Kurz: Migrace databází s povoleným transparentním šifrováním dat (Preview) do Azure SQL v Nástroji Azure Data Studio

Pro zabezpečení databáze SQL Serveru můžete podniknout opatření, jako je návrh zabezpečeného systému, šifrování důvěrných prostředků a vytvoření brány firewall. Fyzické krádeže médií, jako jsou jednotky nebo pásky, ale mohou stále ohrozit data.

Transparentní šifrování dat poskytuje řešení tohoto problému s šifrováním vstupně-výstupních operací v reálném čase a dešifrováním neaktivních uložených dat (datových souborů a souborů protokolů) pomocí šifrovacího klíče symetrické databáze (DEK) zabezpečeného certifikátem. Další informace o ruční migraci certifikátů transparentního šifrování dat naleznete v tématu Přesunutí chráněné databáze transparentního šifrování dat na jiný SQL Server.

Při migraci databáze chráněné transparentním šifrováním dat musí být certifikát (asymetrický klíč) použitý k otevření šifrovacího klíče databáze (DEK) také přesunut spolu se zdrojovou databází. Proto je nutné znovu vytvořit certifikát serveru v master databázi cílového SQL Serveru pro tuto instanci pro přístup k databázovým souborům.

Rozšíření Azure SQL Migration pro Azure Data Studio vám pomůže migrovat databáze s povoleným transparentním šifrováním dat (Preview) z místní instance SQL Serveru do Azure SQL.

Proces migrace databáze s povoleným transparentním šifrováním dat automatizuje ruční úlohy, jako je zálohování klíčů certifikátu databáze (DEK), kopírování souborů certifikátů z místního SQL Serveru do cíle Azure SQL a opětovné konfigurace transparentního šifrování dat pro cílovou databázi.

V tomto kurzu se dozvíte, jak migrovat ukázkovou AdventureWorksTDE šifrovanou databázi z místní instance SQL Serveru do spravované instance Azure SQL.

Požadavky

Než začnete kurz:

• Stáhněte a nainstalujte Azure Data Studio.

• Nainstalujte rozšíření Azure SQL Migration z Azure Data Studio Marketplace.

• Spusťte Azure Data Studio jako správce.

• Máte účet Azure, který je přiřazený k některé z následujících předdefinovaných rolí:

  • Přispěvatel pro cílovou spravovanou instanci (a účet úložiště pro nahrání záloh souborů certifikátů transparentního šifrování dat ze sdílené síťové složky SMB)
  • Role čtenáře pro skupiny prostředků Azure obsahující cílovou spravovanou instanci nebo účet úložiště Azure
  • Role vlastníka nebo přispěvatele pro předplatné Azure (vyžaduje se při vytváření nové služby DMS).
  • Jako alternativu k použití výše předdefinovaných rolí můžete přiřadit vlastní roli. Další informace naleznete v tématu Vlastní role: Online SQL Server do sql Managed Instance migrace pomocí ADS.

• Vytvořte cílovou instanci azure SQL Managed Instance.

• Ujistěte se, že přihlášení, které používáte pro připojení ke zdroji SQL Serveru, je členem role serveru sysadmin .

• Počítač, ve kterém Azure Data Studio spouští migraci databáze s povoleným transparentním šifrováním dat, by měl mít připojení ke zdrojům i cílovým SQL serverům.

Otevření průvodce migrací do Azure SQL v nástroji Azure Data Studio

Otevření průvodce migrací do Azure SQL:

1. V Nástroji Azure Data Studio přejděte na Připojení. Připojte se k místní instanci SQL Serveru. Můžete se také připojit k SQL Serveru na virtuálním počítači Azure.

2. Klikněte pravým tlačítkem myši na připojení k serveru a vyberte Spravovat.

   

3. V nabídce serveru v části Obecné vyberte Migraci Azure SQL.

   

4. Na řídicím panelu migrace Azure SQL vyberte Migrovat do Azure SQL a otevřete průvodce migrací.

   

5. Na první stránce průvodce spusťte novou relaci nebo obnovte dříve uloženou relaci.

Spuštění posouzení databáze

1. V kroku 1: Databáze pro posouzení v průvodci migrací do Azure SQL vyberte databáze, které chcete posoudit. Pak vyberte Další.

   

2. V kroku 2: Výsledky posouzení proveďte následující kroky:

   1. Ve výběru cíle Azure SQL vyberte Spravovanou instanci Azure SQL.

      

   2. Výběrem možnosti Zobrazit/Vybrat zobrazíte výsledky posouzení.

      

   3. Ve výsledcích posouzení vyberte databázi a zkontrolujte závěry posouzení. V tomto příkladu vidíte, že AdventureWorksTDE databáze je chráněná transparentním šifrováním dat (TDE). Posouzení doporučuje migrovat certifikát transparentního šifrování dat před migrací zdrojové databáze do cíle spravované instance.

