Tworzenie i konfigurowanie obserwatora bazy danych (wersja zapoznawcza)
Dotyczy:Azure SQL DatabaseAzure SQL Managed Instance
Ten artykuł zawiera szczegółowe kroki tworzenia, konfigurowania i uruchamiania obserwatora bazy danych w witrynie Azure Portal dla usług Azure SQL Database i Azure SQL Managed Instance.
Obserwator bazy danych nie wymaga wdrożenia ani obsługi żadnych agentów monitorowania ani innej infrastruktury monitorowania. Szczegółowe monitorowanie baz danych zasobów usługi Azure SQL można włączyć w ciągu kilku minut.
Aby uzyskać uproszczony przykład krok po kroku dotyczący tworzenia i konfigurowania obserwatora bazy danych, zobacz Szybki start: tworzenie obserwatora bazy danych w celu monitorowania usługi Azure SQL.
Aby zobaczyć, jak utworzyć i skonfigurować obserwatora bazy danych za pomocą szablonu Bicep lub arm, zobacz przykładowy kod tworzenia obserwatora bazy danych.
Aby programowo zarządzać obserwatorami baz danych, zobacz dokumentację interfejsu API REST obserwatora bazy danych.
Uwaga
Obserwator bazy danych jest obecnie w wersji zapoznawczej.
Wymagania wstępne
Aby korzystać z obserwatora bazy danych, wymagane są następujące wymagania wstępne.
Potrzebna będzie aktywna subskrypcja platformy Azure. Jeśli jej nie masz, utwórz bezpłatne konto. Aby móc tworzyć zasoby, musisz być członkiem roli Współautor lub Właściciel subskrypcji lub grupy zasobów.
Aby skonfigurować i uruchomić obserwatora bazy danych, musisz mieć istniejący obiekt docelowy SQL: bazę danych Azure SQL Database, elastyczną pulę lub wystąpienie zarządzane SQL.
- Jeśli nie masz jeszcze utworzonej bazy danych Azure SQL Database, odwiedź stronę Szybki start: tworzenie pojedynczej bazy danych. Poszukaj opcji korzystania z oferty, aby wypróbować usługę Azure SQL Database bezpłatnie (wersja zapoznawcza).
- Alternatywnie wypróbuj usługę Azure SQL Managed Instance bezpłatnie (wersja zapoznawcza).
Dostawcy
Microsoft.DatabaseWatcher
zasobów ,Microsoft.Kusto
iMicrosoft.Network
muszą być zarejestrowani w subskrypcji platformy Azure.- Aby używać uwierzytelniania SQL na potrzeby połączeń z zasobami usługi Azure SQL, należy również zarejestrować dostawcę
Microsoft.KeyVault
zasobów. Zobacz Dodatkowa konfiguracja do korzystania z uwierzytelniania SQL.
Rejestracja dostawcy zasobów jest automatyczna, jeśli masz członkostwo w roli Właściciel lub WspółautorRBAC na poziomie subskrypcji. W przeciwnym razie użytkownik w jednej z tych ról musi zarejestrować dostawców zasobów przed utworzeniem i skonfigurowaniem obserwatora. Aby uzyskać dodatkowe informacje, zobacz Rejestrowanie dostawcy zasobów.
- Aby używać uwierzytelniania SQL na potrzeby połączeń z zasobami usługi Azure SQL, należy również zarejestrować dostawcę
Użytkownik, który tworzy i konfiguruje obserwatora oraz zasoby klastra usługi Azure Data Explorer, musi być członkiem roli Właściciel lub Współautor RBAC dla grupy zasobów lub subskrypcji, w której są tworzone te zasoby.
Ponadto w przypadku korzystania z uwierzytelniania SQL użytkownik musi być członkiem roli Właściciel grupy zasobów lub członkiem roli Właściciel lub Administrator dostępu użytkowników dla magazynu kluczy, który przechowuje poświadczenia uwierzytelniania SQL.
Użytkownik, który konfiguruje obserwatora, musi mieć dostęp administratora do obiektów docelowych usługi Azure SQL. Administrator udziela obserwatorowi ograniczonego, określonego dostępu do obiektów docelowych monitorowania SQL. Aby uzyskać więcej informacji, zobacz Udzielanie dostępu do obiektów docelowych.
Aby udzielić obserwatorowi dostępu do obiektu docelowego SQL, administrator musi wykonać skrypty języka T-SQL przy użyciu programu SQL Server Management Studio (SSMS), narzędzia Azure Data Studio lub programu Visual Studio Code z rozszerzeniem mssql programu SQL Server.
Aby korzystać z usługi Azure Private Link do łączności prywatnej z zasobami platformy Azure, użytkownik zatwierdzający prywatny punkt końcowy musi być członkiem roli RBAC właściciela lub musi mieć wymagane uprawnienia RBAC. Aby uzyskać więcej informacji, zobacz Zatwierdzanie kontroli dostępu opartej na rolach dla prywatnego punktu końcowego.
Tworzenie obserwatora
W witrynie Azure Portal w menu nawigacji wybierz pozycję Wszystkie usługi. Wybierz pozycję Monitoruj jako kategorię, a następnie w obszarze Narzędzia do monitorowania wybierz pozycję Obserwatorzy bazy danych. Alternatywnie możesz wpisać obserwatora bazy danych w polu Wyszukiwania w górnej części strony portalu i wybrać pozycję Obserwatorzy bazy danych.
Po otworzie widoku Obserwatorzy bazy danych wybierz pozycję Utwórz.
Na karcie Podstawowe wybierz subskrypcję i grupę zasobów obserwatora, wprowadź nazwę obserwatora i wybierz region świadczenia usługi Azure.
Napiwek
Jeśli w wersji zapoznawczej obserwator bazy danych nie jest jeszcze dostępny w Twoim regionie, możesz utworzyć go w innym regionie. Aby uzyskać więcej informacji, zobacz Dostępność regionalna.
Na karcie Tożsamość tożsamość zarządzana przypisana przez system obserwatora jest domyślnie włączona. Jeśli chcesz, aby obserwator używał tożsamości zarządzanej przypisanej przez użytkownika, wybierz przycisk Dodaj , znajdź tożsamość, której chcesz użyć, a następnie wybierz przycisk Dodaj . Aby zapewnić skuteczność tożsamości przypisanej przez użytkownika dla obserwatora, wyłącz tożsamość zarządzaną przypisaną przez system.
Aby uzyskać więcej informacji na temat tożsamości zarządzanych w obserwatorze bazy danych, zobacz Modyfikowanie tożsamości obserwatora.
Wybierz magazyn danych dla obserwatora.
Domyślnie tworzenie obserwatora tworzy również klaster usługi Azure Data Explorer i dodaje bazę danych w tym klastrze jako magazyn danych do zbierania danych monitorowania.
Domyślnie nowy klaster usługi Azure Data Explorer używa dodatkowej małej, zoptymalizowanej pod kątem obliczeń jednostki SKU. Jest to najbardziej ekonomiczna jednostka SKU, która nadal zapewnia umowę dotyczącą poziomu usług (SLA). Ten klaster można skalować później zgodnie z potrzebami.
Możesz też użyć bazy danych w istniejącym klastrze usługi Azure Data Explorer, w bezpłatnym klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego.
- Na karcie Magazyn danych wybierz opcję Wybierz magazyn danych, a następnie wybierz pozycję Dodaj.
- Wybierz bazę danych analizy w czasie rzeczywistym lub klaster usługi Azure Data Explorer.
- W przypadku korzystania z istniejącego klastra usługi Azure Data Explorer należy włączyć pozyskiwanie przesyłania strumieniowego.
- Utwórz nową bazę danych lub użyj istniejącej bazy danych.
Uwaga
Dowolna wybrana baza danych musi być pusta lub musi być bazą danych, która była wcześniej używana jako magazyn danych obserwatora bazy danych. Wybranie bazy danych zawierającej obiekty, które nie zostały utworzone przez obserwatora bazy danych, nie jest obsługiwane.
