Bulutta yeni DBA – Geçiş sonrasında Azure SQL Veritabanını Yönetme

Şunlar için geçerlidir: Azure SQL Veritabanı

Geleneksel kendi kendine yönetilen, kendi kendini denetlemiş ortamdan PaaS ortamına geçmek ilk başta biraz bunaltıcı görünebilir. Bir uygulama geliştiricisi veya DBA olarak, platformunuzun uygulamanızı her zaman kullanılabilir, performanslı, güvenli ve dayanıklı tutmanıza yardımcı olacak temel özelliklerini bilmek istersiniz. Bu makale tam olarak bunu yapmayı amaçlamaktadır. Makale, kaynakları kısaca düzenler ve uygulamanızın verimli bir şekilde çalışmasını sağlamak ve bulutta en iyi sonuçları elde etmek için Azure SQL Veritabanı'nın temel özelliklerini tek ve havuza alınan veritabanlarıyla en iyi şekilde kullanma konusunda size rehberlik sağlar. Bu makalenin tipik hedef kitlesi şunlardır:

  • Uygulamalarının Azure SQL Veritabanına geçişini değerlendiriyor– Uygulamalarınızın modernleştirilmesi.
  • Uygulamalarını geçirme sürecindedir – Devam eden geçiş senaryosu.
  • Kısa süre önce Azure SQL Veritabanı – Bulutta yeni DBA'ya geçişi tamamladınız.

Bu makalede, elastik havuzlarda tek veritabanları ve havuza alınan veritabanlarıyla çalışırken kolayca yararlanabileceğiniz bir platform olarak Azure SQL Veritabanı'nın bazı temel özellikleri ele alınmaktadır. Bunlar şunlardır:

  • Azure portalını kullanarak veritabanlarını izleme
  • İş sürekliliği ve olağanüstü durum kurtarma (BCDR)
  • Güvenlik ve uyumluluk
  • Akıllı veritabanı izleme ve bakım
  • Veri taşıma

Azure portalını kullanarak veritabanlarını izleme

Azure portal veritabanınızı seçip İzleme grafiğine tıklayarak tek bir veritabanının kullanımını izleyebilirsiniz. Bu işlem sonrasında bir Ölçüm penceresi görüntülenir. Grafiği düzenle düğmesine tıklayarak değişiklik yapabilirsiniz. Şu ölçümleri ekleyin:

  • CPU yüzdesi
  • DTU yüzdesi
  • Veri G/Ç yüzdesi
  • Veri boyutu yüzdesi

Bu ölçümleri ekledikten sonra, Ölçüm penceresinde daha fazla bilgiyle bunları İzleme grafiğinde görüntülemeye devam edebilirsiniz. Dört ölçümün tümü de veritabanınızın ortalama DTU kullanım yüzdesini gösterir. Hizmet katmanları hakkında daha fazla bilgi için DTU tabanlı satın alma modeli ve sanal çekirdek tabanlı satın alma modeli makalelerine bakın.

Hizmet katmanına göre veritabanı performansını izleme.

Performans ölçümlerine ilişkin uyarıları da yapılandırabilirsiniz. Ölçüm penceresinde Uyarı ekle düğmesini seçin. Uyarınızı yapılandırmak için sihirbazı takip edin. Ölçümlerin belirli bir eşiği aşması veya belirli bir eşiğin altına düşmesi halinde uyarı alabilirsiniz.

Örneğin, veritabanınızdaki bir iş yükünün artmasını bekliyorsanız bir e-posta uyarısı yapılandırarak veritabanınızın herhangi bir performans ölçümünde %80 sınırına ulaşması halinde uyarı alabilirsiniz. Bunu bir sonraki en yüksek işlem boyutuna ne zaman geçmeniz gerekebileceğini anlamak için erken uyarı olarak kullanabilirsiniz.

Performans ölçümleri, daha düşük bir işlem boyutuna düşürme olanağınız olup olmadığını belirlemenize de yardımcı olabilir. Standart S2 veritabanını kullandığınızı ve tüm performans ölçümlerinin, veritabanının belirli bir zaman için ortalama %10'dan daha fazla kullanımda bulunmadığını gösterdiğini varsayın. Bu, veritabanının Standart S1'de de düzgün şekilde çalışabileceğini gösterir. Ancak, daha düşük bir işlem boyutuna geçme kararını vermeden önce ani artış gösteren veya dalgalı iş yüklerine dikkat edin.

İş sürekliliği ve olağanüstü durum kurtarma (BCDR)

İş sürekliliği ve olağanüstü durum kurtarma özellikleri, olağanüstü durum durumunda her zamanki gibi işinizi sürdürmenize olanak tanır. Olağanüstü durum, veritabanı düzeyinde bir olay (örneğin, birisi yanlışlıkla önemli bir tabloyu düşürebilir) veya veri merkezi düzeyinde bir olay (bölgesel felaket, örneğin bir tsunami) olabilir.

SQL Veritabanı'da yedeklemeleri oluşturma ve yönetme Nasıl yaparım?

Azure SQL Veritabanında yedeklemeler oluşturmazsınız ve bunun nedeni bunu yapmak zorunda olmanızdır. SQL Veritabanı veritabanlarını sizin için otomatik olarak yedekler, bu nedenle artık yedeklemeleri zamanlama, alma ve yönetme konusunda endişelenmeniz gerekmez. Platform her hafta tam yedekleme, birkaç saatte bir değişiklik yedeklemesi ve olağanüstü durum kurtarmanın verimli olduğundan ve veri kaybının en az düzeyde olduğundan emin olmak için 5 dakikada bir günlük yedeklemesi alır. İlk tam yedekleme, bir veritabanı oluşturduğunuzda gerçekleşir. Bu yedeklemeler "Bekletme Süresi" olarak adlandırılan belirli bir süre için kullanılabilir ve seçtiğiniz hizmet katmanına göre değişir. SQL Veritabanı, Belirli Bir Noktaya Kurtarma (PITR) kullanarak bu saklama süresi içinde belirli bir noktaya geri yükleme olanağı sağlar.

