya elastik havuz için bölge yedekliliğinin etkinleştirildiğinden emin olun.
Olağanüstü durum için uygulamanızı etkin bir şekilde izleyin ve ikincil uygulamaya yük devretme başlatın. Farklı Azure bölgelerinde en fazla dört etkin coğrafi çoğaltma oluşturabilirsiniz. Daha da iyiye gider. Salt okunur erişim için bu ikincil etkin coğrafi çoğaltmalara da erişebilirsiniz. Bu, coğrafi olarak dağıtılmış bir uygulama senaryosunda gecikme süresini azaltmak için çok kullanışlıdır.
olağanüstü durum kurtarma SQL Veritabanı ile nasıl görünür?
Etkin coğrafi çoğaltma veya yük devretme gruplarını kullandığınızda Azure SQL Veritabanı yalnızca birkaç tıklamayla olağanüstü durum kurtarma yapılandırması ve yönetimi yapılabilir. Yine de uygulamayı ve veritabanını bölgesel olağanüstü durumlara karşı izlemeniz ve iş sürekliliğini geri yüklemek için ikincil bölgeye yük devretmeniz gerekir.
Daha fazla bilgi edinmek için bkz. olağanüstü durum kurtarma 101 Azure SQL Veritabanı.
Güvenlik ve uyumluluk
SQL Veritabanı güvenlik ve gizliliği çok ciddiye alır. SQL Veritabanı içindeki güvenlik, veritabanı düzeyinde ve platform düzeyinde kullanılabilir ve çeşitli katmanlara kategorilere ayırıldığında en iyi şekilde anlaşılır. Her katmanda uygulamanız için en uygun güvenliği denetler ve sağlarsınız. Katmanlar şunlardır:
- Kimlik ve kimlik doğrulaması (Microsoft Entra Id (eski adıyla Azure Active Directory) ile SQL kimlik doğrulaması ve kimlik doğrulaması.
- İzleme etkinliği (Denetim ve tehdit algılama).
- Gerçek verileri koruma (Saydam Veri Şifrelemesi [TDE] ve Always Encrypted [AE]).
- Hassas ve ayrıcalıklı verilere erişimi denetleme (Satır Düzeyi güvenliği ve Dinamik Veri Maskeleme).
Bulut için Microsoft Defender, Azure'da, şirket içinde ve diğer bulutlarda çalışan iş yükleri arasında merkezi güvenlik yönetimi sunar. Denetim ve Saydam Veri Şifrelemesi [TDE] gibi temel SQL Veritabanı korumasının tüm kaynaklarda yapılandırılıp yapılandırılmadığını görüntüleyebilir ve kendi gereksinimlerinize göre ilkeler oluşturabilirsiniz.
SQL Veritabanı hangi kullanıcı kimlik doğrulama yöntemleri sunulur?
SQL Veritabanı'de sunulan iki kimlik doğrulama yöntemi vardır:
Windows kimlik doğrulaması desteklenmez. Microsoft Entra Id merkezi bir kimlik ve erişim yönetimi hizmetidir. Bununla, kuruluşunuzdaki personele çok rahat bir şekilde çoklu oturum açma (SSO) erişimi sağlayabilirsiniz. Bunun anlamı, kimlik bilgilerinin daha basit kimlik doğrulaması için Azure hizmetleri arasında paylaşılmış olmasıdır.
Microsoft Entra ID, çok faktörlü kimlik doğrulamasını destekler ve Windows Server Active Directory ile kolayca tümleştirilebilir. Bu, SQL Veritabanı ve Azure Synapse Analytics'in bir Microsoft Entra etki alanı içinde çok faktörlü kimlik doğrulaması ve konuk kullanıcı hesapları sunmasını da sağlar. Active Directory'yi şirket içinde zaten kullanıyorsanız, dizininizi Azure'a genişletmek için Microsoft Entra Id ile federasyona ekleyebilirsiniz.
SQL kimlik doğrulaması, belirli bir sunucudaki herhangi bir veritabanında kullanıcıların kimliğini doğrulamak için yalnızca kullanıcı adı ve parolayı destekler.
| Eğer... | SQL Veritabanı / Azure Synapse Analytics |
|---|---|
| Şirket içi SQL Server'da kullanılan AD | AD'yi Microsoft Entra Kimliği ile federasyona ekleyin ve Microsoft Entra kimlik doğrulamayı kullanın. Federasyon, çoklu oturum açma özelliğini kullanmanıza olanak tanır. |
| Çok faktörlü kimlik doğrulamasını zorunlu kılmanız gerekiyor | Microsoft Koşullu Erişim aracılığıyla ilke olarak çok faktörlü kimlik doğrulaması gerektirin ve Microsoft Entra çok faktörlü kimlik doğrulamasını kullanın. |
| Federasyon etki alanından Microsoft Entra kimlik bilgilerinizi kullanarak Windows'ta oturum açar | Microsoft Entra tümleşik kimlik doğrulamayı kullanın. |
| Azure ile federasyon olmayan bir etki alanındaki kimlik bilgileri kullanılarak Windows'ta oturum açar | Microsoft Entra tümleşik kimlik doğrulamayı kullanın. |
| SQL Veritabanı veya Azure Synapse Analytics'e bağlanması gereken orta katman hizmetlerine sahip olmak | Microsoft Entra tümleşik kimlik doğrulamayı kullanın. |
| SQL kimlik doğrulamasını kullanmak için teknik bir gereksinime sahip olma | SQL kimlik doğrulamayı kullanma |
Nasıl yaparım? veritabanıma bağlantı erişimini sınırlama veya denetleme
Uygulamanız için en uygun bağlantı kuruluşunu elde etmek için kullanabileceğiniz birden çok teknik vardır.
