다음을 통해 공유


자습서: Azure Data Studio에서 TDE 지원 데이터베이스(미리 보기)를 Azure SQL로 마이그레이션

SQL Server 데이터베이스를 보호하기 위해 보안 시스템 설계, 기밀 자산 암호화 및 방화벽 빌드와 같은 예방 조치를 취할 수 있습니다. 그러나 드라이브 또는 테이프와 같은 미디어를 실제로 도난 당하면 여전히 데이터를 손상할 수 있습니다.

TDE는 인증서로 보호되는 대칭 DEK(데이터베이스 암호화 키)를 사용하여 미사용 데이터(데이터 및 로그 파일)의 실시간 I/O 암호화/암호 해독을 통해 이 문제에 대한 솔루션을 제공합니다. TDE 인증서를 수동으로 마이그레이션하는 방법에 대한 자세한 내용은 TDE 보호 데이터베이스를 다른 SQL Server 이동을 참조하세요.

TDE로 보호되는 데이터베이스를 마이그레이션할 때 DEK(데이터베이스 암호화 키)를 여는 데 사용되는 인증서(비대칭 키)도 원본 데이터베이스와 함께 이동해야 합니다. 따라서 해당 인스턴스서 데이터베이스 파일에 액세스하려면 대상 SQL Server의 master 데이터베이스에 서버 인증서를 다시 만들어야 합니다.

Azure Data Studio용 Azure SQL 마이그레이션 확장을 사용하여 SQL Server의 온-프레미스 인스턴스에서 Azure SQL로 TDE 지원 데이터베이스(미리 보기)를 마이그레이션할 수 있습니다.

TDE 지원 데이터베이스 마이그레이션 프로세스는 DEK(데이터베이스 인증서 키)를 백업하고, 온-프레미스 SQL Server의 인증서 파일을 Azure SQL 대상으로 복사한 다음, 대상 데이터베이스에 대한 TDE를 다시 구성하는 것과 같은 수동 작업을 자동화합니다.

Important

현재는 Azure SQL Managed Instance 대상만 지원됩니다. 암호화된 백업은 지원되지 않습니다.

이 자습서에서는 암호화된 예제 AdventureWorksTDE 데이터베이스를 SQL Server의 온-프레미스 인스턴스에서 Azure SQL 관리되는 인스턴스로 마이그레이션하는 방법을 알아봅니다.

  • Azure Data Studio에서 Azure SQL로 마이그레이션 마법사 열기
  • 원본 SQL Server 데이터베이스의 평가 실행
  • TDE 인증서 마이그레이션 구성
  • Azure SQL 대상에 연결
  • TDE 인증서 마이그레이션을 시작하고 완료까지의 진행 상황 모니터링

필수 조건

자습서를 시작하려면 필요한 것:

  • Azure Data Studio를 다운로드 및 설치합니다.

  • Azure Data Studio Marketplace에서 Azure SQL 마이그레이션 확장을 설치합니다.

  • 관리자 권한으로 Azure Data Studio를 실행합니다.

  • 다음 기본 제공 역할 중 하나에 할당된 Azure 계정이 있습니다.

    • 대상 관리되는 인스턴스의 기여자(및 SMB 네트워크 공유에서 TDE 인증서 파일의 백업을 업로드할 스토리지 계정)
    • 대상 관리되는 인스턴스 또는 Azure Storage 계정을 포함하는 Azure 리소스 그룹에 대한 읽기 권한자 역할
    • Azure 구독에 대한 소유자 또는 기여자 역할(새 DMS 서비스를 만드는 경우 필요).
    • 위 기본 제공 역할을 사용하는 대신 사용자 지정 역할을 할당할 수 있습니다. 자세한 내용은 사용자 지정 역할: ADS를 사용하여 온라인 SQL Server에서 SQL Managed Instance로의 마이그레이션을 참조하세요.
  • Azure SQL Managed Instance의 대상 인스턴스를 만듭니다.

  • SQL Server 원본에 연결하는 데 사용하는 로그인이 sysadmin 서버 역할의 멤버인지 확인합니다.

  • Azure Data Studio에서 TDE 지원 데이터베이스 마이그레이션을 실행하는 컴퓨터는 원본 및 대상 SQL 서버 둘 다에 연결되어야 합니다.