Możesz też pominąć dodawanie magazynu danych i dodać go później. Magazyn danych jest wymagany do uruchomienia obserwatora.
Na karcie Obiekty docelowe SQL dodaj co najmniej jeden zasób usługi Azure SQL do monitorowania. Możesz pominąć dodawanie obiektów docelowych SQL podczas tworzenia obserwatora i dodać je później. Przed uruchomieniem obserwatora należy dodać co najmniej jeden element docelowy.
Na karcie Przeglądanie i tworzenie przejrzyj konfigurację obserwatora i wybierz pozycję Utwórz. Jeśli wybierzesz domyślną opcję utworzenia nowego klastra usługi Azure Data Explorer, wdrożenie zwykle trwa od 15 do 20 minut. Jeśli wybierzesz bazę danych w istniejącym klastrze usługi Azure Data Explorer, w bezpłatnym klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego, wdrożenie zwykle trwa do pięciu minut.
Po zakończeniu wdrażania przyznaj obserwatorowi dostęp do obiektów docelowych SQL.
Może być również konieczne przyznanie obserwatorowi dostępu do magazynu danych.
- Dostęp do bazy danych w nowym lub istniejącym klastrze usługi Azure Data Explorer jest udzielany automatycznie po utworzeniu obserwatora, jeśli użytkownik tworzący obserwator jest członkiem roli RBAC właściciela klastra.
- Jednak w przypadku wybrania bazy danych należy udzielić dostępu do magazynu danych za pomocą polecenia KQL:
- Analiza w czasie rzeczywistym w usłudze Microsoft Fabric.
- Bezpłatny klaster usługi Azure Data Explorer.
Utwórz i zatwierdź zarządzane prywatne punkty końcowe, jeśli chcesz używać łączności prywatnej.
- Jeśli dostęp publiczny do obiektów docelowych SQL, magazyn danych i magazyn kluczy jest włączony i chcesz korzystać z łączności publicznej, upewnij się, że zostały spełnione wszystkie wymagania wstępne dotyczące łączności publicznej.
Uruchamianie i zatrzymywanie obserwatora
Po utworzeniu obserwatora nie jest uruchamiany automatycznie, ponieważ może być wymagana dodatkowa konfiguracja.
Aby uruchomić obserwatora, musi on mieć:
- Magazyn danych.
- Co najmniej jeden cel.
- Dostęp do magazynu danych i obiektów docelowych.
- Dostęp do magazynu kluczy jest również wymagany, jeśli dla dowolnego elementu docelowego wybrano uwierzytelnianie SQL.
-
Prywatna lub publiczna łączność z obiektami docelowymi, magazynem kluczy (w przypadku korzystania z uwierzytelniania SQL) i magazynem danych.
- Aby korzystać z łączności prywatnej, utwórz prywatne punkty końcowe.
Po pełnym skonfigurowaniu obserwatora użyj przycisku Uruchom na stronie Przegląd , aby rozpocząć zbieranie danych. W ciągu kilku minut nowe dane monitorowania są wyświetlane w magazynie danych i na pulpitach nawigacyjnych. Jeśli nie widzisz nowych danych w ciągu pięciu minut, zobacz Rozwiązywanie problemów.
Możesz zatrzymać obserwatora za pomocą przycisku Zatrzymaj , jeśli nie musisz monitorować zasobów usługi Azure SQL przez jakiś czas.
Aby ponownie uruchomić obserwatora, zatrzymaj go, a następnie uruchom go ponownie.
Modyfikowanie obserwatora
W witrynie Azure Portal można dodawać lub usuwać obiekty docelowe, tworzyć lub usuwać prywatne punkty końcowe, używać innego magazynu danych dla istniejącego obserwatora lub modyfikować tożsamość zarządzaną obserwatora.
Uwaga
O ile nie określono inaczej, zmiany wprowadzone w konfiguracji obserwatora staną się skuteczne po zatrzymaniu i ponownym uruchomieniu obserwatora.
Dodawanie obiektów docelowych SQL do obserwatora
Aby włączyć monitorowanie obserwatora bazy danych dla bazy danych Azure SQL Database, elastycznej puli lub wystąpienia zarządzanego SQL, należy dodać ten zasób jako element docelowy SQL.
- Aby dodać element docelowy, na stronie elementy docelowe SQL wybierz pozycję Dodaj.
- Znajdź zasób usługi Azure SQL, który chcesz monitorować. Wybierz typ zasobu i subskrypcję, a następnie wybierz element docelowy SQL z listy zasobów. Obiekt docelowy SQL może znajdować się w dowolnej subskrypcji w ramach tej samej dzierżawy identyfikatora Entra firmy Microsoft co obserwator.
- Aby monitorować replikę podstawową i replikę pomocniczą wysokiej dostępności bazy danych, elastycznej puli lub wystąpienia zarządzanego SQL, dodaj dwa oddzielne obiekty docelowe SQL dla tego samego zasobu i zaznacz pole Intencja odczytu dla jednego z nich. Podobnie utwórz dwa oddzielne obiekty docelowe SQL dla repliki geograficznej i replikę pomocniczą o wysokiej dostępności, jeśli istnieją.
- Zaznaczenie pola Odczyt intencji konfiguruje obiekt docelowy SQL tylko dla repliki pomocniczej o wysokiej dostępności.
- Nie zaznaczaj pola Intencja odczytu, jeśli chcesz monitorować tylko replikę podstawową lub tylko replikę geograficzną lub jeśli replika pomocnicza o wysokiej dostępności nie istnieje dla tego zasobu lub jeśli funkcja skalowania odczytu jest wyłączona.
Domyślnie obserwator bazy danych używa uwierzytelniania firmy Microsoft Entra podczas nawiązywania połączenia z obiektami docelowymi SQL. Jeśli chcesz, aby obserwator używał uwierzytelniania SQL, zaznacz pole Użyj uwierzytelniania SQL i wprowadź wymagane szczegóły. Aby uzyskać więcej informacji, zobacz Dodatkowa konfiguracja do korzystania z uwierzytelniania SQL.
Usuwanie obiektów docelowych SQL z obserwatora
Aby usunąć co najmniej jeden obiekt docelowy, otwórz stronę obiektów docelowych SQL, wybierz elementy docelowe, które chcesz usunąć na liście, a następnie wybierz pozycję Usuń.
Usunięcie obiektu docelowego zatrzymuje monitorowanie zasobu usługi Azure SQL po ponownym uruchomieniu obserwatora, ale nie usuwa rzeczywistego zasobu.
Jeśli usuniesz zasób usługi Azure SQL monitorowany przez obserwatora bazy danych, należy również usunąć odpowiedni element docelowy. Ponieważ istnieje limit liczby obiektów docelowych SQL, które może mieć obserwator, utrzymanie przestarzałych obiektów docelowych może uniemożliwić dodawanie nowych obiektów docelowych.
Tworzenie zarządzanego prywatnego punktu końcowego
Należy utworzyć zarządzane prywatne punkty końcowe , jeśli chcesz używać łączności prywatnej na potrzeby zbierania danych z obiektów docelowych SQL, pozyskiwania do magazynu danych i nawiązywania połączenia z magazynami kluczy. Jeśli nie utworzysz prywatnych punktów końcowych, obserwator bazy danych domyślnie używa łączności publicznej.
Uwaga
Obserwator bazy danych wymaga własnych zarządzanych prywatnych punktów końcowych w celu nawiązania połączenia z zasobami platformy Azure. Żaden prywatny punkt końcowy, który może już istnieć dla serwera logicznego usługi Azure SQL, wystąpienia zarządzanego SQL, klastra usługi Azure Data Explorer lub magazynu kluczy, nie może być używany przez obserwatora.
Aby utworzyć zarządzany prywatny punkt końcowy dla obserwatora:
Jeśli istnieje blokada tylko do odczytu dla zasobu, grupy zasobów lub subskrypcji zasobu, dla którego tworzysz zarządzany prywatny punkt końcowy, usuń blokadę. Blokadę można dodać ponownie po pomyślnym utworzeniu prywatnego punktu końcowego.
