準備您的環境以供連結：Azure SQL 受控執行個體

適用於：Azure SQL 受控執行個體

本文說明如何準備 受控執行個體連結的環境，以便在 SQL Server 和 Azure SQL 受控執行個體之間複寫。

注意

您可以使用可下載的指令碼，自動讓環境為受控執行個體連結做好準備。 如需詳細資訊，請參閱自動化連結設定部落格。

必要條件

若要在 SQL Server 和 Azure SQL 受控執行個體之間建立連結，您需要遵循下列必要條件：

• 有效的 Azure 訂用帳戶。 如果您沒有訂用帳戶，請建立免費帳戶。
• 支援的 SQL Server 版本與必要的服務更新。
• Azure SQL 受控執行個體。 如果您尚未擁有，請開始使用。
• 請決定您要將哪部伺服器作為初始主要複本，以確定應該從何處建立連結。 只有從 SQL Server 2022 CU10 開始，才為設定從 SQL 受控執行個體主要複本到 SQL Server 次要複本的連結提供支援。

警告

在建立將與連結功能搭配使用的 SQL 受控執行個體時，請考慮到 SQL Server 所用所有記憶體內部 OLTP 功能的記憶體需求。 如需詳細資訊，請參閱 Azure SQL 受控執行個體資源限制概觀 \(部分機器翻譯\)。

權限

在 SQL Server 上，您應具備 sysadmin 權限。

在 Azure SQL 受控執行個體上，您應為 SQL 受控執行個體參與者的成員，或具備自訂角色的下列權限：

Microsoft.Sql/ resource	必要權限
Microsoft.Sql/managedInstances	/read、/write
Microsoft.Sql/managedInstances/hybridCertificate	/action
Microsoft.Sql/managedInstances/databases	/read、/delete、/write、/completeRestore/action、/readBackups/action、/restoreDetails/read
Microsoft.Sql/managedInstances/distributedAvailabilityGroups	/read、/write、/delete、/setRole/action
Microsoft.Sql/managedInstances/endpointCertificates	/read
Microsoft.Sql/managedInstances/hybridLink	/read、/write、/delete
Microsoft.Sql/managedInstances/serverTrustCertificates	/write、/delete、/read

準備 SQL Server 執行個體

準備 SQL Server 執行個體時需確認以下幾點：

• 使用最低支援版本。
• 已啟用可用性群組功能。
• 已在啟動時新增適當的追蹤旗標。
• 資料庫處於完整復原模式並已備份。

需重新啟動 SQL Server，這些變更才會生效。

安裝服務更新

請確定您的 SQL Server 版本已安裝適當的服務更新，如版本可支援性表格中所示。 若需要安裝更新，必須在更新期間重新啟動 SQL Server 執行個體。

若要檢查您的 SQL Server 版本，請在 SQL Server 上執行下列 Transact-SQL (T-SQL) 指令碼：

-- Run on SQL Server
-- Shows the version and CU of the SQL Server
USE master;
GO
SELECT @@VERSION as 'SQL Server version';

在 master 資料庫中建立資料庫主要金鑰

在 master 資料庫中建立資料庫主要金鑰 (如果金鑰尚未存在)。 在以下指令碼中插入您的密碼代替 <strong_password>，並將密碼存放在機密且安全的地方。 在 SQL Server 上執行此 T-SQL 指令碼：

-- Run on SQL Server
-- Create a master key
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong_password>';

若要確定您擁有資料庫主要金鑰，請在 SQL Server 上使用下列 T-SQL 指令碼：

-- Run on SQL Server
USE master;
GO
SELECT * FROM sys.symmetric_keys WHERE name LIKE '%DatabaseMasterKey%';

啟用可用性群組

連結功能依賴 Always On 可用性群組功能，其預設為停用。 如需詳細資訊，請參閱啟用 Always On 可用性群組功能。

若要確認已啟用可用性群組功能，請在 SQL Server 上執行下列 T-SQL 指令碼：

-- Run on SQL Server
-- Is the availability groups feature enabled on this SQL Server
DECLARE @IsHadrEnabled sql_variant = (select SERVERPROPERTY('IsHadrEnabled'))
SELECT
    @IsHadrEnabled as 'Is HADR enabled',
    CASE @IsHadrEnabled
        WHEN 0 THEN 'Availability groups DISABLED.'
        WHEN 1 THEN 'Availability groups ENABLED.'
        ELSE 'Unknown status.'
    END
    as 'HADR status'