- Güvenlik Duvarı Kuralları
- Sanal Ağ Hizmet Uç Noktaları
- Ayrılmış IP’ler
Güvenlik Duvarı
Güvenlik duvarı, sunucunuza yalnızca belirli varlıkların erişmesine izin vererek dış varlıktan sunucunuza erişimi engeller. Varsayılan olarak, diğer Azure Hizmetleri'nden gelen bağlantılar (isteğe bağlı olarak7) dışında, sunucu içindeki veritabanlarına yapılan tüm bağlantılara izin verilmez. Güvenlik duvarı kuralıyla, yalnızca onayladığınız varlıklara (örneğin, bir geliştirici makinesi) o bilgisayarın IP adresine güvenlik duvarı üzerinden izin vererek sunucunuza erişimi açabilirsiniz. Ayrıca, sunucuya erişime izin vermek istediğiniz ip aralığını belirtmenize de olanak tanır. Örneğin, güvenlik duvarı ayarları sayfasında bir aralık belirterek kuruluşunuzdaki geliştirici makinesi IP adresleri bir kerede eklenebilir.
Güvenlik duvarı kurallarını sunucu düzeyinde veya veritabanı düzeyinde oluşturabilirsiniz. Sunucu düzeyinde IP güvenlik duvarı kuralları Azure portalı kullanılarak veya SSMS ile oluşturulabilir. Sunucu düzeyinde ve veritabanı düzeyinde güvenlik duvarı kuralı ayarlama hakkında daha fazla bilgi edinmek için bkz. SQL Veritabanı'de IP güvenlik duvarı kuralları oluşturma.
Hizmet uç noktaları
Varsayılan olarak, veritabanınız "Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver" olarak yapılandırılır. Bu, Azure'daki tüm Sanal Makinelerin veritabanınıza bağlanmayı deneyebileceği anlamına gelir. Bu girişimlerin kimliğinin yine de doğrulanması gerekir. Veritabanınızın azure IP'leri tarafından erişilebilir olmasını istemiyorsanız "Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver" seçeneğini devre dışı bırakabilirsiniz. Ayrıca, Sanal Ağ Hizmet Uç Noktalarını yapılandırabilirsiniz.
Hizmet uç noktaları (SE), kritik Azure kaynaklarınızı yalnızca Azure'daki kendi özel sanal ağınızda kullanıma sunmanızı sağlar. Bunu yaptığınızda, kaynaklarınıza genel erişimi ortadan kaldırırsınız. Sanal ağınız ile Azure arasındaki trafik, Azure omurga ağında kalır. SE olmadan zorlamalı tünel paket yönlendirmesi elde edersiniz. Sanal ağınız, kuruluşunuza yönelik İnternet trafiğini ve Azure Hizmeti trafiğini aynı yolu aşmaya zorlar. Paketler doğrudan sanal ağınızdan Azure omurga ağındaki hizmete aktığı için Hizmet Uç Noktaları ile bunu iyileştirebilirsiniz.
Ayrılmış IP’ler
Diğer bir seçenek de VM'leriniz için ayrılmış IP'ler sağlamak ve bu belirli VM IP adreslerini sunucu güvenlik duvarı ayarlarına eklemektir. Ayrılmış IP'ler atayarak, güvenlik duvarı kurallarını IP adreslerini değiştirerek güncelleştirme zahmetini giderirsiniz.
SQL Veritabanı bağlandığım bağlantı noktası
Bağlantı noktası 1433. SQL Veritabanı bu bağlantı noktası üzerinden iletişim kurar. Şirket ağı içinden bağlanmak için kuruluşunuzun güvenlik duvarı ayarlarına bir giden kuralı eklemeniz gerekir. Kılavuz olarak, 1433 numaralı bağlantı noktasını Azure sınırının dışına çıkarmaktan kaçının.
SQL Veritabanı'da sunucumdaki ve veritabanımdaki etkinlikleri nasıl izleyebilir ve düzenleyebilirim?