Przejdź do obserwatora bazy danych w witrynie Azure Portal, otwórz stronę Zarządzane prywatne punkty końcowe i wybierz pozycję Dodaj.
Wprowadź nazwę prywatnego punktu końcowego.
Wybierz subskrypcję zasobu platformy Azure, dla którego chcesz utworzyć prywatny punkt końcowy.
W zależności od typu zasobu, dla którego chcesz utworzyć prywatny punkt końcowy, wybierz typ zasobu i zasób docelowy w następujący sposób:
Zasób Typ zasobu Docelowy zasób podrzędny Serwer logiczny Microsoft.Sql/servers
sqlServer
Wystąpienie zarządzane SQL Microsoft.Sql/managedInstances
managedInstance
Klaster usługi Azure Data Explorer Microsoft.Kusto/clusters
cluster
Magazyn kluczy Microsoft.KeyVault/vaults
vault
Wybierz zasób, dla którego chcesz utworzyć prywatny punkt końcowy. Może to być serwer logiczny Usługi Azure SQL, wystąpienie zarządzane SQL, klaster usługi Azure Data Explorer lub magazyn kluczy.
- Utworzenie prywatnego punktu końcowego dla serwera logicznego usługi Azure SQL Database umożliwia prywatną łączność obserwatora bazy danych dla wszystkich obiektów docelowych bazy danych i elastycznej puli na tym serwerze.
Opcjonalnie wprowadź opis prywatnego punktu końcowego. Może to pomóc właścicielowi zasobu zatwierdzić żądanie.
Wybierz pozycję Utwórz. Utworzenie prywatnego punktu końcowego może potrwać kilka minut. Prywatny punkt końcowy jest tworzony po zmianie stanu aprowizacji z Zaakceptowane lub Uruchomione na Powodzenie. Odśwież widok, aby wyświetlić bieżący stan aprowizacji.
Ważne
Prywatny punkt końcowy jest tworzony w stanie Oczekiwanie. Aby obserwator bazy danych mógł nawiązać połączenie z zasobem, musi go zatwierdzić właściciel zasobu.
Aby umożliwić właścicielom zasobów kontrolowanie łączności sieciowej, prywatne punkty końcowe obserwatora bazy danych nie są zatwierdzane automatycznie.
Właściciel zasobu musi zatwierdzić żądanie prywatnego punktu końcowego.
- W witrynie Azure Portal właściciel zasobu może wyszukać usługę Private Link , aby otworzyć Centrum usługi Private Link. W obszarze Oczekujące połączenia znajdź utworzony prywatny punkt końcowy, potwierdź jego opis i szczegóły, a następnie wybierz pozycję Zatwierdź.
- Możesz również zatwierdzać żądania prywatnych punktów końcowych przy użyciu interfejsu wiersza polecenia platformy Azure.
Jeśli obserwator jest już uruchomiony po zatwierdzeniu prywatnego punktu końcowego, należy go ponownie uruchomić, aby rozpocząć korzystanie z łączności prywatnej.
Napiwek
Jeśli łączność publiczna klastra klastra usługi Azure Data Explorer jest wyłączona, należy utworzyć dodatkowy prywatny punkt końcowy. Aby uzyskać więcej informacji, zobacz Prywatna łączność z magazynem danych.
Usuwanie zarządzanego prywatnego punktu końcowego
- Jeśli istnieje blokada usuwania lub tylko do odczytu dla zasobu, grupy zasobów lub subskrypcji zasobu, dla którego usuwasz zarządzany prywatny punkt końcowy, usuń blokadę. Blokadę można dodać ponownie po pomyślnym usunięciu prywatnego punktu końcowego.
- Na stronie azure portal dla obserwatora bazy danych otwórz stronę Zarządzane prywatne punkty końcowe .
- Wybierz prywatne punkty końcowe, które chcesz usunąć.
- Wybierz Usuń.
Usunięcie zarządzanego prywatnego punktu końcowego uniemożliwia zbieranie danych z obiektów docelowych SQL korzystających z tego prywatnego punktu końcowego. Usunięcie zarządzanego prywatnego punktu końcowego dla klastra usługi Azure Data Explorer uniemożliwia zbieranie danych dla wszystkich obiektów docelowych. Aby wznowić zbieranie danych, utwórz ponownie prywatny punkt końcowy lub włącz łączność publiczną i uruchom ponownie obserwatora.
Zmienianie magazynu danych dla obserwatora
Obserwator może mieć tylko jeden magazyn danych.
Aby zmienić bieżący magazyn danych, usuń istniejący magazyn danych, a następnie dodaj nowy magazyn danych.
Aby usunąć bieżący magazyn danych, otwórz stronę Magazyn danych, wybierz magazyn danych w siatce i wybierz pozycję Usuń.
- Usunięcie magazynu danych nie powoduje usunięcia rzeczywistej bazy danych magazynu danych w klastrze usługi Azure Data Explorer ani w usłudze Analizy w czasie rzeczywistym w usłudze Microsoft Fabric.
- Aby zatrzymać zbieranie danych do usuniętego magazynu danych, zatrzymaj obserwatora.
- Jeśli usuniesz magazyn danych, musisz dodać nowy magazyn danych, zanim będzie można ponownie uruchomić obserwatora.
Aby dodać magazyn danych, wybierz pozycję Dodaj na stronie Magazyn danych, a następnie wybierz lub utwórz bazę danych w klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego.
- Wybrana baza danych musi być pusta lub musi być bazą danych, która była wcześniej używana jako magazyn danych obserwatora bazy danych. Wybranie bazy danych zawierającej obiekty, które nie zostały utworzone przez obserwatora bazy danych, nie jest obsługiwane.
- Po dodaniu magazynu danych musisz przyznać obserwatorowi dostęp do niego. Aby uzyskać więcej informacji, zobacz Udzielanie dostępu do magazynu danych.
- Po ponownym uruchomieniu obserwatora zacznie korzystać z nowego magazynu danych.
Modyfikowanie tożsamości obserwatora
Obserwator musi mieć tożsamość zarządzaną do uwierzytelniania w obiektach docelowych SQL, magazynach kluczy i magazynie danych. Można użyć przypisanej przez system lub tożsamości zarządzanej przypisanej przez użytkownika. Aby uzyskać więcej informacji na temat tożsamości zarządzanych na platformie Azure, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?
Poniższe zagadnienia pomagają wybrać typ tożsamości zarządzanej dla obserwatora:
Przypisano system
- Domyślnie włączone podczas tworzenia obserwatora.
- Zawsze skojarzone z jednym obserwatorem.
- Utworzono i usunięto za pomocą obserwatora.
- Jeśli wyłączysz tożsamość przypisaną przez system dla obserwatora, wszelkie prawa dostępu przyznane tej tożsamości zostaną utracone. Ponowne włączenie tożsamości przypisanej przez system dla tego samego obserwatora powoduje utworzenie nowej, innej tożsamości z innym identyfikatorem obiektu (podmiotu zabezpieczeń). Musisz udzielić dostępu do obiektów docelowych SQL, magazynu kluczy i magazynu danych do tej nowej tożsamości.
Przypisany użytkownik
- Jest w mocy tylko wtedy, gdy tożsamość przypisana przez system jest wyłączona dla obserwatora.
- Tę samą tożsamość przypisaną przez użytkownika można przypisać do wielu obserwatorów, aby uprościć zarządzanie dostępem, na przykład podczas monitorowania dużych posiadłości usługi Azure SQL. Zamiast udzielać dostępu do tożsamości przypisanych przez system wielu obserwatorów, dostęp można przyznać jednej tożsamości przypisanej przez użytkownika.
- Aby zapewnić rozdzielenie obowiązków, zarządzanie tożsamościami może być oddzielone od zarządzania obserwatorami. Tożsamość przypisana przez użytkownika może zostać utworzona i udzielona przez innego użytkownika przed utworzeniem obserwatora lub po jego utworzeniu.
- Z drugiej strony, gdy obserwator zostanie usunięty, tożsamość przypisana przez użytkownika i jej dostęp pozostają niezmienione. Tej samej tożsamości można następnie użyć dla nowego obserwatora.
- Określanie więcej niż jednej tożsamości przypisanej przez użytkownika dla obserwatora nie jest obsługiwane.
Aby zmodyfikować tożsamość zarządzaną obserwatora, otwórz stronę Tożsamość obserwatora.
Aby użyć tożsamości przypisanej przez system, włącz przełącznik Tożsamość przypisana przez system.
Aby użyć tożsamości przypisanej przez użytkownika, wyłącz przełącznik Tożsamość przypisana przez system. Wybierz przycisk Dodaj, aby znaleźć i dodać istniejącą tożsamość przypisaną przez użytkownika.
Aby utworzyć nową tożsamość przypisaną przez użytkownika, zobacz Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.
Aby usunąć tożsamość przypisaną przez użytkownika z obserwatora, wybierz ją na liście i wybierz pozycję Usuń. Po usunięciu tożsamości przypisanej przez użytkownika należy dodać inną tożsamość przypisaną przez użytkownika lub włączyć tożsamość przypisaną przez system.
Usunięta tożsamość przypisana przez użytkownika nie jest usuwana z dzierżawy Microsoft Entra ID.
Wybierz przycisk Zapisz, aby zapisać zmiany tożsamości. Nie można zapisać zmian tożsamości, jeśli spowoduje to, że obserwator nie ma tożsamości. Obserwatorzy bez prawidłowej tożsamości zarządzanej nie są obsługiwane.
Napiwek
Zalecamy, aby nazwa wyświetlana tożsamości zarządzanej obserwatora jest unikatowa w dzierżawie identyfikatora Entra firmy Microsoft. Podczas tworzenia tożsamości przypisanej przez użytkownika dla obserwatorów można wybrać unikatową nazwę.
Nazwa wyświetlana tożsamości przypisanej przez system jest taka sama jak nazwa obserwatora. Jeśli używasz tożsamości przypisanej przez system, upewnij się, że nazwa obserwatora jest unikatowa w dzierżawie identyfikatora Entra firmy Microsoft.
Jeśli nazwa wyświetlana tożsamości zarządzanej nie jest unikatowa, skrypt języka T-SQL w celu udzielenia obserwatorowi dostępu do obiektów docelowych SQL kończy się niepowodzeniem z powodu zduplikowanego błędu nazwy wyświetlanej. Aby uzyskać więcej informacji i obejść ten problem, zobacz Microsoft Entra logins and users with nonunique display names (Identyfikatory logowania i użytkownicy firmy Microsoft z nazwami wyświetlanymi bez nazwy).
Wkrótce po zapisaniu zmian tożsamości obserwator ponownie łączy się z obiektami docelowymi SQL, magazynami kluczy (jeśli jest używany) i magazynem danych przy użyciu bieżącej tożsamości zarządzanej.
Usuwanie obserwatora
W przypadku usunięcia lub blokady tylko do odczytu obserwatora, jej grupy zasobów lub subskrypcji usuń blokadę. Podobnie, jeśli istnieje blokada zasobu, grupy zasobów lub subskrypcji zasobu, dla którego utworzono zarządzany prywatny punkt końcowy, usuń blokadę. Blokady można dodać ponownie po pomyślnym usunięciu obserwatora.
Po usunięciu obserwatora, który ma włączoną tożsamość zarządzaną przypisaną przez system, tożsamość zostanie również usunięta. Spowoduje to usunięcie wszelkich udzielonych dostępu do tej tożsamości. Jeśli utworzysz ponownie obserwatora później, musisz udzielić dostępu do przypisanej przez system tożsamości zarządzanej nowego obserwatora w celu uwierzytelnienia w każdym zasobie. Obejmuje to:
- Docelowe elementy
- Magazyn danych
- Magazyn kluczy (jeśli jest używany)
Musisz udzielić dostępu do ponownie utworzonego obserwatora, nawet jeśli używasz tej samej nazwy obserwatora.
Po usunięciu obserwatora zasoby platformy Azure, do których odwołuje się jej obiekty docelowe SQL, a magazyn danych nie zostaną usunięte. Zebrane dane monitorowania SQL są przechowywane w magazynie danych i można użyć tej samej bazy danych usługi Azure Data Explorer lub analizy w czasie rzeczywistym co magazyn danych, jeśli utworzysz nowy obserwator później.
Udzielanie dostępu do obiektów docelowych SQL
Aby umożliwić obserwatorowi zbieranie danych monitorowania SQL, należy wykonać skrypt języka T-SQL, który przyznaje obserwatorowi określone, ograniczone uprawnienia SQL.
Aby wykonać skrypt w usłudze Azure SQL Database, musisz mieć dostęp administratora serwera do serwera logicznego zawierającego bazy danych i elastyczne pule, które chcesz monitorować.
- W usłudze Azure SQL Database musisz wykonać skrypt tylko raz na serwer logiczny dla każdego tworzonego obserwatora. Dzięki temu obserwator ma dostęp do wszystkich istniejących i nowych baz danych i elastycznych pul na tym serwerze.
Aby wykonać skrypt w usłudze Azure SQL Managed Instance, musisz być członkiem
sysadmin
roli serwera lubsecurityadmin
miećCONTROL
uprawnienie serwera w wystąpieniu zarządzanym SQL.- W usłudze Azure SQL Managed Instance należy wykonać skrypt w każdym wystąpieniu, które chcesz monitorować.
Przejdź do obserwatora w witrynie Azure Portal, wybierz pozycję Obiekty docelowe SQL, wybierz jeden z linków Udzielanie dostępu , aby otworzyć skrypt języka T-SQL i skopiować skrypt. Upewnij się, że wybrano prawidłowy link dla typu docelowego i typu uwierzytelniania, którego chcesz użyć.
Ważne
Skrypt uwierzytelniania Entra firmy Microsoft w witrynie Azure Portal jest specyficzny dla obserwatora, ponieważ zawiera nazwę tożsamości zarządzanej obserwatora. Aby uzyskać ogólną wersję tego skryptu, którą można dostosować dla każdego obserwatora, zobacz Udzielanie dostępu do obiektów docelowych SQL za pomocą skryptów języka T-SQL.
W programie SQL Server Management Studio, Azure Data Studio lub innym narzędziu klienckim SQL otwórz nowe okno zapytania i połącz je
master
z bazą danych na serwerze logicznym Usługi Azure SQL zawierającym element docelowy lubmaster
z bazą danych w docelowym wystąpieniu zarządzanym SQL.Wklej i wykonaj skrypt języka T-SQL, aby udzielić dostępu do obserwatora. Skrypt tworzy identyfikator logowania, którego obserwator użyje do nawiązania połączenia i przyzna określone, ograniczone uprawnienia do zbierania danych monitorowania.
- Jeśli używasz skryptu uwierzytelniania entra firmy Microsoft, a obserwator używa przypisanej przez system tożsamości zarządzanej, obserwator musi być już utworzony podczas wykonywania skryptu. Jeśli obserwator użyje tożsamości zarządzanej przypisanej przez użytkownika, możesz wykonać skrypt przed utworzeniem obserwatora lub po jego utworzeniu.
Podczas wykonywania skryptów dostępu T-SQL, które udzielają dostępu do tożsamości zarządzanej, musisz mieć połączenie z uwierzytelnianiem firmy Microsoft Entra.
Jeśli później dodasz nowe obiekty docelowe do obserwatora, musisz udzielić dostępu do tych obiektów docelowych w podobny sposób, chyba że te obiekty docelowe znajdują się na serwerze logicznym, na którym już udzielono dostępu.
Udzielanie dostępu do obiektów docelowych SQL za pomocą skryptów języka T-SQL
Istnieją różne skrypty dotyczące uwierzytelniania i uwierzytelniania SQL firmy Microsoft oraz obiektów docelowych usługi Azure SQL Database i usługi Azure SQL Managed Instance.
Ważne
Zawsze używaj udostępnionych skryptów, aby udzielić dostępu do obserwatora bazy danych. Udzielanie dostępu w inny sposób może blokować zbieranie danych. Aby uzyskać więcej informacji, zobacz Autoryzacja obserwatora.
Przed wykonaniem skryptu zastąp wszystkie wystąpienia symboli zastępczych, które mogą być obecne w skrypcie, takie jak login-name-placeholder
i password-placeholder
z rzeczywistymi wartościami.
Udzielanie dostępu do uwierzytelnionych obserwatorów firmy Microsoft Entra
Ten skrypt tworzy identyfikator logowania uwierzytelniania firmy Microsoft Entra (wcześniej znany jako Azure Active Directory) na serwerze logicznym w usłudze Azure SQL Database. Identyfikator logowania jest tworzony dla tożsamości zarządzanej obserwatora. Skrypt udziela obserwatorowi niezbędnych i wystarczających uprawnień do zbierania danych monitorowania ze wszystkich baz danych i pul elastycznych na serwerze logicznym.
Jeśli obserwator używa przypisanej przez system tożsamości zarządzanej, musisz użyć nazwy obserwatora jako nazwy logowania. Jeśli obserwator używa tożsamości zarządzanej przypisanej przez użytkownika, musisz użyć nazwy wyświetlanej tożsamości jako nazwy logowania.
Skrypt należy wykonać w master
bazie danych na serwerze logicznym. Musisz zalogować się przy użyciu logowania do uwierzytelniania entra firmy Microsoft, który jest administratorem serwera.
CREATE LOGIN [identity-name-placeholder] FROM EXTERNAL PROVIDER;
ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [identity-name-placeholder];
Udzielanie dostępu do uwierzytelnionych obserwatorów SQL
Dodatkowe kroki są wymagane w przypadku korzystania z uwierzytelniania SQL, zobacz Dodatkowa konfiguracja do korzystania z uwierzytelniania SQL.
Ten skrypt tworzy identyfikator logowania uwierzytelniania SQL na serwerze logicznym w usłudze Azure SQL Database. Przyznaje on identyfikatorowi logowania niezbędne i wystarczające uprawnienia do zbierania danych monitorowania ze wszystkich baz danych i pul elastycznych na tym serwerze logicznym.
Skrypt należy wykonać w master
bazie danych na serwerze logicznym przy użyciu identyfikatora logowania, który jest administratorem serwera logicznego.
CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';
ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];
Dodatkowa konfiguracja do korzystania z uwierzytelniania SQL
Aby bezpiecznie przechowywać poświadczenia uwierzytelniania, korzystanie z uwierzytelniania SQL w obserwatorze bazy danych wymaga dodatkowej konfiguracji.
Napiwek
Aby uzyskać bardziej bezpieczną, prostszą i mniej podatną na błędy konfigurację, zalecamy włączenie uwierzytelniania entra firmy Microsoft dla zasobów usługi Azure SQL i użycie go zamiast uwierzytelniania SQL.
Aby skonfigurować obserwatora bazy danych w celu nawiązania połączenia z obiektem docelowym przy użyciu uwierzytelniania SQL, wykonaj następujące kroki:
Utwórz magazyn w usłudze Azure Key Vault lub zidentyfikuj istniejący magazyn, którego możesz użyć. Magazyn musi używać modelu uprawnień RBAC. Model uprawnień RBAC jest domyślny dla nowych magazynów. Jeśli chcesz użyć istniejącego magazynu, upewnij się, że nie skonfigurowano go do korzystania ze starszego modelu zasad dostępu.
Jeśli chcesz użyć prywatnej łączności z magazynem, utwórz prywatny punkt końcowy na stronie Zarządzane prywatne punkty końcowe . Wybierz
Microsoft.KeyVault/vaults
jako Typ zasobu ivault
jako docelowy zasób podrzędny. Przed uruchomieniem obserwatora upewnij się, że prywatny punkt końcowy jest zatwierdzony.Jeśli chcesz korzystać z łączności publicznej, magazyn musi zezwolić na dostęp publiczny ze wszystkich sieci. Ograniczanie łączności magazynu publicznego z określonymi sieciami nie jest obsługiwane w obserwatorze bazy danych.
Utwórz identyfikator logowania uwierzytelniania SQL na każdym serwerze logicznym usługi Azure SQL lub wystąpieniu zarządzanym, które chcesz monitorować, i przyznaj określone, ograniczone uprawnienia przy użyciu udostępnionych skryptów dostępu. W skrypcie zastąp symbole zastępcze nazwy logowania i hasła rzeczywistymi wartościami. Użyj silnego hasła.
W magazynie utwórz dwa wpisy tajne: wpis tajny dla nazwy logowania i oddzielny wpis tajny dla hasła. Użyj wszelkich prawidłowych nazw jako nazwy wpisu tajnego, a następnie wprowadź nazwę logowania i hasło użyte w skrypcie języka T-SQL jako wartość wpisu tajnego dla każdego wpisu tajnego.
Na przykład nazwy dwóch wpisów tajnych mogą mieć wartość
database-watcher-login-name
idatabase-watcher-password
. Wartości wpisu tajnego to nazwa logowania i silne hasło.Aby utworzyć wpisy tajne, musisz być członkiem roli RBAC oficera wpisów tajnych usługi Key Vault.
Dodaj element docelowy SQL do obserwatora. Podczas dodawania obiektu docelowego zaznacz pole Użyj uwierzytelniania SQL i wybierz magazyn, w którym są przechowywane nazwy logowania i wpisy tajne haseł. Wprowadź nazwy wpisów tajnych dla nazwy logowania i hasła w odpowiednich polach.
Podczas dodawania obiektu docelowego SQL nie należy wprowadzać rzeczywistej nazwy logowania i hasła. Korzystając z wcześniejszego przykładu, należy wprowadzić nazwy wpisów tajnych
database-watcher-login-name
idatabase-watcher-password
.Po dodaniu obiektu docelowego SQL w witrynie Azure Portal tożsamość zarządzana obserwatora ma automatycznie wymagany dostęp do wpisów tajnych magazynu kluczy, jeśli bieżący użytkownik jest członkiem roli Właściciele lub administratorem dostępu użytkownika dla magazynu kluczy. W przeciwnym razie wykonaj następny krok, aby ręcznie udzielić wymaganego dostępu.
Na stronie Kontrola dostępu (IAM) każdego wpisu tajnego dodaj przypisanie roli dla tożsamości zarządzanej obserwatora w roli RBAC użytkownika wpisów tajnych usługi Key Vault. Aby postępować zgodnie z zasadą najniższych uprawnień, dodaj to przypisanie roli dla każdego wpisu tajnego, a nie dla całego magazynu. Strona Kontrola dostępu (IAM) jest wyświetlana tylko wtedy, gdy magazyn jest skonfigurowany do korzystania z modelu uprawnień RBAC .
Jeśli chcesz użyć różnych poświadczeń uwierzytelniania SQL w różnych miejscach docelowych SQL, musisz utworzyć wiele par wpisów tajnych. Możesz użyć tego samego magazynu lub różnych magazynów do przechowywania wpisów tajnych dla każdego obiektu docelowego SQL.
Uwaga
Jeśli zaktualizujesz wartość wpisu tajnego dla nazwy logowania lub hasła w magazynie kluczy podczas działania obserwatora, obserwator ponownie łączy się z obiektami docelowymi przy użyciu nowych poświadczeń uwierzytelniania SQL w ciągu 15 minut. Jeśli chcesz od razu zacząć korzystać z nowych poświadczeń, zatrzymaj i uruchom ponownie obserwatora.