重要

在 SQL Server 2016 (13.x) 上，如果您必須啟用可用性群組功能，則請完成準備 SQL Server 2016 必要條件 - Azure SQL 受控執行個體連結所述的額外步驟。 此連結支援的 SQL Server 2019 (15.x) 和較高版本不需要執行這些額外步驟。

如果未啟用可用性群組功能，請遵循下列步驟進行啟用：

1. 開啟 [SQL Server 組態管理員]。

2. 在左側窗格中，選取 [SQL Server 服務]。

3. 以滑鼠右鍵按一下 SQL Server 服務，然後選取 [屬性]。

   

4. 前往 [AlwaysOn 可用性群組] 索引標籤。

5. 選取 [啟用 Always On 可用性群組] 核取方塊，然後選取 [確定]。

   

   • 如果您是使用 SQL Server 2016 (13.x) 且 [啟用 Always On 可用性群組] 選項已停用並顯示訊息 This computer is not a node in a failover cluster.，請遵循準備 SQL Server 2016 必要條件 - Azure SQL 受控執行個體連結所述的額外步驟。 完成這些其他步驟之後，請返回並再次重試此步驟。

6. 在對話方塊中選取 [OK]。

7. 重新啟動 SQL Server 服務。

啟用啟動追蹤旗標

若要最佳化連結的效能，建議在啟動時啟用下列追蹤旗標：

• -T1800：當可用性群組中主要和次要複本的記錄檔裝載在不同磁區大小的磁碟上 (例如 512 個位元組和 4KB) 時，此追蹤旗標會將效能最佳化。 如果主要和次要複本的磁碟區大小為 4KB，則不需要此追蹤旗標。 如需詳細資訊，請參閱 KB3009974。
• -T9567：在自動植入期間，此追蹤旗標會針對可用性群組啟用對資料流的壓縮。 壓縮會增加處理器的負載，但可大幅減少植入期間的傳輸時間。

若要在啟動時啟用這些追蹤旗標，請使用下列步驟：

1. 開啟 [SQL Server 組態管理員]。

2. 在左側窗格中，選取 [SQL Server 服務]。

3. 以滑鼠右鍵按一下 SQL Server 服務，然後選取 [屬性]。

   

4. 前往 [啟動參數] 索引標籤。在 [指定啟動參數] 中，輸入 -T1800 並選取 [新增] 以新增啟動參數。 然後輸入 -T9567 並選取 [新增] 以新增其他追蹤旗標。 選取 [套用] 以儲存變更。

   

5. 選取 [確定] 以關閉 [屬性] 視窗。

如需詳細資訊，請參閱啟用追蹤旗標的語法。

重新啟動 SQL Server 並驗證設定

確定您使用的是支援的 SQL Server 版本之後，啟用 Always On 可用性群組功能，並新增啟動追蹤旗標、重新啟動您的 SQL Server 執行個體以套用所有這些變更：

1. 開啟 [SQL Server 組態管理員] 。

2. 在左側窗格中，選取 [SQL Server 服務]。

3. 以滑鼠右鍵按一下 SQL Server 服務，然後選取 [重新啟動]。

   

重新啟動之後，請在 SQL Server 上執行下列 T-SQL 指令碼，以驗證 SQL Server 執行個體的組態：

-- Run on SQL Server
-- Shows the version and CU of SQL Server
USE master;
GO
SELECT @@VERSION as 'SQL Server version';
GO
-- Shows if the Always On availability groups feature is enabled
SELECT SERVERPROPERTY ('IsHadrEnabled') as 'Is Always On enabled? (1 true, 0 false)';
GO
-- Lists all trace flags enabled on SQL Server
DBCC TRACESTATUS;

