Usare la sicurezza dei dati avanzata di database SQL con le reti virtuali e una compatibilità quasi del 100%Use SQL Database advanced data security with virtual networks and near 100% compatibility

L'istanza gestita è una nuova opzione di distribuzione del database SQL di Azure che offre quasi il 100% di compatibilità con il più recente motore di database SQL Server in locale (Enterprise Edition), fornendo un'implementazione della rete virtuale nativa che risolve problemi di sicurezza comuni e un modello aziendale favorevole per i clienti di SQL Server in locale.Managed instance is a new deployment option of Azure SQL Database, providing near 100% compatibility with the latest SQL Server on-premises (Enterprise Edition) Database Engine, providing a native virtual network (VNet) implementation that addresses common security concerns, and a business model favorable for on-premises SQL Server customers. Il modello di distribuzione dell'istanza gestita consente ai clienti di SQL Server esistenti di spostare nel cloud le proprie applicazioni locali con modifiche minime nelle applicazioni e nel database.The managed instance deployment model allows existing SQL Server customers to lift and shift their on-premises applications to the cloud with minimal application and database changes. Allo stesso tempo, l'opzione di distribuzione dell'istanza gestita consente di mantenere tutte le funzionalità PaaS (applicazione automatica di patch e aggiornamenti di versione, backup automatici, disponibilità elevata), che riducono drasticamente il carico di gestione e il costo totale di proprietà.At the same time, the managed instance deployment option preserves all PaaS capabilities (automatic patching and version updates, automated backups, high-availability ), that drastically reduces management overhead and TCO.

Importante

Per un elenco delle aree in cui l'opzione di distribuzione dell'istanza gestita è attualmente disponibile, vedere Aree supportate.For a list of regions in which the managed instance deployment option is currently available, see supported regions.

Nel diagramma seguente vengono descritte le funzionalità principali delle istanze gestite:The following diagram outlines key features of managed instances:

funzionalità principali

Il modello di distribuzione dell'istanza gestita è progettato per i clienti che desiderano eseguire la migrazione di un numero maggiore di app da un ambiente locale o IaaS, creato personalmente o un ambiente fornito da un ISV per la gestione completa dell'ambiente cloud PaaS, con il minor numero di operazioni di migrazione possibile.The managed instance deployment model is designed for customers looking to migrate a large number of apps from on-premises or IaaS, self-built, or ISV provided environment to fully managed PaaS cloud environment, with as low migration effort as possible. Tramite il Servizio Migrazione del database completamente automatico di Azure, i clienti possono trasferire il proprio server SQL locale in un'istanza gestita che garantisce la compatibilità con SQL Server in locale e il completo isolamento delle istanze del cliente con il supporto delle reti virtuali native.Using the fully automated Data Migration Service (DMS) in Azure, customers can lift and shift their on-premises SQL Server to a managed instance that offers compatibility with SQL Server on-premises and complete isolation of customer instances with native VNet support. Con Software Assurance è possibile scambiare le licenze esistenti con tariffe scontate per un'istanza gestita tramite il Vantaggio Azure Hybrid per SQL Server.With Software Assurance, you can exchange their existing licenses for discounted rates on a managed instance using the Azure Hybrid Benefit for SQL Server. Un'istanza gestita è la destinazione di migrazione migliore nel cloud per le istanze di SQL Server che richiedono un livello di sicurezza elevato e una superficie di programmazione avanzata.A managed instance is the best migration destination in the cloud for SQL Server instances that require high security and a rich programmability surface.

L'opzione di distribuzione dell'istanza gestita mira a offrire una compatibilità della superficie di attacco prossima al 100% con l'ultima versione di SQL Server in locale tramite un piano di rilascio a fasi.The managed instance deployment option aims delivers close to 100% surface area compatibility with the latest on-premises SQL Server version through a staged release plan.

Per la scelta tra le opzioni di distribuzione di database SQL di Azure, database singolo, database in pool, istanza gestita e SQL Server ospitati in macchine virtuali, vedere come scegliere la versione corretta di SQL Server in Azure.To decide between the Azure SQL Database deployment options: single database, pooled database, and managed instance, and SQL Server hosted in virtual machine, see how to choose the right version of SQL Server in Azure.

Funzionalità e le caratteristiche chiaveKey features and capabilities

L'istanza gestita combina le migliori funzionalità disponibili sia nel database SQL di Azure che nel motore di database di SQL Server.Managed instance combines the best features that are available both in Azure SQL Database and SQL Server Database Engine.