SQL Veritabanı Denetimi
SQL Veritabanı ile veritabanı olaylarını izlemek için DENETIMI AÇIN. SQL Veritabanı Denetimi veritabanı olaylarını kaydeder ve Bunları Azure Depolama Hesabınızdaki bir denetim günlüğü dosyasına yazar. Olası güvenlik ve ilke ihlalleri hakkında içgörü elde etmek, mevzuat uyumluluğunu korumak vb. için denetim özellikle yararlıdır. Denetime ihtiyaç duyduğunuzu düşündüğünüz belirli olay kategorilerini tanımlamanıza ve yapılandırmanıza olanak tanır. Bu kategoriye göre veritabanınızda gerçekleşen olaylara genel bir bakış elde etmek için önceden yapılandırılmış raporlar ve bir pano alabilirsiniz. Bu denetim ilkelerini veritabanı düzeyinde veya sunucu düzeyinde uygulayabilirsiniz. Sunucunuz/veritabanınız için denetimi açma kılavuzu, bkz. SQL Veritabanı Denetimi Etkinleştirme.
Tehdit algılama
Tehdit algılama ile, Denetim tarafından bulunan güvenlik veya ilke ihlalleri üzerine çok kolay bir şekilde harekete geçebilirsiniz. Sisteminizdeki olası tehditleri veya ihlalleri ele almak için güvenlik uzmanı olmanız gerekmez. Tehdit algılama, SQL Ekleme algılama gibi bazı yerleşik özelliklere de sahiptir. SQL Ekleme, verileri değiştirme veya tehlikeye atma girişimidir ve genel olarak bir veritabanı uygulamasına saldırmanın oldukça yaygın bir yoludur. Tehdit algılama, olası güvenlik açıkları ve SQL ekleme saldırılarının yanı sıra anormal veritabanı erişim düzenlerini (olağan dışı bir konumdan veya yabancı bir sorumludan erişim gibi) algılayan birden çok algoritma kümesi çalıştırır. Güvenlik görevlileri veya diğer atanmış yöneticiler, veritabanında bir tehdit algılanırsa bir e-posta bildirimi alır. Her bildirim şüpheli etkinliğin ayrıntılarını ve tehdidi daha fazla araştırmak ve azaltmak için öneriler sağlar. Tehdit algılamayı açmayı öğrenmek için bkz. Tehdit algılamayı etkinleştirme.
SQL Veritabanı'da verilerimi genel olarak Nasıl yaparım? koruma
Şifreleme, hassas verilerinizi izinsiz girenlere karşı korumak ve korumak için güçlü bir mekanizma sağlar. Şifrelenmiş verileriniz şifre çözme anahtarı olmadan davetsiz misafire kullanılamaz. Böylece, SQL Veritabanı yerleşik mevcut güvenlik katmanlarının üzerine ek bir koruma katmanı ekler. SQL Veritabanı verilerinizi korumanın iki yönü vardır:
- Veri ve günlük dosyalarında bekleyen verileriniz
- Uçuşta olan verileriniz
SQL Veritabanı'da, varsayılan olarak bekleyen verileriniz ve depolama alt sistemindeki günlük dosyalarınız tamamen ve her zaman [TDE] Saydam Veri Şifrelemesi aracılığıyla şifrelenir. Yedekleriniz de şifrelenir. TDE ile uygulama tarafınızda bu verilere erişen hiçbir değişiklik gerekmez. Şifreleme ve şifre çözme saydam bir şekilde gerçekleşir; bu nedenle adı yazın. SQL Veritabanı, hassas verilerinizi anında ve beklemede korumak için Always Encrypted (AE) adlı bir özellik sağlar. AE, veritabanınızdaki hassas sütunları şifreleyen bir istemci tarafı şifreleme biçimidir (bu nedenle veritabanı yöneticilerinin ve yetkisiz kullanıcıların şifreleme metnindedir). Sunucu, başlangıç olarak şifrelenmiş verileri alır. Always Encrypted anahtarı istemci tarafında da depolanır, bu nedenle hassas sütunların şifresini yalnızca yetkili istemciler çözebilir. Şifreleme anahtarları istemcide depolandığından, sunucu ve veri yöneticileri hassas verileri göremez. AE, yetkisiz istemcilerden fiziksel diske kadar tablodaki hassas sütunları uçtan uca şifreler. AE bugün eşitlik karşılaştırmalarını desteklediğinden, DTA'lar SQL komutlarının bir parçası olarak şifrelenmiş sütunları sorgulamaya devam edebilir. Always Encrypted, Azure Key Vault, Windows sertifika deposu ve yerel donanım güvenlik modülleri gibi çeşitli anahtar deposu seçenekleriyle kullanılabilir.
| Özellik -lerini | Always Encrypted | Saydam Veri Şifrelemesi |
|---|---|---|
| Şifreleme aralığı | Uçtan uca | Bekleyen veriler |
| Sunucu hassas verilere erişebilir | Hayır | Evet, şifreleme bekleyen veriler için olduğundan |
| İzin verilen T-SQL işlemleri | Eşitlik karşılaştırması | Tüm T-SQL yüzey alanı kullanılabilir |
| Özelliği kullanmak için gereken uygulama değişiklikleri | Minimal | Çok Az |
| Şifreleme ayrıntı düzeyi | Sütun düzeyi | Veritabanı düzeyi |
Veritabanımdaki hassas verilere erişimi nasıl sınırlandırabilirim?