Hizmet katmanı Gün cinsinden saklama süresi
Temel 7
Standart 35
Premium 35

Buna ek olarak, Uzun Süreli Saklama (LTR) özelliği özellikle 10 yıla kadar yedekleme dosyalarınızı çok daha uzun süre saklamanıza ve bu süre içinde herhangi bir noktada bu yedeklemelerden verileri geri yüklemenize olanak tanır. Ayrıca, veritabanı yedekleri bölgesel felaketlere karşı dayanıklılığı sağlamak için coğrafi olarak çoğaltılmış depolamada tutulur. Ayrıca bu yedeklemeleri saklama süresi içinde herhangi bir zaman noktasında herhangi bir Azure bölgesine geri yükleyebilirsiniz. Bkz . İş sürekliliğine genel bakış.

Nasıl yaparım? veri merkezi düzeyinde bir olağanüstü durum veya bölgesel felaket durumunda iş sürekliliğini güvence altına alma

Veritabanı yedeklemeleriniz coğrafi olarak çoğaltılan depolama alanında depolandığından, bölgesel bir olağanüstü durum söz konusu olduğunda yedeklemeyi başka bir Azure bölgesine geri yükleyebilirsiniz. Buna coğrafi geri yükleme adı verilir. Bunun için RPO (Kurtarma Noktası Hedefi) genellikle < 1 saat ve ERT 'dir (Tahmini Kurtarma Süresi – birkaç dakika- saat).

Görev açısından kritik veritabanları için Azure SQL Veritabanı teklifleri, etkin coğrafi çoğaltma. Bunun esas olarak yaptığı şey, özgün veritabanınızın coğrafi olarak çoğaltılmış ikincil bir kopyasını başka bir bölgede oluşturmasıdır. Örneğin, veritabanınız başlangıçta Azure Batı ABD bölgesinde barındırılıyorsa ve bölgesel olağanüstü durum dayanıklılığı istiyorsanız. Doğu ABD demek için Batı ABD'deki veritabanının etkin bir coğrafi çoğaltmasını oluşturursunuz. Batı ABD'ye felaket geldiğinde Doğu ABD bölgesine yük devredebilirsiniz. Bir otomatik yük devretme Grubunda yapılandırmak daha da iyidir çünkü bu, olağanüstü bir durum durumunda veritabanının doğu ABD'deki ikincil veritabanına otomatik olarak yük devredilmesini sağlar. Bunun için RPO 5 saniye ve ERT < 30 saniyedir<.

Otomatik yük devretme grubu yapılandırılmamışsa, uygulamanızın olağanüstü durum durumunu etkin bir şekilde izlemesi ve ikincil gruba yük devretme başlatması gerekir. Farklı Azure bölgelerinde en fazla 4 etkin coğrafi çoğaltma oluşturabilirsiniz. Daha da iyiye gider. Salt okunur erişim için bu ikincil etkin coğrafi çoğaltmalara da erişebilirsiniz. Bu, coğrafi olarak dağıtılmış bir uygulama senaryosunda gecikme süresini azaltmak için çok kullanışlıdır.

Olağanüstü durum kurtarma planım şirket içinden SQL Veritabanı nasıl değişir?

Özetle, SQL Server kurulumu, İş Sürekliliğini sağlamak için Yük Devretme Kümelemesi, Veritabanı Yansıtma, İşlem Çoğaltma veya Günlük Gönderimi gibi özellikleri kullanarak Kullanılabilirliğinizi etkin bir şekilde yönetmenizi ve yedeklemeleri korumanızı ve yönetmenizi gerektirir. SQL Veritabanı ile platform bunları sizin için yönetir, böylece veritabanı uygulamanızı geliştirmeye ve iyileştirmeye odaklanabilir ve olağanüstü durum yönetimi konusunda endişelenmenize gerek kalmaz. Yedekleme ve olağanüstü durum kurtarma planlarını yapılandırabilir ve Azure portal yalnızca birkaç tıklamayla (veya PowerShell API'lerini kullanan birkaç komutla) çalışabilirsiniz.

Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için bkz. Azure SQL Veritabanı Olağanüstü Durum Kurtarma 101

Güvenlik ve uyumluluk

SQL Veritabanı Güvenlik ve gizliliği çok ciddiye alır. SQL Veritabanı içindeki güvenlik, veritabanı düzeyinde ve platform düzeyinde kullanılabilir ve çeşitli katmanlara kategorilere ayrılırken en iyi şekilde anlaşılır. Her katmanda, uygulamanız için en uygun güvenliği denetleme ve sağlama elde edersiniz. Katmanlar şunlardır:

Bulut için Microsoft Defender , Azure'da, şirket içinde ve diğer bulutlarda çalışan iş yükleri genelinde merkezi güvenlik yönetimi sunar. Denetim ve Saydam Veri Şifrelemesi [TDE] gibi temel SQL Veritabanı korumanın tüm kaynaklarda yapılandırılıp yapılandırılmadığını görüntüleyebilir ve kendi gereksinimlerinize göre ilkeler oluşturabilirsiniz.

SQL Veritabanı'de hangi kullanıcı kimlik doğrulama yöntemleri sunulur?

SQL Veritabanı'de sunulan iki kimlik doğrulama yöntemi vardır:

Geleneksel Windows kimlik doğrulaması desteklenmez. Azure Active Directory (Azure AD), merkezi bir kimlik ve erişim yönetimi hizmetidir. Bununla, kuruluşunuzdaki personele çok rahat bir şekilde çoklu oturum açma (SSO) erişimi sağlayabilirsiniz. Bu, kimlik bilgilerinin daha basit kimlik doğrulaması için Azure hizmetlerinde paylaşılmış olduğu anlamına gelir.

Azure AD Azure AD Multi-Factor Authentication'ı destekler ve Azure AD Windows Server Active Directory kolayca tümleştirilebilir. SQL Kimlik Doğrulaması, geçmişte kullandığınız gibi çalışır. Kullanıcı adı/parola sağlarsınız ve belirli bir sunucudaki herhangi bir veritabanında kullanıcıların kimliğini doğrulayabilirsiniz. Bu, SQL Veritabanı ve Azure Synapse Analytics'in Azure AD etki alanı içinde Multi-Factor Authentication ve konuk kullanıcı hesapları sunmasını da sağlar. Şirket içinde zaten bir Active Directory'niz varsa, dizininizi Azure'a genişletmek için Azure Active Directory ile birleştirebilirsiniz.