Importante

Un'istanza gestita viene eseguita con tutte le funzionalità della versione più recente di SQL Server, incluse le operazioni online, le correzioni automatiche del piano e altri miglioramenti delle prestazioni Enterprise.A managed instance runs with all of the features of the most recent version of SQL Server, including online operations, automatic plan corrections, and other enterprise performance enhancements. Per un confronto tra le funzionalità disponibili, vedere Confronto tra le funzionalità: database SQL di Azure e SQL Server.A Comparison of the features available is explained in Feature comparison: Azure SQL Database versus SQL Server.

Vantaggi di PaaSPaaS benefits Continuità aziendaleBusiness continuity
Acquisto e gestione di hardware non necessariNo hardware purchasing and management
Nessun sovraccarico per la gestione dell'infrastruttura sottostanteNo management overhead for managing underlying infrastructure
Provisioning rapido e scalabilità del servizioQuick provisioning and service scaling
Applicazione automatica di patch e aggiornamento della versioneAutomated patching and version upgrade
Integrazione con altri servizi dati PaaSIntegration with other PaaS data services
Contratto di servizio relativo al tempo di attività 99,99%99.99% uptime SLA
Disponibilità elevata integrataBuilt in high-availability
Dati protetti con backup automaticiData protected with automated backups
Periodo di conservazione dei backup configurabile dal clienteCustomer configurable backup retention period
Backup avviati dall'utenteUser-initiated backups
Funzionalità di ripristino temporizzato di un databasePoint in time database restore capability
Sicurezza e conformitàSecurity and compliance GestioneManagement
Ambiente isolato (integrazione della rete virtuale, servizio a tenant singolo, calcolo e archiviazione dedicati)Isolated environment (VNet integration, single tenant service, dedicated compute and storage)
Transparent Data Encryption (TDE)Transparent data encryption (TDE)
Autenticazione di Azure AD, supporto di Single Sign-OnAzure AD authentication, single sign-on support
Entità server (account di accesso) di Azure AD (anteprima pubblica)Azure AD server principals (logins) (public preview)
Soddisfa gli standard di conformità del database SQL di AzureAdheres to compliance standards same as Azure SQL database
Controllo SQLSQL auditing
Rilevamento delle minaccethreat detection
API di Azure Resource Manager per l'automazione del provisioning e della scalabilità del servizioAzure Resource Manager API for automating service provisioning and scaling
Funzionalità del portale di Azure per provisioning e scalabilità del servizio manualiAzure portal functionality for manual service provisioning and scaling
Servizio di migrazione dei datiData Migration Service

Importante

Database SQL di Azure (tutte le opzioni di distribuzione), ha ottenuto la certificazione per numerosi standard di conformità.Azure SQL Database (all deployment options), has been certified against a number of compliance standards. Per altre informazioni, vedere la Microsoft Azure Trust Center in cui è possibile trovare l'elenco più aggiornato delle certificazioni di conformità di Database SQL.For more information, see the Microsoft Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Nella tabella seguente sono elencate le principali funzionalità delle istanze gestite:The key features of managed instances are shown in the following table:

FunzionalitàFeature DESCRIZIONEDescription
Versione/build di SQL ServerSQL Server version / build Motore di database di SQL Server (ultima versione stabile)SQL Server Database Engine (latest stable)
Backup automatici gestitiManaged automated backups Yes
Monitoraggio predefinito e metriche dell'istanza e del databaseBuilt-in instance and database monitoring and metrics Yes
Applicazione automatica di patch softwareAutomatic software patching Yes
Funzionalità più recenti del motore di databaseThe latest Database Engine features Yes
Numero di file di dati (RIGHE) per il databaseNumber of data files (ROWS) per the database MultipliMultiple
Numero di file di log (LOG) per il databaseNumber of log files (LOG) per database 11
Rete virtuale: distribuzione di Azure Resource ManagerVNet - Azure Resource Manager deployment Yes
Rete virtuale: modello di distribuzione classicaVNet - Classic deployment model No No
Supporto del portalePortal support Yes
Integration Services (SSIS) incorporatoBuilt-in Integration Service (SSIS) No - SSIS fa parte di Azure Data Factory PaaSNo - SSIS is a part of Azure Data Factory PaaS
Analysis Services (SSAS) incorporatoBuilt-in Analysis Service (SSAS) No - SSAS fa parte di una PaaS distintaNo - SSAS is separate PaaS
Reporting Services (SSRS) incorporatoBuilt-in Reporting Service (SSRS) No - usare Power BI o SSRS IaaSNo - use Power BI or SSRS IaaS

Modello di acquisto basato su vCorevCore-based purchasing model

Il modello di acquisto basato su vCore per le istanze gestite offre flessibilità, controllo e trasparenza, consentendo di convertire con facilità i requisiti dei carichi di lavoro locali per il cloud.The vCore-based purchasing model for managed instances gives you flexibility, control, transparency, and a straightforward way to translate on-premises workload requirements to the cloud. Questo modello consente di cambiare le risorse di calcolo, memoria e archiviazione in base ai requisiti dei carichi di lavoro.This model allows you to change compute, memory, and storage based upon your workload needs. Il modello in base ai vCore dà anche diritto a un risparmio fino al 30% con il Vantaggio Azure Hybrid per SQL Server.The vCore model is also eligible for up to 30 percent savings with the Azure Hybrid Benefit for SQL Server.