Udzielanie dostępu do magazynu danych
Aby utworzyć schemat bazy danych i zarządzać nim w magazynie danych oraz pozyskiwać dane monitorowania, obserwator bazy danych wymaga członkostwa w roli RBAC administratorów w bazie danych magazynu danych w klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego. Obserwator bazy danych nie wymaga dostępu na poziomie klastra do klastra usługi Azure Data Explorer ani dostępu do innych baz danych, które mogą istnieć w tym samym klastrze.
Jeśli używasz bazy danych w klastrze usługi Azure Data Explorer jako magazynu danych, ten dostęp jest udzielany automatycznie, jeśli jesteś członkiem roli RBAC właściciela klastra. W przeciwnym razie należy udzielić dostępu zgodnie z opisem w tej sekcji.
Jeśli używasz bazy danych w analizie w czasie rzeczywistym lub w bezpłatnym klastrze usługi Azure Data Explorer, musisz udzielić dostępu przy użyciu języka KQL.
Udzielanie dostępu do bazy danych usługi Azure Data Explorer przy użyciu witryny Azure Portal
Za pomocą witryny Azure Portal możesz udzielić dostępu do bazy danych w klastrze usługi Azure Data Explorer:
- W przypadku bazy danych w klastrze usługi Azure Data Explorer w menu zasobów w obszarze Zabezpieczenia i sieć wybierz pozycję Uprawnienia. Nie używaj strony Uprawnienia klastra.
- Wybierz pozycję Dodaj, a następnie wybierz pozycję Administrator.
- Na stronie Nowe podmioty zabezpieczeń wybierz pozycję Aplikacje dla przedsiębiorstw. Jeśli obserwator używa przypisanej przez system tożsamości zarządzanej, wpisz nazwę obserwatora w polu Wyszukaj . Jeśli obserwator używa tożsamości zarządzanej przypisanej przez użytkownika, wpisz nazwę wyświetlaną tej tożsamości w polu Wyszukaj .
- Wybierz aplikację dla przedsiębiorstw dla tożsamości zarządzanej obserwatora.
Udzielanie dostępu do bazy danych usługi Azure Data Explorer przy użyciu języka KQL
Zamiast korzystać z witryny Azure Portal, możesz również udzielić dostępu do bazy danych przy użyciu polecenia KQL. Użyj tej metody, aby udzielić dostępu do bazy danych w analizie czasu rzeczywistego lub w bezpłatnym klastrze usługi Azure Data Explorer.
Nawiąż połączenie z bazą danych w klastrze usługi Azure Data Explorer przy użyciu narzędzia Kusto Explorer lub internetowego interfejsu użytkownika usługi Azure Data Explorer.
W poniższym przykładowym poleceniu KQL zastąp trzy symbole zastępcze, jak wspomniano w tabeli:
.add database [adx-database-name-placeholder] admins ('aadapp=identity-principal-id-placeholder;tenant-primary-domain-placeholder');
Symbol zastępczy Zastąpienie adx-database-name-placeholder
Nazwa bazy danych w klastrze usługi Azure Data Explorer lub w analizie w czasie rzeczywistym. identity-principal-id-placeholder
Wartość identyfikatora podmiotu zabezpieczeń tożsamości zarządzanej (identyfikator GUID) znaleziona na stronie Tożsamość obserwatora. Jeśli tożsamość przypisana przez system jest włączona, użyj jej wartości identyfikatora podmiotu zabezpieczeń. W przeciwnym razie użyj wartości identyfikatora podmiotu zabezpieczeń tożsamości przypisanej przez użytkownika. tenant-primary-domain-placeholder
Nazwa domeny dzierżawy microsoft Entra ID tożsamości zarządzanej obserwatora. Znajdź to na stronie Przegląd identyfikatora entra firmy Microsoft w witrynie Azure Portal. Zamiast domeny podstawowej dzierżawy można również użyć wartości identyfikatora GUID identyfikatora dzierżawy.
Ta część polecenia jest wymagana, jeśli używasz bazy danych w analizie w czasie rzeczywistym lub w bezpłatnym klastrze usługi Azure Data Explorer.
Wartość nazwy domeny lub identyfikatora dzierżawy (i poprzedniego średnika) może zostać pominięta dla bazy danych w klastrze usługi Azure Data Explorer, ponieważ klaster jest zawsze w tej samej dzierżawie identyfikatora Entra firmy Microsoft co tożsamość zarządzana obserwatora.Na przykład:
.add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
Aby uzyskać więcej informacji, zobacz Kusto role-based access control (Kontrola dostępu oparta na rolach w usłudze Kusto).
Udzielanie użytkownikom i grupom dostępu do magazynu danych
Możesz użyć witryny Azure Portal lub polecenia KQL, aby udzielić użytkownikom i grupom dostępu do bazy danych w klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego. Aby udzielić dostępu, musisz być członkiem roli RBAC administratora w bazie danych.
Użyj polecenia KQL, aby udzielić dostępu do bazy danych w bezpłatnym klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego. Aby postępować zgodnie z zasadą najniższych uprawnień, zalecamy, aby domyślnie nie dodawać użytkowników i grup do żadnej roli RBAC innej niż Osoba przeglądająca .
Ważne
Podczas udzielania dostępu do wyświetlania danych zbieranych przez obserwatora bazy danych należy uważnie rozważyć wymagania dotyczące prywatności i zabezpieczeń danych.
Mimo że obserwator bazy danych nie ma możliwości zbierania żadnych danych przechowywanych w tabelach użytkowników w bazach danych SQL, niektóre zestawy danych, takie jak aktywne sesje, metadane indeksu, brakujące indeksy, statystyki środowiska uruchomieniowego zapytań, statystyki oczekiwania zapytań, statystyki sesji i metadane tabeli mogą zawierać potencjalnie poufne dane, takie jak nazwy tabel i indeksów, tekst zapytania, wartości parametrów zapytania, nazwy logowania itp.
Udzielając dostępu do widoku do magazynu danych użytkownikowi, który nie ma dostępu do wyświetlania tych danych w bazie danych SQL, możesz zezwolić im na wyświetlanie poufnych danych, których nie będą mogli zobaczyć w inny sposób.
Udzielanie dostępu do magazynu danych przy użyciu witryny Azure Portal
Za pomocą witryny Azure Portal można udzielić użytkownikom i grupom dostępu do bazy danych w klastrze usługi Azure Data Explorer:
- W przypadku bazy danych w klastrze usługi Azure Data Explorer w menu zasobów w obszarze Zabezpieczenia i sieć wybierz pozycję Uprawnienia. Nie używaj strony Uprawnienia klastra.
- Wybierz pozycję Dodaj, a następnie wybierz pozycję Osoby przeglądające.
- Na stronie Nowe podmioty zabezpieczeń wpisz nazwę użytkownika lub grupy w polu Wyszukaj.
- Wybierz użytkownika lub grupę.
Udzielanie dostępu do magazynu danych przy użyciu języka KQL
Zamiast korzystać z witryny Azure Portal, można również udzielić użytkownikom i grupom dostępu do bazy danych przy użyciu polecenia KQL. Następujące przykładowe polecenia KQL udzielają użytkownikowi dostępu do mary@contoso.com odczytu danych i SQLMonitoringUsers@contoso.com do grupy w dzierżawie microsoft Entra ID z określoną wartością identyfikatora dzierżawy:
.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');
.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');
Aby uzyskać więcej informacji, zobacz Kusto role-based access control (Kontrola dostępu oparta na rolach w usłudze Kusto).
Aby udzielić dostępu do magazynu danych użytkownikom i grupom z innej dzierżawy, należy włączyć uwierzytelnianie między dzierżawami w klastrze usługi Azure Data Explorer. Aby uzyskać więcej informacji, zobacz Zezwalanie na zapytania i polecenia między dzierżawami.
Napiwek
Aby umożliwić udzielanie dostępu użytkownikom i grupom w dzierżawie identyfikatora Entra firmy Microsoft, uwierzytelnianie między dzierżawami jest włączone w analizie czasu rzeczywistego i w bezpłatnych klastrach usługi Azure Data Explorer.
Zarządzanie magazynem danych
W tej sekcji opisano sposób zarządzania magazynem danych monitorowania, w tym skalowaniem, przechowywaniem danych i inną konfiguracją. Zagadnienia dotyczące skalowania klastra w tej sekcji są istotne, jeśli używasz bazy danych w klastrze usługi Azure Data Explorer. Jeśli używasz bazy danych w analizie czasu rzeczywistego w sieci szkieletowej, skalowanie jest zarządzane automatycznie.
Skalowanie klastra usługi Azure Data Explorer
Klaster usługi Azure Data Explorer można skalować zgodnie z potrzebami. Na przykład możesz skalować klaster w dół do dodatkowej małej, jednostki SKU tworzenia i testowania , jeśli umowa dotycząca poziomu usług (SLA) nie jest wymagana, a wydajność zapytań i pozyskiwania danych pozostanie akceptowalna.
W przypadku wielu wdrożeń obserwatora bazy danych domyślna dodatkowa mała, zoptymalizowana pod kątem obliczeń jednostka SKU klastra 2 wystąpień będzie wystarczająca na czas nieokreślony. W niektórych przypadkach w zależności od konfiguracji i zmian obciążenia w czasie może być konieczne skalowanie klastra w celu zapewnienia odpowiedniej wydajności zapytań i utrzymania małego opóźnienia pozyskiwania danych.
Usługa Azure Data Explorer obsługuje skalowanie w pionie i w poziomie klastra. Skalowanie w pionie powoduje zmianę jednostki SKU klastra, która zmienia liczbę procesorów wirtualnych, pamięci i pamięci podręcznej na wystąpienie (węzeł). W przypadku skalowania w poziomie jednostka SKU pozostaje taka sama, ale liczba wystąpień w klastrze jest zwiększana lub zmniejszana.
Jeśli zauważysz co najmniej jeden z następujących objawów, musisz skalować klaster w poziomie lub w górę (w pionie):
- Wydajność zapytań pulpitu nawigacyjnego lub ad hoc staje się zbyt niska.
- Uruchamiasz wiele współbieżnych zapytań w klastrze i obserwujesz błędy ograniczania przepustowości.
- Opóźnienie pozyskiwania danych staje się stale wyższe niż dopuszczalne.
Ogólnie rzecz biorąc, nie trzeba skalować klastra, ponieważ ilość danych w magazynie danych zwiększa się wraz z upływem czasu. Dzieje się tak, ponieważ zapytania pulpitu nawigacyjnego i najczęściej używane zapytania analityczne używają tylko najnowszych danych, które są buforowane w lokalnym magazynie SSD w węzłach klastra.
Jednak w przypadku uruchamiania zapytań analitycznych obejmujących dłuższe zakresy czasu mogą one stać się wolniejsze w miarę wzrostu całkowitej ilości zebranych danych i nie mieszczą się już w lokalnym magazynie SSD. Skalowanie klastra może być konieczne w celu zachowania odpowiedniej wydajności zapytań w tym przypadku.
Jeśli musisz skalować klaster, zalecamy skalowanie go w poziomie w celu zwiększenia liczby wystąpień. Dzięki temu klaster jest dostępny na potrzeby zapytań i pozyskiwania podczas procesu skalowania.
- Możesz włączyć zoptymalizowane autoskalowanie , aby automatycznie zmniejszyć lub zwiększyć liczbę wystąpień w odpowiedzi na zmiany obciążenia lub trendy sezonowe.
Może się okazać, że nawet po skalowaniu klastra w poziomie niektóre zapytania nadal nie działają zgodnie z oczekiwaniami. Może się tak zdarzyć, jeśli wydajność zapytań jest powiązana z zasobami dostępnymi w wystąpieniu (węźle) klastra. W takim przypadku skaluj klaster w górę w pionie.
- Skalowanie klastra w pionie trwa kilka minut. W trakcie tego procesu występuje okres przestoju, który może zatrzymać zbieranie danych przez obserwatora. Jeśli tak się stanie, zatrzymaj i uruchom ponownie obserwatora po zakończeniu operacji skalowania.
Bezpłatny klaster usługi Azure Data Explorer
Bezpłatny klaster usługi Azure Data Explorer ma pewne limity pojemności, w tym limit pojemności magazynu dla oryginalnych nieskompresowanych danych. Nie można skalować bezpłatnego klastra usługi Azure Data Explorer w celu zwiększenia pojemności obliczeniowej lub magazynu. Gdy klaster zbliża się do pojemności magazynu lub znajduje się w pojemności, na stronie bezpłatnego klastra zostanie wyświetlony komunikat ostrzegawczy.
Jeśli osiągniesz pojemność magazynu, nowe dane monitorowania nie są pozyskiwane, ale istniejące dane pozostają dostępne na pulpitach nawigacyjnych obserwatora bazy danych i mogą być analizowane przy użyciu zapytań KQL lub SQL.
Jeśli okaże się, że specyfikacje bezpłatnego klastra nie są wystarczające dla Twoich wymagań, możesz przeprowadzić uaktualnienie do pełnego klastra usługi Azure Data Explorer. Uaktualnienie zachowuje wszystkie zebrane dane.
Aby upewnić się, że obserwator nadal działa po uaktualnieniu, należy wykonać następujące kroki:
- Zatrzymaj obserwatora.
- Wykonaj kroki, aby przeprowadzić aktualizację do pełnego klastra usługi Azure Data Explorer i poczekaj, aż uaktualnienie zostanie zakończone.
- zmień magazynu danych dla obserwatora, wybierając uaktualniony klaster i bazę danych usługi Azure Data Explorer.
- Uruchom obserwatora.
Aby nadal korzystać z bezpłatnego klastra usługi Azure Data Explorer, zarządzaj przechowywaniem danych, aby automatycznie usunąć starsze dane i zwolnić miejsce na nowe dane. Po udostępnieniu miejsca do magazynowania może być konieczne zatrzymanie i ponowne uruchomienie obserwatora w celu wznowienia zbierania danych.
Zarządzanie przechowywaniem danych
Jeśli nie potrzebujesz starszych danych, możesz skonfigurować zasady przechowywania danych tak, aby przeprowadzać automatyczne czyszczenie. Domyślnie przechowywanie danych jest ustawione na 365 dni w nowej bazie danych w klastrze usługi Azure Data Explorer lub w przypadku analiz w czasie rzeczywistym.
- Okres przechowywania danych można zmniejszyć na poziomie bazy danych lub dla poszczególnych tabel w bazie danych.
- Możesz również wydłużyć okres przechowywania, jeśli musisz przechowywać dane monitorowania dłużej niż przez jeden rok. Nie ma górnego limitu okresu przechowywania danych.
- Jeśli skonfigurujesz różne okresy przechowywania danych dla różnych tabel, pulpity nawigacyjne mogą nie działać zgodnie z oczekiwaniami dla starszych zakresów czasu. Może się tak zdarzyć, jeśli dane są nadal obecne w niektórych tabelach, ale są już czyszczone w innych tabelach dla tego samego interwału czasu.
Ilość danych monitorowania SQL pozyskanych w magazynie danych zależy od obciążeń SQL i rozmiaru majątku usługi Azure SQL. Możesz użyć następującego zapytania KQL, aby wyświetlić średnią ilość danych pozyskanych dziennie, oszacować zużycie magazynu w czasie i zarządzać zasadami przechowywania danych.
.show database extents
| summarize OriginalSize = sum(OriginalSize),
CompressedSize = sum(CompressedSize)
by bin(MinCreatedOn, 1d)
| summarize DailyAverageOriginal = format_bytes(avg(OriginalSize)),
DailyAverageCompressed = format_bytes(avg(CompressedSize));
Schemat i dostęp do zmian w magazynie danych obserwatora bazy danych
Z czasem firma Microsoft może wprowadzać nowe zestawy danych obserwatora bazy danych lub rozszerzać istniejące zestawy danych. Oznacza to, że nowe tabele w magazynie danych lub nowe kolumny w istniejących tabelach mogą zostać dodane automatycznie.