Eğer... SQL Veritabanı / Azure Synapse Analytics
Azure'da Azure Active Directory (Azure AD) kullanmamayı tercih edin SQL kimlik doğrulamayı kullanma
Şirket içi SQL Server kullanılan AD AD'yi Azure AD ile federasyona ekleme ve Azure AD kimlik doğrulaması kullanma. Bu işlemle çoklu oturum açmayı kullanabilirsiniz.
Multi-Factor Authentication'ı zorunlu kılma gerekiyor Microsoft Koşullu Erişim aracılığıyla bir ilke olarak Multi-Factor Authentication gerektirin ve Multi-Factor Authentication desteğiyle evrensel Azure AD kimlik doğrulamasını kullanın.
Microsoft hesaplarından (live.com, outlook.com) veya diğer etki alanlarından (gmail.com) konuk hesapları alın Azure AD B2B İşbirliği kullanan SQL Veritabanı veya ayrılmış SQL havuzunda Azure AD Evrensel kimlik doğrulamayıkullanın.
Federasyon etki alanındaki Azure AD kimlik bilgilerinizi kullanarak Windows'ta oturum açar Tümleşik Azure AD kimlik doğrulaması kullanın.
Azure ile federasyon olmayan bir etki alanındaki kimlik bilgilerini kullanarak Windows'ta oturum açar Tümleşik Azure AD kimlik doğrulaması kullanın.
SQL Veritabanı veya Azure Synapse Analytics'e bağlanması gereken orta katman hizmetlerinin olması Tümleşik Azure AD kimlik doğrulaması kullanın.

Nasıl yaparım? veritabanıma bağlantı erişimini sınırlama veya denetleme

Uygulamanız için en uygun bağlantı kuruluşunu elde etmek için kullanabileceğiniz birden çok teknik vardır.

  • Güvenlik Duvarı Kuralları
  • Sanal Ağ Hizmet Uç Noktaları
  • Ayrılmış IP’ler

Güvenlik Duvarı

Güvenlik duvarı, sunucunuza yalnızca belirli varlıkların erişmesine izin vererek dış varlıktan sunucunuza erişimi engeller. Varsayılan olarak, diğer Azure Hizmetlerinden gelen (isteğe bağlı olarak7) bağlantılar dışında sunucu içindeki veritabanlarına yapılan tüm bağlantılara izin verilmez. Güvenlik duvarı kuralıyla, güvenlik duvarı üzerinden bu bilgisayarın IP adresine izin vererek yalnızca onayladığınız varlıklara (örneğin, bir geliştirici makinesi) sunucunuza erişimi açabilirsiniz. Ayrıca sunucuya erişim izni vermek istediğiniz ip aralığını belirtmenize de olanak tanır. Örneğin, güvenlik duvarı ayarları sayfasında bir aralık belirterek kuruluşunuzdaki geliştirici makinesi IP adresleri bir kerede eklenebilir.

Güvenlik duvarı kurallarını sunucu düzeyinde veya veritabanı düzeyinde oluşturabilirsiniz. Sunucu düzeyinde IP güvenlik duvarı kuralları, Azure portal kullanılarak veya SSMS ile oluşturulabilir. Sunucu düzeyinde ve veritabanı düzeyinde güvenlik duvarı kuralı ayarlama hakkında daha fazla bilgi edinmek için bkz. SQL Veritabanı'de IP güvenlik duvarı kuralları oluşturma.

Hizmet uç noktaları

Varsayılan olarak, veritabanınız "Azure hizmetlerinin sunucuya erişmesine izin ver" olarak yapılandırılır. Bu, Azure'daki herhangi bir Sanal Makinenin veritabanınıza bağlanmayı deneyebileceği anlamına gelir. Bu girişimlerin yine de kimlik doğrulaması yapılması gerekir. Ancak veritabanınızın azure IP'leri tarafından erişilebilir olmasını istemiyorsanız "Azure hizmetlerinin sunucuya erişmesine izin ver" seçeneğini devre dışı bırakabilirsiniz. Ayrıca, Sanal Ağ Hizmet Uç Noktalarını yapılandırabilirsiniz.

Hizmet uç noktaları (SE), kritik Azure kaynaklarınızı yalnızca Azure'daki kendi özel sanal ağınızda kullanıma sunmanıza olanak tanır. Bunu yaparak, kaynaklarınıza genel erişimi ortadan kaldırırsınız. Sanal ağınızdan Azure'a gelen trafik, Azure omurga ağında kalır. SE olmadan paket yönlendirmeye zorlamalı tünel oluşturursunuz. Sanal ağınız, kuruluşunuza yönelik İnternet trafiğini ve Azure Hizmeti trafiğini aynı rota üzerinden gitmeye zorlar. Hizmet Uç Noktaları ile paketler doğrudan sanal ağınızdan Azure omurga ağındaki hizmete aktığı için bunu iyileştirebilirsiniz.

Sanal ağ hizmet uç noktaları

Ayrılmış IP’ler

Bir diğer seçenek de VM'leriniz için ayrılmış IP'ler sağlamak ve bu belirli VM IP adreslerini sunucu güvenlik duvarı ayarlarına eklemektir. Ayrılmış IP'ler atayarak, ip adreslerini değiştirerek güvenlik duvarı kurallarını güncelleştirme zahmetini giderirsiniz.

SQL Veritabanı hangi bağlantı noktasına bağlanırım?

Bağlantı noktası 1433. SQL Veritabanı bu bağlantı noktası üzerinden iletişim kurar. Kurumsal ağ içinden bağlanmak için, kuruluşunuzun güvenlik duvarı ayarlarına bir giden kuralı eklemeniz gerekir. Kılavuz olarak, 1433 numaralı bağlantı noktasını Azure sınırının dışına çıkarmaktan kaçının.