Nel modello vCore è possibile scegliere tra diverse generazioni di hardware.In vCore model, you can choose between generations of hardware.

  • Le CPU logiche di quarta generazione sono basate su processori Intel E5-2673 v3 (Haswell) da 2,4 GHz, unità SSD collegata, core fisici, 7 GB di RAM per core e dimensioni di calcolo comprese tra 8 e 24 vCore.Gen4 Logical CPUs are based on Intel E5-2673 v3 (Haswell) 2.4-GHz processors, attached SSD, physical cores, 7GB RAM per core, and compute sizes between 8 and 24 vCores.
  • Le CPU logiche di quinta generazione sono basate su processori Intel E5-2673 v4 (Broadwell) da 2,3 GHz, unità SSD NVMe veloce, core logico con hyperthreading e dimensioni di calcolo comprese tra 8 e 80 core.Gen5 Logical CPUs are based on Intel E5-2673 v4 (Broadwell) 2.3-GHz processors, fast NVMe SSD, hyper-threaded logical core, and compute sizes between 8 and 80 cores.

Per altre informazioni sulle differenze tra le generazioni di hardware, vedere Limiti delle risorse per le istanze gestite.Find more information about the difference between hardware generations in managed instance resource limits.

Livelli di servizio dell'istanza gestitaManaged instance service tiers

L'istanza gestita è disponibile in due livelli di servizio:Managed instance is available in two service tiers:

  • Utilizzo generico: progettato per applicazioni con prestazioni tipiche e requisiti di latenza di I/O comuni.General purpose: Designed for applications with typical performance and IO latency requirements.
  • Business Critical: progettata per applicazioni con requisiti di latenza dei I/O bassi e un impatto minimo di operazioni di manutenzione sottostanti sul carico di lavoro.Business critical: Designed for applications with low IO latency requirements and minimal impact of underlying maintenance operations on the workload.

Entrambi i livelli di servizio garantiscono una disponibilità del 99,99% e consentono di selezionare le dimensioni di archiviazione e capacità di calcolo in modo indipendente.Both service tiers guarantee 99.99% availability and enable you to independently select storage size and compute capacity. Per altre informazioni sull'architettura di disponibilità elevata del database SQL di Azure, vedere High Availability and Azure SQL Database (Disponibilità elevata e database SQL di Azure).For more information on the high availability architecture of Azure SQL Database, see High availability and Azure SQL Database.

Livello di servizio Utilizzo genericoGeneral purpose service tier

L'elenco seguente descrive le caratteristiche principali del livello di servizio Utilizzo generico:The following list describes key characteristic of the General Purpose service tier:

  • Progettazione della maggior parte delle applicazioni aziendali con requisiti di prestazioni tipiciDesign for the majority of business applications with typical performance requirements
  • Archiviazione BLOB di Azure ad alte prestazioni (8 TB)High-performance Azure Blob storage (8 TB)
  • Disponibilità elevata basata sull'affidabilità di Archiviazione BLOB di Azure e su Azure Service FabricBuilt-in high-availability based on reliable Azure Blob storage and Azure Service Fabric

Per altre informazioni, vedere storage layer in general purpose tier (Livello Archiviazione nel livello di servizio Utilizzo generico) e storage performance best practices and considerations for managed instances (general purpose) (Procedure consigliate e considerazioni sulle prestazioni di archiviazione per le istanze gestite (Utilizzo generico)).For more information, see storage layer in general purpose tier and storage performance best practices and considerations for managed instances (general purpose).

Per altre informazioni sulle differenze tra i livelli di servizio, vedere Limiti delle risorse per le istanze gestite.Find more information about the difference between service tiers in managed instance resource limits.

Livello di servizio business criticalBusiness Critical service tier

Il livello di servizio business critical è progettato per applicazioni con requisiti I/O elevati.Business Critical service tier is built for applications with high IO requirements. Offre la massima resilienza agli errori tramite diverse repliche isolate.It offers highest resilience to failures using several isolated replicas.

L'elenco seguente descrive le caratteristiche principali del livello di servizio per business critical:The following list outlines the key characteristics of the Business Critical service tier:

Per altre informazioni sulle differenze tra i livelli di servizio, vedere Limiti delle risorse per le istanze gestite.Find more information about the difference between service tiers in managed instance resource limits.

