Öğretici: Azure Data Studio'da TDE özellikli veritabanlarını (önizleme) Azure SQL'e geçirme

  • Makale

SQL Server veritabanının güvenliğini sağlamak için güvenli bir sistem tasarlama, gizli varlıkları şifreleme ve güvenlik duvarı oluşturma gibi önlemler alabilirsiniz. Ancak, sürücüler veya bantlar gibi medyaların fiziksel olarak çalınması verilerin güvenliğini yine de tehlikeye atabilir.

TDE, bir sertifikayla güvenliği sağlanan simetrik veritabanı şifreleme anahtarı (DEK) kullanarak bekleyen verilerin (veri ve günlük dosyaları) gerçek zamanlı G/Ç şifrelemesi/şifre çözmesi ile bu soruna bir çözüm sağlar. TDE sertifikalarını el ile geçirme hakkında daha fazla bilgi için bkz . TDE Korumalı Veritabanını Başka bir SQL Server'a Taşıma.

TDE korumalı bir veritabanını geçirirken, veritabanı şifreleme anahtarını (DEK) açmak için kullanılan sertifika (asimetrik anahtar) kaynak veritabanıyla birlikte taşınmalıdır. Bu nedenle, veritabanı dosyalarına erişmek için hedef SQL Server veritabanında sunucu sertifikasını master yeniden oluşturmanız gerekir.

TDE özellikli veritabanlarını (önizleme) SQL Server'ın şirket içi örneğinden Azure SQL'e geçirmenize yardımcı olması için Azure Data Studio için Azure SQL Geçişi uzantısını kullanabilirsiniz.

TDE özellikli veritabanı geçiş işlemi, veritabanı sertifika anahtarlarını (DEK) yedekleme, sertifika dosyalarını şirket içi SQL Server'dan Azure SQL hedefine kopyalama ve ardından hedef veritabanı için TDE'yi yeniden yapılandırma gibi el ile görevleri otomatikleştirir.

Önemli

  1. Şu anda yalnızca Azure SQL Yönetilen Örneği hedefler desteklenmektedir.
  2. Şifrelenmiş Yedeklemeler desteklenmez.

Bu öğreticide, örnek AdventureWorksTDE şifrelenmiş veritabanını SQL Server'ın şirket içi örneğinden Azure SQL yönetilen örneğine geçirmeyi öğreneceksiniz.

  • Azure Data Studio'da Azure SQL'e Geçiş sihirbazını açma
  • Kaynak SQL Server veritabanlarınızın değerlendirmesini çalıştırma
  • TDE sertifikalarınızın geçişini yapılandırma
  • Azure SQL hedefinize Bağlan
  • TDE sertifika geçişinizi başlatın ve tamamlanma ilerleme durumunu izleyin

Önkoşullar

Öğreticiye başlamadan önce:

  • Azure Data Studio'yu indirip yükleyin.

  • Azure Data Studio Market'ten Azure SQL Geçişi uzantısını yükleyin.

  • Azure Data Studio'yu Yönetici istrator olarak çalıştırın.

  • Aşağıdaki yerleşik rollerden birine atanmış bir Azure hesabına sahip olmanız gerekir:

    • Hedef yönetilen örnek için katkıda bulunan (ve SMB ağ paylaşımından TDE sertifika dosyalarının yedeklerini karşıya yüklemek için Hesabı Depolama).
    • Hedef yönetilen örneği veya Azure depolama hesabını içeren Azure Kaynak Grupları için okuyucu rolü.
    • Azure aboneliği için sahip veya Katkıda Bulunan rolü (yeni bir DMS hizmeti oluşturulurken gereklidir).
    • Yukarıdaki yerleşik rolleri kullanmaya alternatif olarak, özel bir rol atayabilirsiniz. Daha fazla bilgi için bkz. Özel roller: ADS kullanarak geçişleri SQL Yönetilen Örneği için Çevrimiçi SQL Server.

  • Azure SQL Yönetilen Örneği hedef örneğini oluşturun.

  • SQL Server kaynağına bağlanmak için kullandığınız oturum açma bilgilerinin sysadmin sunucu rolünün bir üyesi olduğundan emin olun.

  • Azure Data Studio'nun TDE özellikli veritabanı geçişini çalıştırdığı makinenin hem kaynaklara hem de hedef SQL sunucularına bağlantısı olmalıdır.

Azure Data Studio'da Azure SQL'e Geçiş sihirbazını açma

Azure SQL'e Geçiş sihirbazını açmak için:

  1. Azure Data Studio'da Bağlan ions bölümüne gidin. SQL Server'ın şirket içi örneğine Bağlan. Azure sanal makinesinde SQL Server'a da bağlanabilirsiniz.

  2. Sunucu bağlantısına sağ tıklayın ve Yönet'i seçin.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. Genel altındaki sunucu menüsünde Azure SQL Geçişi'ni seçin.

    Screenshot that shows the Azure Data Studio server menu.

  4. Azure SQL Geçişi panosunda Azure SQL'e geçir'i seçerek geçiş sihirbazını açın.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. Sihirbazın ilk sayfasında yeni bir oturum başlatın veya daha önce kaydedilmiş bir oturumu sürdürun.

Veritabanı değerlendirmeyi çalıştırma

  1. 1. Adım: Azure SQL'e Geçiş sihirbazındaki değerlendirme için veritabanları bölümünde değerlendirmek istediğiniz veritabanlarını seçin. Ardından İleri'yi seçin.

    Screenshot that shows selecting a database for assessment.

  2. 2. Adım: Değerlendirme sonuçları bölümünde aşağıdaki adımları tamamlayın:

    1. Azure SQL hedefinizi seçin bölümünde Azure SQL Yönetilen Örneği'i seçin.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Değerlendirme sonuçlarını görüntülemek için Görüntüle/Seç'i seçin.

      Screenshot that shows view/select assessment results.

    3. Değerlendirme sonuçlarında veritabanını seçin ve değerlendirme bulgularını gözden geçirin. Bu örnekte, veritabanının AdventureWorksTDE saydam veri şifrelemesi (TDE) ile korunduğunu görebilirsiniz. Değerlendirme, kaynak veritabanını yönetilen örnek hedefine geçirmeden önce TDE sertifikasının geçirilmesini önerir.

      Screenshot that shows assessment findings report.

    4. TDE geçiş yapılandırma panelini açmak için Seç'i seçin.

TDE geçiş ayarlarını yapılandırma

  1. Şifrelenmiş veritabanı seçili bölümünde Sertifikalarımı ve özel anahtarımı hedefe aktar'ı seçin.

    Screenshot that shows the TDE migration configuration.

    Önemli

    Bilgi kutusu bölümünde DEK sertifikalarını dışarı aktarmak için gerekli izinler açıklanır.

    SQL Server hizmet hesabının DEK sertifikalarını yedeklemek için kullanacağınız ağ paylaşımı yoluna yazma erişimi olduğundan emin olmanız gerekir. Ayrıca, geçerli kullanıcının bu ağ yolunun bulunduğu bilgisayarda yönetici ayrıcalıkları olmalıdır.

  2. Ağ yolunu girin.

    Screenshot that shows the TDE migration configuration for a network share.

    Ardından, sertifikalara erişmek için kimlik bilgilerimi kullanma izni verip vermediğime bakın . Bu eylemle, veritabanı geçiş sihirbazının DEK sertifikanızı ağ paylaşımına yedeklemesine izin verirsiniz.

  3. Geçiş sihirbazını istemiyorsanız, TDE özellikli veritabanlarını geçirmenize yardımcı olun. Azure Data Studio'nun sertifikaları dışarı aktarmasını istemiyorum'ı seçin . Bu adımı atlayın.

    Screenshot that shows how to decline the TDE migration.

    Önemli

    Geçişe devam etmeden önce sertifikaları geçirmeniz gerekir, aksi takdirde geçiş başarısız olur. TDE sertifikalarını el ile geçirme hakkında daha fazla bilgi için bkz . TDE Korumalı Veritabanını Başka bir SQL Server'a Taşıma.

  4. TDE sertifika geçişiyle devam etmek istiyorsanız Uygula'yı seçin.

    Screenshot that shows how to apply the TDE migration configuration.

    TDE geçiş yapılandırma paneli kapanır, ancak ağ paylaşımı yapılandırmanızı istediğiniz zaman değiştirmek için Düzenle'yi seçebilirsiniz. Geçiş işlemine devam etmek için İleri'yi seçin.

    Screenshot that shows how to edit the TDE migration configuration.

Geçiş ayarlarını yapılandırma

3. Adım: Azure SQL'e Geçiş sihirbazındaki Azure SQL hedefi bölümünde, hedef yönetilen örneğiniz için şu adımları tamamlayın:

  1. Azure hesabınızı, Azure aboneliğinizi, Azure bölgesini veya konumunu ve yönetilen örneği içeren kaynak grubunu seçin.

    Screenshot that shows Azure account details.

  2. Hazır olduğunuzda, TDE sertifikaları geçişini başlatmak için Sertifikaları geçir'i seçin.

TDE sertifika geçişini başlatma ve izleme

  1. 3. Adım: Geçiş Durumu'nda Sertifika geçişi paneli açılır. Ekranda TDE sertifikaları geçiş ilerleme durumu ayrıntıları gösterilir.

    Screenshot that shows how the TDE migration process starts.

  2. TDE geçişi tamamlandıktan sonra (veya hata varsa), sayfada ilgili güncelleştirmeler görüntülenir.

    Screenshot that shows how the TDE migration process continues.

  3. Geçişi yeniden denemeniz gerekiyorsa Geçişi yeniden dene'yi seçin.

    Screenshot that shows how to retry the TDE migration.

  4. Hazır olduğunuzda, geçiş sihirbazına devam etmek için Bitti'yi seçin.

    Screenshot that shows how to complete the TDE migration.

  5. Sertifikaları geçir'i seçerek her TDE sertifikası için işlemi izleyebilirsiniz.

  6. Veritabanı geçişini tamamlayana kadar geçiş sihirbazına devam etmek için İleri'yi seçin.

    Screenshot that shows how to continue the database migration.

    Veritabanlarını çevrimiçi veya çevrimdışı olarak Azure SQL Yönetilen Örneği hedeflerine geçirme hakkında daha fazla bilgi için aşağıdaki adım adım öğreticileri gözden geçirin:

Geçiş sonrası adımları

Hedef yönetilen örneğinizde artık veritabanları ve ilgili sertifikaları geçirilmelidir. Son geçirilen veritabanının geçerli durumunu doğrulamak için aşağıdaki örneği kopyalayıp yönetilen örnek hedefinize bağlıyken Azure Data Studio'da yeni bir sorgu penceresine yapıştırın. Ardından Çalıştır'ı seçin.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Sorgu veritabanı, şifreleme durumu ve bekleyen tamamlanma yüzdesi hakkındaki bilgileri döndürür. Bu durumda, TDE sertifikası zaten tamamlanmış olduğundan sıfırdır.

Screenshot that shows the results returned by the TDE query provided in this section.

SQL Server ile şifreleme hakkında daha fazla bilgi için bkz . Saydam veri şifrelemesi (TDE).

Sınırlamalar

Aşağıdaki tabloda, Azure SQL hedefi tarafından desteklenen TDE özellikli veritabanı geçişlerinin geçerli durumu açıklanmaktadır:

Hedef Destek Durum
Azure SQL Veritabanı Hayır
Azure SQL Yönetilen Örnek Yes Önizleme
Azure Sanal Makinesi üzerinde SQL Server Hayır

İlgili içerik