Sdílet prostřednictvím


Konfigurace odkazu pomocí skriptů – Azure SQL Managed Instance

Platí pro:Azure SQL Managed Instance

V tomto článku se dozvíte, jak nakonfigurovat propojení mezi SQL Serverem a azure SQL Managed Instance pomocí skriptů Jazyka Transact-SQL a PowerShellu nebo Azure CLI. S odkazem se databáze z vaší počáteční primární repliky replikují do sekundární repliky téměř v reálném čase.

Po vytvoření propojení můžete převzít služby při selhání sekundární repliky za účelem migrace nebo zotavení po havárii.

Poznámka:

Přehled

Pomocí funkce propojení můžete replikovat databáze z počáteční primární do sekundární repliky. Pro SQL Server 2022 může být počáteční primární instance SQL Server nebo Azure SQL Managed Instance. Pro SQL Server 2019 a starší verze musí být počáteční primární server SQL Server. Po nakonfigurování propojení se databáze z počáteční primární repliky replikuje do sekundární repliky.

Můžete se rozhodnout ponechat propojení pro průběžnou replikaci dat v hybridním prostředí mezi primární a sekundární replikou nebo můžete převzít služby při selhání databáze na sekundární repliku, migrovat do Azure nebo pro zotavení po havárii. U SQL Serveru 2019 a starších verzí přeruší převzetí služeb při selhání službou Azure SQL Managed Instance propojení a navrácení služeb po obnovení se nepodporuje. S SQL Serverem 2022 máte možnost udržovat propojení a navrátit služby po obnovení mezi těmito dvěma replikami.

Pokud plánujete používat sekundární spravovanou instanci pouze pro zotavení po havárii, můžete ušetřit náklady na licencování aktivací zvýhodnění hybridního převzetí služeb při selhání.

Pokyny v tomto článku použijte k ručnímu nastavení propojení mezi SQL Serverem a službou Azure SQL Managed Instance. Po vytvoření odkazu získá zdrojová databáze kopii jen pro čtení na cílové sekundární replice.

Tip

Pokud chcete zjednodušit používání skriptů T-SQL se správnými parametry pro vaše prostředí, důrazně doporučujeme použít průvodce propojením spravované instance v sadě SQL Server Management Studio (SSMS) a vygenerovat skript pro vytvoření odkazu. Na stránce Souhrn okna odkazu Nová spravovaná instance vyberte Místo dokončení skript.

Požadavky

K replikaci databází potřebujete následující požadavky:

Zvažte použití těchto zdrojů:

  • Funkce propojení podporuje jednu databázi na odkaz. Pokud chcete replikovat více databází v instanci, vytvořte odkaz pro každou jednotlivou databázi. Pokud chcete například replikovat 10 databází do služby SQL Managed Instance, vytvořte 10 jednotlivých odkazů.
  • Kolace mezi SQL Serverem a spravovanou instancí SQL by měla být stejná. Neshoda v kolaci může způsobit neshodu v názvových osách serveru a zabránit úspěšnému připojení z SQL Serveru ke spravované instanci SQL.
  • Chyba 1475 na počátečním primárním serveru SQL Server indikuje, že je potřeba spustit nový řetěz zálohování vytvořením úplného zálohování bez COPY ONLY možnosti.
  • Pokud chcete vytvořit propojení nebo převzít služby při selhání, musí být spravovaná instance z SQL Managed Instance na SQL Server 2022 nakonfigurovaná pomocí zásad aktualizace SQL Serveru 2022. Replikace dat a převzetí služeb při selhání ze služby SQL Managed Instance na SQL Server 2022 nejsou podporovány instancemi nakonfigurovanými pomocí zásad aktualizace always-up-to-date.
  • I když můžete vytvořit odkaz z SQL Serveru 2022 na spravovanou instanci SQL nakonfigurovanou pomocí zásad aktualizace Always-up-to-date, po převzetí služeb při selhání do SLUŽBY SQL Managed Instance už nebudete moci replikovat data nebo navrátit služby po obnovení zpět na SQL Server 2022.

Oprávnění

Pro SQL Server byste měli mít oprávnění správce systému.

Pro službu Azure SQL Managed Instance byste měli být členem přispěvatele služby SQL Managed Instance nebo mít následující vlastní oprávnění role:

Microsoft.Sql/ prostředek Potřebná oprávnění
Microsoft.Sql/managedInstances /read, /write
Microsoft.Sql/managedInstances/hybridCertificate za akci
Microsoft.Sql/managedInstances/databases /read, /delete, /write, /completeRestore/action, /readBackups/action, /restoreDetails/read
Microsoft.Sql/managedInstances/distributedAvailabilityGroups /read, /write, /delete, /setRole/action
Microsoft.Sql/managedInstances/endpointCertificates /číst
Microsoft.Sql/managedInstances/hybridLink /read, /write, /delete
Microsoft.Sql/managedInstances/serverTrustCertificates /write, /delete, /read

Terminologie a zásady vytváření názvů

Při spouštěnískriptch Následující tabulka vysvětluje, co přesně představují různé názvy a jak získat jejich hodnoty:

Terminologie Popis Jak zjistit
Počáteční primární 1 SQL Server nebo SQL Managed Instance, kde jste původně vytvořili odkaz pro replikaci databáze do sekundární repliky.
Primární replika SQL Server nebo spravovaná instance SQL, která je aktuálně hostitelem primární databáze.
Sekundární replika SQL Server nebo spravovaná instance SQL, která přijímá data replikovaná téměř v reálném čase z aktuální primární repliky.
Název SQL Serveru Krátký jednoslovný název SQL Serveru. Příklad: sqlserver1. Spusťte SELECT @@SERVERNAME z T-SQL.
Plně kvalifikovaný název domény SQL Serveru Plně kvalifikovaný název domény (FQDN) vašeho SQL Serveru Příklad: sqlserver1.domain.com. Pokud používáte virtuální počítač Azure, podívejte se na místní konfiguraci sítě (DNS) nebo název serveru.
Název spravované instance SQL Krátký název jednoslovné spravované instance SQL. Příklad: managedinstance1. Podívejte se na název vaší spravované instance na webu Azure Portal.
Plně kvalifikovaný název domény spravované instance SQL Plně kvalifikovaný název domény (FQDN) vaší spravované instance SQL Příklad: managedinstance1.6d710bcf372b.database.windows.net. Na stránce přehledu služby SQL Managed Instance na webu Azure Portal se podívejte na název hostitele.
Přeložitelný název domény Název DNS, který se dá přeložit na IP adresu. Spuštění by například nslookup sqlserver1.domain.com mělo vrátit IP adresu, například 10.0.0.1. Spusťte nslookup příkaz z příkazového řádku.
IP adresa SQL Serveru IP adresa vašeho SQL Serveru. V případě několika IP adres na SQL Serveru zvolte IP adresu, která je přístupná z Azure. Spusťte ipconfig příkaz z příkazového řádku hostitelského operačního systému, na kterém běží SQL Server.

1 Konfigurace služby Azure SQL Managed Instance jako počáteční primární instance se podporuje od SQL Serveru 2022 CU10.

Nastavení obnovení a zálohování databáze

Pokud je SQL Server vaším počátečním primárním serverem, pak databáze, které se budou replikovat přes propojení, musí být v úplném modelu obnovení a musí mít aspoň jednu zálohu. Vzhledem k tomu, že Služba Azure SQL Managed Instance provádí zálohování automaticky, přeskočte tento krok, pokud je sql Managed Instance vaší počáteční primární instancí.

Na SQL Serveru spusťte následující kód pro všechny databáze, které chcete replikovat. Nahraďte <DatabaseName> skutečným názvem databáze.

-- Run on SQL Server
-- Set full recovery model for all databases you want to replicate.
ALTER DATABASE [<DatabaseName>] SET RECOVERY FULL
GO

-- Execute backup for all databases you want to replicate.
BACKUP DATABASE [<DatabaseName>] TO DISK = N'<DiskPath>'
GO

Další informace naleznete v tématu Vytvoření úplné zálohy databáze.

Poznámka:

Propojení podporuje pouze replikaci uživatelských databází. Replikace systémových databází není podporována. Pokud chcete replikovat objekty na úrovni instance (uložené v master databázích nebo msdb v databázích), doporučujeme je skriptovat a spouštět skripty T-SQL v cílové instanci.

Navázání vztahu důvěryhodnosti mezi instancemi

Nejprve musíte mezi těmito dvěma instancemi navázat vztah důvěryhodnosti a zabezpečit koncové body používané ke komunikaci a šifrování dat v síti. Distribuované skupiny dostupnosti používají existující koncový bod zrcadlení databáze skupiny dostupnosti místo vlastního vyhrazeného koncového bodu. Zabezpečení a vztah důvěryhodnosti je proto potřeba nakonfigurovat mezi těmito dvěma instancemi prostřednictvím koncového bodu zrcadlení databáze skupiny dostupnosti.

Poznámka:

Odkaz je založený na technologii skupiny dostupnosti AlwaysOn. Koncový bod zrcadlení databáze je koncový bod pro zvláštní účely, který používá výhradně skupiny dostupnosti k příjmu připojení z jiných instancí. Koncový bod zrcadlení databáze by neměl být chybný se starší funkcí zrcadlení databáze SQL Serveru.

Důvěryhodnost založená na certifikátech je jediným podporovaným způsobem zabezpečení koncových bodů zrcadlení databáze pro SQL Server a spravovanou instanci SQL. Pokud máte existující skupiny dostupnosti, které používají ověřování systému Windows, musíte do existujícího koncového bodu zrcadlení přidat vztah důvěryhodnosti založené na certifikátech jako sekundární možnost ověřování. Můžete to provést pomocí ALTER ENDPOINT příkazu, jak je znázorněno dále v tomto článku.

Důležité

Certifikáty se generují s datem a časem vypršení platnosti. Před vypršením jejich platnosti je nutné je obnovit a otočit.

Následující seznam obsahuje přehled procesu zabezpečení koncových bodů zrcadlení databáze pro SQL Server i spravovanou instanci SQL:

  1. Vygenerujte certifikát na SQL Serveru a získejte jeho veřejný klíč.
  2. Získejte veřejný klíč certifikátu služby SQL Managed Instance.
  3. Vyměňte veřejné klíče mezi SQL Serverem a spravovanou instancí SQL.
  4. Import klíčů kořenové autority důvěryhodných kořenových certifikátů Azure do SQL Serveru

Následující části podrobně popisují tyto kroky.

Vytvoření certifikátu na SQL Serveru a import jeho veřejného klíče do služby SQL Managed Instance

Nejprve vytvořte hlavní klíč databáze v master databázi, pokud ještě není k dispozici. Místo následujícího skriptu vložte heslo <strong_password> a uchovávejte ho na důvěrném a bezpečném místě. Spusťte tento skript T-SQL na SQL Serveru:

-- Run on SQL Server
-- Create a master key encryption password
-- Keep the password confidential and in a secure place
USE MASTER
IF NOT EXISTS (SELECT * FROM sys.symmetric_keys WHERE symmetric_key_id = 101)
BEGIN
    PRINT 'Creating master key.' + CHAR(13) + 'Keep the password confidential and in a secure place.'
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong_password>'
END
ELSE
    PRINT 'Master key already exists.'
GO

Potom vygenerujte ověřovací certifikát na SQL Serveru. V následujícím skriptu nahraďte:

  • @cert_expiry_date s požadovaným datem vypršení platnosti certifikátu (budoucí datum).