Her uygulamanın veritabanında herkesin görmesine karşı korunması gereken belirli bir hassas veri biti vardır. Kuruluştaki bazı personelin bu verileri görüntülemesi gerekir, ancak diğerlerinin bu verileri görüntüleyememeleri gerekir. Bir örnek, çalışan ücretleridir. Bir yöneticinin doğrudan raporları için ücret bilgilerine erişmesi gerekir, ancak tek tek ekip üyelerinin eşlerinin ücret bilgilerine erişimi olmamalıdır. Bir diğer senaryo da geliştirme aşamaları veya test sırasında hassas verilerle etkileşime geçen veri geliştiricileridir( örneğin, müşterilerin SSN'leri). Bu bilgilerin yine geliştiriciye açık olması gerekmez. Bu gibi durumlarda hassas verilerinizin maskelenmesi veya hiç açığa çıkarılmaması gerekir. SQL Veritabanı, yetkisiz kullanıcıların hassas verileri görüntüleyebilmesini önlemek için bu tür iki yaklaşım sunar:
Dinamik Veri Maskeleme , hassas verileri uygulama katmanındaki ayrıcalıklı olmayan kullanıcılarla maskeleyerek sınırlamanıza olanak tanıyan bir veri maskeleme özelliğidir. Maskeleme deseni oluşturabilen bir maskeleme kuralı tanımlarsınız (örneğin, ulusal kimlik SSN'sinin yalnızca son dört basamağını göstermek için: XXX-XX-0000 ve çoğunu Xs olarak işaretler) ve maskeleme kuralının dışında tutulacak kullanıcıları tanımlarsınız. Maskeleme anında gerçekleşir ve çeşitli veri kategorileri için çeşitli maskeleme işlevleri vardır. Dinamik veri maskeleme, veritabanınızdaki hassas verileri otomatik olarak algılamanıza ve bu verilere maskeleme uygulamanıza olanak tanır.
Satır Düzeyi güvenliği , erişimi satır düzeyinde denetlemenizi sağlar. Başka bir deyişle, sorguyu yürüten kullanıcıya (grup üyeliği veya yürütme bağlamı) dayalı olarak veritabanı tablosundaki belirli satırlar gizlenir. Uygulama mantığınızı basitleştirmek için erişim kısıtlaması uygulama katmanı yerine veritabanı katmanında gerçekleştirilir. İlk olarak bir filtre koşulu oluşturarak, kullanıma sunulmayan satırları filtreleyerek ve güvenlik ilkesi daha sonra bu satırlara kimlerin erişimi olduğunu tanımlayarak başlarsınız. Son olarak, son kullanıcı sorgusunu çalıştırır ve kullanıcının ayrıcalığına bağlı olarak bu kısıtlanmış satırları görüntüler veya hiç göremez.
Nasıl yaparım? bulutta şifreleme anahtarlarını yönetme
Hem Always Encrypted (istemci tarafı şifreleme) hem de Saydam Veri Şifrelemesi (bekleyen şifreleme) için anahtar yönetimi seçenekleri vardır. Şifreleme anahtarlarını düzenli olarak döndürmeniz önerilir. Döndürme sıklığı hem şirket içi düzenlemelerinizle hem de uyumluluk gereksinimlerinizle uyumlu olmalıdır.
Saydam Veri Şifrelemesi (TDE)
TDE'de iki anahtarlı bir hiyerarşi vardır; her kullanıcı veritabanındaki veriler simetrik AES-256 veritabanı benzersiz veritabanı şifreleme anahtarı (DEK) ile şifrelenir ve bu anahtar da sunucu benzersiz asimetrik RSA 2048 ana anahtarıyla şifrelenir. Ana anahtar aşağıdakilerden biri tarafından yönetilebilir:
- Platform tarafından otomatik olarak - SQL Veritabanı.
- Alternatif olarak, anahtar deposu olarak Azure Key Vault'a da gidebilirsiniz.
Varsayılan olarak, Saydam Veri Şifrelemesi ana anahtarı kolaylık sağlamak için SQL Veritabanı hizmeti tarafından yönetilir. Kuruluşunuz ana anahtar üzerinde denetim sahibi olmak istiyorsa, anahtar deposu olarak Azure Key Vault kullanma seçeneği vardır. Kuruluşunuz Azure Key Vault kullanarak anahtar sağlama, döndürme ve izin denetimleri üzerinde denetim sahibi olduğunu varsayar. Yalnızca DEK'yi yeniden şifrelediğinden, TDE ana anahtarının türünü döndürmek veya değiştirmek hızlıdır. Güvenlik ve veri yönetimi arasında rol ayrımı olan kuruluşlar için, güvenlik yöneticisi Azure Key Vault'ta TDE ana anahtarı için anahtar malzemesini sağlayabilir ve veritabanı yöneticisine sunucuda bekleyen şifreleme için kullanması için bir Azure Key Vault anahtar tanımlayıcısı sağlayabilir. Key Vault, Microsoft'un herhangi bir şifreleme anahtarını görmemesi veya ayıklamaması için tasarlanmıştır. Ayrıca, kuruluşunuz için anahtarların merkezi bir yönetimini de alırsınız.