您的 SQL Server 版本應為其中一個已套用適當服務更新且受支援的版本、Always On 可用性群組功能已啟用，且已啟用追蹤旗標 -T1800 和 -T9567。 下列螢幕擷取畫面是正確設定 SQL Server 執行個體後的預期結果範例：

設定網路連線能力

若要讓連結能夠運作，您必須具有 SQL Server 與 SQL 受控執行個體之間的網路連線。 您選擇的網路選項取決於您的 SQL Server 執行個體是否位於 Azure 網路上。

Azure 虛擬機器上的 SQL Server

在裝載 SQL 受控執行個體的相同 Azure 虛擬網路中，於 Azure 虛擬機器上部署 SQL Server 是最簡單的方法，因為兩個執行個體之間會自動存在網路連線能力。 如需詳細資訊，請參閱快速入門：設定 Azure VM 以連線到 Azure SQL 受控執行個體。

如果 Azure 虛擬機器執行個體上 SQL Server 所在的虛擬網路不同於受控執行個體，則您必須在這兩個虛擬網路之間建立連線。 虛擬網路不一定要在相同的訂閱中，此案例就可以運作。

有兩個選項可連線虛擬網路：

• Azure 虛擬網路對等互連
• VNet 對 VNet VPN 閘道 (Azure 入口網站、PowerShell、Azure CLI)

建議使用對等互連，因為對等互連使用 Microsoft 骨幹網路，所以從連線的觀點來看，對等互連虛擬網路與相同虛擬網路中虛擬機器之間的延遲沒有明顯差異。 相同區域中的網路支援在彼此之間建立虛擬網路對等互連。 在 2020 年 9 月 22 日之後所建立的子網路中裝載的執行個體，都支援全域虛擬網路對等互連。 如需詳細資訊，請參閱常見問題集 (FAQ)。

SQL Server (Azure 外部)

如果您的 SQL Server 執行個體裝載在 Azure 外部，請使用下列其中一個選項，在 SQL Server 與 SQL 受控執行個體之間建立 VPN 連線：

• 站對站 VPN 連線
• Azure ExpressRoute 連線

提示

在複寫資料時，建議使用 ExpressRoute 以獲得最佳網路效能。 請為您的使用案例佈建具有足夠頻寬的閘道。

環境之間的網路連接埠

不論連線機制為何，在各環境之間傳送的網路流量都必須符合這些必要條件：

裝載受控執行個體的子網路上的網路安全性群組 (NSG) 規則允許：

• 輸入連接埠 5022 和連接埠範圍 11000-11999 從來源 SQL Server IP 接收流量
• 輸出連接埠 5022 將流量傳送至目的地 SQL Server IP

裝載 SQL Server 的網路上的所有防火牆，且主機 OS 必須允許：

• 已開啟輸入連接埠 5022 以接收 MI 子網路 /24 來源 IP 範圍的流量（例如 10.0.0.0/24）
• 輸出連線埠 5022，且埠範圍 11000-11999 已開啟，以將流量傳送至 MI 子網的目的地 IP 範圍（例如 10.0.0.0/24）

下表說明每個環境的連接埠動作：

環境	解決方式
SQL Server (Azure 內部)	開啟連接埠 5022 上的輸入和輸出流量，讓網路防火牆涵蓋到SQL 受控執行個體的完整子網路 IP 範圍。 如有必要，請在 SQL Server 主機 OS (Windows/Linux) 防火牆上執行相同的動作。 要以允許連接埠 5022 上的通訊，則要在裝載 VM 的虛擬網路中建立網路安全性群組 (NSG) 規則。
SQL Server (Azure 外部)	開啟連接埠 5022 上的輸入和輸出流量，讓網路防火牆涵蓋到SQL 受控執行個體的完整子網路 IP 範圍。 如有必要，請在 SQL Server 主機 OS (Windows/Linux) 防火牆上執行相同的動作。
SQL 受控執行個體	在 Azure 入口網站建立 NSG 規則，允許在連接埠 5022 和連接埠範圍 11000-11999 接收來自裝載 SQL Server 的 IP 位址和網路所傳送的輸入和輸出流量。