Sicurezza e conformità avanzateAdvanced security and compliance

L'opzione di distribuzione dell'istanza gestita combina le funzionalità avanzate di sicurezza fornite dal cloud di Azure e il motore di database di SQL Server.The managed instance deployment option combines advanced security features provided by Azure cloud and SQL Server Database Engine.

Isolamento di sicurezza dell'istanza gestitaManaged instance security isolation

Un'istanza gestita offre isolamento di sicurezza aggiuntivo dagli altri tenant nel cloud di Azure.A managed instance provides additional security isolation from other tenants in the Azure cloud. L'isolamento di sicurezza include:Security isolation includes:

  • Implementazione della rete virtuale nativa e connettività all'ambiente locale mediante Azure Express Route o Gateway VPN.Native virtual network implementation and connectivity to your on-premises environment using Azure Express Route or VPN Gateway.
  • In una distribuzione predefinita, l'endpoint SQL viene esposto solo tramite un indirizzo IP privato, che consente la connettività sicura da reti ibride o privato di Azure.In a default deployment, SQL endpoint is exposed only through a private IP address, allowing safe connectivity from private Azure or hybrid networks.
  • Tenant singolo con infrastruttura sottostante dedicata (calcolo, archiviazione).Single-tenant with dedicated underlying infrastructure (compute, storage).

Il diagramma seguente illustra diverse opzioni di connettività per le applicazioni:The following diagram outlines various connectivity options for your applications:

disponibilità elevata

Per altre informazioni dettagliate sull'integrazione della rete virtuale e sull'applicazione di criteri di rete a livello di subnet, vedere Architettura della rete virtuale per le istanze gestite e Connettere l'applicazione a un'istanza gestita.To learn more details about VNet integration and networking policy enforcement at the subnet level, see VNet architecture for managed instances and Connect your application to a managed instance.

Importante

Inserire più istanze gestite nella stessa subnet, ogniqualvolta tale operazione è consentita dai requisiti di sicurezza, in quanto comporterà vantaggi aggiuntivi.Place multiple managed instance in the same subnet, wherever that is allowed by your security requirements, as that will bring you additional benefits. La collocazione di istanze nella stessa subnet semplificherà notevolmente la manutenzione dell'infrastruttura di rete e ridurrà il tempo di provisioning dell'istanza, poiché una durata prolungata di provisioning è associata al costo della distribuzione della prima istanza gestita in una subnet.Collocating instances in the same subnet will significantly simplify networking infrastructure maintenance and reduce instance provisioning time, since long provisioning duration is associated with the cost of deploying the first managed instance in a subnet.

Funzionalità di sicurezza del database SQL di AzureAzure SQL Database Security Features

Database SQL di Azure fornisce un set di funzionalità di sicurezza avanzato che può essere usato per proteggere i dati.Azure SQL Database provides a set of advanced security features that can be used to protect your data.

  • Il controllo dell'istanza gestita tiene traccia degli eventi del database e li registra in un log di controllo nell'account di archiviazione di Azure.Managed instance auditing tracks database events and writes them to an audit log file placed in your Azure storage account. Il controllo consente di agevolare la conformità alle normative, comprendere le attività del database e ottenere informazioni su eventuali discrepanze e anomalie che potrebbero indicare problemi aziendali o sospette violazioni della sicurezza.Auditing can help maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.
  • Crittografia dei dati in transito: un'istanza gestita protegge i dati fornendo la crittografia per i dati in transito tramite Transport Layer Security.Data encryption in motion - a managed instance secures your data by providing encryption for data in motion using Transport Layer Security. Oltre alla sicurezza a livello di trasporto, l'opzione di distribuzione dell'istanza gestita offre protezione per i dati sensibili in movimento, inattivi e durante l'elaborazione di query con Always Encrypted.In addition to transport layer security, the managed instance deployment option offers protection of sensitive data in flight, at rest and during query processing with Always Encrypted. Always Encrypted è una tecnologia leader del settore che offre un livello di sicurezza dei dati senza uguali, per la protezione da violazioni che implicano il furto di dati critici.Always Encrypted is an industry-first that offers unparalleled data security against breaches involving the theft of critical data. Con Always Encrypted, ad esempio, i numeri delle carte di credito sono sempre archiviati in forma crittografata nel database, anche durante l'elaborazione di query, e la decrittografia è consentita nella posizione di utilizzo da parte di personale o applicazioni autorizzati che devono elaborare tali dati.For example, with Always Encrypted, credit card numbers are stored encrypted in the database always, even during query processing, allowing decryption at the point of use by authorized staff or applications that need to process that data.
  • Il rilevamento delle minacce è complementare al controllo perché offre un livello aggiuntivo di informazioni sulla sicurezza integrata nel servizio, che rileva tentativi insoliti e potenzialmente dannosi di accesso ai database o uso degli stessi.Threat detection complements auditing by providing an additional layer of security intelligence built into the service that detects unusual and potentially harmful attempts to access or exploit databases. L'utente viene avvisato di attività sospette, vulnerabilità potenziali e attacchi SQL injection, nonché di modelli anomali di accesso al database.You are alerted about suspicious activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access patterns. Gli avvisi di rilevamento delle minacce sono disponibili nel Centro sicurezza di Azure, forniscono i dettagli delle attività sospette e raccomandano azioni per individuare e ridurre la minaccia.Threat detection alerts can be viewed from Azure Security Center and provide details of suspicious activity and recommend action on how to investigate and mitigate the threat.
  • La funzione Maschera dati dinamica limita l'esposizione dei dati sensibili, nascondendoli agli utenti senza privilegi.Dynamic data masking limits sensitive data exposure by masking it to non-privileged users. La maschera dati dinamica impedisce l'accesso non autorizzato ai dati sensibili consentendo di definire la quantità di dati sensibili da rivelare, con un impatto minimo sul livello dell'applicazione.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling you to designate how much of the sensitive data to reveal with minimal impact on the application layer. Si tratta di una funzionalità di sicurezza basata su criteri che consente di nascondere i dati sensibili nel set di risultati di una query in campi del database designati, senza alcuna modifica dei dati contenuti nel database.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.
  • La sicurezza a livello di riga consente di controllare l'accesso alle righe in una tabella di database in base alle caratteristiche dell'utente che esegue una query, ad esempio l'appartenenza a un gruppo o il contesto di esecuzione.Row-level security enables you to control access to rows in a database table based on the characteristics of the user executing a query (such as by group membership or execution context). La sicurezza a livello di riga semplifica la progettazione e la codifica della sicurezza nell'applicazione.Row-level security (RLS) simplifies the design and coding of security in your application. Consente di implementare limitazioni per l'accesso alle righe di dati,RLS enables you to implement restrictions on data row access. assicurando ad esempio che i collaboratori possano accedere solo alle righe di dati pertinenti per il proprio reparto o limitando l'accesso ai dati ai soli dati di pertinenti.For example, ensuring that workers can access only the data rows that are pertinent to their department, or restricting a data access to only the relevant data.
  • La funzione Transparent Data Encryption (TDE) esegue la crittografia dei file di dati delle istanze gestite, noti anche come dati inattivi crittografati.Transparent data encryption (TDE) encrypts managed instance data files, known as encrypting data at rest. TDE esegue la crittografia e la decrittografia delle operazioni di I/O di file di dati e log in tempo reale.TDE performs real-time I/O encryption and decryption of the data and log files. La crittografia usa una chiave di crittografia del database (DEK) che viene archiviata nel record di avvio del database per la disponibilità durante il ripristino.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. È possibile proteggere tutti i database in un'istanza gestita con la crittografia dei dati trasparente.You can protect all your databases in a managed instance with transparent data encryption. TDE è la tecnologia di crittografia dei dati inattivi collaudata di SQL Server, richiesta da molti standard di conformità per la protezione in caso di furto di supporti di archiviazione.TDE is SQL Server’s proven encryption-at-rest technology that is required by many compliance standards to protect against theft of storage media.

La migrazione di un database crittografato in un'istanza gestita è supportata tramite il Servizio Migrazione del database di Azure o il ripristino nativo.Migration of an encrypted database to a managed instance is supported via the Azure Database Migration Service (DMS) or native restore. Se si prevede di eseguire la migrazione di un database crittografato tramite ripristino nativo, la migrazione di esistente certificato TDE dal Server SQL in locale o SQL Server in una macchina virtuale in un'istanza gestita è un passaggio obbligatorio.If you plan to migrate an encrypted database using native restore, migration of the existing TDE certificate from the SQL Server on-premises or SQL Server in a virtual machine to a managed instance is a required step. Per altre informazioni sui vari metodi di migrazione, vedere Migrazione di un'istanza di SQL Server a un'istanza gestita.For more information about migration options, see SQL Server instance migration to managed instance.

