Поделиться через

Руководство по переносу баз данных с поддержкой TDE (предварительная версия) в SQL Azure в Azure Data Studio

  • Статья

Для защиты базы данных SQL Server можно принять меры предосторожности, такие как проектирование безопасной системы, шифрование конфиденциальных ресурсов и создание брандмауэра. Однако физические кражи носителей, таких как диски или ленты, по-прежнему могут компрометации данных.

TDE предоставляет решение этой проблемы с шифрованием и расшифровкой неактивных данных (файлы данных и журналов) в режиме реального времени с помощью ключа шифрования симметричного базы данных (DEK), защищенного сертификатом. Дополнительные сведения о переносе сертификатов TDE вручную см. в разделе "Перемещение защищенной базы данных TDE в другой SQL Server".

При переносе защищенной TDE базы данных сертификат (асимметричный ключ), используемый для открытия ключа шифрования базы данных (DEK), также должен быть перемещен вместе с исходной базой данных. Поэтому необходимо повторно создать сертификат сервера в master базе данных целевого SQL Server для этого экземпляра, чтобы получить доступ к файлам базы данных.

Вы можете использовать расширение миграции SQL Azure для Azure Data Studio , чтобы перенести базы данных с поддержкой TDE (предварительная версия) из локального экземпляра SQL Server в SQL Azure.

Процесс миграции базы данных с поддержкой TDE автоматизирует вручную такие задачи, как резервное копирование ключей сертификатов базы данных (DEK), копирование файлов сертификатов из локального SQL Server в целевой объект SQL Azure, а затем повторное настройку TDE для целевой базы данных.

Внимание

В настоящее время поддерживаются только целевые объекты Управляемый экземпляр SQL Azure. Зашифрованные резервные копии не поддерживаются.

В этом руководстве описано, как перенести пример AdventureWorksTDE зашифрованной базы данных из локального экземпляра SQL Server в управляемый экземпляр SQL Azure.

  • Откройте мастер миграции в SQL Azure в Azure Data Studio
  • Запуск оценки исходных баз данных SQL Server
  • Настройка миграции сертификатов TDE
  • Подключение к целевому объекту SQL Azure
  • Запуск миграции сертификатов TDE и мониторинг хода выполнения до завершения

Необходимые компоненты

Прежде чем приступить к работе с руководством, выполните следующие действия.

  • Скачайте и установите Azure Data Studio.

  • Установите расширение миграции SQL Azure из Azure Data Studio Marketplace.

  • Запустите Azure Data Studio от имени администратора.

  • У вас есть учетная запись Azure, назначенная одной из следующих встроенных ролей:

    • Участник целевого управляемого экземпляра (и учетной записи хранения для отправки резервных копий файлов сертификатов TDE из сетевой папки SMB).
    • Роль читателя для групп ресурсов Azure, содержащих целевой управляемый экземпляр или учетную запись хранения Azure.
    • Роль владельца или участника для подписки Azure (требуется при создании новой службы DMS).
    • В качестве альтернативы использованию указанных выше встроенных ролей можно назначить пользовательскую роль. Дополнительные сведения см. в разделе "Пользовательские роли: Онлайн SQL Server для Управляемый экземпляр SQL миграции с помощью ADS".

  • Создайте целевой экземпляр Управляемый экземпляр SQL Azure.

  • Убедитесь, что имя входа, используемое для подключения к источнику SQL Server, является членом роли сервера sysadmin .

  • Компьютер, в котором Azure Data Studio запускает миграцию базы данных с поддержкой TDE, должен иметь подключение как к источникам, так и к целевым серверам SQL.

Откройте мастер миграции в SQL Azure в Azure Data Studio

Чтобы открыть мастер миграции в Azure SQL, выполните следующие действия.

  1. В Azure Data Studio перейдите в раздел "Подключения". Подключитесь к локальному экземпляру SQL Server. Вы также можете подключиться к SQL Server на виртуальной машине Azure.

  2. Щелкните правой кнопкой мыши подключение к серверу и выберите пункт "Управление".

    Снимок экрана: подключение к серверу и параметр

  3. В меню сервера в разделе "Общие" выберите "Миграция SQL Azure".

    Снимок экрана: меню сервера Azure Data Studio.

  4. На панели мониторинга миграции SQL Azure выберите "Миграция в Azure SQL ", чтобы открыть мастер миграции.

    Снимок экрана: мастер миграции в SQL Azure.

  5. На первой странице мастера запустите новый сеанс или возобновите ранее сохраненный сеанс.

Запуск оценки базы данных

  1. На шаге 1. Базы данных для оценки в мастере миграции в SQL Azure выберите базы данных, которые необходимо оценить. Затем выберите Далее.

    Снимок экрана: выбор базы данных для оценки.

  2. На шаге 2. Результаты оценки выполните следующие действия.

    1. В разделе "Выбор целевого объекта SQL Azure" выберите Управляемый экземпляр SQL Azure.

      Снимок экрана: выбор целевого объекта Управляемый экземпляр SQL Azure.

    2. Выберите "Вид" или " Выбрать ", чтобы просмотреть результаты оценки.

      Снимок экрана: просмотр и выбор результатов оценки.