Azure Data Studio에서 Azure SQL로 마이그레이션 마법사 열기

Azure SQL로 마이그레이션 마법사를 시작하려면 다음을 수행합니다.

  1. Azure Data Studio에서 연결로 이동합니다. SQL Server의 온-프레미스 인스턴스에 연결합니다. Azure 가상 머신의 SQL Server에 연결할 수도 있습니다.

  2. 서버 연결을 마우스 오른쪽 단추를 클릭하고 관리를 선택합니다.

    Azure Data Studio의 서버 연결 및 관리 옵션을 보여 주는 스크린샷입니다.

  3. 일반 아래 서버 메뉴에서 Azure SQL 마이그레이션을 선택합니다.

    Azure Data Studio 서버 메뉴를 보여 주는 스크린샷입니다.

  4. Azure SQL 마이그레이션 대시보드에서 Azure SQL로 마이그레이션을 선택하여 마이그레이션 마법사를 엽니다.

    Azure SQL로 마이그레이션 마법사를 여는 방법을 보여 주는 스크린샷입니다.

  5. 마법사의 첫 번째 페이지에서 새 세션을 시작하거나 이전에 저장한 세션을 다시 시작합니다.

데이터베이스 평가 실행

  1. 1단계: 평가할 데이터베이스에서는 Azure SQL로 마이그레이션 마법사에서 평가할 데이터베이스를 선택합니다. 그런 후에 다음을 선택합니다.

    평가에 대한 데이터베이스 선택을 보여 주는 스크린샷입니다.

  2. 2단계: 평가 결과에서 다음 단계를 완료합니다.

    1. Azure SQL 대상 선택에서 Azure SQL Managed Instance를 선택합니다.

      Azure SQL Managed Instance 대상 선택을 보여 주는 스크린샷입니다.

    2. 보기/선택을 선택하여 평가 결과를 봅니다.

      평가 결과 보기/선택을 보여 주는 스크린샷입니다.

    3. 평가 결과에서 데이터베이스를 선택한 다음, 평가 결과를 검토합니다. 이 예제에서는 AdventureWorksTDE 데이터베이스가 TDE(투명한 데이터 암호화)로 보호되는 것을 볼 수 있습니다. 평가 기능은 원본 데이터베이스를 관리되는 인스턴스 대상으로 마이그레이션하기 전에 TDE 인증서를 마이그레이션할 것을 권장합니다.

      평가 결과 보고서를 보여 주는 스크린샷입니다.

    4. 선택을 선택하여 TDE 마이그레이션 구성 패널을 엽니다.

TDE 마이그레이션 설정 구성

  1. 암호화된 데이터베이스 선택 섹션에서 내 인증서 및 프라이빗 키를 대상으로 내보내기를 선택합니다.

    TDE 마이그레이션 구성을 보여 주는 스크린샷입니다.

    정보 상자 섹션에서는 DEK 인증서를 내보내는 데 필요한 권한을 설명합니다.

    SQL Server 서비스 계정에 DEK 인증서를 백업하는 데 사용하는 네트워크 공유 경로에 대한 쓰기 권한이 있는지 확인해야 합니다. 또한 현재 사용자에게는 이 네트워크 경로가 있는 컴퓨터에 대한 관리자 권한이 있어야 합니다.

  2. 네트워크 경로를 입력합니다.

    네트워크 공유에 대한 TDE 마이그레이션 구성을 보여 주는 스크린샷입니다.

    그런 다음 인증서에 액세스하기 위해 내 자격 증명을 사용하는 데 동의합니다.를 확인합니다. 이 작업을 사용하면 데이터베이스 마이그레이션 마법사에서 DEK 인증서를 네트워크 공유에 백업할 수 있습니다.

  3. 마이그레이션 마법사를 원하지 않는 경우 TDE 지원 데이터베이스를 마이그레이션하는 데 도움이 됩니다. Azure Data Studio에서 인증서를 내보내지 않도록 합니다.를 선택하여 이 단계를 건너뜁니다.

    TDE 마이그레이션을 거절하는 방법을 보여 주는 스크린샷입니다.