      

   4. Zvolením možnosti Vybrat otevřete konfigurační panel migrace transparentního šifrování dat.

Konfigurace nastavení migrace transparentního šifrování dat

1. V části Šifrovaná databáze vyberte Exportovat certifikáty a privátní klíč do cíle.

   

   Část Informace popisuje požadovaná oprávnění k exportu certifikátů DEK.

   Musíte zajistit, aby měl účet služby SQL Server přístup k zápisu do cesty sdílené síťové složky, kterou používáte k zálohování certifikátů DEK. Aktuální uživatel by měl mít také oprávnění správce v počítači, kde tato síťová cesta existuje.

2. Zadejte síťovou cestu.

   

   Potom zkontrolujte , že udělím souhlas s používáním svých přihlašovacích údajů pro přístup k certifikátům. Pomocí této akce povolíte průvodci migrací databáze zálohovat certifikát DEK do sdílené síťové složky.

3. Pokud nechcete průvodce migrací, pomozte migrovat databáze s povoleným transparentním šifrováním dat. Vyberte , že nechcete, aby Azure Data Studio exportuje certifikáty. Pokud chcete tento krok přeskočit.

   

   Důležité

   Než budete pokračovat v migraci, musíte certifikáty migrovat, jinak se migrace nezdaří. Další informace o ruční migraci certifikátů transparentního šifrování dat naleznete v tématu Přesunutí chráněné databáze transparentního šifrování dat na jiný SQL Server.

4. Pokud chcete pokračovat v migraci certifikace transparentního šifrování dat, vyberte Použít.

   

   Konfigurační panel migrace transparentního šifrování dat se zavře, ale konfiguraci sdílené síťové složky můžete kdykoli upravit výběrem možnosti Upravit . Chcete-li pokračovat v procesu migrace, vyberte Další .

   

Konfigurace nastavení migrace

V kroku 3: Cíl Azure SQL v průvodci migrací do Azure SQL proveďte následující kroky pro cílovou spravovanou instanci:

1. Vyberte svůj účet Azure, předplatné Azure, oblast Nebo umístění Azure a skupinu prostředků, která obsahuje spravovanou instanci.

   

2. Až budete připraveni, vyberte Migrovat certifikáty a spusťte migraci certifikátů transparentního šifrování dat.

Spuštění a monitorování migrace certifikátů transparentního šifrování dat

1. V kroku 3: Stav migrace se otevře panel Migrace certifikátů. Podrobnosti o průběhu migrace certifikátů transparentního šifrování dat se zobrazují na obrazovce.

   

2. Po dokončení migrace transparentního šifrování dat (nebo v případě selhání) se na stránce zobrazí příslušné aktualizace.

   

3. V případě, že migraci potřebujete zopakovat, vyberte Opakovat migraci.

   

4. Až budete připraveni, vyberte Hotovo a pokračujte v průvodci migrací.

   

5. Proces pro každý certifikát transparentního šifrování dat můžete monitorovat výběrem možnosti Migrovat certifikáty.

6. Pokud chcete pokračovat v průvodci migrací, vyberte Další , dokud migraci databáze neskon chcete dokončit.

   

   Další informace o online nebo offline migraci databází do cílů služby Azure SQL Managed Instance najdete v následujících podrobných kurzech:

   • Kurz: Online migrace SQL Serveru do služby Azure SQL Managed Instance
   • Kurz: Offline migrace SQL Serveru do služby Azure SQL Managed Instance

Kroky po migraci

Vaše cílová spravovaná instance by teď měla mít databáze a jejich příslušné certifikáty migrované. Pokud chcete ověřit aktuální stav nedávno migrované databáze, zkopírujte a vložte následující příklad do nového okna dotazu v Nástroji Azure Data Studio při připojení k cíli spravované instance. Pak vyberte Spustit.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Dotaz vrátí informace o databázi, stav šifrování a dokončené procento čekání. V tomto případě je to nula, protože certifikát transparentního šifrování dat je už dokončený.

Další informace o šifrování s SQL Serverem najdete v tématu Transparentní šifrování dat (TDE).

Omezení

Následující tabulka popisuje aktuální stav migrace databází s podporou transparentního šifrování dat podle cíle Azure SQL:

Související obsah

• Migrace databází pomocí rozšíření Azure SQL Migration pro Azure Data Studio
• Kurz: Migrace SQL Serveru do Služby Azure SQL Database – Offline
• Kurz: Migrace SQL Serveru do azure SQL Managed Instance – Online
• Kurz: Migrace SQL Serveru na SQL Server na virtuálních počítačích Azure – Online