Poznamenejte si toto datum a nastavte připomenutí, že chcete otočit (aktualizovat) certifikát SQL Serveru před datem vypršení platnosti, aby se zajistilo průběžné fungování odkazu.

Důležité

Důrazně doporučujeme použít automaticky vygenerovaný název certifikátu z tohoto skriptu. Při přizpůsobení vlastního názvu certifikátu na SQL Serveru by název neměl obsahovat žádné \ znaky.

-- Create the SQL Server certificate for the instance link
USE MASTER

-- Customize SQL Server certificate expiration date by adjusting the date below
DECLARE @cert_expiry_date AS varchar(max)='03/30/2025'

-- Build the query to generate the certificate
DECLARE @sqlserver_certificate_name NVARCHAR(MAX) = N'Cert_' + @@servername  + N'_endpoint'
DECLARE @sqlserver_certificate_subject NVARCHAR(MAX) = N'Certificate for ' + @sqlserver_certificate_name
DECLARE @create_sqlserver_certificate_command NVARCHAR(MAX) = N'CREATE CERTIFICATE [' + @sqlserver_certificate_name + '] ' + char (13) +
'    WITH SUBJECT = ''' + @sqlserver_certificate_subject + ''',' + char (13) +
'    EXPIRY_DATE = '''+ @cert_expiry_date + ''''+ char (13)
IF NOT EXISTS (SELECT name from sys.certificates WHERE name = @sqlserver_certificate_name)
BEGIN
    PRINT (@create_sqlserver_certificate_command)
    -- Execute the query to create SQL Server certificate for the instance link
    EXEC sp_executesql @stmt = @create_sqlserver_certificate_command
END
ELSE
    PRINT 'Certificate ' + @sqlserver_certificate_name + ' already exists.'
GO

Potom pomocí následujícího dotazu T-SQL na SQL Serveru ověřte, že se certifikát vytvořil:

-- Run on SQL Server
USE MASTER
GO
SELECT * FROM sys.certificates WHERE pvt_key_encryption_type = 'MK'

Ve výsledcích dotazu uvidíte, že certifikát je zašifrovaný pomocí hlavního klíče.

Teď můžete získat veřejný klíč vygenerovaného certifikátu na SQL Serveru:

-- Run on SQL Server
-- Show the name and the public key of generated SQL Server certificate
USE MASTER
GO
DECLARE @sqlserver_certificate_name NVARCHAR(MAX) = N'Cert_' + @@servername  + N'_endpoint'
DECLARE @PUBLICKEYENC VARBINARY(MAX) = CERTENCODED(CERT_ID(@sqlserver_certificate_name));
SELECT @sqlserver_certificate_name as 'SQLServerCertName'
SELECT @PUBLICKEYENC AS SQLServerPublicKey;

Uložte hodnoty SQLServerCertName výstupu a SQLServerPublicKey z něj, protože je budete potřebovat pro další krok při importu certifikátu.

Nejprve se ujistěte, že jste přihlášeni k Azure a že jste vybrali předplatné, ve kterém je vaše spravovaná instance hostovaná. Výběr správného předplatného je zvlášť důležitý, pokud máte ve svém účtu více než jedno předplatné Azure.

<SubscriptionID> nahraďte ID vašeho předplatného Azure.

# Run in Azure Cloud Shell (select PowerShell console)

# Enter your Azure subscription ID
$SubscriptionID = "<SubscriptionID>"

# Login to Azure and select subscription ID
if ((Get-AzContext ) -eq $null)
{
    echo "Logging to Azure subscription"
    Login-AzAccount
}
Select-AzSubscription -SubscriptionName $SubscriptionID

Pak pomocí rutiny New-AzSqlInstanceServerTrustCertificate PowerShellu nebo az sql mi partner-cert vytvořte příkaz Azure CLI k nahrání veřejného klíče ověřovacího certifikátu z SQL Serveru do Azure, jako je například následující ukázka PowerShellu.

Vyplňte potřebné informace o uživateli, zkopírujte je, vložte a spusťte skript. Nahrazení:

  • <SQLServerPublicKey> s veřejnou částí certifikátu SQL Serveru v binárním formátu, který jste si poznamenali v předchozím kroku. Jedná se o dlouhou řetězcovou hodnotu, která začíná řetězcem 0x.
  • <SQLServerCertName> s názvem certifikátu SQL Serveru, který jste si poznamenali v předchozím kroku.
  • <ManagedInstanceName> s krátkým názvem vaší spravované instance.
# Run in Azure Cloud Shell (select PowerShell console)
# ===============================================================================
# POWERSHELL SCRIPT TO IMPORT SQL SERVER PUBLIC CERTIFICATE TO SQL MANAGED INSTANCE
# ===== Enter user variables here ====

# Enter the name for the server SQLServerCertName certificate – for example, "Cert_sqlserver1_endpoint"
$CertificateName = "<SQLServerCertName>"

# Insert the certificate public key blob that you got from SQL Server – for example, "0x1234567..."
$PublicKeyEncoded = "<SQLServerPublicKey>"

# Enter your managed instance short name – for example, "sqlmi"
$ManagedInstanceName = "<ManagedInstanceName>"

# ==== Do not customize the below cmdlets====

# Find out the resource group name
$ResourceGroup = (Get-AzSqlInstance -InstanceName $ManagedInstanceName).ResourceGroupName

# Upload the public key of the authentication certificate from SQL Server to Azure.
New-AzSqlInstanceServerTrustCertificate -ResourceGroupName $ResourceGroup -InstanceName $ManagedInstanceName -Name $CertificateName -PublicKey $PublicKeyEncoded 

Výsledkem této operace je souhrn nahraného certifikátu SQL Serveru do Azure.

