什麼是 Azure SQL 受控執行個體?

  • 發行項

適用於:Azure SQL 受控執行個體

本文提供 Azure SQL 受控執行個體的概觀,這是一個完全受控的平台即服務 (PaaS) 資料庫引擎,其無須經過使用者,即可處理大部分的資料庫管理功能,例如升級、修補、備份及監視。

注意

免費試用 Azure SQL 受控執行個體,並在一般用途 SQL 受控執行個體上取得 720 個虛擬核心時數,前 12 個月每個執行個體最多 100 個資料庫。

Azure SQL 受控執行個體 是可調整的雲端資料庫服務,可隨時在最新穩定版本的 上執行 Microsoft SQL Server 資料庫引擎和具有 99.99% 內建高可用性的已修補 OS,提供近 100% 的 SQL Server 功能相容性。 Azure SQL 受控內建的 PaaS 功能,可讓您專注於對企業最重要的網域特定資料庫管理,並最佳化活動。Microsoft 將負責處理備份,以及修補和更新 SQL 和作業系統程式代碼,進而減輕管理基礎結構的負擔。

如果您不熟悉 Azure SQL 受控執行個體,請在我們深入說明的 Azure SQL 影片系列中查看 Azure SQL 受控執行個體影片:

注意

Microsoft Entra 標識符 先前稱為 Azure Active Directory (Azure AD)。

概觀

Azure SQL 受控執行個體是一個 PaaS 服務,其與最新的 Enterprise Edition SQL Server 資料庫引擎有接近 100% 的相容性,並提供可因應常見安全性考量的原生虛擬網路 (VNet) 實作,以及有利於現有 SQL Server 客戶的商務模型。 SQL 受控執行個體可讓現有 SQL Server 客戶透過最少的應用程式和資料庫變更,將他們的內部部署應用程式隨即轉移至雲端。 同時,SQL 受控執行個體會提供 PaaS 的所有功能 (自動修補和版本的更新、自訂備份高可用性),可以大幅降低管理負擔和擁有權總成本 (TCO)。

SQL 受控執行個體專為以下客戶設計:想要盡可能輕鬆地將大量應用程式,從內部部署或 IaaS、自行建置或 ISV 提供的環境遷移至完全受控的 PaaS 雲端環境。 利用 Azure 中完全自動化的 Azure 資料移轉服務 或是受控執行個體連結,客戶可以將現有 SQL Server 資料庫或 SQL Server 執行個體隨即移轉至 Azure SQL 受控執行個體,受控執行個體可與 SQL Server 相容,並透過原生 VNet 支援來完全隔離客戶執行個體。

您可以透過軟體保證,使用適用於 SQL Server 的 Azure Hybrid Benefit,在 SQL 受控執行個體上,以折扣優惠交換現有授權。 對於需要高度安全性和程式設計介面豐富的 SQL Server 執行個體而言,SQL 受控執行個體是雲端中最佳的移轉目的地。

如需移轉選項和工具的詳細資訊,請參閱移轉概觀:將 SQL Server 移轉至 Azure SQL 受控執行個體

下圖概述 SQL 受控執行個體的主要優勢:

主要功能

重要

如需目前可使用受控執行個體的區域清單,請參閱支援的區域

重要功能

SQL 受控執行個體能執行 SQL Server 最新版本的所有功能,包括線上作業、自動計劃修正,以及其他企業效能增強功能。 如需可用功能的比較說明,請參閱功能比較:Azure SQL 受控執行個體與 SQL Server

SQL 受控執行個體結合了可在 Azure SQL 資料庫和 SQL Server 資料庫引擎中取得的最佳功能:

PaaS 支援 業務持續性
無須購買或管理硬體
沒有管理基礎結構的管理負擔
快速佈建和服務調整
自動修補和版本升級
您可以停止並啟動執行個體以節省成本
與其他 PaaS 資料服務整合		 99.99% 的 SLA 運作時間
內建高可用性
SQL Server 災害復原至 SQL 受控執行個體 (機器翻譯)
使用自動備份所保護的資料
客戶可設定的備份保留期間
還原至 SQL Server 2022 的使用者起始備份
資料庫還原時間點功能
安全性與合規性 管理
隔離的環境 (VNET 整合、單一租用戶服務、專用的運算和儲存體)
與 Azure SQL 資料庫遵循相同的合規性標準
透明資料加密 (TDE)
Microsoft Entra 驗證、單一登入支援
Microsoft Entra 伺服器主體 (登入)
適用於 Microsoft Entra 主體的 Windows 驗證
SQL 稽核
進階威脅防護		 用於自動化服務佈建與縮放的 Azure Resource Manager API
用於手動服務佈建與縮放的 Azure 入口網站功能
資料移轉服務