Always Encrypted
Always Encrypted'da iki anahtarlı bir hiyerarşi de vardır. Hassas veri sütunu, AES 256 sütunlu şifreleme anahtarı (CEK) ile şifrelenir ve bu da bir sütun ana anahtarı (CMK) tarafından şifrelenir. Always Encrypted için sağlanan istemci sürücülerinin CMK'ların uzunluğuyla ilgili bir sınırlaması yoktur. CEK'nin şifrelenmiş değeri veritabanında depolanır ve CMK, Windows Sertifika Deposu, Azure Key Vault veya donanım güvenlik modülü gibi güvenilir bir anahtar deposunda depolanır.
- Hem CEK hem de CMK döndürülebilir.
- CEK döndürme, veri işleminin bir boyutudur ve şifrelenmiş sütunları içeren tabloların boyutuna bağlı olarak zaman açısından yoğun olabilir. Bu nedenle, CEK rotasyonlarını buna göre planlamak akıllıca olur.
- Ancak CMK döndürme, veritabanı performansını engellemez ve ayrı rollerle yapılabilir.
Aşağıdaki diyagramda Always Encrypted'daki sütun ana anahtarları için anahtar deposu seçenekleri gösterilmektedir
Kuruluşum ile SQL Veritabanı arasındaki trafiği nasıl iyileştirip güvenli hale getirebilirim?
Kuruluşunuzla SQL Veritabanı arasındaki ağ trafiği genel olarak genel ağ üzerinden yönlendirilir. Ancak, bu yolu iyileştirmeyi ve daha güvenli hale getirmeyi seçerseniz Azure ExpressRoute'a bakabilirsiniz. ExpressRoute temelde şirket ağınızı özel bir bağlantı üzerinden Azure platformuna genişletmenize olanak tanır. Bunu yaptığınızda, genel İnternet üzerinden gitmezsiniz. Ayrıca daha yüksek güvenlik, güvenilirlik ve yönlendirme iyileştirmesi elde edersiniz ve bu da ağ gecikme sürelerini düşürür ve normalde genel İnternet üzerinden çalışırken karşılaşabileceğinizden çok daha yüksek hızlara sahip olursunuz. Kuruluşunuzla Azure arasında önemli miktarda veri aktarmayı planlıyorsanız ExpressRoute'u kullanmak maliyet avantajları sağlayabilir. Kuruluşunuzdan Azure'a bağlantı için üç farklı bağlantı modeli arasından seçim yapabilirsiniz:
ExpressRoute ayrıca ek ücret ödemeden satın aldığınız bant genişliği sınırının 2 katını artırmanızı sağlar. ExpressRoute kullanarak bölgeler arası bağlantıyı yapılandırmak da mümkündür. ExpressRoute bağlantı sağlayıcılarının listesini görmek için bkz. ExpressRoute İş Ortakları ve Eşleme Konumları. Aşağıdaki makalelerde Express Route daha ayrıntılı olarak açıklanmaktadır:
SQL Veritabanı tüm mevzuat gereksinimleriyle uyumlu mudur ve bu, kendi kuruluşumun uyumluluğuna nasıl yardımcı olur?
SQL Veritabanı bir dizi mevzuat uyumluluğuyla uyumludur. SQL Veritabanı tarafından karşılanmış en son uyumluluk kümesini görüntülemek için Microsoft Güven Merkezi'ni ziyaret edin ve SQL Veritabanı uyumlu Azure hizmetlerine eklenip eklenmediğini görmek için kuruluşunuz için önemli olan uyumluluklarda detaya gidin. SQL Veritabanı uyumlu bir hizmet olarak sertifikalanmış olsa da, kuruluşunuzun hizmetinin uyumluluğuna yardımcı olduğunu ancak otomatik olarak garanti etmediğini unutmayın.
Geçiş sonrasında akıllı veritabanı izleme ve bakım
Veritabanınızı SQL Veritabanı'a geçirdikten sonra, veritabanınızı izlemek (örneğin, kaynak kullanımının nasıl olduğunu kontrol etmek veya DBCC denetimleri) ve düzenli bakım gerçekleştirmek (örneğin, dizinleri, istatistikleri vb.) yeniden oluşturmak veya yeniden düzenlemek isteyeceksiniz. Neyse ki SQL Veritabanı, uygulamanızın her zaman en iyi şekilde çalışması için veritabanınızı izlemenize ve korumanıza proaktif olarak yardımcı olmak için geçmiş eğilimleri ve kaydedilen ölçümleri ve istatistikleri kullanması açısından Akıllıdır. Bazı durumlarda Azure SQL Veritabanı yapılandırma kurulumunuza bağlı olarak bakım görevlerini otomatik olarak gerçekleştirebilir. SQL Veritabanı'da veritabanınızı izlemek için üç model vardır:
- Performans izleme ve iyileştirme.
