教學課程：從 Azure SQL 資料庫 設定Microsoft網狀架構鏡像資料庫

Fabric 中的鏡像是企業級、基於雲端的、零ETL的SaaS技術。 在本節中，您將了解如何建立鏡像的 Azure SQL 資料庫，以在 OneLake 中建立 Azure SQL 資料庫資料的唯讀、持續複寫複本。

先決條件

• 建立或使用現有 Azure SQL 資料庫。
  • 來源 Azure SQL 資料庫可以是單一資料庫，也可以是彈性集區中的資料庫。
  • 如果您沒有 Azure SQL 資料庫，請建立新的單一資料庫。 如果您尚未使用 Azure SQL Database 免費優惠，請予以使用。
  • 檢閱 Azure SQL 資料庫的分層和購買模型需求。
  • 作為示範，我們建議您使用您現有資料庫的一個副本，或任何可以快速從備份中恢復的現有測試或開發資料庫。 如果您想要從現有的備份使用資料庫，請參閱從 Azure SQL 資料庫中的備份還原資料庫。
• 您需要 Fabric 的現有容量。 如果您不這麼做， 請啟動 Fabric 試用版。
  • 如果您想要將資料庫鏡像自現有的備份，請參閱在 Azure SQL 資料庫中從備份恢復資料庫。
• Fabric 容量必須啟動且運行。 暫停或刪除的容量會影響鏡射，因此不會複製任何數據。
• 需要網狀架構租用戶設定。 請確定已啟用以下兩個 Fabric 租用戶設定：
  • 服務主體可以使用 Fabric API
  • 使用者可以使用 Fabric 外部的應用程式存取儲存在 OneLake 中的資料
• 當您從 Fabric portal 建立鏡像資料庫時，您必須在工作區中擁有成員或管理員角色。 在建立期間，Azure SQL 伺服器的受控識別會自動獲得鏡像資料庫的「讀取和寫入」許可權。 具有協作者角色的用戶沒有完成此步驟所需的重新共享權限。
• 檢查網狀架構的網路需求以存取您的 Azure SQL Database：如果您的 Azure SQL Database 無法公開存取，且不允許 Azure 服務 連線到該資料庫，您可以 建立虛擬網路數據網關 ，或 安裝內部部署數據網關 來鏡像數據。 請確定 Azure 虛擬網路或閘道機器的網路可以透過 私人端點 連線到 Azure SQL 伺服器，或防火牆規則允許。

啟用受控識別

要將資料發佈到 Fabric OneLake，必須啟用系統指派管理身份（SAMI）或使用者指派管理身份（UAMI），並且必須是你 Azure SQL 邏輯伺服器上的主要身份。

備註

使用者指派管理身份（UAMI）的支援目前處於預覽階段。

啟用 Azure SQL 邏輯伺服器的系統指派的受控識別 (SAMI)

1. 若要設定或驗證 SAMI 是否已啟用，請前往 Azure 入口網站中的邏輯 SQL Server。 在資源功能表的 [安全性] 底下，選取 [身分識別]。
2. 在 [系統指派的受控識別] 下，選取 [狀態] 為 [開啟]。
3. SAMI 必須是主要身分識別。 使用下列 T-SQL 查詢驗證 SAMI 是否是主要身分識別：SELECT * FROM sys.dm_server_managed_identities;

啟用 Azure SQL 邏輯伺服器的使用者指派管理身份（UAMI）（預覽版）

啟動 UAMI 鏡像功能：

當你尚未啟用鏡像且想使用 UAMI 時：

1. 如果尚未存在，請建立新的 UAMI。
2. 若要設定託管身分識別 (UAMI)，請前往 Azure 入口網站中的邏輯 SQL 伺服器。 在資源功能表的 [安全性] 底下，選取 [身分識別]。
3. 在 Azure 入口網站中新增 UAMI 以作為主要身份（在執行 identity_type 時，SELECT * FROM sys.dm_server_managed_identities WHERE is_primary = 1 應該顯示為「User-assigned」）。