在 SQL Server 執行個體的 Windows 主機 OS 上使用下列 PowerShell 指令碼，在 Windows 防火牆中開啟連接埠：

New-NetFirewallRule -DisplayName "Allow TCP port 5022 inbound" -Direction inbound -Profile Any -Action Allow -LocalPort 5022 -Protocol TCP
New-NetFirewallRule -DisplayName "Allow TCP port 5022 outbound" -Direction outbound -Profile Any -Action Allow -LocalPort 5022 -Protocol TCP

以下圖表顯示內部部署網路環境的範例，並指出環境中的所有防火牆都必須有開啟的連接埠，包括裝載 SQL Server 的 OS 防火牆，以及任何公司防火牆和/或網關：

重要

• 網路環境中的每個防火牆都必須開啟連接埠，包括主機伺服器，以及網路上的任何公司防火牆或閘道。 在公司環境中，您可能需要向網路系統管理員顯示本節中的資訊，以協助在公司網路層中開啟其他連接埠。
• 雖然您可以選取自訂 SQL Server 端的端點，但您無法變更或自訂 SQL 受控執行個體的連接埠號碼。
• 裝載受控執行個體的子網路所使用的 IP 位址範圍，且 SQL Server不得重疊。

新增 URL 至允許清單

根據您的網路安全性設定，您可能需要將 SQL 受控執行個體 FQDN 的 URL 和 Azure 所使用的一些資源管理端點新增至您的允許清單。

以下將標列出應該加入至允許清單的資源：

• SQL 受控執行個體的完整網域名稱 (FQDN)。 例如：managedinstance1.6d710bcf372b.database.windows.net。
• Microsoft Entra Authority
• Microsoft Entra Endpoint 資源識別碼
• Resource Manager 端點
• 服務端點

請遵循設定適用於政府雲端的 SSMS 一節中的步驟，存取 SQL Server Management Studio (SSMS) 中的 [工具] 介面，並識別您需要新增至允許清單之雲端內資源的特定 URL。

測試網路連線能力

在 SQL Server 與 SQL 受控執行個體之間必須有雙向網路連線，連結方能運作。 在 SQL Server 端開啟連接埠，並在 SQL 受控執行個體端設定 NSG 規則之後，請使用 SQL Server Management Studio (SSMS) 或 Transact-SQL 測試連線能力。

SSMS

若要在 SSMS 中測試 SQL Server 與 SQL 受控執行個體之間的網路連線，請遵循下列步驟：

1. 在 SSMS 中連接到將作為主要複本的執行個體。

2. 在物件總管中，展開資料庫，並以滑鼠右鍵按一下您想要連結至次要資料庫的資料庫。 選取[作業]>[Azure SQL 受控執行個體連結]>[測試連線] 以開啟網路檢查程式精靈：

   

3. 在網路檢查程式精靈的 [簡介] 頁面上，選取 [下一步]。

4. 如果已符合必要條件上的所有需求，請選取 [下一步]。 否則，請解決任何未滿足的必要條件，然後選取 [重新執行驗證]。

5. 在 [登入] 頁面上，選取 [登入] 以連線到將次要複本的其他執行個體。 選取 [下一步]。

6. 檢查 [指定網路選項] 頁面上的詳細資料，並視需要提供 IP 位址。 選取 [下一步]。

7. 在 [摘要] 頁面上，檢閱精靈採取的動作，然後選取 [完成] 以測試兩個複本之間的連線。

8. 檢閱 [結果] 頁面，以驗證兩個複本之間的連線，然後選取 [關閉] 以完成。

T-SQL

若要使用 T-SQL 來測試連線能力，您必須檢查雙向的連線。 首先，測試從 SQL Server 到 SQL 受控執行個體的連線，然後測試從 SQL 受控執行個體到 SQL Server 的連線。