- Güvenlik iyileştirmesi.
- Maliyet iyileştirme.
Performans izleme ve iyileştirme
Sorgu Performansı Analizler, uygulamalarınızın her zaman en uygun düzeyde çalışmaya devam edebilmesi için veritabanı iş yükünüz için özel öneriler alabilirsiniz. Ayrıca, bu önerilerin otomatik olarak uygulanması ve bakım görevlerini gerçekleştirme zahmetine girmemek için de ayarlayabilirsiniz. SQL Veritabanı Danışmanı ile, iş yükünüz temelinde dizin önerilerini otomatik olarak uygulayabilirsiniz; buna Otomatik Ayarlama adı verilir. Uygulama iş yükünüz size en uygun önerileri sunmak için değiştikçe öneriler gelişir. Ayrıca bu önerileri el ile gözden geçirme ve kendi takdirinize bağlı olarak uygulama seçeneğini de elde edersiniz.
Güvenlik iyileştirmesi
SQL Veritabanı, veritabanı için olası bir iş parçacığı oluşturabilecek şüpheli veritabanı etkinliklerini tanımlamak ve araştırmak için verilerinizin ve tehdit algılamanızın güvenliğini sağlamanıza yardımcı olacak eyleme dönüştürülebilir güvenlik önerileri sağlar. Güvenlik açığı değerlendirmesi , veritabanlarınızın güvenlik durumunu büyük ölçekte izlemenize ve güvenlik risklerini belirlemenize ve sizin tanımladığınız bir güvenlik temelinden sapmanıza olanak tanıyan bir veritabanı tarama ve raporlama hizmetidir. Her taramadan sonra, eyleme dönüştürülebilir adımların ve düzeltme betiklerinin özelleştirilmiş bir listesi ve uyumluluk gereksinimlerini karşılamaya yardımcı olmak için kullanılabilecek bir değerlendirme raporu sağlanır.
Bulut için Microsoft Defender ile panodaki güvenlik önerilerini belirler ve bunları hızla uygularsınız.
Maliyet iyileştirme
Azure SQL platformu, sizin için maliyet iyileştirme seçeneklerini değerlendirmek ve önermek için bir sunucudaki veritabanlarındaki kullanım geçmişini analiz eder. Bu analiz genellikle eyleme dönüştürülebilir önerileri analiz etmek ve oluşturmak için iki hafta sürer. Elastik havuz bu tür seçeneklerden biridir. Öneri portalda başlık olarak görünür:
Bu analizi "Danışman" bölümünde de görüntüleyebilirsiniz:
SQL Veritabanı'da performansı ve kaynak kullanımını izleme Nasıl yaparım?
SQL Veritabanı performansı izlemek ve buna göre ayarlamak için platformun akıllı içgörülerinden yararlanabilirsiniz. Aşağıdaki yöntemleri kullanarak SQL Veritabanı'da performansı ve kaynak kullanımını izleyebilirsiniz:
Azure portal
Azure portalı, veritabanını seçip Genel Bakış bölmesindeki grafiğe tıklayarak veritabanının kullanımını gösterir. Grafiği cpu yüzdesi, DTU yüzdesi, Veri GÇ yüzdesi, Oturumlar yüzdesi ve Veritabanı boyutu yüzdesi gibi birden çok ölçümü gösterecek şekilde değiştirebilirsiniz.
Bu grafikten, uyarıları kaynağa göre de yapılandırabilirsiniz. Bu uyarılar, kaynak koşullarına e-postayla yanıt vermenizi, HTTPS/HTTP uç noktasına yazmanızı veya bir eylem gerçekleştirmenizi sağlar. Daha fazla bilgi için bkz. Uyarı oluşturma.
Dinamik yönetim görünümleri
Sys.dm_db_resource_stats dinamik yönetim görünümünü sorgulayarak son saat ve sys.resource_stats sistem kataloğu görünümünü kullanarak son 14 günün kaynak tüketimi istatistikleri geçmişini döndürebilirsiniz.
Sorgu Performansı İçgörüleri
Sorgu Performansı İçgörüleri , belirli bir veritabanı için en çok kaynak tüketen sorguların ve uzun süre çalışan sorguların geçmişini görmenizi sağlar. TOP sorgularını kaynak kullanımına, süresine ve yürütme sıklığına göre hızla tanımlayabilirsiniz. Sorguları izleyebilir ve regresyonu algılayabilirsiniz. Bu özellik, sorgu deposunun veritabanı için etkinleştirilmesini ve etkin olmasını gerektirir.