    3. В результатах оценки выберите базу данных и просмотрите результаты оценки. В этом примере можно увидеть, что AdventureWorksTDE база данных защищена прозрачным шифрованием данных (TDE). Оценка рекомендуется перенести сертификат TDE перед переносом исходной базы данных в целевой объект управляемого экземпляра.

      Снимок экрана: отчет о результатах оценки.

    4. Выберите "Выбрать", чтобы открыть панель конфигурации миграции TDE.

Настройка параметров миграции TDE

  1. В выбранном разделе " Зашифрованная база данных" выберите "Экспорт сертификатов и закрытый ключ" в целевой объект.

    Снимок экрана: конфигурация миграции TDE.

    В разделе "Сведения" описаны необходимые разрешения для экспорта сертификатов DEK.

    Необходимо убедиться, что у учетной записи службы SQL Server есть доступ на запись к пути к сетевому ресурсу, который используется для резервного копирования сертификатов DEK. Кроме того, текущий пользователь должен иметь права администратора на компьютере, где существует этот сетевой путь.

  2. Введите сетевой путь.

    Снимок экрана: конфигурация миграции TDE для общей сетевой папки.

    Затем проверьте , что я даю согласие на использование моих учетных данных для доступа к сертификатам. С помощью этого действия вы разрешаете мастеру миграции базы данных создать резервную копию сертификата DEK в сетевую папку.

  3. Если мастер миграции не нужен, помогите перенести базы данных с поддержкой TDE. Выберите "Я не хочу, чтобы Azure Data Studio экспортирует сертификаты". Чтобы пропустить этот шаг.

    Снимок экрана, на котором показано, как отклонить миграцию TDE.

    Внимание

    Прежде чем продолжить миграцию, необходимо перенести сертификаты, в противном случае миграция завершится ошибкой. Дополнительные сведения о переносе сертификатов TDE вручную см. в разделе "Перемещение защищенной базы данных TDE в другой SQL Server".

  4. Если вы хотите продолжить миграцию сертификации TDE, нажмите кнопку "Применить".

    Снимок экрана: применение конфигурации миграции TDE.

    Панель конфигурации миграции TDE будет закрыта, но вы можете выбрать "Изменить ", чтобы изменить конфигурацию сетевой общей папки в любое время. Нажмите кнопку "Далее ", чтобы продолжить процесс миграции.

    Снимок экрана: изменение конфигурации миграции TDE.

Настройка параметров миграции

На шаге 3. Целевой объект SQL Azure в мастере миграции в SQL Azure выполните следующие действия для целевого управляемого экземпляра:

  1. Выберите учетную запись Azure, подписку Azure, регион Или расположение Azure и группу ресурсов, содержащую управляемый экземпляр.

    Снимок экрана: сведения о учетной записи Azure.

  2. Когда вы будете готовы, выберите "Миграция сертификатов", чтобы начать миграцию сертификатов TDE.

Запуск и мониторинг миграции сертификатов TDE

  1. На шаге 3. Состояние миграции откроется панель миграции сертификатов. Сведения о ходе миграции сертификатов TDE отображаются на экране.

    Снимок экрана: запуск процесса миграции TDE.

  2. После завершения миграции TDE (или при сбое) на странице отображаются соответствующие обновления.

    Снимок экрана, на котором показано, как продолжается процесс миграции TDE.

  3. Если необходимо повторить миграцию, выберите "Повторить миграцию".

    Снимок экрана, на котором показано, как повторить миграцию TDE.

  4. Когда вы будете готовы, выберите "Готово ", чтобы продолжить работу мастера миграции.

    Снимок экрана: завершение миграции TDE.

  5. Вы можете отслеживать процесс для каждого сертификата TDE, выбрав пункт "Миграция сертификатов".

  6. Нажмите кнопку "Далее ", чтобы продолжить работу мастера миграции, пока не завершите миграцию базы данных.

    Снимок экрана: продолжение миграции базы данных.

    Ознакомьтесь со следующими пошаговными руководствами по переносу баз данных в сети или в автономном режиме в целевые объекты Управляемый экземпляр SQL Azure:

Шаги после миграции

Теперь у целевого управляемого экземпляра должны быть базы данных и перенесены соответствующие сертификаты. Чтобы проверить текущее состояние недавно перенесенной базы данных, скопируйте и вставьте следующий пример в новое окно запроса в Azure Data Studio при подключении к целевому объекту управляемого экземпляра. Затем нажмите кнопку Запустить.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Запрос возвращает сведения о базе данных, состоянии шифрования и ожидаемом проценте завершения. В этом случае это нулевая, так как сертификат TDE уже завершен.

Снимок экрана: результаты, возвращаемые запросом TDE, предоставленным в этом разделе.

Дополнительные сведения о шифровании с помощью SQL Server см. в разделе "Прозрачное шифрование данных( TDE)".

Ограничения

В следующей таблице описывается текущее состояние миграции баз данных с поддержкой TDE целевым объектом SQL Azure:

Назначение Поддержка Состояние
База данных SQL Azure No
Управляемый экземпляр SQL Azure Да Предварительный просмотр
SQL Server на виртуальной машине Azure No

Связанный контент