測試從 SQL Server 到 SQL 受控執行個體的連線

在 SQL Server 上使用 SQL Server Agent，執行從 SQL Server 到 SQL 受控執行個體的連線測試。

1. 連線至 SQL 受控執行個體並執行下列指令碼，以產生稍後需要用到的某些參數：

   SELECT 'DECLARE @serverName NVARCHAR(512) = N''' + value + ''''
   FROM sys.dm_hadr_fabric_config_parameters
   WHERE parameter_name = 'DnsRecordName'
   
   UNION
   
   SELECT 'DECLARE @node NVARCHAR(512) = N''' + NodeName + '.' + Cluster + ''''
   FROM (
       SELECT SUBSTRING(replica_address, 0, CHARINDEX('\', replica_address)) AS NodeName,
           RIGHT(service_name, CHARINDEX('/', REVERSE(service_name)) - 1) AppName,
           JoinCol = 1
       FROM sys.dm_hadr_fabric_partitions fp
       INNER JOIN sys.dm_hadr_fabric_replicas fr
           ON fp.partition_id = fr.partition_id
       INNER JOIN sys.dm_hadr_fabric_nodes fn
           ON fr.node_name = fn.node_name
       WHERE service_name LIKE '%ManagedServer%'
           AND replica_role = 2
   ) t1
   LEFT JOIN (
       SELECT value AS Cluster,
           JoinCol = 1
       FROM sys.dm_hadr_fabric_config_parameters
       WHERE parameter_name = 'ClusterName'
       ) t2
       ON (t1.JoinCol = t2.JoinCol)
   INNER JOIN (
       SELECT [value] AS AppName
       FROM sys.dm_hadr_fabric_config_parameters
       WHERE section_name = 'SQL'
           AND parameter_name = 'InstanceName'
       ) t3
       ON (t1.AppName = t3.AppName)
   
   UNION
   
   SELECT 'DECLARE @port NVARCHAR(512) = N''' + value + ''''
   FROM sys.dm_hadr_fabric_config_parameters
   WHERE parameter_name = 'HadrPort';
   

   結果看起來應該會如下所示：

   

   儲存用於後續步驟的結果。 由於這些參數可以在任何容錯移轉後變更，因此如有必要，請務必再次產生這些參數。

2. 連接至 SQL Server。

3. 開啟新的查詢視窗，並貼入下列指令碼：

   --START
   -- Parameters section
   DECLARE @node NVARCHAR(512) = N''
   DECLARE @port NVARCHAR(512) = N''
   DECLARE @serverName NVARCHAR(512) = N''
   
   --Script section
   IF EXISTS (
           SELECT job_id
           FROM msdb.dbo.sysjobs_view
           WHERE name = N'TestMILinkConnection'
           )
       EXEC msdb.dbo.sp_delete_job @job_name = N'TestMILinkConnection',
           @delete_unused_schedule = 1
   
   DECLARE @jobId BINARY (16),
       @cmd NVARCHAR(MAX)
   
   EXEC msdb.dbo.sp_add_job @job_name = N'TestMILinkConnection',
       @enabled = 1,
       @job_id = @jobId OUTPUT
   
   SET @cmd = (N'tnc ' + @serverName + N' -port 5022 | select ComputerName, RemoteAddress, TcpTestSucceeded | Format-List')
   
   EXEC msdb.dbo.sp_add_jobstep @job_id = @jobId,
       @step_name = N'Test Port 5022',
       @step_id = 1,
       @cmdexec_success_code = 0,
       @on_success_action = 3,
       @on_fail_action = 3,
       @subsystem = N'PowerShell',
       @command = @cmd,
       @database_name = N'master'
   
   SET @cmd = (N'tnc ' + @node + N' -port ' + @port + ' | select ComputerName, RemoteAddress, TcpTestSucceeded | Format-List')
   
   EXEC msdb.dbo.sp_add_jobstep @job_id = @jobId,
       @step_name = N'Test HADR Port',
       @step_id = 2,
       @cmdexec_success_code = 0,
       @subsystem = N'PowerShell',
       @command = @cmd,
       @database_name = N'master'
   
   EXEC msdb.dbo.sp_add_jobserver @job_id = @jobId,
       @server_name = N'(local)'
   GO
   