Integrazione di Azure Active DirectoryAzure Active Directory Integration

L'opzione di distribuzione dell'istanza gestita supporta i tradizionali account di accesso del motore di database di SQL Server e gli account di accesso integrati con Azure Active Directory (AAD).The managed instance deployment option supports traditional SQL server Database engine logins and logins integrated with Azure Active Directory (AAD). Le entità server (account di accesso) di Azure AD (anteprima pubblica) sono una versione cloud di Azure degli account di accesso ai database di Windows usati nell'ambiente locale.Azure AD server principals (logins) (public preview) are Azure cloud version of on-premises database logins that you are using in your on-premises environment. Le entità server (account di accesso) di Azure AD consentono di specificare utenti e gruppi dal tenant di Azure Active Directory come entità principali reali con ambito nell'istanza, in grado di eseguire qualsiasi operazione a livello di istanza, comprese le query tra database all'interno della stessa istanza gestita.Azure AD server principals (logins) enables you to specify users and groups from your Azure Active Directory tenant as true instance-scoped principals, capable of performing any instance-level operation, including cross-database queries within the same managed instance.

È stata introdotta una nuova sintassi per creare le entità server (account di accesso) di Azure AD (anteprima pubblica), FROM EXTERNAL PROVIDER.A new syntax is introduced to create Azure AD server principals (logins) (public preview), FROM EXTERNAL PROVIDER. Per altre informazioni sulla sintassi, vedere CREATE LOGIN e consultare l'articolo Effettuare il provisioning di un amministratore di Azure Active Directory per l'istanza gestita.For more information on the syntax, see CREATE LOGIN, and review the Provision an Azure Active Directory administrator for your managed instance article.

Integrazione in Azure Active Directory e autenticazione a più fattoriAzure Active Directory integration and multi-factor authentication

L'opzione di distribuzione dell'istanza gestita consente di gestire a livello centralizzato le identità degli utenti di database e altri servizi Microsoft grazie all'integrazione in Azure Active Directory.The managed instance deployment option enables you to centrally manage identities of database user and other Microsoft services with Azure Active Directory integration. Questa funzionalità semplifica la gestione delle autorizzazioni e ottimizza la sicurezza.This capability simplified permission management and enhances security. Azure Active Directory supporta l'autenticazione a più fattori (MFA) per una maggiore sicurezza di dati e applicazioni, supportando allo stesso tempo un processo di accesso singolo.Azure Active Directory supports multi-factor authentication (MFA) to increase data and application security while supporting a single sign-on process.

AuthenticationAuthentication

Per autenticazione dell'istanza gestita si intende il modo in cui l'utente dimostra la propria identità durante la connessione al database.Managed instance authentication refers to how users prove their identity when connecting to the database. Il database SQL supporta due tipi di autenticazione:SQL Database supports two types of authentication:

  • Autenticazione SQL:SQL Authentication:

    Questo metodo di autenticazione usa nome utente e password.This authentication method uses a username and password.

  • Autenticazione di Azure Active Directory:Azure Active Directory Authentication:

    Questo metodo di autenticazione usa identità gestite da Azure Active Directory ed è supportato per domini gestiti e integrati.This authentication method uses identities managed by Azure Active Directory and is supported for managed and integrated domains. Quando possibile, usare l'autenticazione di Active Directory (sicurezza integrata).Use Active Directory authentication (integrated security) whenever possible.

AuthorizationAuthorization

Per autorizzazione si intendono le operazioni che l'utente può eseguire in un database SQL di Azure, che sono controllate dalle appartenenze ai ruoli del database e dalle autorizzazioni a livello di oggetto dell'account utente.Authorization refers to what a user can do within an Azure SQL Database, and is controlled by your user account's database role memberships and object-level permissions. Un'istanza gestita ha le stesse funzionalità di autorizzazione di SQL Server 2017.A Managed instance has same authorization capabilities as SQL Server 2017.

Migrazione di databaseDatabase migration

L'opzione di distribuzione dell'istanza gestita è destinata a scenari utente con migrazione di massa di database da implementazioni di database locali o IaaS.The managed instance deployment option targets user scenarios with mass database migration from on-premises or IaaS database implementations. L'istanza gestita supporta diverse opzioni di migrazione di database:Managed instance supports several database migration options:

Eseguire il backup e il ripristinoBack up and restore

L'approccio di migrazione sfrutta i backup di SQL per l'archiviazione BLOB di Azure.The migration approach leverages SQL backups to Azure Blob storage. I backup archiviati in BLOB del servizio di archiviazione di Azure possono essere ripristinati direttamente in un'istanza gestita usando il comando T-SQL RESTORE.Backups stored in Azure storage blob can be directly restored into a managed instance using the T-SQL RESTORE command.

  • Per una guida di avvio rapido su come ripristinare il file di backup di database Wide World Importers - Standard, vedere Restore a backup file to a managed instance (Ripristinare un file di backup in un'istanza gestita).For a quickstart showing how to restore the Wide World Importers - Standard database backup file, see Restore a backup file to a managed instance. Questa guida introduttiva illustra come caricare un file di backup in una risorsa di archiviazione BLOB di Azure e proteggerlo usando una chiave di firma di accesso condiviso.This quickstart shows you have to upload a backup file to Azure blog storage and secure it using a Shared access signature (SAS) key.
  • Per informazioni sul ripristino dall'URL, vedere Ripristino nativo da URL.For information about restore from URL, see Native RESTORE from URL.

Importante

I backup da un'istanza gestita possono essere ripristinati solo in un'altra istanza gestita.Backups from a managed instance can only be restored to another managed instance. Non possono essere ripristinati in SQL Server locale o in database singolo o pool elastico.They cannot be restored to an on-premises SQL Server or to a single database/elastic pool.

Servizio di migrazione dei datiData Migration Service

Il Servizio Migrazione del database di Azure è un servizio completamente gestito progettato per abilitare le migrazioni senza interruzioni da più origini di database alle piattaforme di dati di Azure con tempi di inattività minimi.The Azure Database Migration Service is a fully managed service designed to enable seamless migrations from multiple database sources to Azure Data platforms with minimal downtime. Questo servizio semplifica le attività necessarie per spostare database di SQL Server e di terze parti nel database SQL di Azure (database singoli, database in pool di pool elastici e database dell'istanza in un'istanza gestita) e SQL Server nella macchina virtuale di Azure.This service streamlines the tasks required to move existing third party and SQL Server databases to Azure SQL Database (single databases, pooled databases in elastic pools, and instance databases in a managed instance) and SQL Server in Azure VM. Vedere come eseguire la migrazione del database locale in un'istanza gestita tramite Servizio Migrazione del database.See How to migrate your on-premises database to managed instance using DMS.

Funzionalità di SQL supportateSQL features supported

L'opzione di distribuzione dell'istanza gestita mira a offrire una compatibilità della superficie di attacco prossima al 100% con SQL Server in locale disponibile a fasi fino alla disponibilità generale del servizio.The managed instance deployment option aims to deliver close to 100% surface area compatibility with on-premises SQL Server coming in stages until service general availability. Per un elenco di confronto delle funzionalità, vedere Confronto tra le funzionalità del database SQL e per un elenco delle differenze di T-SQL nelle istanze gestite rispetto a SQL Server, vedere Differenze T-SQL tra l'istanza gestita e SQL Server.For a features and comparison list, see SQL Database feature comparison, and for a list of T-SQL differences in managed instances versus SQL Server, see managed instance T-SQL differences from SQL Server.

L'opzione di distribuzione dell'istanza gestita supporta la compatibilità con le versioni precedenti per i database di SQL 2008.The managed instance deployment option supports backward compatibility to SQL 2008 databases. È supportata la migrazione diretta da server di database di SQL 2005, il livello di compatibilità per i database di SQL 2005 migrati viene aggiornato a SQL 2008.Direct migration from SQL 2005 database servers is supported, compatibility level for migrated SQL 2005 databases are updated to SQL 2008.

Il diagramma seguente illustra la compatibilità della superficie di attacco in un'istanza gestita:The following diagram outlines surface area compatibility in managed instance:

migrazione

Differenze principali tra SQL Server in locale e in un'istanza gestitaKey differences between SQL Server on-premises and in a managed instance

L'opzione di distribuzione dell'istanza gestita offre vantaggi derivanti dall'essere sempre aggiornati nel cloud, mentre alcune funzionalità di SQL Server in locale possono essere obsolete, essere state ritirate o sostituite con alternative.The managed instance deployment option benefits from being always-up-to-date in the cloud, which means that some features in on-premises SQL Server may be either obsolete, retired, or have alternatives. In alcuni casi specifici gli strumenti devono riconoscere che una determinata funzionalità funziona in modo leggermente diverso o che il servizio non funziona in un ambiente di cui non si ha il controllo completo:There are specific cases when tools need to recognize that a particular feature works in a slightly different way or that service is not running in an environment you do not fully control:

  • La disponibilità elevata è integrata e preconfigurata mediante una tecnologia simile a Gruppi di disponibilità AlwaysOn.High-availability is built in and pre-configured using technology similar to Always On Availability Groups.
  • Backup automatici e ripristino temporizzato.Automated backups and point in time restore. Il cliente può avviare backup copy-only che non interferiscono con la catena di backup automatica.Customer can initiate copy-only backups that do not interfere with automatic backup chain.
  • L'istanza gestita non consente l'uso di percorsi fisici completi, pertanto tutti gli scenari corrispondenti devono essere supportati in modo diverso: RESTORE DB non supporta WITH MOVE, CREATE DB non consente i percorsi fisici, BULK INSERT funziona solo con i BLOB di Azure e così via.Managed instance does not allow specifying full physical paths so all corresponding scenarios have to be supported differently: RESTORE DB does not support WITH MOVE, CREATE DB doesn’t allow physical paths, BULK INSERT works with Azure Blobs only, etc.
  • L'istanza gestita supporta l'autenticazione di Azure AD come alternativa cloud all'autenticazione di Windows.Managed instance supports Azure AD authentication as cloud alternative to Windows authentication.
  • L'istanza gestita gestisce automaticamente filegroup XTP e i file per i database contenenti oggetti di OLTP in memoriaManaged instance automatically manages XTP filegroup and files for databases containing In-Memory OLTP objects
  • L'istanza gestita supporta SQL Server Integration Services e può ospitare il catalogo SSIS, ovvero SSISDB, che archivia i pacchetti SSIS, che però vengono eseguiti in un'istanza gestita di Azure-SSIS Integration Runtime in Azure Data Factory. Per informazioni, vedere Creare Azure-SSIS Integration Runtime in Azure Data Factory.Managed instance supports SQL Server Integration Services (SSIS) and can host SSIS catalog (SSISDB) that stores SSIS packages, but they are executed on a managed Azure-SSIS Integration Runtime (IR) in Azure Data Factory (ADF), see Create Azure-SSIS IR in ADF. Per confrontare le funzioni SSIS nel database SQL, vedere Confrontare database singoli/pool elastici e l'istanza gestita di database SQL di Azure.To compare the SSIS features in SQL Database, see Compare Azure SQL Database single databases/elastic pools and managed instance.

Funzionalità di amministrazione dell'istanza gestitaManaged instance administration features

L'opzione di distribuzione dell'istanza gestita consente all'amministratore di sistema di risparmiare tempo nelle attività amministrative perché vengono automatizzate o semplificate dal servizio database SQL.The managed instance deployment option enables system administrator to spend less time on administrative tasks because the SQL Database service either performs them for you or greatly simplifies those tasks. Ad esempio, l'installazione del sistema operativo o di RDBMS e l'applicazione di patch, il ridimensionamento dinamico e la configurazione delle istanze, i backup, la replica di database (inclusi i database di sistema), la configurazione con disponibilità elevata e la configurazione di flussi di dati di monitoraggio delle prestazioni e dell'integrità.For example, OS / RDBMS installation and patching, dynamic instance resizing and configuration, backups, database replication (including system databases), high availability configuration, and configuration of health and performance monitoring data streams.

Importante

Per un elenco delle funzionalità supportate, parzialmente supportate e non supportate, vedere Funzionalità del Database SQL.For a list of supported, partially supported, and unsupported features, see SQL Database features. Per un elenco delle differenze di T-SQL nelle istanze gestite rispetto a SQL Server, vedere Differenze T-SQL tra l'istanza gestita e SQL ServerFor a list of T-SQL differences in managed instances versus SQL Server, see managed instance T-SQL differences from SQL Server

Come identificare un'istanza gestita a livello di codiceHow to programmatically identify a managed instance

La tabella seguente mostra diverse proprietà, accessibili tramite Transact SQL, che è possibile usare per rilevare se l'applicazione funziona con l'istanza gestita e recuperare proprietà importanti.The following table shows several properties, accessible through Transact SQL, that you can use to detect that your application is working with managed instance and retrieve important properties.

ProprietàProperty ValueValue CommentComment
@@VERSION Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation.Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation. Questo valore è uguale a quello del database SQL.This value is same as in SQL Database.
SERVERPROPERTY ('Edition') SQL AzureSQL Azure Questo valore è uguale a quello del database SQL.This value is same as in SQL Database.
SERVERPROPERTY('EngineEdition') 88 Questo valore identifica l'istanza gestita in modo univoco.This value uniquely identifies a managed instance.
@@SERVERNAME, SERVERPROPERTY ('ServerName')@@SERVERNAME, SERVERPROPERTY ('ServerName') Nome DNS completo dell'istanza nel formato seguente:<instanceName>.<dnsPrefix>.database.Windows.net, dove <instanceName> è il nome fornito dal cliente, mentre <dnsPrefix> è la parte del nome generata automaticamente che garantisce l'univocità del DNS globale (ad esempio "wcus17662feb9ce98")Full instance DNS name in the following format:<instanceName>.<dnsPrefix>.database.windows.net, where <instanceName> is name provided by the customer, while <dnsPrefix> is autogenerated part of the name guaranteeing global DNS name uniqueness ("wcus17662feb9ce98", for example) Esempio: my-managed-instance.wcus17662feb9ce98.database.windows.netExample: my-managed-instance.wcus17662feb9ce98.database.windows.net

Passaggi successiviNext steps