Pokud potřebujete zobrazit všechny certifikáty SQL Serveru nahrané do spravované instance, použijte příkaz Get-AzSqlInstanceServerTrustCertificate PowerShellu nebo az sql mi partner-cert list Azure CLI v Azure Cloud Shellu. Pokud chcete odebrat certifikát SQL Serveru nahraný do spravované instance SQL, použijte příkaz Remove-AzSqlInstanceServerTrustCertificate PowerShellu nebo az sql mi partner-cert delete Azure CLI v Azure Cloud Shellu.

Získání veřejného klíče certifikátu ze spravované instance SQL a jeho import do SQL Serveru

Certifikát pro zabezpečení koncového bodu propojení se automaticky vygeneruje ve službě Azure SQL Managed Instance. Získejte veřejný klíč certifikátu ze služby SQL Managed Instance a importujte ho do SQL Serveru pomocí Rutiny Get-AzSqlInstanceEndpointCertificate PowerShellu nebo az sql mi endpoint-cert zobrazte příkaz Azure CLI, například následující ukázku PowerShellu.

Upozornění

Při použití Azure CLI budete muset při použití v dalších krocích ručně přidat 0x před výstup PublicKey. Veřejný klíč bude například vypadat takto: "0x3082033E30...".

Spusťte následující skript. Nahrazení:

  • <SubscriptionID> s ID vašeho předplatného Azure.
  • <ManagedInstanceName> s krátkým názvem vaší spravované instance.
# Run in Azure Cloud Shell (select PowerShell console)
# ===============================================================================
# POWERSHELL SCRIPT TO EXPORT MANAGED INSTANCE PUBLIC CERTIFICATE
# ===== Enter user variables here ====

# Enter your managed instance short name – for example, "sqlmi"
$ManagedInstanceName = "<ManagedInstanceName>"

# ==== Do not customize the following cmdlet ====

# Find out the resource group name
$ResourceGroup = (Get-AzSqlInstance -InstanceName $ManagedInstanceName).ResourceGroupName

# Fetch the public key of the authentication certificate from Managed Instance. Outputs a binary key in the property PublicKey.
Get-AzSqlInstanceEndpointCertificate -ResourceGroupName $ResourceGroup -InstanceName $ManagedInstanceName -EndpointType "DATABASE_MIRRORING" | out-string   

Zkopírujte celý výstup PublicKey (začíná na 0x) tak, jak ho budete potřebovat v dalším kroku.

Pokud při vkládání veřejného klíče narazíte na problémy s kopírováním, můžete také spustit příkaz EXEC sp_get_endpoint_certificate 4 T-SQL ve spravované instanci a získat jeho veřejný klíč pro koncový bod propojení.

Dále naimportujte získaný veřejný klíč certifikátu zabezpečení spravované instance do SQL Serveru. Spuštěním následujícího dotazu na SQL Serveru vytvořte certifikát koncového bodu MI. Nahrazení:

  • <ManagedInstanceFQDN> plně kvalifikovaným názvem domény spravované instance.
  • <PublicKey> s hodnotou PublicKey získanou v předchozím kroku (z Azure Cloud Shellu počínaje 0x). Nemusíte používat uvozovky.

Důležité

Název certifikátu musí být plně kvalifikovaný název domény spravované instance SQL a neměl by být změněn. Pokud použijete vlastní název, odkaz nebude funkční.

-- Run on SQL Server
USE MASTER
CREATE CERTIFICATE [<ManagedInstanceFQDN>]
FROM BINARY = <PublicKey> 

Import klíčů kořenové autority důvěryhodných kořenových certifikátů Azure do SQL Serveru

Import veřejných kořenových klíčů certifikátů certifikačních autorit Microsoftu a DigiCert do SQL Serveru vyžaduje, aby sql Server důvěřoval certifikátům vydaným Azure pro database.windows.net domény.

Upozornění

Ujistěte se, že veřejný klíč začíná řetězcem 0x. Možná ho budete muset přidat ručně na začátek PublicKey, pokud tam ještě není.

Nejprve naimportujte certifikát kořenové autority PKI microsoftu na SQL Serveru:

-- Run on SQL Server
-- Import Microsoft PKI root-authority certificate (trusted by Azure), if not already present
IF NOT EXISTS (SELECT name FROM sys.certificates WHERE name = N'MicrosoftPKI')
BEGIN
    PRINT 'Creating MicrosoftPKI certificate.'
    CREATE CERTIFICATE [MicrosoftPKI] FROM BINARY = 0x

    --Trust certificates issued by Microsoft PKI root authority for Azure database.windows.net domains
    DECLARE @CERTID int
    SELECT @CERTID = CERT_ID('MicrosoftPKI')
    EXEC sp_certificate_add_issuer @CERTID, N'*.database.windows.net'
END
ELSE
    PRINT 'Certificate MicrosoftPKI already exists.'
GO

Pak importujte certifikát kořenové autority PKI DigiCert na SQL Serveru:

-- Run on SQL Server
-- Import DigiCert PKI root-authority certificate trusted by Azure to SQL Server, if not already present
IF NOT EXISTS (SELECT name FROM sys.certificates WHERE name = N'DigiCertPKI')
BEGIN
    PRINT 'Creating DigiCertPKI certificate.'
    CREATE CERTIFICATE [DigiCertPKI] FROM BINARY = 0x

    --Trust certificates issued by DigiCert PKI root authority for Azure database.windows.net domains
    DECLARE @CERTID int
    SELECT @CERTID = CERT_ID('DigiCertPKI')
    EXEC sp_certificate_add_issuer @CERTID, N'*.database.windows.net'
END
ELSE
    PRINT 'Certificate DigiCertPKI already exists.'
GO

Nakonec pomocí následujícího zobrazení dynamické správy ověřte všechny vytvořené certifikáty:

-- Run on SQL Server
SELECT * FROM sys.certificates

Ověření certifikátu

Po vytvoření certifikátů ověřte, že je certifikát koncového bodu MI správně nakonfigurovaný.

