수정: 암호화 및 키 생성에 EKM을 사용하는 대용량 고객 워크로드의 데이터베이스 접근성 문제
증상
EKM(확장 가능 키 관리)을 사용하는 대용량 고객 워크로드에는 일시적인 데이터베이스 접근성 문제가 발생할 수 있습니다. 이러한 접근성 문제는 AKV(Azure Key Vault)에 대한 액세스가 필요한 VLF(가상 로그 파일)를 자주 만들거나 회전하기 때문에 발생합니다. 이 생성 또는 회전 중에 AKV 또는 지원 서비스(예: Microsoft Entra ID)에 액세스할 수 없는 경우 VLF의 생성 또는 회전을 수행할 수 없습니다. 또한 데이터베이스 접근성 문제가 발생합니다.
VLF는 트랜잭션 로그 파일이 작거나 트랜잭션 로그의 자동 증가(자동 증가) 증가가 워크로드 트랜잭션의 요구 사항을 앞당길 만큼 충분히 크지 않고 작을 때 자주 만들거나 회전할 수 있습니다. 자세한 내용은 트랜잭션 로그 파일의 크기 관리를 참조하세요.
sys.dm_db_log_info 사용하여 VLLF의 크기 및 생성 빈도를 모니터링할 수 있습니다.
해결 방법
이 문제는 SQL Server 대한 다음 누적 업데이트에서 해결되었습니다.
이 수정은 TF(시작 추적 플래그) 15025를 도입합니다. TF 15025를 사용하여 새로 만든 VLF에 필요한 AKV 액세스를 사용하지 않도록 설정할 수 있으며, 이를 통해 대량의 고객 워크로드가 중단 없이 계속될 수 있습니다. 이 추적 플래그를 사용하도록 설정하면 암호화 및 키 생성에 EKM을 사용하는 SQL Server VLF를 만들거나 회전하는 동안 AKV에 연결되지 않습니다.
AKV의 키가 계속 사용 중이거나 사용하지 않도록 설정해야 하는 경우 검사 데이터베이스에서 다음 작업 중 하나를 수행해야 합니다.
- 데이터베이스 또는 트랜잭션 로그의 백업(모든 유형의 백업)을 수행합니다.
- 암호화된 데이터베이스에 대해 를 실행
DBCC CHECKDB
합니다. - 암호화된 데이터베이스를
OFFLINE
상태로 설정한 다음ONLINE
상태로 설정합니다. - 암호화된 데이터베이스의 데이터베이스 스냅샷 Create.
나열된 작업에서 SQL Server AKV에 연결하고 AKV에 키가 있는 경우 이 작업 중에 키 액세스를 검사.
TF 15025를 사용하도록 설정하더라도 이러한 작업은 여전히 AKV에 도달합니다.
다음 T-SQL(Transact-SQL) 문을 실행하여 데이터베이스에 있는 키의 상태 검사 수 있습니다.
SELECT * FROM sys.dm_database_encryption_keys
SQL Server 대한 누적 업데이트 정보
SQL Server 대한 각각의 새로운 누적 업데이트에는 이전 빌드에 있던 모든 핫픽스 및 보안 수정 사항이 포함되어 있습니다. SQL Server 버전에 대한 최신 빌드를 설치하는 것이 좋습니다.
상태
Microsoft는 "적용 대상" 섹션에 있는 Microsoft 제품에 문제가 있다는 것을 확인했습니다.
참조
- EKM(확장 가능 키 관리)
- 트랜잭션 로그 파일의 크기 관리
- sys.dm_db_log_info(Transact-SQL)
- sys.dm_database_encryption_keys(Transact-SQL)
- ALTER DATABASE SET 옵션(Transact-SQL)
- Microsoft에서 소프트웨어 업데이트를 설명하는 데 사용하는 용어 에 대해 알아봅니다.