   EXEC msdb.dbo.sp_start_job @job_name = N'TestMILinkConnection'
   GO
   
   --Check status every 5 seconds
   DECLARE @RunStatus INT
   
   SET @RunStatus = 10
   
   WHILE (@RunStatus >= 4)
   BEGIN
       SELECT DISTINCT @RunStatus = run_status
       FROM [msdb].[dbo].[sysjobhistory] JH
       INNER JOIN [msdb].[dbo].[sysjobs] J
           ON JH.job_id = J.job_id
       WHERE J.name = N'TestMILinkConnection'
           AND step_id = 0
   
       WAITFOR DELAY '00:00:05';
   END
   
   --Get logs once job completes
   SELECT [step_name],
       SUBSTRING([message], CHARINDEX('TcpTestSucceeded', [message]), CHARINDEX('Process Exit', [message]) - CHARINDEX('TcpTestSucceeded', [message])) AS    TcpTestResult,
       SUBSTRING([message], CHARINDEX('RemoteAddress', [message]), CHARINDEX('TcpTestSucceeded', [message]) - CHARINDEX('RemoteAddress', [message])) AS    RemoteAddressResult,
       [run_status],
       [run_duration],
       [message]
   FROM [msdb].[dbo].[sysjobhistory] JH
   INNER JOIN [msdb].[dbo].[sysjobs] J
       ON JH.job_id = J.job_id
   WHERE J.name = N'TestMILinkConnection'
       AND step_id <> 0
       --END
   

4. 將 @node、@port 和 @serverName 參數取代為您從第一個步驟取得的值。

5. 執行指令碼，並檢查結果。 您應該會看到類似以下範例的結果：

   

6. 驗證結果：

   • TcpTestSucceeded 的每個測試結果應該是 TcpTestSucceeded : True。
   • RemoteAddresses 應屬於 SQL 受控執行個體子網路的 IP 範圍。

   如果回應失敗，請驗證下列網路設定：

   • 網路防火牆和 SQL Server 主機作業系統 (Windows/Linux) 防火牆都設有規則，允許流量流向 SQL 受控執行個體的整個子網路 IP 範圍。
   • 設有 NSG 規則允許裝載 SQL 受控執行個體的虛擬網路於連接埠 5022 上通訊。

測試從 SQL 受控執行個體到 SQL Server 的連線

若要檢查 SQL 受控執行個體是否可以連線到 SQL Server，請先建立測試端點。 然後使用 SQL Agent 執行 PowerShell 指令碼，搭配 tnc 命令從 SQL 受控執行個體的連接埠 5022 上 Ping 到 SQL Server。

若要建立測試端點，請連線至 SQL Server 並執行下列 T-SQL 指令碼：

-- Run on SQL Server
-- Create the certificate needed for the test endpoint
USE MASTER
CREATE CERTIFICATE TEST_CERT
WITH SUBJECT = N'Certificate for SQL Server',
EXPIRY_DATE = N'3/30/2051'
GO

-- Create the test endpoint on SQL Server
USE MASTER
CREATE ENDPOINT TEST_ENDPOINT
    STATE=STARTED
    AS TCP (LISTENER_PORT=5022, LISTENER_IP = ALL)
    FOR DATABASE_MIRRORING (
        ROLE=ALL,
        AUTHENTICATION = CERTIFICATE TEST_CERT,
        ENCRYPTION = REQUIRED ALGORITHM AES
    )

若要驗證 SQL Server 端點在連接埠 5022 上是否收到連線，請在 SQL Server 執行個體的主機作業系統上執行下列 PowerShell 命令：

tnc localhost -port 5022

成功的測試會顯示 TcpTestSucceeded : True。 然後可繼續在 SQL 受控執行個體上建立 SQL Server Agent 作業，嘗試從 SQL 受控執行個體的連接埠 5022 上測試 SQL Server 測試端點。

接下來，請在 SQL 受控執行個體上執行下列 T-SQL 指令碼，以在 SQL 受控執行個體 NetHelper 上建立 SQL Server Agent 作業。 將：