當你想要將已啟用 SAMI 鏡像的資料庫切換到 UAMI 時：

1. 如果尚未存在 UAMI，請建立一個新的。
2. 若要設定託管身分識別 (UAMI)，請前往 Azure 入口網站中的邏輯 SQL 伺服器。 在資源功能表的 [安全性] 底下，選取 [身分識別]。
3. 在 Fabric 入口網站中切換到鏡像資料庫項目，並依照以下步驟授予主要 UAMI 的寫入權限：
   • 前往鏡像資料庫項目，選擇三個點「...」並選擇 管理權限。
   • 啟用 UAMI 後，至少 15 分鐘 內不要 放棄舊的主要管理身份權限。
   • 選擇 新增使用者 ，並使用 UAMI 名稱搜尋。 確保 AppID 與 client_id 在 sys.dm_server_managed_identities 中相符。
   • 授予 UAMI 對鏡像資料庫項目的讀寫權限。
4. 在 Azure 入口網站中新增 UAMI 以作為主要身份（在執行 identity_type 時，SELECT * FROM sys.dm_server_managed_identities WHERE is_primary = 1 應該顯示為「User-assigned」）。

Fabric 的資料庫主體

接下來，您需要為 Fabric 服務建立連線至 Azure SQL 資料庫的方式。 基本 （SQL 驗證）、組織帳戶 （Microsoft Entra ID） 和 服務主體名稱 （SPN） 是連線到 Azure SQL 資料庫的支援驗證方法。

您可以使用登入和對應的資料庫使用者來完成此作業。

使用登入帳號和對應的資料庫使用者

備註

Microsoft Entra 伺服器主體（登入）目前為 Azure SQL Database 預覽狀態。 使用 Microsoft Entra ID 驗證之前，請先檢閱 Microsoft Entra 伺服器主體的限制。 使用 Microsoft Entra 登入建立的資料庫使用者在被賦予角色和權限時可能會遇到延遲。

1. 使用 SQL Server Management Studio（SSMS） 或使用搭配 Visual Studio Code 的 mssql 擴充功能 連接到您的 Azure SQL 邏輯伺服器。

2. 連線至 master 資料庫。 建立伺服器登入並指派適當的權限。

   Fabric 登入所需的許可權包括：

   • 使用者資料庫中的下列權限：

     • SELECT
     • 改變任何外部鏡像
     • 檢視資料庫效能狀態
     • 檢視資料庫安全性狀態

   • 建立名為 fabric_login 的 SQL 驗證登入。 您可以為此登入選擇任何名稱。 提供您自己的強式密碼。 在 master 資料庫中執行下列 T-SQL 指令碼：

   CREATE LOGIN [fabric_login] WITH PASSWORD = '<strong password>';
   

   • 或者，以 Microsoft Entra 系統管理員身分登入，並從現有帳戶建立 Microsoft Entra ID 驗證的登入。 在 master 資料庫中執行下列 T-SQL 指令碼：

   CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
   

   • 或者，以 Microsoft Entra 系統管理員身分登入，並從現有帳戶建立服務主體名稱 （SPN） 驗證登入。 在 master 資料庫中執行下列 T-SQL 指令碼：

   CREATE LOGIN [Service Principal Name] FROM EXTERNAL PROVIDER;
   

   • 或者，以 Microsoft Entra 系統管理員身分登入，並建立 Fabric 工作區身分識別的登入。 在 master 資料庫中執行下列 T-SQL 指令碼：

   CREATE LOGIN [Workspace Identity Name] FROM EXTERNAL PROVIDER;
   

3. 連接到將被鏡像的用戶資料庫。 建立連線到登入的資料庫使用者，並授與所需的最低許可權：

   • 針對 SQL 驗證的登入：

   CREATE USER [fabric_user] FOR LOGIN [fabric_login];
   GRANT SELECT, ALTER ANY EXTERNAL MIRROR, VIEW DATABASE PERFORMANCE STATE, VIEW DATABASE SECURITY STATE TO [fabric_user];
   

   • 或者使用Microsoft Entra經過驗證的登入：

   CREATE USER [bob@contoso.com] FOR LOGIN [bob@contoso.com];
   GRANT SELECT, ALTER ANY EXTERNAL MIRROR, VIEW DATABASE PERFORMANCE STATE, VIEW DATABASE SECURITY STATE TO [bob@contoso.com];
   

   • 或者，針對服務主體名稱 （SPN） 登入：

   CREATE USER [Service Principal Name] FOR LOGIN [Service Principal Name];
   GRANT SELECT, ALTER ANY EXTERNAL MIRROR, VIEW DATABASE PERFORMANCE STATE, VIEW DATABASE SECURITY STATE TO [Service Principal Name];
   

   • 或者，針對 Fabric 工作區身分識別 登入：

   CREATE USER [Workspace Identity Name] FOR LOGIN [workspace identity Name];
   GRANT SELECT, ALTER ANY EXTERNAL MIRROR, VIEW DATABASE PERFORMANCE STATE, VIEW DATABASE SECURITY STATE TO [Workspace Identity Name];
   

建立鏡像 Azure SQL 資料庫

1. 開啟 Fabric 入口網站。
2. 使用現有的工作區，或建立新的工作區。
3. 移動至「建立」 窗格。 選取 建立 圖示。
4. 捲動至 [數據倉儲] 區段，然後選取 [鏡像 Azure SQL 資料庫]。 輸入要鏡像的 Azure SQL 資料庫 名稱，然後選取 [建立]。

連線至 Azure SQL 資料庫

若要啟用鏡像，您需要從 Fabric 連線至 Azure SQL 邏輯伺服器，以起始 SQL Database 與 Fabric 之間的連線。 下列步驟會引導您完成建立與 Azure SQL 資料庫連線的流程：

1. 在 [新增來源] 下，選取 [Azure SQL 資料庫]。 或者，從 OneLake 中樞選取現有的 Azure SQL 資料庫 連線。
2. 如果您選取 [新增連線]，請輸入 Azure SQL 資料庫的連線詳細資料。
   • 伺服器：您可以在 [Azure 入口網站] 中瀏覽至 Azure SQL 資料庫 [概觀] 頁面，進而找到 [伺服器名稱]。 例如： server-name.database.windows.net 。
   • 資料庫：輸入您的 Azure SQL 資料庫的名稱。
   • 連線：建立新連線。
   • 連線名稱：提供自動名稱。 您可以變更。
   • 數據閘道： 選取預設 [無] 或您根據案例設定的內部部署數據閘道 /虛擬網路數據閘道的名稱。
   • 驗證類型：選擇您先前為 登入和對應資料庫使用者建立的登入類型。
     • 基本 （SQL 驗證）：指定使用者名稱和密碼。
     • 組織帳戶 (Microsoft Entra ID)
     • 服務主體：指定服務主體的租用戶識別碼、用戶端識別碼和用戶端密碼。
     • 工作區身分識別
3. 選擇 連線。

啟動鏡像程序

1. 依預設，[設定鏡像] 畫面可讓您鏡像資料庫中的所有資料。

   • 鏡像所有資料表示在啟動鏡像後建立的任何新資料表都會被鏡像。

   • (選擇性) 僅選擇要鏡像的特定物件。 停用 [鏡像所有資料] 選項，然後從資料庫選取個別資料表。

   在本教學課程中，我們會選取「鏡像所有資料」 選項。

2. 選取 [鏡像資料庫]。 映射開始。

3. 等候 2-5 分鐘。 然後，選取 監視複寫 以查看狀態。

4. 幾分鐘後，狀態應該會變更為 [執行中]，這表示資料表正在同步處理。 如果您沒有看到資料表和對應的複寫狀態，請等待幾秒鐘，然後重新整理面板。

5. 當他們完成資料表的初始複製時，日期就會在 [上次重新整理] 資料行中顯示。

6. 現在您的資料已啟動並順利運行，Fabric 平台提供各種可用的分析場景。

這很重要

在來源資料庫中建立的任何細微安全性，都必須在 Microsoft Fabric 的鏡像資料庫中重新設定。

監視織體鏡像

設定鏡像後，系統會將您導向至 [鏡像狀態] 頁面。 在此，您可監視複寫的目前狀態。

如需有關複寫狀態的更多信息和細節，請參閱 監控 Fabric 鏡像資料庫複寫。

相關內容

• 同步 Azure SQL 資料庫

• 什麼是 Fabric 中的鏡像？