SQL Veritabanı'da sunucumdaki ve veritabanımdaki etkinlikleri nasıl izleyebilirim ve düzenleyebilirim?

SQL Veritabanı Denetimi

SQL Veritabanı ile veritabanı olaylarını izlemek için Denetimi AÇABILIRSINIZ. SQL Veritabanı Denetimi veritabanı olaylarını kaydeder ve Bunları Azure Depolama Hesabınızdaki bir denetim günlüğü dosyasına yazar. Olası güvenlik ve ilke ihlalleri hakkında içgörü elde etmek, mevzuat uyumluluğunu korumak vb. Denetime ihtiyaç duyduğunuzu düşündüğünüz bazı olay kategorilerini tanımlamanıza ve yapılandırmanıza olanak tanır ve veritabanınızda gerçekleşen olaylara genel bir bakış elde etmek için önceden yapılandırılmış raporlar ve bir pano alabilirsiniz. Bu denetim ilkelerini veritabanı düzeyinde veya sunucu düzeyinde uygulayabilirsiniz. Sunucunuz/veritabanınız için denetimi açma kılavuzu, bkz. SQL Veritabanı Denetimini Etkinleştirme.

Tehdit algılama

Tehdit algılama ile, Denetim tarafından bulunan güvenlik veya ilke ihlalleri üzerine çok kolay bir şekilde işlem yapabilme olanağına sahip olursunuz. Sisteminizdeki olası tehditleri veya ihlalleri ele almak için güvenlik uzmanı olmanız gerekmez. Tehdit algılama, SQL Ekleme algılama gibi bazı yerleşik özelliklere de sahiptir. SQL Ekleme, verileri değiştirme veya tehlikeye atma girişimidir ve genel olarak bir veritabanı uygulamasına saldırmanın oldukça yaygın bir yoludur. Tehdit algılama, olası güvenlik açıklarını ve SQL ekleme saldırılarını algılayan birden çok algoritma kümesinin yanı sıra anormal veritabanı erişim desenlerini (olağan dışı bir konumdan veya yabancı bir sorumludan erişim gibi) çalıştırır. Veritabanında bir tehdit algılanırsa güvenlik görevlileri veya atanan diğer yöneticiler bir e-posta bildirimi alır. Her bildirim, şüpheli etkinliğin ayrıntılarını ve tehdidi daha fazla araştırmak ve azaltmak için öneriler sağlar. Tehdit algılamayı açmayı öğrenmek için bkz. Tehdit algılamayı etkinleştirme.

SQL Veritabanı'da verilerimi genel olarak Nasıl yaparım? koruma

Şifreleme, hassas verilerinizi davetsiz misafirlere karşı korumak ve korumak için güçlü bir mekanizma sağlar. Şifrelenmiş verileriniz şifre çözme anahtarı olmadan davetsiz misafire kullanılamaz. Böylece, SQL Veritabanı yerleşik mevcut güvenlik katmanlarına ek bir koruma katmanı ekler. SQL Veritabanı verilerinizi korumanın iki yönü vardır:

  • Veri ve günlük dosyalarında bekleyen verileriniz
  • Güncel verileriniz

SQL Veritabanı'da, depolama alt sistemindeki bekleyen verileriniz ve depolama alt sistemindeki günlük dosyalarınız varsayılan olarak tamamen ve her zaman Saydam Veri Şifrelemesi [TDE] aracılığıyla şifrelenir. Yedekleriniz de şifrelenir. TDE ile uygulama tarafınızda bu verilere erişen hiçbir değişiklik gerekmez. Şifreleme ve şifre çözme şeffaf bir şekilde gerçekleşir; bu nedenle adı yazın. Hassas verilerinizi uçuş sırasında ve beklemede korumak için SQL Veritabanı, Always Encrypted (AE) adlı bir özellik sağlar. AE, veritabanınızdaki hassas sütunları şifreleyen bir istemci tarafı şifreleme biçimidir (bu nedenle veritabanı yöneticilerine ve yetkisiz kullanıcılara şifre metninde bulunurlar). Sunucu, başlangıç olarak şifrelenmiş verileri alır. Always Encrypted anahtarı istemci tarafında da depolanır, bu nedenle hassas sütunların şifresini yalnızca yetkili istemciler çözebilir. Şifreleme anahtarları istemcide depolandığından sunucu ve veri yöneticileri hassas verileri göremez. AE, yetkisiz istemcilerden fiziksel diske kadar tablodaki hassas sütunları uçtan uca şifreler. AE bugün eşitlik karşılaştırmalarını desteklediğinden, DTA'lar şifrelenmiş sütunları SQL komutlarının bir parçası olarak sorgulamaya devam edebilir. Always Encrypted Azure Key Vault, Windows sertifika deposu ve yerel donanım güvenlik modülleri gibi çeşitli anahtar deposu seçenekleriyle kullanılabilir.

Özellikler Always Encrypted Saydam Veri Şifrelemesi
Şifreleme aralığı Uçtan uca Bekleyen veriler
Sunucu hassas verilere erişebilir No Evet, şifreleme bekleyen veriler için olduğundan
İzin verilen T-SQL işlemleri Eşitlik karşılaştırması Tüm T-SQL yüzey alanı kullanılabilir
Özelliği kullanmak için gereken uygulama değişiklikleri En az Çok Az
Şifreleme ayrıntı düzeyi Sütun düzeyi Veritabanı düzeyinde Kimlik Bilgileri belirleme seçeneği

Veritabanımdaki hassas verilere erişimi nasıl sınırlandırabilirim?

Her uygulamanın veritabanında herkesin görmesine karşı korunması gereken belirli bir hassas veri biti vardır. Kuruluş içindeki belirli personelin bu verileri görüntülemesi gerekir, ancak diğerlerinin bu verileri görüntüleyememeleri gerekir. Bir örnek çalışan ücretleridir. Bir yöneticinin doğrudan raporları için ücret bilgilerine erişmesi gerekir, ancak tek tek ekip üyelerinin meslektaşlarının ücret bilgilerine erişimi olmamalıdır. Bir diğer senaryo da geliştirme aşamaları veya test sırasında hassas verilerle etkileşime geçen veri geliştiricileridir( örneğin, müşterilerin SSN'leri). Bu bilgilerin geliştiriciye yeniden açıklanması gerekmez. Bu gibi durumlarda hassas verilerinizin maskelenmesi veya hiç açığa çıkarılmaması gerekir. SQL Veritabanı, yetkisiz kullanıcıların hassas verileri görüntüleyebilmesini önlemek için bu tür iki yaklaşım sunar:

Dinamik Veri Maskeleme , hassas verilerin açığa çıkışını uygulama katmanındaki ayrıcalıklı olmayan kullanıcılarla maskeleyerek sınırlamanıza olanak tanıyan bir veri maskeleme özelliğidir. Maskeleme deseni oluşturabilen bir maskeleme kuralı tanımlarsınız (örneğin, ulusal kimlik SSN'sinin yalnızca son dört basamağını göstermek için: XXX-XX-0000 ve çoğunu X olarak işaretler) ve maskeleme kuralının dışında tutulacak kullanıcıları tanımlarsınız. Maskeleme anında gerçekleşir ve çeşitli veri kategorileri için çeşitli maskeleme işlevleri vardır. Dinamik veri maskeleme, veritabanınızdaki hassas verileri otomatik olarak algılamanıza ve bu verilere maskeleme uygulamanıza olanak tanır.

Satır Düzeyi güvenlik , erişimi satır düzeyinde denetlemenizi sağlar. Başka bir deyişle, sorguyu yürüten kullanıcıya (grup üyeliği veya yürütme bağlamı) bağlı olarak veritabanı tablosundaki belirli satırlar gizlenir. Erişim kısıtlaması, uygulama mantığınızı basitleştirmek için uygulama katmanı yerine veritabanı katmanında gerçekleştirilir. İlk olarak bir filtre koşulu oluşturarak, kullanıma sunulmayan satırları filtreleyerek ve güvenlik ilkesi daha sonra bu satırlara kimlerin erişimi olduğunu tanımlayarak başlarsınız. Son olarak, son kullanıcı sorgusunu çalıştırır ve kullanıcının ayrıcalığına bağlı olarak bu kısıtlanmış satırları görüntüler veya hiç göremez.

Nasıl yaparım? şifreleme anahtarlarını bulutta yönetme

Hem Always Encrypted (istemci tarafı şifreleme) hem de Saydam Veri Şifrelemesi (bekleyen şifreleme) için anahtar yönetim seçenekleri vardır. Şifreleme anahtarlarını düzenli olarak döndürmeniz önerilir. Döndürme sıklığı hem iç kuruluş düzenlemelerinizle hem de uyumluluk gereksinimlerinizle uyumlu olmalıdır.

Saydam Veri Şifrelemesi (TDE)

TDE'de iki anahtarlı bir hiyerarşi vardır; her kullanıcı veritabanındaki veriler simetrik AES-256 veritabanı benzersiz veritabanı şifreleme anahtarıyla (DEK) şifrelenir ve bu anahtar da sunucu benzersiz asimetrik RSA 2048 ana anahtarıyla şifrelenir. Ana anahtar aşağıdakilerden biri yönetilebilir:

  • Platform tarafından otomatik olarak - SQL Veritabanı.
  • Alternatif olarak, anahtar deposu olarak Azure Key Vault'yi de kullanmanız gerekir.

Varsayılan olarak, Saydam Veri Şifrelemesi için ana anahtar kolaylık sağlamak için SQL Veritabanı hizmeti tarafından yönetilir. Kuruluşunuz ana anahtar üzerinde denetim sahibi olmak isterse, anahtar deposu olarak Azure Key Vault](always-encrypted-azure-key-vault-configure.md) kullanma seçeneği vardır. Kuruluşunuz, Azure Key Vault kullanarak anahtar sağlama, döndürme ve izin denetimleri üzerinde denetime sahip olur. Yalnızca DEK'yi yeniden şifrelediğinden, TDE ana anahtarının türünü döndürme veya değiştirme işlemi hızlıdır. Güvenlik ve veri yönetimi arasında rol ayrımı olan kuruluşlar için, güvenlik yöneticisi Azure Key Vault'da TDE ana anahtarı için anahtar malzemesini sağlayabilir ve veritabanı yöneticisine sunucuda bekleyen şifreleme için kullanması için bir Azure Key Vault anahtar tanımlayıcısı sağlayabilir. Key Vault, Microsoft'un herhangi bir şifreleme anahtarını görmemesi veya ayıklamaması için tasarlanmıştır. Ayrıca kuruluşunuz için anahtarların merkezi bir yönetimini de alırsınız.

Always Encrypted

Always Encrypted'de iki anahtarlı bir hiyerarşi de vardır. Hassas verilerden oluşan bir sütun AES 256 sütunlu şifreleme anahtarı (CEK) tarafından şifrelenir ve bu anahtar da bir sütun ana anahtarı (CMK) tarafından şifrelenir. Always Encrypted için sağlanan istemci sürücülerinin CMK'ların uzunluğuyla ilgili bir sınırlaması yoktur. CEK'nin şifrelenmiş değeri veritabanında depolanır ve CMK, Windows Sertifika Deposu, Azure Key Vault veya donanım güvenlik modülü gibi güvenilir bir anahtar deposunda depolanır.

  • Hem CEK hem de CMK döndürülebilir.
  • CEK döndürme, veri işleminin boyutudur ve şifrelenmiş sütunları içeren tabloların boyutuna bağlı olarak zaman açısından yoğun olabilir. Bu nedenle CEK dönüşlerini buna göre planlamak akıllıca olur.
  • Ancak CMK döndürme, veritabanı performansını engellemez ve ayrı rollerle yapılabilir.

Aşağıdaki diyagramda, Always Encrypted'deki sütun ana anahtarları için anahtar deposu seçenekleri gösterilmektedir

Her zaman şifrelenmiş CMK deposu sağlayıcıları

Kuruluşum ile SQL Veritabanı arasındaki trafiği nasıl iyileştirip güvenli hale getirebilirim?

Kuruluşunuzla SQL Veritabanı arasındaki ağ trafiği genellikle genel ağ üzerinden yönlendirilir. Ancak, bu yolu iyileştirmeyi ve daha güvenli hale getirmeyi seçerseniz Azure ExpressRoute'a bakabilirsiniz. ExpressRoute temelde şirket ağınızı özel bir bağlantı üzerinden Azure platformuna genişletmenize olanak tanır. Bunu yaptığınızda, genel İnternet üzerinden gitmezsiniz. Ayrıca daha yüksek güvenlik, güvenilirlik ve yönlendirme iyileştirmesi elde edersiniz ve bu da ağ gecikme sürelerini ve genel İnternet üzerinden normalde karşılaşacağınız hızlardan çok daha yüksek hızları ifade eder. Kuruluşunuzla Azure arasında önemli miktarda veri aktarmayı planlıyorsanız ExpressRoute'u kullanmak maliyet avantajları sağlayabilir. Kuruluşunuzdan Azure'a bağlantı için üç farklı bağlantı modeli arasından seçim yapabilirsiniz:

ExpressRoute ayrıca ek ücret ödemeden satın aldığınız bant genişliği sınırının 2 katını artırmanıza da olanak tanır. ExpressRoute kullanarak bölgeler arası bağlantıyı yapılandırmak da mümkündür. ExpressRoute bağlantı sağlayıcılarının listesini görmek için bkz. ExpressRoute İş Ortakları ve Eşleme Konumları. Aşağıdaki makalelerde Express Route daha ayrıntılı olarak açıklanmaktadır:

SQL Veritabanı tüm mevzuat gereksinimleriyle uyumlu mu ve bu, kendi kuruluşumun uyumluluğuna nasıl yardımcı olur?

SQL Veritabanı bir dizi mevzuat uyumluluğu ile uyumludur. SQL Veritabanı tarafından karşılanmış olan en son uyumluluk kümesini görüntülemek için Microsoft Güven Merkezi'ni ziyaret edin ve SQL Veritabanı uyumlu Azure hizmetlerine eklenip eklenmediğini görmek için kuruluşunuz için önemli olan uyumluluklarda detaya gidin. SQL Veritabanı uyumlu bir hizmet olarak sertifikalanabilir, ancak kuruluşunuzun hizmetinin uyumluluğuna yardımcı olur ancak otomatik olarak garanti etmez.

Geçiş sonrasında akıllı veritabanı izleme ve bakım

Veritabanınızı SQL Veritabanı'a geçirdikten sonra, veritabanınızı izlemek (örneğin, kaynak kullanımının nasıl olduğunu denetlemek veya DBCC denetimleri) ve düzenli bakım yapmak (örneğin, dizinleri, istatistikleri yeniden derlemek veya yeniden düzenlemek vb.) isteyeceksiniz. Neyse ki SQL Veritabanı, uygulamanızın her zaman en iyi şekilde çalışması için veritabanınızı izlemenize ve korumanıza proaktif olarak yardımcı olmak için geçmiş eğilimleri ve kaydedilen ölçümleri ve istatistikleri kullanması açısından Akıllı'dır. Bazı durumlarda, Azure SQL Veritabanı yapılandırma kurulumunuza bağlı olarak bakım görevlerini otomatik olarak gerçekleştirebilir. SQL Veritabanı'da veritabanınızı izlemek için üç model vardır:

  • Performans izleme ve iyileştirme.
  • Güvenlik iyileştirmesi.
  • Maliyet iyileştirme.

Performans izleme ve iyileştirme

Sorgu Performansı İçgörüleri ile, uygulamalarınızın her zaman en uygun düzeyde çalışmaya devam edebilmesi için veritabanı iş yükünüz için özel öneriler alabilirsiniz. Ayrıca, bu önerilerin otomatik olarak uygulanması ve bakım görevlerini gerçekleştirme zahmetine gerek olmaması için de ayarlayabilirsiniz. SQL Veritabanı Danışmanı ile iş yükünüz temelinde dizin önerilerini otomatik olarak uygulayabilirsiniz; buna Otomatik Ayarlama denir. Uygulama iş yükünüz size en uygun önerileri sunmak için değiştikçe öneriler gelişir. Ayrıca bu önerileri el ile gözden geçirme ve kendi takdirinize bağlı olarak uygulama seçeneğine de ulaşabilirsiniz.

Güvenlik iyileştirmesi

SQL Veritabanı, verilerinizin güvenliğini sağlamanıza yardımcı olmak için eyleme dönüştürülebilir güvenlik önerileri ve veritabanında olası bir iş parçacığı oluşturabilecek şüpheli veritabanı etkinliklerini tanımlamak ve araştırmak için tehdit algılama sağlar. Güvenlik açığı değerlendirmesi , veritabanlarınızın güvenlik durumunu büyük ölçekte izlemenize, güvenlik risklerini ve sizin tanımladığınız bir güvenlik temelinden kaymayı belirlemenize olanak tanıyan bir veritabanı tarama ve raporlama hizmetidir. Her taramadan sonra, eyleme dönüştürülebilir adımların ve düzeltme betiklerinin özelleştirilmiş bir listesi ve uyumluluk gereksinimlerini karşılamaya yardımcı olmak için kullanılabilecek bir değerlendirme raporu sağlanır.

Bulut için Microsoft Defender ile panodaki güvenlik önerilerini belirler ve bunları hızla uygularsınız.

Maliyet iyileştirmesi

Azure SQL platformu, maliyet iyileştirme seçeneklerini değerlendirmek ve size önermek için bir sunucudaki veritabanlarındaki kullanım geçmişini analiz eder. Bu analizin analiz edilmesi ve eyleme dönüştürülebilir öneriler oluşturulması genellikle iki haftadan uzun sürer. Elastik havuz bu tür seçeneklerden biridir. Öneri portalda başlık olarak görünür:

elastik havuz önerileri

Bu analizi "Danışman" bölümünde de görüntüleyebilirsiniz:

elastik havuz önerileri-danışmanı

SQL Veritabanı'da performansı ve kaynak kullanımını izleme Nasıl yaparım?