重要

Azure SQL 受控執行個體已通過許多合規性標準的認證。 如需詳細資訊,請參閱 Microsoft Azure 合規性供應項目,您可以在其中的 SQL Database 底下,找到最新的 SQL 受控執行個體合規性認證清單。

下表顯示 SQL 受控執行個體的主要詳細資料:

功能 描述
Azure 入口網站管理 Yes
SQL Server 版本/組建 最新穩定版 SQL Server 資料庫引擎
受控自動化備份 Yes
自動軟體修補
最新的資料庫引擎功能 Yes
內建執行個體和資料庫的監視與計量 Yes
SQL Server Agent 作業 Yes
每個資料庫的資料檔案 (ROWS) 數目 多個
每個資料庫的記錄檔 (LOG) 數目 1
VNet - Azure Resource Manager 部署
VNet - 傳統部署模型 No

支援的 SQL 功能

SQL 受控執行個體的目標是透過階段式發行計劃,為最新版 SQL Server 提供幾乎 100% 的介面區相容性,意即 SQL Server 的大多數功能也與 Azure SQL 受控執行個體相容。

SQL 受控執行個體支援與 SQL Server 2008 資料庫的回溯相容性。 支援從 SQL Server 2005 進行直接移轉,移轉後,SQL Server 2005 資料庫的相容性層級會更新為 SQL Server 2008。

下列簡短列出與 Azure SQL 受控執行個體相容的 SQL Server 功能:

資料移轉

運作

案例啟用程式

可程式性

安全性

如需 SQL Server 和 Azure SQL 受控執行個體的完整功能比較清單,請參閱 SQL 受控執行個體功能比較,而如需 SQL 受控執行個體與 SQL Server 的 T-SQL 差異清單,請參閱 SQL受控執行個體與 SQL Server 的 T-SQL 差異

SQL Server 內部部署和 SQL 受控執行個體之間的主要差異

SQL 受控執行個體的優勢是其在雲端中一律是最新狀態,這表示 SQL Server 中的某些功能可能已過時、已停用或已有替代方案。 在某些情況,當工具必須辨識特定功能的運作方式稍有不同,或是服務在某個環境中執行時,您無法完全控制。

一些主要差異:

  • 高可用性會使用類似 Always On 可用性群組的技術來內建及預先設定。
  • 只有自動備份和時間點還原。 客戶可以起始 copy-only 備份,這不會干擾自動備份鏈結。
  • 不支援指定完整實體路徑,因此必須以不同方式支援所有對應的案例:RESTORE DB 不支援 WITH MOVE、CREATE DB 不允許實體路徑、BULK INSERT 僅適用於 Azure Blob 等等。
  • SQL 受控執行個體支援 Microsoft Entra 驗證適用於 Microsoft Entra 主體 (預覽) 的 Windows 驗證
  • SQL 受控執行個體都會自動為包含記憶體內部 OLTP 物件的資料庫管理 XTP 檔案群組和檔案。
  • SQL 受控執行個體支援 SQL Server Integration Services (SSIS),且可主控儲存 SSIS 套件的 SSIS 目錄 (SSISDB),但會在 Azure Data Factory (ADF) 中的受控 Azure-SSIS Integration Runtime (IR) 上執行。 請參閱在 Data Factory 中建立 Azure-SSIS IR。 若要比較 SSIS 功能,請參閱比較 SQL Database 與 SQL 受控執行個體
  • SQL 受控執行個體僅支援透過 TCP 通訊協定的連線。 其不支援透過具名管道的連線。
  • 您可以停止並啟動執行個體以節省成本。

商務智慧

Azure SQL 受控執行個體沒有原生內建的商業智慧套件,但您可以使用下列服務:

  • SQL Server Integration Services (SSIS)Azure Data Factory PaaS 的一部分。
  • SQL Server Analysis Services (SSAS) 是 Azure 中的個別 PaaS 服務。
  • SQL Server Reporting Services (SSRS),您可以改用 Power BI 編頁報告 ,或在 Azure 虛擬機器上託管 SSRS。 雖然 SQL 受控執行個體無法將 SSRS 當做服務執行,但是可以使用 SQL Server 驗證,為安裝在 Azure 虛擬機器上的報表伺服器裝載 SSRS 目錄資料庫

系統管理功能

SQL 受控執行個體可讓系統管理員花較少的時間處理系統管理工作,因為服務會為您執行這些設定,或大幅簡化這些工作。 例如,OS/RDBMS 安裝和修補動態執行個體的大小調整和設定備份資料庫複寫 (包括系統資料庫)、高可用性設定,以及健康情況和效能監視資料流的設定。

如需詳細資訊,請參閱支援和不支援的 SQL 受控執行個體功能清單,以及 SQL 受控執行個體和 SQL Server 之間的 T-SQL 差異

以虛擬核心為基礎的購買模型

SQL 受控執行個體中以虛擬核心為基礎的購買模型提供彈性、可控制、透明及直接的方法,讓您將內部部署工作負載需求平移到雲端。 此模型可讓您根據工作負載需求,變更計算、記憶體和儲存體。 虛擬核心模型也能夠透過適用於 SQL Server 的 Azure Hybrid Benefit,最多節省 55% 的成本。

在虛擬核心模型中,您可以選擇硬體設定,如下所示:

  • 標準系列 (Gen5) 邏輯 CPU 是以 Intel® E5-2673 v4 (Broadwell) 2.3 GHz、Intel® SP-8160 (Skylake) 及 Intel® 8272CL (Cascade Lake) 2.5 GHz 處理器為基礎,且每個 CPU 虛擬核心具有 5.1 GB RAM,快速的 NVMe SSD,超執行續邏輯核心,以及介於 4 和 80 核心之間的計算大小。
  • 進階版 系列邏輯 CPU 是以 Intel® 8370C (Ice Lake) 2.8-GHz 處理器為基礎,每個 CPU 虛擬核心有 7 GB 的 RAM(最多 128 個虛擬核心)、快速 NVMe SSD、超線程邏輯核心,以及 4 到 128 核心之間的計算大小。
  • 進階系列記憶體最佳化的邏輯 CPU 是以 Intel® 8370C (Ice Lake) 2.8 GHz 處理器為基礎,且每個 CPU 虛擬核心具有 13.6 GB RAM (最多 64 個虛擬核心),快速的 NVMe SSD,超執行緒核心邏輯,以及介於 4 和 64 核心之間的計算大小。

SQL 受控執行個體資源限制中尋找關於硬體設定之間差異的詳細資訊。

服務層

服務 層級 通常會定義與可用性和災害復原相關的儲存架構、空間和 I/O 限制,以及商務持續性選項。

有兩個服務層級可使用 SQL 受控執行個體:

  • 一般用途:專為具有標準效能和 I/O 延遲需求的應用程式所設計。 您可以使用升級 的下一代一般用途服務層級(預覽版) 來改善效能計量,並提升資源彈性。
  • 業務關鍵:針對具有低 I/O 延遲需求且對工作負載的基礎維護作業影響最小的應用程式所設計。

管理作業

Azure SQL 受控執行個體提供管理作業,可讓您在不再需要時,用來自動部署新的受控執行個體、更新執行個體屬性和刪除執行個體。 如需管理作業的詳細說明,請參閱 Azure SQL 受控執行個體管理作業概觀頁面。

受控執行個體連結使用分散式可用性群組技術來同步處理 SQL Server 與 Azure SQL 受控執行個體之間的資料庫,並可提供許多使用案例,例如:

  • 使用 Azure 服務,而無需移轉至雲端
  • 將唯讀工作負載卸載到 Azure
  • 災害復原
  • 遷移至 Azure

免授權 DR 權益

透過 Azure SQL 受控執行個體,您可以透過僅指定災害復原次要複本來節省虛擬核心授權成本。 若要深入瞭解,請檢閱免授權 DR 權益

進階安全性與合規性

SQL 受控執行個體隨附 Azure 平台和 SQL Server 資料庫引擎所提供的進階安全性功能。

安全性隔離

SQL 受控執行個體提供額外的安全性隔離,可與 Azure 平台中的其他租用戶隔離。 安全性隔離包括:

  • 實作原生虛擬網路和使用 Azure ExpressRoute 或 VPN 閘道與內部部署環境連線。
  • 在預設部署中,SQL 端點只會透過私人 IP 位址公開,並允許來自私人 Azure 或混合式網路的安全連線。
  • 單一租用戶具有專用的基礎結構 (計算、儲存體)。

下圖概述您應用程式的各種連線選項:

高可用性

如需深入了解子網路層級的 VNet 整合和網路原則強制施行,請參閱受控執行個體的 VNet 架構將應用程式連線到受控執行個體

重要

將多個受控執行個體放在相同子網路中 (如果您的安全性需求允許的話),因為這會帶來額外的好處。 將執行個體放在相同子網路中,可大幅簡化網路基礎結構的維護工作,並且可減少執行個體的佈建時間,因為長時間的佈建期間與在子網路中部署第一個受控執行個體的成本有關。

安全性功能

Azure SQL 受控執行個體提供一組可用來保護資料的進階安全性功能。

  • SQL 受控執行個體稽核會追蹤資料庫事件並將事件寫入您 Azure 儲存體帳戶中的稽核記錄檔。 稽核可協助您保持法規遵循、了解資料庫活動,以及深入了解可指出商務考量或疑似安全違規的不一致和異常。
  • 移動中資料加密 - SQL 受控執行個體會使用傳輸層安全性 (TLS) 對移動中的資料加密,藉此保護您的資料。 除了 TLS,SQL 受控執行個體會使用 Always Encrypted 來保護傳輸中、待用和查詢處理期間的敏感性資料。 Always Encrypted 會提供資料安全性來對抗重要資料遭竊的漏洞。 例如,透過 Always Encrypted,信用卡號碼會永遠加密儲存在資料庫中,即使在查詢處理期間,都允許需要處理該資料的已授權人員或應用程式在使用時解密。
  • 進階威脅防護會提供服務內建的額外安全情報層,此情報層可偵測到不尋常且有危害的資料庫存取或攻擊動作,藉此補充稽核的不足之處。 系統會警示您有關可疑活動、潛在弱點、SQL 插入式攻擊和異常資料庫存取模式。 您可以從適用於雲端的 Microsoft Defender 檢視進階威脅防護警示。 其提供可疑活動的詳細資料,以及調查與降低威脅的建議。
  • 動態資料遮罩可藉由遮罩處理,使不具權限的使用者無法看見敏感性資料。 動態資料遮罩可讓您在應用程式層級受到最小影響的情況下指定要顯示多少敏感性資料,而協助防止未經授權者存取敏感性資料。 這項原則式安全性功能會將敏感性資料隱藏在指定資料庫欄位的查詢結果集內,而資料庫中的資料則不會變更。
  • 資料列層級安全性 (RLS) 讓您能夠根據執行查詢之使用者的特性 (例如,依群組成員資格或執行內容) 來控制資料庫資料表中的資料列存取。 RLS 可簡化應用程式中安全性的設計和編碼。 RLS 可讓您實作資料的資料列存取限制。 例如,確保工作者只能存取其部門的相關資料列,或將資料存取權限制為僅限相關使用者。
  • 透明資料加密 (TDE) 會將 SQL 受控執行個體的資料檔案加密,也稱為「待用資料加密」。 TDE 會執行資料和記錄檔的即時 I/O 加密和解密。 加密會使用資料庫加密金鑰 (DEK),此金鑰會儲存在資料庫開機記錄中,以在復原期間提供可用性。 您可以使用透明資料加密來保護受控執行個體中的所有資料庫。 TDE 是 SQL Server 中經實證的待用加密技術,許多合規性標準都需要這項技術才能防禦儲存媒體的竊取。

透過 Azure 資料庫移轉服務或原生還原,可支援將加密的資料庫遷移到 SQL 受控執行個體。 如果您打算使用原生還原來遷移加密的資料庫,必須執行將現有 TDE 憑證從 SQL Server 執行個體遷移至 SQL 受控執行個體的步驟。 如需移轉選項的詳細資訊,請參閱將 SQL Server 移轉至 Azure SQL 受控執行個體指南

Microsoft Entra 整合

SQL 受控執行個體支援傳統 SQL Server 資料庫引擎登入,以及與 Microsoft Entra ID 整合的登入 (前稱為 Azure Active Directory)。 Microsoft Entra 伺服器主體 (登入) 是內部部署環境中使用的 Azure 雲端版內部部署資料庫登入。 Microsoft Entra 伺服器主體 (登入) 可讓您從 Microsoft Entra 租用戶指定使用者和群組作為實際執行個體範圍的主體,能夠執行任何執行個體層級的作業,包括在相同受控執行個體中的跨資料庫查詢。

SQL 受控執行個體可讓您透過 Microsoft Entra 整合,集中管理資料庫使用者和其他 Microsoft 服務的身分識別。 這項功能簡化了權限管理並增強安全性。 Microsoft Entra ID 支援多重要素驗證,以提高資料和應用程式安全性,同時支援單一登入程序。

為了建立 Microsoft Entra 伺服器主體 (登入),引進了新的語法 FROM EXTERNAL PROVIDER。 如需有關語法的詳細資訊,請參閱 CREATE LOGIN,並檢閱為 SQL 受控執行個體佈建 Microsoft Entra 系統管理員文章。

驗證

SQL 受控執行個體驗證是指使用者連線到資料庫時如何證明他們的身分識別。 SQL 受控執行個體支援三種類型的驗證:

  • SQL 驗證:此驗證方法會使用使用者名稱和密碼。
  • Microsoft Entra 驗證:此驗證方法使用由 Microsoft Entra ID 管理的身分識別,而且受控網域和整合式網域都支援此驗證。 盡可能使用 Active Directory 驗證 (整合式安全性)。
  • 適用於 Microsoft Entra 主體的 Windows 驗證適用於 Microsoft Entra 主體的 Kerberos 驗證會啟用適用於 Azure SQL 受控執行個體的 Windows 驗證。 受控執行個體的 Windows 驗證可讓客戶將現有的服務移至雲端,同時維持順暢的使用者體驗,並為基礎結構現代化提供基礎。

授權

授權是指使用者可以在 Azure SQL 受控執行個體的資料庫中執哪些動作,這是由使用者帳戶的資料庫角色成員資格和物件層級權限所控制。 SQL 受控執行個體與 SQL Server 2022 具有相同的授權功能。

資料庫移轉

SQL 受控執行個體鎖定的是將大量資料庫從內部部署或 IaaS 資料庫實作移轉的使用者案例。 SQL 受控執行個體支援移轉指南中所討論的數個資料庫移轉選項。 請參閱移轉概觀:將 SQL Server 移轉至 Azure SQL 受控執行個體,以取得詳細資訊。

備份及還原

移轉方法會利用 SQL 備份到 Azure Blob 儲存體。 使用 T-SQL RESTORE 命令,可以將 Azure Blob 儲存體中所儲存的備份直接還原至受控執行個體。

  • 如需示範如何還原 Wide World Importers - 標準資料庫備份檔案的快速入門,請參閱還原備份檔案至受控執行個體。 本快速入門顯示您必須將備份檔案上傳至 Azure Blob 儲存體,並使用共用存取簽章 (SAS) 來保護其安全。
  • 如需從 URL 還原的資訊,請參閱從 URL 原生還原

重要

來自受控執行個體的備份只能還原至其他受控執行個體或 SQL Server 2022。 其無法還原至其他 SQL Server 版本或 Azure SQL Database。

Database Migration Service

Azure 資料庫移轉服務是一個完全受控的服務,能夠從多個資料庫來源無縫移轉到 Azure 資料平台,將停機時間降到最低。 此服務可簡化將現有第三方和 SQL Server 資料庫移至 Azure SQL Database、Azure SQL 受控執行個體與 Azure VM 中的 SQL Server 所需的工作。 請參閱如何使用資料庫移轉服務將內部部署資料庫遷移至 SQL 受控執行個體

受控執行個體連結會使用分散式可用性群組來擴充裝載於任何位置 SQL Server 內部部署 Always On 可用性群組,以安全且具保障的方式,近乎即時地複寫資料至 Azure SQL 受控執行個體。

連結功能有助於從 SQL Server 移轉至 SQL 受控執行個體,這能啟用:

  • 相較於現今所有其他可用的解決方案,效能最高、停機時間最低的移轉。
  • 任何服務層級中 SQL 受控執行個體的真正線上移轉。

因為連結功能啟用停機時間最短的移轉,因此您可以移轉至受控執行個體,同時維持主要工作負載連線。 雖然目前可以透過其他解決方案將線上移轉至常規用途服務層級,但連結功能是唯一允許線上移轉至業務關鍵層的解決方案。

以程式設計方式識別受控執行個體

下表顯示數個透過 Transact SQL 使用的屬性,可用來檢測出應用程式正在使用 SQL 受控執行個體,並擷取重要的屬性。

屬性 註解
@@VERSION Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation. 此值與 SQL Database 中的相同。 這並非表示 SQL 引擎第 12 版 (SQL Server 2014)。 SQL 受控執行個體一律會執行最新穩定 SQL 引擎版本,其等於或高於 SQL Server 的最新可用 RTM 版本。
SERVERPROPERTY ('Edition') SQL Azure 此值與 SQL Database 中的相同。
SERVERPROPERTY('EngineEdition') 8 此值只會識別出受控執行個體。
@@SERVERNAME, SERVERPROPERTY ('ServerName') 下列格式的完整執行個體 DNS 名稱:<instanceName>.<dnsPrefix>.database.windows.net,其中 <instanceName> 是客戶提供的名稱,而 <dnsPrefix> 是自動產生的部分名稱,確保全域 DNS 名稱是唯一的 (例如,"wcus17662feb9ce98") 範例:my-managed-instance.wcus17662feb9ce98.database.windows.net

後續步驟