Azure İzleyici günlüklerinde Azure SQL Analytics (Önizleme)
Azure İzleyici günlükleri, çalışma alanı başına en fazla 150.000 veritabanını ve 5.000 SQL Elastik havuzunu destekleyen önemli Azure SQL Veritabanı performans ölçümlerini toplamanıza ve görselleştirmenize olanak tanır. Bildirimleri izlemek ve almak için bunu kullanabilirsiniz. Birden çok Azure aboneliğinde ve elastik havuzlarda SQL Veritabanı ve elastik havuz ölçümlerini izleyebilir ve bir uygulama yığınının her katmanındaki sorunları belirlemek için kullanılabilirsiniz.
Performans sorunlarıyla karşılaşıyorum: SQL Veritabanı sorun giderme metodolojimin SQL Server'dan farkı nedir?
Sorgu ve veritabanı performansı sorunlarını tanılamak için kullanacağınız sorun giderme tekniklerinin önemli bir bölümü aynı kalır. Tüm aynı veritabanı altyapısı bulutu çalıştırdıktan sonra. Ancak, platform - Azure SQL Veritabanı 'zeka' yerleşik olarak yapılmıştır. Performans sorunlarını daha kolay bir şekilde gidermenize ve tanılamanıza yardımcı olabilir. Ayrıca bu düzeltme eylemlerinden bazılarını sizin yerinize gerçekleştirebilir ve bazı durumlarda bunları proaktif olarak otomatik olarak düzeltebilir.
Performans sorunlarını giderme yaklaşımınız, Sorgu Performansı İçgörüleri (QPI) ve Veritabanı Danışmanı gibi akıllı özellikleri birlikte kullanarak önemli ölçüde fayda sağlayabilir ve bu nedenle metodolojideki fark bu açıdan farklılık gösterir; artık eldeki sorunu gidermenize yardımcı olabilecek temel ayrıntıları el ile dağıtmanız gerekmez. Platform sizin için zor işleri yapar. Bunun bir örneği QPI'dır. QPI ile sorgu düzeyine kadar detaya gidebilir, geçmiş eğilimlere bakabilir ve sorgunun tam olarak ne zaman gerilediğinize bakabilirsiniz. Veritabanı Danışmanı, dizinlerin eksik olması, dizinlerin düşmesi, sorgularınızın parametreleştirilmesi gibi genel performansınızı geliştirmenize yardımcı olabilecek konularda öneriler sunar.
Performans sorunlarını giderme ile uygulama performansınızı etkileyen yalnızca uygulama mı yoksa onu destekleyen veritabanı mı olduğunu belirlemek önemlidir. Performans sorunu genellikle uygulama katmanındadır. Mimari veya veri erişim deseni olabilir. Örneğin, ağ gecikme süresine duyarlı sohbetli bir uygulamanız olduğunu düşünün. Bu durumda uygulama ile sunucu arasında ve tıkanık bir ağda çok sayıda kısa istek ("sohbet") olabileceğinden uygulamanız sorun yaşıyor. Bu gidiş dönüşler hızlı bir şekilde ortaya çıkıyor. Bu durumda performansı geliştirmek için Batch Sorguları'nı kullanabilirsiniz. Artık istekleriniz toplu olarak işlendiği için toplu işlemlerin kullanılması size çok yardımcı olur; böylece gidiş dönüş gecikme süresini azaltmanıza ve uygulama performansınızı geliştirmenize yardımcı olur.
Ayrıca, veritabanınızın genel performansında bir düşüş fark ederseniz CPU, GÇ ve bellek tüketimini anlamak için sys.dm_db_resource_stats izleyebilir ve dinamik yönetim görünümlerini sys.resource_stats. Veritabanınız kaynaklara aç kalmadığından performansınız etkilenmiş olabilir. Artan ve azalan iş yükü taleplerine göre işlem boyutunu ve/veya hizmet katmanını değiştirmeniz gerekebilir.
Performans sorunlarını ayarlamaya yönelik kapsamlı bir öneri kümesi için bkz. Veritabanınızı ayarlama.
Nasıl yaparım? uygun hizmet katmanını ve işlem boyutunu kullandığıma emin olun
SQL Veritabanı Temel, Standart ve Premium hizmet katmanları sunar. Her hizmet katmanı, bu hizmet katmanına bağlı olarak garantili tahmin edilebilir bir performans elde edersiniz. İş yükünüze bağlı olarak, kaynak kullanımınızın bulunduğunuz geçerli işlem boyutunun tavanını aşabileceği etkinlik artışları olabilir. Bu gibi durumlarda, öncelikle herhangi bir ayarın yardımcı olup olmadığını değerlendirerek (örneğin, dizin ekleme veya değiştirme vb.) yararlı olur. Hala sınır sorunlarıyla karşılaşıyorsanız daha yüksek bir hizmet katmanına veya işlem boyutuna geçmeyi göz önünde bulundurun.