SQL Veritabanı performansı izlemek ve buna göre ayarlamak için platformun akıllı içgörülerinden yararlanabilirsiniz. Aşağıdaki yöntemleri kullanarak SQL Veritabanı performansı ve kaynak kullanımını izleyebilirsiniz:

Azure portal

Azure portal, veritabanını seçip Genel Bakış bölmesinde grafiğe tıklayarak veritabanının kullanımını gösterir. Grafiği CPU yüzdesi, DTU yüzdesi, Veri GÇ yüzdesi, Oturum yüzdesi ve Veritabanı boyutu yüzdesi gibi birden çok ölçümü gösterecek şekilde değiştirebilirsiniz.

İzleme grafiği

İzleme grafiği2

Bu grafikten uyarıları kaynağa göre de yapılandırabilirsiniz. Bu uyarılar, kaynak koşullarına e-postayla yanıt vermenizi, HTTPS/HTTP uç noktasına yazmanızı veya bir eylem gerçekleştirmenizi sağlar. Daha fazla bilgi için bkz. Uyarı oluşturma.

Dinamik yönetim görünümleri

Son 14 günün geçmişini döndürmek için son saat ve sys.resource_stats sistem kataloğu görünümünün kaynak tüketimi istatistikleri geçmişini döndürmek için sys.dm_db_resource_statsdinamik yönetim görünümünü sorgulayabilirsiniz.

Sorgu Performansı İçgörüleri

Sorgu Performansı İçgörüleri , belirli bir veritabanı için en çok kaynak tüketen sorguların ve uzun süre çalışan sorguların geçmişini görmenizi sağlar. TOP sorgularını kaynak kullanımına, süresine ve yürütme sıklığına göre hızla belirleyebilirsiniz. Sorguları izleyebilir ve regresyonu algılayabilirsiniz. Bu özellik sorgu deposunun veritabanı için etkinleştirilmesini ve etkin olmasını gerektirir.

Sorgu Performansı İçgörüleri

Azure İzleyici günlüklerinde Azure SQL Analytics (Önizleme)

Azure İzleyici günlükleri, çalışma alanı başına 150.000'e kadar veritabanını ve 5.000 SQL Elastik havuzunu destekleyen temel Azure SQL Veritabanı performans ölçümlerini toplamanıza ve görselleştirmenize olanak tanır. Bildirimleri izlemek ve almak için bunu kullanabilirsiniz. Birden çok Azure aboneliğinde ve elastik havuzlarda SQL Veritabanı ve elastik havuz ölçümlerini izleyebilir ve bir uygulama yığınının her katmanındaki sorunları belirlemek için kullanılabilirsiniz.

Performans sorunlarını fark ediyorum: SQL Veritabanı sorun giderme metodolojim SQL Server

Sorgu ve veritabanı performansı sorunlarını tanılamak için kullanacağınız sorun giderme tekniklerinin önemli bir bölümü aynı kalır. Tüm aynı veritabanı altyapısı bulutu çalıştırdıktan sonra. Ancak platform - Azure SQL Veritabanı 'intelligence' içinde yerleşik olarak bulunur. Performans sorunlarını daha da kolay bir şekilde gidermenize ve tanılamanıza yardımcı olabilir. Ayrıca bu düzeltici eylemlerden bazılarını sizin yerinize gerçekleştirebilir ve bazı durumlarda bunları proaktif olarak otomatik olarak düzeltebilir.

Performans sorunlarını giderme yaklaşımınız , Sorgu Performansı İçgörüleri (QPI) ve Veritabanı Danışmanı gibi akıllı özellikleri birlikte kullanarak önemli ölçüde yararlı olabilir ve bu nedenle metodolojideki fark bu açıdan farklılık gösterir; artık eldeki sorunu gidermenize yardımcı olabilecek temel ayrıntıları el ile öğütme işini yapmanız gerekmez. Platform sizin için zor işleri yapar. Bunun bir örneği QPI'dır. QPI ile sorgu düzeyine kadar detaya gidebilir, geçmiş eğilimlere bakabilir ve sorgunun tam olarak ne zaman gerilediğinize karar vekleyebilirsiniz. Veritabanı Danışmanı, dizinlerin eksik olması, dizinlerin düşmesi, sorgularınızın parametreleştirilmesi gibi genel olarak genel performansınızı geliştirmenize yardımcı olabilecek konularda öneriler sunar.

Performans sorunlarını giderme ile, uygulama performansınızı etkileyen yalnızca uygulama mı yoksa onu destekleyen veritabanı mı olduğunu belirlemek önemlidir. Performans sorunu genellikle uygulama katmanındadır. Mimari veya veri erişim deseni olabilir. Örneğin, ağ gecikmesine duyarlı, gevevelemeli bir uygulamanız olduğunu düşünün. Bu durumda uygulamanız, uygulama ile sunucu arasında ve tıkanık bir ağda çok sayıda kısa istek ("gevende") olduğundan bu gidiş dönüşler hızlı bir şekilde ortaya çıkar. Bu durumda performansı geliştirmek için Batch Sorguları'nı kullanabilirsiniz. Artık istekleriniz toplu olarak işlendiği için toplu işlemlerin kullanılması size çok yardımcı olur; böylece gidiş dönüş gecikme süresini azaltmanıza ve uygulama performansınızı geliştirmenize yardımcı olur.

Ayrıca, veritabanınızın genel performansında bir düşüş fark ederseniz CPU, GÇ ve bellek tüketimini anlamak için sys.dm_db_resource_stats ve sys.resource_stats dinamik yönetim görünümlerini izleyebilirsiniz. Veritabanınızda kaynaklar olmadığından performansınız etkilenmiş olabilir. Büyüyen ve azalan iş yükü taleplerine göre işlem boyutunu ve/veya hizmet katmanını değiştirmeniz gerekebilir.

Performans sorunlarını ayarlamaya yönelik kapsamlı öneriler için bkz. Veritabanınızı ayarlama.