    Important

    마이그레이션을 계속하기 전에 인증서를 마이그레이션해야 합니다. 그렇지 않으면 마이그레이션이 실패합니다. TDE 인증서를 수동으로 마이그레이션하는 방법에 대한 자세한 내용은 TDE 보호 데이터베이스를 다른 SQL Server 이동을 참조하세요.

  4. TDE 인증 마이그레이션을 계속하려면 적용을 선택합니다.

    TDE 마이그레이션 구성을 적용하는 방법을 보여 주는 스크린샷입니다.

    TDE 마이그레이션 구성 패널이 닫히지만 편집을 선택하여 언제든지 네트워크 공유 구성을 수정할 수 있습니다. 다음을 선택하여 마이그레이션 프로세스를 계속합니다.

    TDE 마이그레이션 구성을 편집하는 방법을 보여 주는 스크린샷입니다.

마이그레이션 설정 구성

Azure SQL로 마이그레이션 마법사의 3단계: Azure SQL 대상에서 대상 관리되는 인스턴스에 대해 다음 단계를 완료합니다.

  1. Azure 계정, Azure 구독, Azure 지역 또는 위치, 관리되는 인스턴스를 포함하는 리소스 그룹을 선택합니다.

    Azure 계정 세부 정보를 보여 주는 스크린샷입니다.

  2. 준비가 되면 인증서 마이그레이션을 선택하여 TDE 인증서 마이그레이션을 시작합니다.

TDE 인증서 마이그레이션 시작 및 모니터링

  1. 3단계: 마이그레이션 상태에서 인증서 마이그레이션 패널이 열립니다. TDE 인증서 마이그레이션 진행률 세부 정보가 화면에 표시됩니다.

    TDE 마이그레이션 프로세스 시작을 보여 주는 스크린샷입니다.

  2. TDE 마이그레이션이 완료되면(또는 오류가 있는 경우) 페이지에 관련 업데이트가 표시됩니다.

    TDE 마이그레이션 프로세스 진행을 보여 주는 스크린샷입니다.

  3. 마이그레이션을 다시 시도해야 하는 경우 마이그레이션 다시 시도를 선택합니다.

    TDE 마이그레이션을 다시 시도하는 방법을 보여 주는 스크린샷입니다.

  4. 준비가 되면 완료를 선택하여 마이그레이션 마법사를 계속 진행합니다.

    TDE 마이그레이션 완료하는 방법을 보여 주는 스크린샷입니다.

  5. 인증서 마이그레이션을 선택하여 각 TDE 인증서에 대한 프로세스를 모니터링할 수 있습니다.

  6. 다음을 선택하여 데이터베이스 마이그레이션을 완료할 때까지 마이그레이션 마법사를 계속합니다.

    데이터베이스 마이그레이션을 계속하는 방법을 보여 주는 스크린샷입니다.

    데이터베이스를 온라인 또는 오프라인으로 Azure SQL Managed Instance 대상으로 마이그레이션하는 방법에 대한 자세한 내용은 다음 단계별 자습서를 확인하세요.

마이그레이션 후 단계

이제 대상 관리되는 인스턴스에 데이터베이스와 해당 인증서를 마이그레이션해야 합니다. 최근에 마이그레이션된 데이터베이스의 현재 상태를 확인하려면 관리되는 인스턴스 대상에 연결된 상태에서 다음 예제를 복사하여 Azure Data Studio의 새 쿼리 창에 붙여넣습니다. 그런 다음, 실행을 선택합니다.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

쿼리는 데이터베이스, 암호화 상태 및 보류 중인 완료율에 대한 정보를 반환합니다. 이 경우 TDE 인증서가 이미 완료되었으므로 완료율은 0입니다.

이 섹션에 제공된 TDE 쿼리에서 반환된 결과를 보여 주는 스크린샷입니다.

SQL Server를 사용한 암호화에 대한 자세한 내용은 TDE(투명한 데이터 암호화)를 참조하세요.

제한 사항

다음 표에서는 Azure SQL 대상별로 TDE 지원 데이터베이스 마이그레이션 지원의 현재 상태를 설명합니다.

대상 지원 상태
Azure SQL Database 아니요
Azure SQL Managed Instance 미리 보기를
Azure VM의 SQL Server 아니요