| Hizmet katmanı | Yaygın Kullanım Örneği Senaryoları |
|---|---|
| Temel | Çok sayıda kullanıcı ve yüksek eşzamanlılık, ölçek ve performans gereksinimlerine sahip olmayan bir veritabanı olan uygulamalar. |
| Standart | Düşük ve orta GÇ talepleri ile birlikte önemli eşzamanlılık, ölçek ve performans gereksinimlerine sahip uygulamalar. |
| Premium | Çok sayıda eşzamanlı kullanıcı, yüksek CPU/bellek ve yüksek GÇ talebi olan uygulamalar. Yüksek eşzamanlılık, yüksek aktarım hızı ve gecikme süresine duyarlı uygulamalar Premium düzeyden yararlanabilir. |
Doğru işlem boyutunda olduğunuzdan emin olmak için, "SQL Veritabanı'da performansı ve kaynak kullanımını izlemek Nasıl yaparım?" konusunda yukarıda bahsedilen yöntemlerden biriyle sorgu ve veritabanı kaynak tüketiminizi izleyebilirsiniz. Sorgularınızın/veritabanlarınızın CPU/Bellek vb. üzerinde sürekli sık çalıştığını fark etmeniz gerekir. Daha yüksek işlem boyutuna ölçeklendirmeyi düşünebilirsiniz. Benzer şekilde, yoğun saatlerinizde bile kaynakları çok fazla kullanmadığınıza dikkat ederseniz; geçerli işlem boyutundan ölçeği azaltmayı göz önünde bulundurun.
SaaS uygulama deseni veya veritabanı birleştirme senaryonuz varsa maliyet iyileştirmesi için Elastik havuz kullanmayı göz önünde bulundurun. Elastik havuz, veritabanı birleştirme ve maliyet iyileştirmesi elde etmenin harika bir yoludur. Elastik havuz kullanarak birden çok veritabanını yönetme hakkında daha fazla bilgi edinmek için bkz. Havuzları ve veritabanlarını yönetme.
Veritabanım için veritabanı bütünlüğü denetimlerini ne sıklıkta çalıştırmam gerekiyor?
SQL Veritabanı, belirli veri bozulma sınıflarını otomatik olarak ve veri kaybı olmadan işlemesini sağlayan bazı akıllı teknikler kullanır. Bu teknikler hizmette yerleşiktir ve ihtiyaç duyulduğunda hizmet tarafından yararlanılır. Düzenli aralıklarla, hizmet genelinde veritabanı yedeklemeleriniz geri yüklenip DBCC CHECKDB çalıştırılarak test edilir. Sorun varsa, SQL Veritabanı bunları proaktif olarak giderir. Bozuk veya veri bütünlüğü sorunları olan sayfaları düzeltmek için otomatik sayfa onarımı özelliğinden yararlanılır. Veritabanı sayfaları her zaman sayfanın bütünlüğünü doğrulayan varsayılan CHECKSUM ayarıyla doğrulanır. SQL Veritabanı veritabanınızın veri bütünlüğünü proaktif olarak izler ve inceler ve sorunlar ortaya çıkarsa bunları en yüksek önceliğe sahip olarak giderir. Bunlara ek olarak, isteğe bağlı olarak kendi bütünlük denetimlerinizi istediğiniz zaman çalıştırmayı seçebilirsiniz. Daha fazla bilgi için bkz. SQL Veritabanı'de Veri Bütünlüğü
Geçiş sonrasında veri taşıma
Azure portalını kullanarak verileri SQL Veritabanı'dan BACPAC dosyaları olarak dışarı ve içeri aktarma Nasıl yaparım?
Dışarı Aktarma: Azure SQL Veritabanı'deki veritabanınızı Azure portalından BACPAC dosyası olarak dışarı aktarabilirsiniz
İçeri aktarma: Azure portalını kullanarak verileri Azure SQL Veritabanı'da veritabanınıza BACPAC dosyası olarak da aktarabilirsiniz.
SQL Veritabanı ile SQL Server arasında verileri eşitleme Nasıl yaparım?
Bunu başarmanın birkaç yolu vardır:
- Data Sync – Bu özellik, birden çok SQL Server veritabanı ile SQL Veritabanı arasında verileri çift yönlü olarak eşitlemenize yardımcı olur. SQL Server veritabanlarıyla eşitlemek için eşitleme aracısını yerel bir bilgisayara veya sanal makineye yükleyip yapılandırmanız ve giden TCP bağlantı noktası 1433'ü açmanız gerekir.
- İşlem Çoğaltma – İşlem çoğaltması ile SQL Server veritabanındaki verilerinizi Azure SQL Veritabanı SQL Server örneğinin yayımcı ve Azure SQL Veritabanı abone olmasıyla eşitleyebilirsiniz. Şimdilik yalnızca bu kurulum desteklenmektedir. Verilerinizi sql server veritabanından Azure SQL'e en düşük kapalı kalma süresiyle geçirme hakkında daha fazla bilgi için bkz. İşlem Çoğaltma'yı kullanma
Sonraki adımlar
SQL Veritabanı hakkında bilgi edinin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin