什麼是 Azure SQL 受控執行個體?

適用於:Azure SQL 受控執行個體

本文提供 Azure SQL 受控執行個體的概觀,這是完全受控的平臺即服務(PaaS)資料庫引擎,可處理大部分的資料庫管理功能,例如升級、修補、備份和監視,而不需要使用者介入。

注意

免費試用 Azure SQL 受控執行個體,並在一般用途 SQL 受管理執行個體 上取得 720 個虛擬核心時數,前 12 個月每個實例最多 100 個資料庫。

Azure SQL 受控執行個體 是可調整的雲端資料庫服務,一律在 最新穩定版本的 上執行Microsoft SQL Server 資料庫引擎和具有 99.99% 內建高可用性的修補操作系統,提供與 SQL Server 的近 100% 功能相容性。 Azure SQL Managed 內建的 PaaS 功能可讓您專注於對企業而言至關重要的網域特定資料庫管理和優化活動,同時 Microsoft 處理備份,以及修補和更新 SQL 和操作系統程式代碼,這可減輕管理基礎結構的負擔。

如果您不熟悉 Azure SQL 受控執行個體,請在我們深入說明的 Azure SQL 影片系列中查看 Azure SQL 受控執行個體影片:

注意

Microsoft Entra ID 是 Azure Active Directory (Azure AD) 的新名稱。 我們目前正在更新檔。

概觀

Azure SQL 受控執行個體 是 PaaS 服務,與最新的 Enterprise Edition SQL Server 資料庫引擎具有近 100% 的相容性,提供原生虛擬網路 (VNet) 實作,以解決常見的安全性考慮,以及適用於現有 SQL Server 客戶的商務模型。 SQL 受控執行個體可讓現有 SQL Server 客戶透過最少的應用程式和資料庫變更,將他們的內部部署應用程式隨即轉移至雲端。 同時,SQL 受管理執行個體 提供所有 PaaS 功能(自動修補和版本更新、自動備份高可用性),以大幅降低管理額外負荷和總擁有成本(TCO)。

SQL 受管理執行個體 專為想要將大量應用程式從內部部署或 IaaS、自我建置或 ISV 提供的環境移轉至完全受控 PaaS 雲端環境的客戶所設計,且移轉工作盡可能低。 客戶可以使用完全自動化的 Azure 資料遷移服務受控執行個體 連結,將現有的 SQL Server 資料庫或 SQL Server 實例轉移至 Azure SQL 受控執行個體,以提供與 SQL Server 的相容性,並完全隔離具有原生 VNet 支援的客戶實例。

使用軟體保證,您可以使用適用於 SQL ServerAzure Hybrid Benefit,在 SQL 受管理執行個體 上交換現有授權以取得折扣費率。 對於需要高度安全性和程式設計介面豐富的 SQL Server 執行個體而言,SQL 受控執行個體是雲端中最佳的移轉目的地。

如需移轉選項和工具的詳細資訊,請參閱移轉概觀:將 SQL Server 移轉至 Azure SQL 受控執行個體

下圖概述 SQL 受管理執行個體 的主要優點:

Key features

重要

如需目前可使用受控執行個體的區域清單,請參閱支援的區域

重要功能

SQL 受控執行個體能執行 SQL Server 最新版本的所有功能,包括線上作業、自動計劃修正,以及其他企業效能增強功能。 如需可用功能的比較說明,請參閱功能比較:Azure SQL 受控執行個體與 SQL Server

SQL 受管理執行個體 結合 Azure SQL 資料庫 和 SQL Server 資料庫引擎中可用的最佳功能:

PaaS 支援 業務持續性
不購買或管理硬體
沒有管理額外負荷來管理基礎結構
快速布建和服務調整
自動修補和版本升級
您可以 停止並啟動 實例以節省成本
與其他 PaaS 資料服務整合
99.99% 執行時間 SLA
內建高可用性
SQL Server 災害復原至 SQL 受管理執行個體
使用自動備份所保護的資料
客戶可設定的備份保留期限
還原至 SQL Server 2022 的使用者起始備份
資料庫還原時間點功能
安全性與合規性 管理
隔離環境 (VNet 整合、單一租使用者服務、專用計算和記憶體)
遵守與 Azure SQL 資料庫 相同的合規性標準
透明資料加密 (TDE)
Microsoft Entra 驗證,單一登錄支援
Microsoft Entra 伺服器主體 (登入)
Microsoft Entra 主體的 Windows 驗證
SQL 稽核
進階威脅防護
用於自動化服務布建和調整的 Azure Resource Manager API
手動服務布建和調整的 Azure 入口網站 功能
資料移轉服務

重要

Azure SQL 受控執行個體已通過許多合規性標準的認證。 如需詳細資訊,請參閱 Microsoft Azure 合規性供應項目,您可以在其中的 SQL Database 底下,找到最新的 SQL 受控執行個體合規性認證清單。

下表顯示 SQL 受管理執行個體 的主要詳細資料:

功能 描述
Azure 入口網站 管理 Yes
SQL Server 版本/組建 最新的穩定 SQL Server 資料庫引擎
受控自動化備份 Yes
自動軟體修補
最新的資料庫引擎功能 Yes
內建執行個體和資料庫的監視與計量 Yes
SQL Server Agent 作業 Yes
每個資料庫的資料檔案 (ROWS) 數目 多個
每個資料庫的記錄檔 (LOG) 數目 1
VNet - Azure Resource Manager 部署
VNet - 傳統部署模型 No

支援的 SQL 功能

SQL 受管理執行個體 的目標是透過分段發行計劃,提供與最新 SQL Server 版本接近 100% 的介面區相容性,這表示 SQL Server 的大部分功能也與 Azure SQL 受控執行個體 相容。

SQL 受控執行個體支援與 SQL Server 2008 資料庫的回溯相容性。 支援從 SQL Server 2005 直接移轉,且已移轉 SQL Server 2005 資料庫的相容性層級會更新為 SQL Server 2008。

下列簡短列出與 Azure SQL 受控執行個體 相容的 SQL Server 功能:

資料移轉

如需比較 SQL Server 與 Azure SQL 受控執行個體 之間相容功能的完整清單,請參閱 SQL 受管理執行個體 功能比較,如需 SQL 受管理執行個體 與 SQL Server 的 T-SQL 差異清單,請參閱 sql Server SQL 受管理執行個體 T-SQL 差異。

SQL Server 內部部署和 SQL 受控執行個體之間的主要差異

SQL 受管理執行個體 雲端中一律處於最新狀態的好處,這表示 SQL Server 中的某些功能可能已過時、已淘汰或有替代方案。 在某些情況下,工具需要辨識特定功能的運作方式稍有不同,或服務在您未完全控制的環境中執行。

一些主要差異:

  • 高可用性內建並使用類似 Always On 可用性群組的技術預先設定。
  • 只有自動備份和時間點還原。 客戶可以起始 copy-only 不會干擾自動備份鏈結的備份。
  • 不支援指定完整實體路徑,因此必須以不同的方式支援所有對應的案例:RESTORE DB 不支援WITH MOVE、CREATE DB 不允許實體路徑、BULK INSERT 僅適用於 Azure Blob 等等。
  • SQL 受管理執行個體支援Microsoft Entra 驗證Microsoft Entra 主體的 Windows 驗證 (預覽)
  • SQL 受控執行個體都會自動為包含記憶體內部 OLTP 物件的資料庫管理 XTP 檔案群組和檔案。
  • SQL 受管理執行個體 支援 SQL Server Integration Services (SSIS),而且可以裝載儲存 SSIS 套件的 SSIS 目錄 (SSISDB),但會在 Azure Data Factory 中的受控 Azure-SSIS Integration Runtime (IR) 上執行。 請參閱在 Data Factory 中建立 Azure-SSIS IR。 若要比較 SSIS 功能,請參閱比較 SQL Database 與 SQL 受控執行個體
  • SQL 受控執行個體僅支援透過 TCP 通訊協定的連線。 它不支援透過命名管道連線。
  • 您可以 停止並啟動 實例,以節省成本。

商務智慧

Azure SQL 受控執行個體 沒有原生內建的 Business Intelligence 套件,但您可以使用下列服務:

  • SQL Server Integration Service (SSIS) 是 Azure Data Factory PaaS 的一部分。
  • SQL Server Analysis Service (SSAS) 是 Azure 中的個別 PaaS 服務。
  • SQL Server Reporting Service (SSRS),您可以改用 Power BI 編頁報表 ,或在 Azure 虛擬機上裝載 SSRS。 雖然 SQL 受管理執行個體 無法以服務的形式執行 SSRS,但它可以使用 SQL Server 驗證,為安裝在 Azure 虛擬機上的報表伺服器裝載 SSRS 目錄資料庫

系統管理功能

SQL 受控執行個體可讓系統管理員花較少的時間處理系統管理工作,因為服務會為您執行這些設定,或大幅簡化這些工作。 例如,OS/RDBMS 安裝和修補動態執行個體的大小調整和設定備份資料庫複寫 (包括系統資料庫)、高可用性設定,以及健康情況和效能監視資料流的設定。

如需詳細資訊,請參閱支援和不支援的 SQL 受控執行個體功能清單,以及 SQL 受控執行個體和 SQL Server 之間的 T-SQL 差異

以虛擬核心為基礎的購買模型

SQL 受控執行個體中以虛擬核心為基礎的購買模型提供彈性、可控制、透明及直接的方法,讓您將內部部署工作負載需求平移到雲端。 此模型可讓您根據工作負載需求,變更計算、記憶體和儲存體。 虛擬核心模型也能夠透過適用於 SQL Server 的 Azure Hybrid Benefit,最多節省 55% 的成本。

在虛擬核心模型中,您可以選擇硬體設定,如下所示:

  • 標準系列 (Gen5) 邏輯 CPU 是以 Intel® E5-2673 v4 (Broadwell) 2.3 GHz 為基礎, Intel® SP-8160 (Skylake), 和 Intel® 8272CL (Cascade Lake) 2.5-GHz 處理器, 每個 CPU 虛擬核心 5.1 GB 的 RAM、快速 NVMe SSD、超線程邏輯核心,以及 4 到 80 核心之間的計算大小。
  • 進階版 系列邏輯 CPU 是以 Intel® 8370C (Ice Lake) 2.8-GHz 處理器為基礎,每個 CPU 虛擬核心有 7 GB 的 RAM(最多 80 個虛擬核心)、快速 NVMe SSD、超線程邏輯核心,以及 4 到 80 核心之間的計算大小。
  • 進階版 系列記憶體優化邏輯 CPU 是以 Intel® 8370C (Ice Lake) 2.8-GHz 處理器為基礎,每個 CPU 虛擬核心有 13.6 GB 的 RAM(最多 64 個虛擬核心)、快速 NVMe SSD、超線程邏輯核心,以及 4 到 64 核心之間的計算大小。

SQL 受控執行個體資源限制中尋找關於硬體設定之間差異的詳細資訊。

服務層

有兩個服務層級可使用 SQL 受控執行個體:

  • 一般用途:專為具有一般效能和 I/O 延遲需求的應用程式所設計。
  • 業務關鍵:針對具有低 I/O 延遲需求且對工作負載的基礎維護作業影響最小的應用程式所設計。

這兩個服務層級均保證 99.99% 的可用性,可讓您單獨選取儲存體大小和計算容量。 如需 Azure SQL 受控執行個體高可用性架構的詳細資訊,請參閱高可用性和 Azure SQL 受控執行個體

一般用途服務層級

下列清單說明一般用途服務層級的主要特色:

  • 專為大多數有標準效能需求的商務應用程式所設計
  • 高效能的 Azure Blob 儲存體 (16 TB)
  • 根據可靠的 Azure Blob 儲存體和 Azure Service Fabric 內建的高可用性

如需詳細資訊,請參閱一般用途層中的儲存體層SQL 受控執行個體 (一般用途) 的儲存體效能最佳做法和考量 (英文)。

SQL 受控執行個體資源限制中尋找關於服務層級之間差異的詳細資訊。

業務關鍵服務層級

業務關鍵服務層級是為具有高 I/O 需求的應用程式所建置。 其使用數個隔離的複本來提供最高失敗復原能力。

下列清單概述業務關鍵服務層級的主要特色:

受控執行個體資源限制中尋找關於服務層級之間差異的詳細資訊。

管理作業

Azure SQL 受控執行個體提供管理作業,可讓您在不再需要時,用來自動部署新的受控執行個體、更新執行個體屬性和刪除執行個體。 如需管理作業的詳細說明,請參閱 Azure SQL 受控執行個體 管理作業概觀

受控執行個體 連結會使用分散式可用性群組技術來同步處理 SQL Server 與 Azure SQL 受控執行個體 之間的資料庫,並解除鎖定許多案例,例如:

  • 使用 Azure 服務,而無需移轉至雲端
  • 將唯讀工作負載卸載到 Azure
  • 災害復原
  • 遷移至 Azure

免授權DR權益

透過 Azure SQL 受控執行個體,您可以藉由指定次要複本來進行災害復原(DR)來節省虛擬核心授權成本。 若要深入瞭解,請檢閱 免授權DR權益

進階安全性與合規性

SQL 受控執行個體隨附 Azure 平台和 SQL Server 資料庫引擎所提供的進階安全性功能。

安全性隔離

SQL 受控執行個體提供額外的安全性隔離,可與 Azure 平台中的其他租用戶隔離。 安全性隔離包括:

  • 實作原生虛擬網路和使用 Azure ExpressRoute 或 VPN 閘道與內部部署環境連線。
  • 在預設部署中,SQL 端點只會透過私人 IP 位址公開,並允許來自私人 Azure 或混合式網路的安全連線。
  • 單一租用戶具有專用的基礎結構 (計算、儲存體)。

下圖概述您應用程式的各種連線選項:

High availability

如需深入了解子網路層級的 VNet 整合和網路原則強制施行,請參閱受控執行個體的 VNet 架構將應用程式連線到受控執行個體

重要

將多個受控執行個體放在相同子網路中 (如果您的安全性需求允許的話),因為這會帶來額外的好處。 在相同子網中共置實例可大幅簡化網路基礎結構維護並減少實例布建時間,因為長時間布建持續時間與在子網中部署第一個受控實例的成本相關聯。

安全性功能

Azure SQL 受控執行個體提供一組可用來保護資料的進階安全性功能。

  • SQL 受控執行個體稽核會追蹤資料庫事件並將事件寫入您 Azure 儲存體帳戶中的稽核記錄檔。 稽核可協助您保持法規遵循、了解資料庫活動,以及深入了解可指出商務考量或疑似安全違規的不一致和異常。
  • 移動中的數據加密 - SQL 受管理執行個體 使用傳輸層安全性提供移動中數據的加密來保護您的數據。 除了 TLS 之外,SQL 受管理執行個體 還提供使用 Always Encrypted 進行查詢處理期間,保護即時、待用和敏感數據。 Always Encrypted 提供數據安全性,以防止涉及竊取重要數據的缺口。 例如,使用 Always Encrypted 時,信用卡號碼一律會以加密方式儲存在資料庫中,即使在查詢處理期間,也允許經過授權的員工或需要處理該數據的應用程式使用時進行解密。
  • 進階威脅防護會提供服務內建的額外安全情報層,此情報層可偵測到不尋常且有危害的資料庫存取或攻擊動作,藉此補充稽核的不足之處。 您收到可疑活動、潛在弱點和 SQL 插入式攻擊,以及異常數據庫存取模式的警示。 您可以從適用於雲端的 Microsoft Defender 檢視進階威脅防護警示。 它們提供可疑活動的詳細數據,並建議採取動作來調查和減輕威脅。
  • 動態數據遮罩 會藉由將敏感數據遮罩給非特殊許可權的使用者來限制敏感數據暴露。 動態資料遮罩可讓您在應用程式層級受到最小影響的情況下指定要顯示多少敏感性資料,而協助防止未經授權者存取敏感性資料。 這是一項原則式安全性功能,會在查詢的結果集中隱藏敏感數據,而資料庫中的數據則保持不變。
  • 資料列層級安全性 (RLS) 讓您能夠根據執行查詢之使用者的特性 (例如,依群組成員資格或執行內容) 來控制資料庫資料表中的資料列存取。 RLS 可簡化應用程式中安全性的設計和編碼。 RLS 可讓您實作資料的資料列存取限制。 例如,確保背景工作角色只能存取與其部門相關的數據列,或只限制相關用戶的數據存取。
  • 透明數據加密 (TDE) 會加密 SQL 受管理執行個體 數據檔,稱為加密待用數據。 TDE 會執行數據和記錄檔的即時 I/O 加密和解密。 加密會使用資料庫加密金鑰 (DEK),此金鑰會儲存在資料庫開機記錄中,以在復原期間提供可用性。 您可以使用透明資料加密來保護受控執行個體中的所有資料庫。 TDE 經過實證的 SQL Server 待用加密技術,這是許多合規性標準所需的技術,可防範儲存媒體遭竊。

透過 Azure 資料庫移轉服務或原生還原,可支援將加密的資料庫遷移到 SQL 受控執行個體。 如果您打算使用原生還原來遷移加密的資料庫,必須執行將現有 TDE 憑證從 SQL Server 執行個體遷移至 SQL 受控執行個體的步驟。 如需移轉選項的詳細資訊,請參閱將 SQL Server 移轉至 Azure SQL 受控執行個體指南

Microsoft Entra 整合

SQL 受管理執行個體 支援與 Microsoft Entra ID 整合的傳統 SQL Server 資料庫引擎登入和登入(先前稱為 Azure Active Directory)。 Microsoft Entra 伺服器主體 (logins) 是內部部署環境中使用的內部部署資料庫登入的 Azure 雲端版本。 Microsoft Entra 伺服器主體(登入)可讓您將 Microsoft Entra 租使用者中的使用者和群組指定為真正的實例範圍主體,能夠執行任何實例層級作業,包括相同受控實例內的跨資料庫查詢。

SQL 受管理執行個體 可讓您使用 Microsoft Entra 整合集中管理資料庫使用者和其他 Microsoft 服務 的身分識別。 這項功能簡化了權限管理並增強安全性。 Microsoft Entra ID 支援 多重要素驗證 ,以增加數據和應用程式安全性,同時支援單一登錄程式。

引進了新的語法來建立 Microsoft Entra 伺服器主體(登入), FROM EXTERNAL PROVIDER。 如需語法的詳細資訊,請參閱 CREATE LOGIN,並檢閱為 SQL 受管理執行個體 布建 Microsoft Entra 系統管理員一文。

驗證

SQL 受控執行個體驗證是指使用者連線到資料庫時如何證明他們的身分識別。 SQL 受控執行個體支援三種類型的驗證:

  • SQL 驗證:此驗證方法會使用使用者名稱和密碼。
  • Microsoft Entra 驗證:此驗證方法會使用由 Microsoft Entra ID 所管理的身分識別,並且支援受控和整合網域。 盡可能使用 Active Directory 驗證 (整合式安全性)。
  • Microsoft Entra 主體的 Windows 驗證:Microsoft Entra 主體的 Kerberos 驗證可啟用 Azure SQL 受控執行個體 的 Windows 驗證。 受控實例的 Windows 驗證 可讓客戶將現有服務移至雲端,同時維持順暢的用戶體驗,並提供基礎結構現代化的基礎。