Nejprve určete certificate_id exportovaný certifikát MI nahrazením hodnoty <ManagedInstanceFQDN> a následným spuštěním následujícího dotazu na SQL Server:

-- Run on SQL Server 
USE MASTER 
GO 

SELECT name, subject, certificate_id, start_date, expiry_date 
FROM sys.certificates 
WHERE issuer_name LIKE '%Microsoft Corporation%' AND name = '<ManagedInstanceFQDN>' 
GO 

Potom ověřte certifikát nahrazením hodnoty <certificate_id> z výsledku předchozího dotazu a spuštěním následujícího dotazu na SQL Serveru:

-- Run on SQL Server 

USE MASTER 
GO 

EXEC sp_validate_certificate_ca_chain <certificate_id> 
GO 

Odpověď značí, že se certifikát koncového Commands completed successfully. Completion time: … bodu MI úspěšně ověřil.

Pokud dojde k chybě, odstraňte certifikát a postupujte podle pokynů v části Získání veřejného klíče certifikátu ze spravované instance SQL a jeho importem do části SQL Server certifikát znovu naimportujte.

Pokud chcete certifikát odstranit, spusťte na SQL Serveru následující dotaz:

-- Run on SQL Server 

USE MASTER 
GO 

DROP CERTIFICATE [<ManagedInstanceFQDN>] 
GO 

Zabezpečení koncového bodu zrcadlení databáze

Pokud nemáte existující skupinu dostupnosti nebo koncový bod zrcadlení databáze na SQL Serveru, dalším krokem je vytvoření koncového bodu zrcadlení databáze na SQL Serveru a jeho zabezpečení pomocí dříve vygenerovaného certifikátu SQL Serveru. Pokud máte existující skupinu dostupnosti nebo koncový bod zrcadlení, přejděte do části Alter an existing endpoint (Změnit existující koncový bod ).

Vytvoření a zabezpečení koncového bodu zrcadlení databáze na SQL Serveru

Pokud chcete ověřit, že nemáte vytvořený existující koncový bod zrcadlení databáze, použijte následující skript:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT * FROM sys.database_mirroring_endpoints WHERE type_desc = 'DATABASE_MIRRORING'

Pokud předchozí dotaz nezobrazuje existující koncový bod zrcadlení databáze, spuštěním následujícího skriptu na SQL Serveru získejte název dříve vygenerovaného certifikátu SQL Serveru.

-- Run on SQL Server
-- Show the name and the public key of generated SQL Server certificate
USE MASTER
GO
DECLARE @sqlserver_certificate_name NVARCHAR(MAX) = N'Cert_' + @@servername  + N'_endpoint'
SELECT @sqlserver_certificate_name as 'SQLServerCertName'

Uložte SQLServerCertName z výstupu, protože ho budete potřebovat v dalším kroku.

Pomocí následujícího skriptu vytvořte nový koncový bod zrcadlení databáze na portu <EndpointPort> a zabezpečte koncový bod pomocí certifikátu SQL Serveru. Nahrazení:

  • <SQL_SERVER_CERTIFICATE> s názvem SQLServerCertName získaným v předchozím kroku.
-- Run on SQL Server
-- Create a connection endpoint listener on SQL Server
USE MASTER
CREATE ENDPOINT database_mirroring_endpoint
    STATE=STARTED   
    AS TCP (LISTENER_PORT=<EndpointPort>, LISTENER_IP = ALL)
    FOR DATABASE_MIRRORING (
        ROLE=ALL,
        AUTHENTICATION = CERTIFICATE [<SQL_SERVER_CERTIFICATE>],
        ENCRYPTION = REQUIRED ALGORITHM AES
    )  
GO

Spuštěním následujícího skriptu na SQL Serveru ověřte, že byl vytvořen koncový bod zrcadlení:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT
    name, type_desc, state_desc, role_desc,
    connection_auth_desc, is_encryption_enabled, encryption_algorithm_desc
FROM 
    sys.database_mirroring_endpoints

Úspěšně vytvořený koncový bod state_desc sloupec by měl obsahovat stav STARTED.

Byl vytvořen nový koncový bod zrcadlení s povoleným ověřováním certifikátů a šifrováním AES.

Změna existujícího koncového bodu

Poznámka:

Pokud jste právě vytvořili nový koncový bod zrcadlení, tento krok přeskočte. Tento krok použijte pouze v případě, že používáte existující skupiny dostupnosti s existujícím koncovým bodem zrcadlení databáze.

Pokud pro propojení používáte existující skupiny dostupnosti nebo pokud existuje existující koncový bod zrcadlení databáze, nejprve ověřte, že splňuje následující povinné podmínky pro propojení:

  • Typ musí být DATABASE_MIRRORING.
  • Ověření připojení musí být CERTIFICATE.
  • Musí být povolené šifrování.
  • Šifrovací algoritmus musí být AES.

Spuštěním následujícího dotazu na SQL Serveru zobrazte podrobnosti o existujícím koncovém bodu zrcadlení databáze:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT
    name, type_desc, state_desc, role_desc, connection_auth_desc,
    is_encryption_enabled, encryption_algorithm_desc
FROM
    sys.database_mirroring_endpoints

Pokud výstup ukazuje, že existující DATABASE_MIRRORING koncový bod není connection_auth_descnebo CERTIFICATE není encryption_algorithm_desc, je potřeba koncový bod AES změnit tak, aby splňoval požadavky.