Aby to zrobić, bieżąca tożsamość zarządzana obserwatora bazy danych musi być członkiem roli RBAC administratorów w magazynie danych. Odwołanie tego członkostwa w roli lub zastąpienie go członkostwem w dowolnej innej roli RBAC może mieć wpływ na zbieranie danych obserwatora bazy danych i zarządzanie schematem i nie jest obsługiwane.
Podobnie tworzenie nowych obiektów, takich jak tabele, tabele zewnętrzne, zmaterializowane widoki, funkcje itp. w magazynie danych obserwatora bazy danych nie jest obsługiwane. Zapytania między klastrami i między bazami danych umożliwiają wykonywanie zapytań dotyczących danych w magazynie danych z innych klastrów usługi Azure Data Explorer lub z innych baz danych w tym samym klastrze.
Ważne
Jeśli zmienisz dostęp obserwatora bazy danych do jego magazynu danych lub wprowadzisz zmiany schematu lub konfiguracji bazy danych, które mają wpływ na pozyskiwanie danych, może być konieczne zmianę magazynu danych dla tego obserwatora na nową pustą bazę danych i przyznanie obserwatorowi dostępu do tej nowej bazy danych w celu wznowienia zbierania danych i przywrócenie obsługiwanej konfiguracji.
Zatrzymano klastry usługi Azure Data Explorer
Klaster usługi Azure Data Explorer można zatrzymać, na przykład w celu zaoszczędzenia kosztów. Domyślnie klaster usługi Azure Data Explorer utworzony w witrynie Azure Portal jest automatycznie zatrzymywany po kilku dniach braku aktywności. Na przykład może się to zdarzyć, jeśli zatrzymasz obserwatora, który pozysuje dane do jedynej bazy danych w klastrze, i nie uruchamia żadnych zapytań w tej bazie danych.
Jeśli używasz opcji domyślnej, aby utworzyć nowy klaster usługi Azure Data Explorer podczas tworzenia nowego obserwatora, zachowanie automatycznego zatrzymywania jest wyłączone, aby umożliwić nieprzerwane zbieranie danych.
Jeśli klaster zostanie zatrzymany, zbieranie danych obserwatora bazy danych również zostanie zatrzymane. Aby wznowić zbieranie danych, należy uruchomić klaster. Po uruchomieniu klastra uruchom ponownie obserwatora.
Możesz wyłączyć zachowanie automatycznego zatrzymywania, jeśli klaster ma pozostać dostępny nawet wtedy, gdy jest nieaktywny. Może to zwiększyć koszt klastra.
Pozyskiwanie danych za pośrednictwem przesyłania strumieniowego
Obserwator bazy danych wymaga włączenia klastra usługi Azure Data Explorer zawierającego bazę danych magazynu danych. Pozyskiwanie przesyłania strumieniowego jest automatycznie włączone dla nowego klastra usługi Azure Data Explorer utworzonego podczas tworzenia nowego obserwatora. Jest ona również włączona w analizie w czasie rzeczywistym i w bezpłatnym klastrze usługi Azure Data Explorer.
Jeśli chcesz użyć istniejącego klastra usługi Azure Data Explorer, najpierw włącz pozyskiwanie przesyłania strumieniowego. Trwa to kilka minut i uruchamia ponownie klaster.
Prywatna łączność z magazynem danych
Jeśli dostęp publiczny w klastrze usługi Azure Data Explorer jest wyłączony, musisz utworzyć prywatny punkt końcowy w celu nawiązania połączenia z klastrem z przeglądarki i wyświetlić dane monitorowania SQL na pulpitach nawigacyjnych lub wysłać zapytanie bezpośrednio do danych. Ten prywatny punkt końcowy jest dodatkiem do zarządzanego prywatnego punktu końcowego utworzonego, aby umożliwić obserwatorowi pozyskiwanie danych monitorowania do bazy danych w klastrze usługi Azure Data Explorer.
Jeśli łączysz się z klastrem usługi Azure Data Explorer z maszyny wirtualnej platformy Azure, utwórz prywatny punkt końcowy dla klastra usługi Azure Data Explorer w sieci wirtualnej platformy Azure, w której wdrożono maszynę wirtualną platformy Azure.
Jeśli łączysz się z klastrem usługi Azure Data Explorer z maszyny lokalnej, możesz:
- Użyj usługi Azure VPN Gateway lub Azure ExpressRoute , aby nawiązać połączenie prywatne z sieci lokalnej do sieci wirtualnej platformy Azure.
- Utwórz prywatny punkt końcowy dla klastra usługi Azure Data Explorer w sieci wirtualnej platformy Azure, w której kończy się połączenie sieci VPN lub usługi ExpressRoute, lub w innej sieci wirtualnej platformy Azure osiągalnej przez ruch z maszyny lokalnej.
- Skonfiguruj usługę DNS dla tego prywatnego punktu końcowego.
Prywatna łączność nie jest dostępna dla bezpłatnych klastrów usługi Azure Data Explorer ani analizy w czasie rzeczywistym w usłudze Microsoft Fabric.
Monitorowanie dużych posiadłości
Aby monitorować dużą pulę danych Azure SQL, może być konieczne utworzenie wielu obserwatorów.
Każdy obserwator wymaga bazy danych w klastrze usługi Azure Data Explorer lub w analizie czasu rzeczywistego jako magazynu danych. Utworzone obserwatorzy mogą używać pojedynczej bazy danych jako wspólnego magazynu danych lub oddzielnych baz danych jako oddzielnych magazynów danych. Poniższe zagadnienia mogą pomóc w wyborze optymalnego projektu dla scenariuszy monitorowania i wymagań.
Zagadnienia dotyczące wspólnego magazynu danych:
- Istnieje widok z jednym okienkiem szkła dla całej akcji Usługi Azure SQL.
- Pulpity nawigacyjne dowolnego obserwatora pokazują wszystkie dane w magazynie danych, nawet jeśli dane są zbierane przez innych obserwatorów.
- Użytkownicy z dostępem do magazynu danych mają dostęp do danych monitorowania dla całej dokumentacji usługi Azure SQL.
Zagadnienia dotyczące oddzielnych magazynów danych:
- Podzestawy majątku usługi Azure SQL są monitorowane niezależnie. Pulpity nawigacyjne obserwatora bazy danych w witrynie Azure Portal zawsze wyświetlają dane z jednego magazynu danych.
- Użytkownicy z dostępem do wielu magazynów danych mogą używać zapytań KQL między klastrami lub między bazami danych w celu uzyskania dostępu do danych monitorowania w wielu magazynach danych przy użyciu jednego zapytania.
- Ponieważ dostęp do danych w usłudze Azure Data Explorer i w analizie w czasie rzeczywistym jest zarządzany na bazę danych, możesz zarządzać dostępem do danych monitorowania dla podzbiorów majątku w szczegółowy sposób.
- Możesz umieścić wiele baz danych w tym samym klastrze usługi Azure Data Explorer, aby udostępniać zasoby klastra i oszczędzać koszty, jednocześnie zachowując izolację danych w każdej bazie danych.
- Jeśli potrzebujesz całkowitego rozdzielenia środowisk, w tym dostępu sieciowego do klastrów usługi Azure Data Explorer, możesz umieścić różne bazy danych w różnych klastrach.
Powiązana zawartość
- Szybki start: tworzenie obserwatora bazy danych do monitorowania usługi Azure SQL (wersja zapoznawcza)
- Monitorowanie obciążeń usługi Azure SQL za pomocą obserwatora bazy danych (wersja zapoznawcza)
- Zbieranie danych i zestawy danych obserwatora bazy danych (wersja zapoznawcza)
- Analizowanie danych monitorowania obserwatora bazy danych (wersja zapoznawcza)
- Obserwator bazy danych — często zadawane pytania