• <SQL_SERVER_IP_ADDRESS> 具有可以從 SQL 受控執行個體存取的 SQL Server IP 位址。

-- Run on SQL managed instance
-- SQL_SERVER_IP_ADDRESS should be an IP address that could be accessed from the SQL Managed Instance host machine.
DECLARE @SQLServerIpAddress NVARCHAR(MAX) = '<SQL_SERVER_IP_ADDRESS>'; -- insert your SQL Server IP address in here
DECLARE @tncCommand NVARCHAR(MAX) = 'tnc ' + @SQLServerIpAddress + ' -port 5022 -InformationLevel Quiet';
DECLARE @jobId BINARY(16);

IF EXISTS (
        SELECT *
        FROM msdb.dbo.sysjobs
        WHERE name = 'NetHelper'
        ) THROW 70000,
    'Agent job NetHelper already exists. Please rename the job, or drop the existing job before creating it again.',
    1
    -- To delete NetHelper job run: EXEC msdb.dbo.sp_delete_job @job_name=N'NetHelper'
    EXEC msdb.dbo.sp_add_job @job_name = N'NetHelper',
        @enabled = 1,
        @description = N'Test SQL Managed Instance to SQL Server network connectivity on port 5022.',
        @category_name = N'[Uncategorized (Local)]',
        @owner_login_name = N'sa',
        @job_id = @jobId OUTPUT;

EXEC msdb.dbo.sp_add_jobstep @job_id = @jobId,
    @step_name = N'TNC network probe from SQL MI to SQL Server',
    @step_id = 1,
    @os_run_priority = 0,
    @subsystem = N'PowerShell',
    @command = @tncCommand,
    @database_name = N'master',
    @flags = 40;

EXEC msdb.dbo.sp_update_job @job_id = @jobId,
    @start_step_id = 1;

EXEC msdb.dbo.sp_add_jobserver @job_id = @jobId,
    @server_name = N'(local)';

提示

如果您需要修改 SQL Server 的 IP 位址以便從 SQL 受控執行個體進行連線探查，請執行 EXEC msdb.dbo.sp_delete_job @job_name=N'NetHelper' 以刪除 NetHelper 作業，然後使用前一指令碼重新建立 NetHelper 作業。

然後建立預存程序 ExecuteNetHelper，以執行該作業並取得網路探查的結果。 在 SQL 受控執行個體上執行下列 T-SQL 指令碼：

-- Run on managed instance
IF EXISTS(SELECT * FROM sys.objects WHERE name = 'ExecuteNetHelper')
    THROW 70001, 'Stored procedure ExecuteNetHelper already exists. Rename or drop the existing procedure before creating it again.', 1
GO
CREATE PROCEDURE ExecuteNetHelper AS
-- To delete the procedure run: DROP PROCEDURE ExecuteNetHelper
BEGIN
    -- Start the job.
    DECLARE @NetHelperstartTimeUtc DATETIME = GETUTCDATE();
    DECLARE @stop_exec_date DATETIME = NULL;

    EXEC msdb.dbo.sp_start_job @job_name = N'NetHelper';

    -- Wait for job to complete and then see the outcome.
    WHILE (@stop_exec_date IS NULL)
    BEGIN
        -- Wait and see if the job has completed.
        WAITFOR DELAY '00:00:01'

        SELECT @stop_exec_date = sja.stop_execution_date
        FROM msdb.dbo.sysjobs sj
        INNER JOIN msdb.dbo.sysjobactivity sja
            ON sj.job_id = sja.job_id
        WHERE sj.name = 'NetHelper'

        -- If job has completed, get the outcome of the network test.
        IF (@stop_exec_date IS NOT NULL)
        BEGIN
            SELECT sj.name JobName,
                sjsl.date_modified AS 'Date executed',
                sjs.step_name AS 'Step executed',
                sjsl.log AS 'Connectivity status'
            FROM msdb.dbo.sysjobs sj
            LEFT JOIN msdb.dbo.sysjobsteps sjs
                ON sj.job_id = sjs.job_id
            LEFT JOIN msdb.dbo.sysjobstepslogs sjsl
                ON sjs.step_uid = sjsl.step_uid
            WHERE sj.name = 'NetHelper'
        END

        -- In case of operation timeout (90 seconds), print timeout message.
        IF (datediff(second, @NetHelperstartTimeUtc, getutcdate()) > 90)
        BEGIN
            SELECT 'NetHelper timed out during the network check. Please investigate SQL Agent logs for more information.'