Na SQL Serveru se stejný koncový bod zrcadlení databáze používá pro skupiny dostupnosti i distribuované skupiny dostupnosti. Pokud je váš connection_auth_desc koncový bod (ověřování systému Windows) nebo NTLMa potřebujete ověřování Systému Windows pro existující skupinu dostupnosti, je možné koncový bod změnit tak, aby používal více metod ověřování přepnutím možnosti ověřování na KERBEROS.NEGOTIATE CERTIFICATE Tato změna umožňuje stávající skupině dostupnosti používat ověřování systému Windows při ověřování certifikátů pro spravovanou instanci SQL.

Podobně platí, že pokud šifrování nezahrnuje AES a potřebujete šifrování RC4, je možné koncový bod změnit tak, aby používal oba algoritmy. Podrobnosti o možných možnostech pro změnu koncových bodů najdete na stránce dokumentace pro sys.database_mirroring_endpoints.

Následující skript představuje příklad změny existujícího koncového bodu zrcadlení databáze na SQL Serveru. Nahrazení:

  • <YourExistingEndpointName> se stávajícím názvem koncového bodu.
  • <SQLServerCertName> s názvem vygenerovaného certifikátu SQL Serveru (získaného v jednom z předchozích kroků výše).

V závislosti na konkrétní konfiguraci možná budete muset skript dále přizpůsobit. Můžete také použít SELECT * FROM sys.certificates k získání názvu vytvořeného certifikátu na SQL Serveru.

-- Run on SQL Server
-- Alter the existing database mirroring endpoint to use CERTIFICATE for authentication and AES for encryption
USE MASTER
ALTER ENDPOINT [<YourExistingEndpointName>]   
    STATE=STARTED   
    AS TCP (LISTENER_PORT=<EndpointPort>, LISTENER_IP = ALL)
    FOR DATABASE_MIRRORING (
        ROLE=ALL,
        AUTHENTICATION = WINDOWS NEGOTIATE CERTIFICATE [<SQLServerCertName>],
        ENCRYPTION = REQUIRED ALGORITHM AES
    )
GO

Po spuštění dotazu koncového ALTER bodu a nastavení režimu duálního ověřování na Windows a certifikát použijte tento dotaz znovu na SQL Serveru a zobrazte podrobnosti o koncovém bodu zrcadlení databáze:

-- Run on SQL Server
-- View database mirroring endpoints on SQL Server
SELECT
    name, type_desc, state_desc, role_desc, connection_auth_desc,
    is_encryption_enabled, encryption_algorithm_desc
FROM
    sys.database_mirroring_endpoints

Úspěšně jste upravili koncový bod zrcadlení databáze pro propojení služby SQL Managed Instance.

Vytvoření skupiny dostupnosti na SQL Serveru

Pokud nemáte existující skupinu dostupnosti, dalším krokem je vytvoření na SQL Serveru bez ohledu na to, která bude počáteční primární.

Poznámka:

Tuto část přeskočte, pokud už máte existující skupinu dostupnosti.

Příkazy pro vytvoření skupiny dostupnosti se liší, pokud je vaše spravovaná instance SQL primární, která se podporuje jenom od SQL Serveru 2022 CU10.

I když je možné vytvořit více propojení pro stejnou databázi, propojení podporuje pouze replikaci jedné databáze na propojení. Pokud chcete vytvořit více propojení pro stejnou databázi, použijte stejnou skupinu dostupnosti pro všechna propojení, ale pak vytvořte novou distribuovanou skupinu dostupnosti pro každé propojení databáze mezi SQL Serverem a spravovanou instancí SQL.

Pokud je SQL Server vaším počátečním primárním serverem, vytvořte skupinu dostupnosti s následujícími parametry odkazu:

  • Počáteční název primárního serveru
  • Název databáze
  • Režim převzetí služeb při selhání MANUAL
  • Počáteční režim AUTOMATIC

Nejprve zjistěte název SQL Serveru spuštěním následujícího příkazu T-SQL:

-- Run on the initial primary
SELECT @@SERVERNAME AS SQLServerName 

Pak pomocí následujícího skriptu vytvořte skupinu dostupnosti na SQL Serveru. Nahrazení:

  • <AGNameOnSQLServer> s názvem vaší skupiny dostupnosti na SQL Serveru. Odkaz na spravovanou instanci vyžaduje jednu databázi na skupinu dostupnosti. U více databází budete muset vytvořit více skupin dostupnosti. Zvažte pojmenování každé skupiny dostupnosti tak, aby její název odrážel odpovídající databázi , například AG_<db_name>.
  • <DatabaseName> s názvem databáze, kterou chcete replikovat.
  • <SQLServerName> s názvem vaší instance SQL Serveru získanou v předchozím kroku.
  • <SQLServerIP> s IP adresou SQL Serveru. Jako alternativu můžete použít přeložitelný název hostitelského počítače s SQL Serverem, ale musíte se ujistit, že se tento název dá přeložit z virtuální sítě služby SQL Managed Instance.
-- Run on SQL Server
-- Create the primary availability group on SQL Server
USE MASTER
CREATE AVAILABILITY GROUP [<AGNameOnSQLServer>]
WITH (CLUSTER_TYPE = NONE) -- <- Delete this line for SQL Server 2016 only. Leave as-is for all higher versions.
    FOR database [<DatabaseName>]  
    REPLICA ON   
        N'<SQLServerName>' WITH   
            (  
            ENDPOINT_URL = 'TCP://<SQLServerIP>:<EndpointPort>',
            AVAILABILITY_MODE = SYNCHRONOUS_COMMIT,
            FAILOVER_MODE = MANUAL,
            SEEDING_MODE = AUTOMATIC
            );
GO

Důležité

Pro SQL Server 2016 odstraňte WITH (CLUSTER_TYPE = NONE) z výše uvedeného příkazu T-SQL. Ponechte na všech novějších verzích SQL Serveru tak, jak je.