Nasıl yaparım? uygun hizmet katmanını ve işlem boyutunu kullandığından emin olun

SQL Veritabanı temel, standart ve premium hizmet katmanları sunar. Her hizmet katmanı, bu hizmet katmanına bağlı olarak garantili tahmin edilebilir bir performans elde edersiniz. İş yükünüze bağlı olarak, kaynak kullanımınızın bulunduğunuz geçerli işlem boyutunun tavanını aşabileceği etkinlik artışları olabilir. Böyle durumlarda, ilk olarak herhangi bir ayarın yardımcı olup olmayacağını değerlendirerek (örneğin, dizin ekleme veya değiştirme vb.) yararlı olur. Sınır sorunlarıyla karşılaşmaya devam ediyorsanız daha yüksek bir hizmet katmanına veya işlem boyutuna geçmeyi göz önünde bulundurun.

Hizmet katmanı Yaygın Kullanım Örneği Senaryoları
Temel Çok sayıda kullanıcı ve yüksek eşzamanlılık, ölçek ve performans gereksinimlerine sahip olmayan bir veritabanı olan uygulamalar.
Standart Düşük ve orta GÇ talepleriyle birlikte önemli bir eşzamanlılık, ölçek ve performans gereksinimlerine sahip uygulamalar.
Premium Çok sayıda eşzamanlı kullanıcı, yüksek CPU/bellek ve yüksek GÇ talebine sahip uygulamalar. Yüksek eşzamanlılık, yüksek aktarım hızı ve gecikme süresine duyarlı uygulamalar Premium düzeyden yararlanabilir.

Doğru işlem boyutunda olduğunuzdan emin olmak için, "SQL Veritabanı'da performansı ve kaynak kullanımını izlemek Nasıl yaparım?" konusunda yukarıda bahsedilen yollardan biriyle sorgunuzu ve veritabanı kaynak tüketiminizi izleyebilirsiniz. Sorgularınızın/veritabanlarınızın CPU/Bellek vb. üzerinde sürekli olarak sık çalıştığını farkederseniz, ölçeği daha yüksek bir işlem boyutuna kadar artırmayı düşünebilirsiniz. Benzer şekilde, yoğun saatlerinizde bile kaynakları çok fazla kullanmadığınıza dikkat ederseniz; geçerli işlem boyutundan ölçeği azaltmayı göz önünde bulundurun.

SaaS uygulama deseni veya veritabanı birleştirme senaryonuz varsa maliyet iyileştirmesi için Elastik havuz kullanmayı göz önünde bulundurun. Elastik havuz, veritabanı birleştirme ve maliyet iyileştirmesi elde etmenin harika bir yoludur. Elastik havuz kullanarak birden çok veritabanını yönetme hakkında daha fazla bilgi edinmek için bkz. Havuzları ve veritabanlarını yönetme.

Veritabanım için veritabanı bütünlüğü denetimlerini ne sıklıkta çalıştırmam gerekiyor?

SQL Veritabanı, belirli veri bozulması sınıflarını otomatik olarak ve veri kaybı olmadan işlemesini sağlayan bazı akıllı teknikler kullanır. Bu teknikler hizmette yerleşik olarak bulunur ve ihtiyaç duyulduğunda hizmet tarafından yararlanılır. Düzenli aralıklarla, hizmet genelinde veritabanı yedeklemeleriniz geri yüklenerek ve üzerinde DBCC CHECKDB çalıştırılarak test edilir. Sorun varsa, SQL Veritabanı bunları proaktif olarak giderir. Bozuk veya veri bütünlüğü sorunları olan sayfaları düzeltmek için otomatik sayfa onarma özelliğinden yararlanılır. Veritabanı sayfaları her zaman sayfanın bütünlüğünü doğrulayan varsayılan SAĞLAMA TOPLAMı ayarıyla doğrulanır. SQL Veritabanı veritabanınızın veri bütünlüğünü proaktif olarak izler ve inceler ve sorunlar ortaya çıkarsa bunları en yüksek öncelikle giderir. Bunlara ek olarak, isteğe bağlı olarak kendi bütünlük denetimlerinizi istediğiniz zaman çalıştırmayı seçebilirsiniz. Daha fazla bilgi için bkz. SQL Veritabanı'de Veri Bütünlüğü

Geçiş sonrasında veri taşıma

Nasıl yaparım? Azure portal kullanarak verileri SQL Veritabanı'dan BACPAC dosyaları olarak dışarı ve içeri aktarma

  • Dışarı Aktarma: Azure SQL Veritabanındaki veritabanınızı Azure portal BACPAC dosyası olarak dışarı aktarabilirsiniz

    veritabanı dışarı aktarma

  • İçeri aktarma: ayrıca Azure portal kullanarak verileri Azure SQL Veritabanındaki veritabanınıza BACPAC dosyası olarak da aktarabilirsiniz.

    veritabanı içeri aktarma

Nasıl yaparım? SQL Veritabanı ile SQL Server arasında veri eşitleme

Bunu başarmanın çeşitli yolları vardır:

  • Veri Eşitleme – Bu özellik, birden çok SQL Server veritabanı ile SQL Veritabanı arasında verileri çift yönlü olarak eşitlemenize yardımcı olur. SQL Server veritabanlarıyla eşitlemek için eşitleme aracısını yerel bir bilgisayara veya sanal makineye yükleyip yapılandırmanız ve giden TCP bağlantı noktası 1433'ü açmanız gerekir.
  • İşlem Çoğaltma – İşlem çoğaltma ile verilerinizi bir SQL Server veritabanından Azure SQL Veritabanı'na eşitleyebilir ve SQL Server örneği yayımcı, Azure SQL Veritabanı da abone olabilir. Şimdilik yalnızca bu kurulum desteklenmektedir. Verilerinizi SQL Server veritabanından en düşük kapalı kalma süresiyle Azure SQL geçirme hakkında daha fazla bilgi için bkz. İşlem Çoğaltma'yı kullanma

Sonraki adımlar

SQL Veritabanı hakkında bilgi edinin.