            BREAK;
        END
    END
END;

在 SQL 受控執行個體上執行下列查詢以執行預存程序，該預存程序會執行 NetHelper 代理程式作業並顯示產生的記錄：

-- Run on managed instance
EXEC ExecuteNetHelper;

如果連線成功，記錄顯示 True。 如果連線失敗，記錄顯示 False。

如果連線失敗，請驗證下列項目：

• 主機上的防火牆 SQL Server 執行個體允許連接埠 5022 上的輸入和輸出通訊。
• 裝載 SQL 受控執行個體的虛擬網路設有 NSG 規則，允許連接埠 5022 上的通訊。
• 如果您的 SQL Server 執行個體位於 Azure VM 上，需有 NSG 規則允許裝載 VM 的虛擬網路上的連接埠 5022 進行通訊。
• SQL Server 正在執行。
• SQL Server 上存在測試端點。

解決問題之後，請在受控執行個體上執行 EXEC ExecuteNetHelper，以重新執行 NetHelper 網路探查。

最後，在網路測試成功後，使用下列 T-SQL 命令，在 SQL Server 上卸除測試端點和憑證：

-- Run on SQL Server
DROP ENDPOINT TEST_ENDPOINT;
GO
DROP CERTIFICATE TEST_CERT;
GO

警告

只有在您已驗證來源與目標環境之間的網路連線能力時，才繼續進行後續步驟。 否則，請先為網路連線問題疑難排解，再繼續進行。

移轉受 TDE 保護資料庫的憑證 (選用)

如果要將受到透明資料加密 (TDE) 保護的 SQL Server 資料庫連接至受控執行個體，必須先將對應的加密憑證從內部部署或 Azure VM SQL Server 執行個體移轉至受控執行個體，再使用連結。 如需詳細步驟，請參閱將受 TDE 保護資料庫的憑證移轉到 Azure SQL 受控執行個體。

使用受服務管理的 TDE 金鑰加密的 SQL 受控執行個體資料庫無法連接至 SQL Server。 只有在資料庫是使用客戶自控金鑰加密，且目的地伺服器可以存取加密該資料庫所使用的相同金鑰時，才能將該加密資料庫連接至 SQL Server。 詳情請參閱使用 Azure Key Vault 設定 SQL Server TDE。

安裝 SSMS

SQL Server Management Studio (SSMS) 是使用受控執行個體連結的最簡單方式。 下載 SSMS 19.0 版或更新版本 ，並安裝在用戶端電腦上。

安裝完成之後，請開啟 SSMS 並連線到支援的 SQL Server 執行個體。 在使用者資料庫上按一下滑鼠右鍵，並確認功能表上會出現 [Azure SQL 受控執行個體連結] 選項。

設定政府雲端的 SSMS

如果您想要將 SQL 受控執行個體部署至政府雲端，必須修改 SQL Server Management Studio (SSMS) 設定，才能使用正確的雲端。 如果您未將 SQL 受控執行個體部署至政府雲端，請略過此步驟。

若要更新 SSMS 設定，請遵循下列步驟：

1. 開啟 SSMS。
2. 從功能表中選取 [工具]，然後選擇 [選項]。
3. 展開 [Azure 服務]，然後選取 [Azure 雲端]。
4. 在 [選取 Azure 雲端] 下方，使用下拉式清單來選擇 AzureUSGovernment 或其他政府雲端，例如 AzureChinaCloud：

如果您想要回到公用雲端，請從下拉式清單中選擇 [AzureCloud]。

相關內容

• 受控執行個體連結功能的概觀
• 使用 SSMS 設定 SQL Server 與 SQL 受控執行個體之間的連結
• 使用指令碼設定 SQL Server 與 SQL 受控執行個體之間的連結