Dále vytvořte distribuovanou skupinu dostupnosti na SQL Serveru. Pokud plánujete vytvořit více odkazů, musíte pro každý odkaz vytvořit distribuovanou skupinu dostupnosti, a to i v případě, že vytváříte více propojení pro stejnou databázi.

Nahraďte následující hodnoty a spuštěním skriptu T-SQL vytvořte distribuovanou skupinu dostupnosti.

  • <DAGName> s názvem vaší distribuované skupiny dostupnosti. Vzhledem k tomu, že pro stejnou databázi můžete nakonfigurovat více propojení vytvořením distribuované skupiny dostupnosti pro každé propojení, zvažte odpovídající pojmenování každé distribuované skupiny dostupnosti , například DAG1_<db_name>. DAG2_<db_name>
  • <AGNameOnSQLServer> s názvem skupiny dostupnosti, kterou jste vytvořili v předchozím kroku.
  • <AGNameOnSQLMI> s názvem vaší skupiny dostupnosti ve službě SQL Managed Instance. Název musí být v SQL MI jedinečný. Zvažte pojmenování každé skupiny dostupnosti tak, aby její název odrážel odpovídající databázi , například AG_<db_name>_MI.
  • <SQLServerIP> s IP adresou SQL Serveru z předchozího kroku. Jako alternativu můžete použít přeložitelný název hostitelského počítače s SQL Serverem, ale ujistěte se, že je tento název přeložitelný z virtuální sítě služby SQL Managed Instance (která vyžaduje konfiguraci vlastního DNS Azure pro podsíť spravované instance).
  • <ManagedInstanceName> s krátkým názvem vaší spravované instance.
  • <ManagedInstanceFQDN> plně kvalifikovaným názvem domény vaší spravované instance.
-- Run on SQL Server
-- Create a distributed availability group for the availability group and database
-- ManagedInstanceName example: 'sqlmi1'
-- ManagedInstanceFQDN example: 'sqlmi1.73d19f36a420a.database.windows.net'
USE MASTER
CREATE AVAILABILITY GROUP [<DAGName>]
WITH (DISTRIBUTED) 
    AVAILABILITY GROUP ON  
    N'<AGNameOnSQLServer>' WITH 
    (
      LISTENER_URL = 'TCP://<SQLServerIP>:<EndpointPort>',
      AVAILABILITY_MODE = ASYNCHRONOUS_COMMIT,
      FAILOVER_MODE = MANUAL,
      SEEDING_MODE = AUTOMATIC,
      SESSION_TIMEOUT = 20
    ),
    N'<AGNameOnSQLMI>' WITH
    (
      LISTENER_URL = 'tcp://<ManagedInstanceFQDN>:5022;Server=[<ManagedInstanceName>]',
      AVAILABILITY_MODE = ASYNCHRONOUS_COMMIT,
      FAILOVER_MODE = MANUAL,
      SEEDING_MODE = AUTOMATIC
    );
GO

Ověření skupin dostupnosti

Pomocí následujícího skriptu zobrazíte seznam všech skupin dostupnosti a distribuovaných skupin dostupnosti v instanci SQL Serveru. V tuto chvíli musí být connectedstav vaší skupiny dostupnosti a stav distribuovaných skupin dostupnosti musí být disconnected. Stav distribuované skupiny dostupnosti se přesune connected jenom po připojení ke službě SQL Managed Instance.

-- Run on SQL Server
-- This will show that the availability group and distributed availability group have been created on SQL Server.
SELECT * FROM sys.availability_groups

Alternativně můžete použít SSMS Průzkumník objektů k vyhledání skupin dostupnosti a distribuovaných skupin dostupnosti. Rozbalte složku AlwaysOn s vysokou dostupností a potom složku Skupiny dostupnosti.

Nakonec můžete vytvořit odkaz. Příkazy se liší podle toho, která instance je počáteční primární instancí. Pomocí příkazu New-AzSqlInstanceLink PowerShell nebo az sql mi link create Azure CLI vytvořte odkaz, jako je příklad PowerShellu v této části. Vytvoření odkazu z primární instance SQL Managed Instance se v současné době nepodporuje v Azure CLI.

Pokud potřebujete zobrazit všechny odkazy na spravované instanci, použijte rutinu Get-AzSqlInstanceLink PowerShell nebo az sql mi link show Azure CLI v Azure Cloud Shellu.

Pokud chcete tento proces zjednodušit, přihlaste se k webu Azure Portal a spusťte následující skript z Azure Cloud Shellu. Nahrazení:

  • <ManagedInstanceName> s krátkým názvem vaší spravované instance.
  • <AGNameOnSQLServer> s názvem skupiny dostupnosti vytvořené na SQL Serveru.
  • <AGNameOnSQLMI> s názvem skupiny dostupnosti vytvořené ve službě SQL Managed Instance.
  • <DAGName> s názvem distribuované skupiny dostupnosti vytvořené na SQL Serveru.
  • <DatabaseName> s databází replikovanou ve skupině dostupnosti na SQL Serveru.
  • <SQLServerIP> s IP adresou vašeho SQL Serveru. Zadanou IP adresu musí být přístupná spravovanou instancí.

Poznámka:

Pokud chcete vytvořit odkaz na skupinu dostupnosti, která již existuje, zadejte IP adresu naslouchacího procesu při zadávání parametru <SQLServerIP> . Ujistěte se, že mezi všemi uzly skupiny dostupnosti a službou SQL Managed Instance byla vytvořena důvěryhodnost (viz Navázání vztahu důvěryhodnosti mezi instancemi oddílu).