授權

授權是指使用者可以在 Azure SQL 受控執行個體的資料庫中執哪些動作,這是由使用者帳戶的資料庫角色成員資格和物件層級權限所控制。 SQL 受管理執行個體 與 SQL Server 2022 具有相同的授權功能。

資料庫移轉

SQL 受控執行個體鎖定的是將大量資料庫從內部部署或 IaaS 資料庫實作移轉的使用者案例。 SQL 受控執行個體支援移轉指南中所討論的數個資料庫移轉選項。 請參閱移轉概觀:將 SQL Server 移轉至 Azure SQL 受控執行個體,以取得詳細資訊。

備份及還原

移轉方法會利用 SQL 備份到 Azure Blob 儲存體。 使用 T-SQL RESTORE 命令,可以將 Azure Blob 儲存體中所儲存的備份直接還原至受控執行個體。

  • 如需示範如何還原 Wide World Importers - 標準資料庫備份檔案的快速入門,請參閱還原備份檔案至受控執行個體。 本快速入門顯示您必須將備份檔案上傳至 Azure Blob 儲存體,並使用共用存取簽章 (SAS) 來保護其安全。
  • 如需從 URL 還原的資訊,請參閱從 URL 原生還原

重要

來自受控執行個體的備份只能還原至其他受控執行個體或 SQL Server 2022。 其無法還原至其他 SQL Server 版本或 Azure SQL Database。

Database Migration Service

Azure 資料庫移轉服務是一個完全受控的服務,能夠從多個資料庫來源無縫移轉到 Azure 資料平台,將停機時間降到最低。 此服務可簡化將現有第三方和 SQL Server 資料庫移至 Azure SQL Database、Azure SQL 受控執行個體與 Azure VM 中的 SQL Server 所需的工作。 請參閱如何使用資料庫移轉服務將內部部署資料庫遷移至 SQL 受控執行個體

受控執行個體 連結會使用分散式可用性群組,以近乎即時的方式擴充裝載於任何地方的 SQL Server 內部部署 Always On 可用性群組,以安全且安全的方式 Azure SQL 受控執行個體。

連結功能有助於從 SQL Server 移轉至 SQL 受管理執行個體,這可啟用:

  • 相較於現今所有其他可用的解決方案,效能最高、停機時間最低的移轉。
  • 任何服務層級中 SQL 受控執行個體的真正線上移轉。

因為連結功能啟用停機時間最短的移轉,因此您可以移轉至受控執行個體,同時維持主要工作負載連線。 雖然目前可以透過其他解決方案將線上移轉至常規用途服務層級,但連結功能是唯一允許線上移轉至業務關鍵層的解決方案。

以程式設計方式識別受控執行個體

下表顯示數個透過 Transact SQL 使用的屬性,可用來檢測出應用程式正在使用 SQL 受控執行個體,並擷取重要的屬性。

屬性 註解
@@VERSION Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation. 此值與 SQL Database 中的相同。 這並非表示 SQL 引擎第 12 版 (SQL Server 2014)。 SQL 受控執行個體一律會執行最新穩定 SQL 引擎版本,其等於或高於 SQL Server 的最新可用 RTM 版本。
SERVERPROPERTY ('Edition') SQL Azure 此值與 SQL Database 中的相同。
SERVERPROPERTY('EngineEdition') 8 此值只會識別出受控執行個體。
@@SERVERNAME, SERVERPROPERTY ('ServerName') 下列格式的完整執行個體 DNS 名稱:<instanceName>.<dnsPrefix>.database.windows.net,其中 <instanceName> 是客戶提供的名稱,而 <dnsPrefix> 是自動產生的部分名稱,確保全域 DNS 名稱是唯一的 (例如,"wcus17662feb9ce98") 範例:my-managed-instance.wcus17662feb9ce98.database.windows.net

後續步驟