#  Run in Azure Cloud Shell (select PowerShell console)
# =============================================================================
# POWERSHELL SCRIPT TO CREATE MANAGED INSTANCE LINK
# Instructs Managed Instance to join distributed availability group on SQL Server
# ===== Enter user variables here ====

# Enter your managed instance name – for example, "sqlmi1"
$ManagedInstanceName = "<ManagedInstanceName>"

# Enter the availability group name that was created on SQL Server
$AGNameOnSQLServer = "<AGNameOnSQLServer>"

# Enter the availability group name that was created on SQL Managed Instance
$AGNameOnSQLMI = "<AGNameOnSQLMI>"

# Enter the distributed availability group name that was created on SQL Server
$DAGName = "<DAGName>"

# Enter the database name that was placed in the availability group for replication
$DatabaseName = "<DatabaseName>"

# Enter the SQL Server IP
$SQLServerIP = "<SQLServerIP>"

# ==== Do not customize the following cmdlet ====

# Find out the resource group name
$ResourceGroup = (Get-AzSqlInstance -InstanceName $ManagedInstanceName).ResourceGroupName

# Build properly formatted connection endpoint
$SourceIP = "TCP://" + $SQLServerIP + ":<EndpointPort>"

# Create link on managed instance. Join distributed availability group on SQL Server.
New-AzSqlInstanceLink -ResourceGroupName $ResourceGroup -InstanceName $ManagedInstanceName -Name $DAGName |
-PartnerAvailabilityGroupName $AGNameOnSQLServer -InstanceAvailabilityGroupName $AGNameOnSQLMI |
-Database @($DatabaseName) -PartnerEndpoint $SourceIP -InstanceLinkRole Secondary

Výsledkem této operace je časové razítko úspěšného spuštění žádosti o vytvoření odkazu .

Pokud chcete ověřit připojení mezi spravovanou instancí SQL a SQL Serverem, spusťte na SQL Serveru následující dotaz. Připojení nebude okamžité. Zobrazení úspěšného připojení může trvat až minutu. Obnovte zobrazení dynamické správy, dokud se připojení nezobrazí jako PŘIPOJENÉ pro repliku spravované instance SQL.

-- Run on SQL Server
SELECT
    r.replica_server_name AS [Replica],
    r.endpoint_url AS [Endpoint],
    rs.connected_state_desc AS [Connected state],
    rs.last_connect_error_description AS [Last connection error],
    rs.last_connect_error_number AS [Last connection error No],
    rs.last_connect_error_timestamp AS [Last error timestamp]
FROM
    sys.dm_hadr_availability_replica_states rs
    JOIN sys.availability_replicas r
    ON rs.replica_id = r.replica_id

Po navázání připojení může Průzkumník objektů v nástroji SSMS zpočátku zobrazit replikovanou databázi na sekundární replice ve stavu Obnovení, protože počáteční počáteční fáze počátečního nasazení databáze obnoví úplnou zálohu databáze. Po obnovení databáze musí replikace dohnat dvě databáze do synchronizovaného stavu. Po dokončení počátečního počátečního počátečního seedingu databáze už nebude v obnovení . Počáteční počáteční stav obnovení malých databází může být dostatečně rychlý, abyste v nástroji SSMS neviděli počáteční stav obnovení .

Důležité

  • Propojení nebude fungovat, pokud mezi SQL Serverem a spravovanou instancí SQL neexistuje síťové připojení. Při řešení potíží s připojením k síti postupujte podle kroků v části Testování připojení k síti.
  • Proveďte pravidelné zálohy souboru protokolu na SQL Serveru. Pokud využité místo protokolu dosáhne 100 procent, replikace do služby SQL Managed Instance se zastaví, dokud se nezmenší využití místa. Důrazně doporučujeme automatizovat zálohování protokolů nastavením každodenní úlohy. Podrobnosti najdete v tématu Zálohování souborů protokolu na SQL Serveru.

Vytvoření zálohy prvního transakčního protokolu

Pokud je SQL Server vaším počátečním primárním serverem, je důležité po dokončení počátečního počátečního zazálohování provést první zálohu transakčního protokolu na SQL Serveru, pokud už databáze není ve stavu Obnovení... ve službě Azure SQL Managed Instance. Pak pravidelně zálohujte transakční protokoly SQL Serveru, aby se minimalizoval nadměrný růst protokolů, zatímco SQL Server je v primární roli.

Pokud je sql Managed Instance vaším primárním serverem, nemusíte provádět žádnou akci, protože Azure SQL Managed Instance automaticky provádí zálohování protokolů.

Pokud chcete odkaz vypustit, protože už není potřeba, nebo protože je v neopravitelném stavu a je potřeba ho znovu vytvořit, můžete to udělat pomocí PowerShellu a T-SQL.

Nejprve pomocí příkazu Remove-AzSqlInstanceLink PowerShell vložte odkaz, například v následujícím příkladu:

Remove-AzSqlInstanceLink -ResourceGroupName $ResourceGroup -InstanceName $managedInstanceName -Name $DAGName -Force 

Potom na SQL Serveru spusťte následující skript T-SQL, který zahodí distribuovanou skupinu dostupnosti. Nahraďte <DAGName> názvem distribuované skupiny dostupnosti použitou k vytvoření odkazu:

USE MASTER 
GO 

DROP AVAILABILITY GROUP <DAGName>  
GO 

Volitelně můžete skupinu dostupnosti odebrat, pokud už ji nepoužíváte. Uděláte to tak, že nahradíte <AGName> názvem skupiny dostupnosti a pak ji spustíte v příslušné instanci:

DROP AVAILABILITY GROUP <AGName>  
GO 

Odstraňování potíží

Pokud při vytváření odkazu narazíte na chybovou zprávu, přečtěte si chybovou zprávu v okně výstupu dotazu, kde najdete další informace. Pro více informací si prostudujte řešení potíží s odkazem.

Použití odkazu:

Další informace o odkazu:

V případě jiných scénářů replikace a migrace zvažte následující: