Что такое Управляемый экземпляр SQL Azure?

ОБЛАСТЬ ПРИМЕНЕНИЯ: Управляемый экземпляр SQL Azure

Управляемый экземпляр SQL Azure представляет собой интеллектуальную масштабируемую облачную службу базы данных, которая сочетает в себе широкую совместимость с ядром СУБД SQL Server и все преимущества полностью управляемой и актуальной платформы в формате PaaS. Управляемый экземпляр SQL практически полностью совместим с последним ядром СУБД SQL Server (Enterprise Edition) и предоставляет собственную реализацию виртуальной сети, в которой устранены распространенные проблемы безопасности, и бизнес-модель, подходящую для существующих клиентов SQL Server. Управляемый экземпляр SQL позволяет существующим клиентам SQL Server переместить локальные приложения в облако по методу lift-and-shift с минимальными изменениями в приложении и базе данных. При этом Управляемый экземпляр SQL сохраняет все возможности PaaS (автоматическое исправление и обновление версий, автоматическое резервное копирование, высокий уровень доступности), что значительно снижает расходы на управление и совокупную стоимость владения.

Если вы еще не работали с Управляемым экземпляром SQL Azure, посмотрите видеообзор Управляемого экземпляра SQL Azure из серии видео об SQL Azure:

Важно!

Список регионов, в которых сейчас доступен Управляемый экземпляр SQL, приведен в разделе Поддерживаемые регионы.

На следующей схеме представлены основные возможности Управляемого экземпляра SQL:

Основные возможности

Управляемый экземпляр SQL Azure предназначен для клиентов, которые хотят с минимальными усилиями перенести большое количество приложений из локальной, самостоятельно созданной, предоставленной в формате IaaS или независимым поставщиком среды в полностью управляемую облачную среду PaaS. С помощью полностью автоматизированной службы Azure Data Migration Service (DMS) клиенты могут по методу lift-and-shift перенести существующий экземпляр SQL Server в Управляемый экземпляр SQL, который обеспечивает совместимость с SQL Server и полную изоляцию экземпляров клиента со встроенной поддержкой виртуальной сети. Дополнительные сведения о вариантах и инструментах миграции см. в статье Общие сведения о миграции SQL Server в Управляемый экземпляр SQL Azure.
Программа Software Assurance позволяет обменять имеющиеся лицензии на сниженные тарифы на Управляемый экземпляр SQL с помощью Преимущества гибридного использования Azure для SQL Server. Управляемый экземпляр — лучший целевой объект для миграции в облако экземпляров SQL Server, требующих высокого уровня безопасности и расширенных возможностей программирования.

Совет

Помогите нам улучшить Azure SQL. Примите участие в опросе.

Основные функции и возможности

Управляемый экземпляр SQL сочетает в себе лучшие функции, доступные в Базе данных SQL Azure и ядре СУБД SQL Server.

Важно!

Управляемый экземпляр SQL поддерживает все функции последней версии SQL Server, включая операции в сети, автоматическое исправление планов и другие усовершенствования для повышения производительности организации. Сравнение доступных функций приведено в статье о сравнении функций Управляемого экземпляра SQL Azure и SQL Server.

Преимущества PaaS Непрерывность бизнес-процессов
Нет необходимости в приобретении оборудования и управления им
Отсутствие накладных расходов на управление базовой инфраструктурой
Быстрая подготовка и масштабирование службы
Автоматическое исправление и обновление версии
Интеграция с другими службами данных PaaS
Соглашение об уровне обслуживания с гарантией времени непрерывной работы 99,99 %.
Встроенный высокий уровень доступности
Данные защищены путем автоматического создания резервных копий
Период хранения резервных копий настраивается пользователем
Инициируемые пользователем резервные копии
Возможность восстановления базы данных до точки во времени
Безопасность и соответствие требованиям Управление
Изолированная среда (интеграция виртуальной сети, клиентская служба, выделенные ресурсы вычисления и хранилище)
Прозрачное шифрование данных (TDE)
Аутентификация Azure Active Directory, поддержка единого входа
Субъекты сервера (имена для входа) Azure AD
Соблюдение тех же стандартов соответствия, что и для Базы данных SQL Azure
Аудит SQL
Расширенная защита от угроз
Программный интерфейс Azure Resource Manager для автоматизации подготовки и масштабирования службы
Функциональные возможности портала Azure для подготовки и масштабирования службы вручную
Служба миграции данных

Важно!

Управляемый экземпляр SQL Azure сертифицирован по нескольким стандартам соответствия. Дополнительные сведения см. на странице предложений по соответствию Microsoft Azure, где в разделе База данных SQL представлен актуальный список сертификатов соответствия Управляемого экземпляра SQL.

В следующей таблице приведены основные возможности Управляемого экземпляра SQL:

Функция Описание
Версия и сборка SQL Server Ядро СУБД SQL Server (последняя стабильная версия)
Управляемые, автоматически создаваемые резервные копии Да
Встроенный мониторинг и метрики базы данных и экземпляра Да
Автоматическое применение исправления программного обеспечения Да
Возможности последней версии ядра СУБД Да
Число файлов данных (ROWS) в одной базе данных Несколько
Число файлов журнала (LOG) в одной базе данных 1
Виртуальная сеть — развертывание Azure Resource Manager Да
Виртуальная сеть — классическая модель развертывания Нет
Поддержка портала Да
Встроенная служба интеграции (службы SSIS) Нет. Службы SSIS входят в PaaS Фабрики данных Azure.
Встроенные службы Analysis Services (службы SSAS) Нет. Службы SSAS являются отдельным решением PaaS.
Встроенная служба отчетов (SSRS) Нет. Используйте вместо этого отчеты Power BI с разбивкой на страницы или разместите SSRS на виртуальной машине Azure. Хотя Управляемый экземпляр SQL не может запускать SSRS как службу, он может размещать базы данных каталога SSRS для сервера отчетов на виртуальной машине Azure, используя аутентификацию SQL Server.

Модель приобретения на основе виртуальных ядер

Модель приобретения на основе виртуальных ядер для Управляемого экземпляра SQL предоставляет гибкий, контролируемый, прозрачный и простой способ для переноса в облако локальной рабочей нагрузки с соблюдением всех требований. Эта модель позволяет изменять ресурсы ЦП, памяти и хранилища с учетом потребностей рабочих нагрузок. Модель на основе виртуальных ядер также обеспечивает экономию до 55 % при использовании Преимущества гибридного использования Azure для SQL Server.

Модель на основе виртуальных ядер позволяет выбрать поколение оборудования.

  • Логические ЦП 4-го поколения включают процессоры Intel® E5-2673 версии 3 (Haswell) с частотой 2,4 ГГц, подключенные диски SSD, физические ядра, 7 ГБ ОЗУ на ядро и объем вычислительных ресурсов от 8 до 24 виртуальных ядер.
  • Логические ЦП 5-го поколения включают процессоры Intel® E5-2673 версии 4 (Broadwell) с частотой 2,3 ГГц, Intel® SP-8160 (Skylake) и Intel® 8272CL (Cascade Lake) с частотой 2,5 ГГц, быстрые диски NVMe SSD, логические ядра с поддержкой технологии Hyper-Threading и объем вычислительных ресурсов от 4 до 80 виртуальных ядер.

Дополнительные сведения о различиях между поколениями оборудования приведены в разделе характеристик поколений оборудования.

Уровни службы

Управляемый экземпляр SQL доступен на двух уровнях служб:

  • Общего назначения. Для приложений с обычными требованиями к производительности и задержке ввода-вывода.
  • Критически важный для бизнеса. Для приложений с требованиями к низкой задержке ввода-вывода и минимальным воздействием основных операций обслуживания на рабочую нагрузку.

Оба уровня служб гарантируют доступность на уровне 99,99 % и позволяют вам независимо выбирать размер хранилища и вычислительную емкость. Дополнительные сведения об архитектуре Управляемого экземпляра SQL Azure с высоким уровнем доступности см. в статье Высокий уровень доступности для Базы данных SQL Azure и Управляемого экземпляра SQL.

Уровень служб общего назначения

Ниже перечислены ключевые характеристики уровня служб общего назначения:

  • Подходит для большинства бизнес-приложений со стандартными требованиями к производительности.
  • Высокопроизводительное хранилище BLOB-объектов Azure (8 ТБ).
  • Встроенный высокий уровень доступности на основе надежного Хранилища BLOB-объектов Azure и Azure Service Fabric.

Дополнительные сведения см. в статье Storage layer in General Purpose Azure SQL Managed Instance (Уровень хранилища в Управляемом экземпляре базы данных SQL Azure ценовой категории "Общего назначения") и статье с рекомендациями по оптимизации производительности хранилища и вопросами, касающимися Управляемого экземпляра SQL (общего назначения).

Дополнительные сведения о различиях между уровнями служб см. в разделе характеристик уровней служб.

Уровень служб "Критически важный для бизнеса"

Уровень служб "Критически важный для бизнеса" предназначен для приложений с высокими требованиями к операциям ввода-вывода. Он обеспечивает самую высокую отказоустойчивость благодаря использованию нескольких изолированных реплик.

Ниже приведены основные характеристики уровня служб "Критически важный для бизнеса".

Дополнительные сведения о различиях между уровнями служб см. в разделе характеристик уровней служб.

Операции управления

Управляемый экземпляр SQL Azure поддерживает операции управления, которые можно использовать для автоматического развертывания новых управляемых экземпляров и удаления ненужных, а также обновления свойств управляемых экземпляров. Подробное описание операций управления можно найти на странице обзорных сведений об операциях управления для управляемых экземпляров.

Расширенный уровень безопасности и соответствие требованиям

Управляемый экземпляр SQL поставляется с расширенными функциями безопасности, которые предоставляются платформой Azure и ядром СУБД SQL Server.

Изоляция безопасности

Управляемый экземпляр SQL обеспечивает дополнительную защиту путем изоляции от других арендаторов платформы Azure. Для обеспечения защиты путем изоляции необходимо следующее.

  • Собственная реализация виртуальной сети и подключение к локальной среде с помощью Azure Express Route или VPN-шлюза.
  • При развертывании по умолчанию конечная точка SQL предоставляется только через частный IP-адрес, что гарантирует безопасность подключений из частных или гибридных сетей Azure.
  • Отдельный клиент с выделенной базовой инфраструктурой (вычислений, хранения).

На следующей схеме показаны различные варианты подключения для приложений:

Высокий уровень доступности

Чтобы получить дополнительные сведения об интеграции виртуальной сети и политике сети на уровне подсети, ознакомьтесь со статьями Архитектура подключения к Управляемому экземпляру Базы данных SQL Azure и Подключение приложения к Управляемому экземпляру Базы данных SQL.

Важно!

Разместите несколько управляемых экземпляров в одной подсети, если это допускается требованиями к безопасности, так как это даст вам дополнительные преимущества. Выделение экземпляров в одной подсети значительно упростит обслуживание сетевой инфраструктуры и сократит время подготовки экземпляра, так как длительное предоставление ресурсов связано с затратами на развертывание первого управляемого экземпляра в подсети.

Функции безопасности

Управляемый экземпляр SQL Azure предоставляет набор расширенных функций безопасности, которые можно использовать для защиты данных.

  • Аудит Управляемого экземпляра SQL позволяет отслеживать события базы данных и записывать их в файл журнала аудита, размещенный в учетной записи хранения Azure. Аудит может помочь вам соблюсти требования нормативов, проанализировать работу с базой данных и получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности.
  • Шифрование данных при передаче: Управляемый экземпляр SQL защищает данные, шифруя их при передаче с помощью протокола TLS. В дополнение к протоколу TLS Управляемый экземпляр SQL реализует защиту конфиденциальных данных при передаче, хранении и во время обработки запроса с помощью функции Always Encrypted. Always Encrypted обеспечивает защиту данных от брешей, связанных с кражей критически важных данных. Например, функция Always Encrypted дает возможность всегда хранить в базе данных номера кредитных карт в зашифрованном виде, даже во время обработки запроса, позволяя авторизованному персоналу или обрабатывающему их приложению расшифровывать их только в момент использования.
  • Расширенная защита от угроз дополняет аудит, обеспечивая дополнительный уровень аналитики безопасности, встроенной в службу, которая выявляет подозрительные и потенциально опасные попытки получить доступ к базам данных или использовать их уязвимость. Вы получаете оповещения о подозрительных действиях, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностях в доступе к базам данных. Предупреждения Расширенной защиты от угроз можно просмотреть в Центре безопасности Azure. Они содержат сведения о подозрительных операциях и рекомендации по анализу причин угрозы и ее устранению.
  • Динамическое маскирование данных ограничивает возможность раскрытия конфиденциальных данных, маскируя их для обычных пользователей. Динамическое маскирование данных помогает предотвратить несанкционированный доступ к конфиденциальным данным, позволяя вам самостоятельно определить, какой объем конфиденциальных данных следует раскрывать с минимальным влиянием на уровне приложения. Эта функция безопасности на основе политики скрывает конфиденциальные данные в результирующем наборе запроса в заданных полях базы данных, а данные в базе данных не меняются.
  • Безопасность на уровне строк (RLS) позволяет управлять доступом к строкам в таблице базы данных с учетом характеристик пользователя, выполняющего запрос (таких как членство в группе или контекст выполнения). RLS упрощает проектирование и программирование функций безопасности в приложении. RLS позволяет реализовать ограничения доступа к строкам данных. Например, обеспечьте сотрудникам доступ только к тем строкам данных, которые имеют отношение к их отделу, или только к тем данным, которые относятся к ним.
  • Прозрачное шифрование данных (TDE) позволяет шифровать файлы данных Управляемого экземпляра SQL, что является шифрованием неактивных данных. Функция прозрачного шифрования данных выполняет шифрование и дешифрование ввода-вывода в реальном времени для файлов данных и журналов. При шифровании используется ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных, где можно получить к нему доступ при восстановлении. Вы можете защитить все свои базы данных в управляемом экземпляре с помощью прозрачного шифрования данных. Прозрачное шифрование данных — это надежная технология шифрования данных, хранимых в SQL Server, которая является обязательной для многих стандартов соответствия и обеспечивает защиту от кражи носителей данных.

Перемещение зашифрованной базы данных в Управляемый экземпляр SQL поддерживается через службу Azure Database Migration Service или собственное восстановление. Если вы планируете перемещение зашифрованной базы данных, используя собственное восстановление, то нужно перенести существующий сертификат TDE из экземпляра SQL Server в Управляемый экземпляр SQL. Дополнительные сведения о вариантах перемещения см. в статье Миграция экземпляра SQL Server в Управляемый экземпляр SQL Azure.

Интеграция Azure Active Directory

Управляемый экземпляр SQL поддерживает стандартные имена для входа СУБД SQL Server и имена для входа, интегрированные с Azure Active Directory. Субъекты сервера (имена для входа) Azure AD (общедоступная предварительная версия) представляют собой версию локальных имен для входа в базы данных, которые вы используете в локальной среде, для облака Azure. Субъекты сервера (имена для входа) Azure AD позволяют указать пользователей и группы из арендатора Azure Active Directory в качестве субъектов области экземпляров, которые могут выполнять любые операции на уровне экземпляра, включая запросы между базами данных в одном управляемом экземпляре.

Появился новый синтаксис для создания субъектов сервера (имен для входа) Azure AD — FROM EXTERNAL PROVIDER. Дополнительные сведения о синтаксисе см. в статье CREATE LOGIN (Transact-SQL) и в разделе о подготовке администратора Azure Active Directory для Управляемого экземпляра SQL.

Интеграция Azure Active Directory и Многофакторная идентификация

Управляемый экземпляр SQL позволяет централизованно управлять удостоверениями пользователя базы данных и другими службами Майкрософт с помощью интеграции Azure Active Directory. Эта возможность упрощает управление разрешениями и повышает уровень безопасности. Azure Active Directory поддерживает многофакторную проверку подлинности для повышения безопасности данных и приложений, а также процесс единого входа.

Аутентификация

В ходе аутентификации в Управляемом экземпляре SQL пользователям предлагается подтвердить их личность при подключении к базе данных. Управляемый экземпляр SQL поддерживает два типа аутентификации:

  • Аутентификация SQL.

    Это метод аутентификации с использованием имени пользователя и пароля.

  • Аутентификация Azure Active Directory.

    Это метод аутентификации с использованием удостоверений, контролируемых Azure Active Directory, которая поддерживается управляемыми и интегрированными доменами. По возможности используйте проверку подлинности Active Directory (встроенная безопасность).

Авторизация

Авторизация определяет набор действий, которые пользователь может выполнять в Управляемом экземпляре SQL Azure. Такой набор зависит от принадлежности учетной записи пользователя к ролям базы данных и разрешений на уровне объектов. Управляемый экземпляр SQL имеет такие же возможности авторизации, что и SQL Server 2017.

Миграция базы данных

Управляемый экземпляр SQL предназначен для пользовательских сценариев, требующих массового переноса баз данных из реализаций локальной базы данных или базы данных IaaS. Управляемый экземпляр SQL поддерживает несколько вариантов миграции баз данных, которые рассмотрены в руководствах по миграции. Подробные сведения см. в статье Общие сведения о миграции SQL Server в Управляемый экземпляр SQL Azure.

Резервное копирование и восстановление

При перемещении используются резервные копии SQL, сохраненные в хранилище BLOB-объектов Azure. Резервные копии, хранимые в Хранилище BLOB-объектов Azure, можно восстановить непосредственно в управляемый экземпляр с помощью команды T-SQL RESTORE.

Важно!

Резервные копии из управляемого экземпляра можно восстановить только в другом управляемом экземпляре. Их нельзя восстановить в экземпляре SQL Server или в Базе данных SQL Azure.

Database Migration Service

Azure Database Migration Service — это полностью управляемая служба, которая выполняет непрерывную миграцию из множества источников баз данных на платформы данных Azure с минимальным временем простоя. Эта служба упрощает выполнение задач, необходимых для перемещения имеющихся сторонних баз данных и баз данных SQL Server в Базу данных SQL Azure, Управляемый экземпляр SQL Azure и SQL Server на виртуальной машине Azure. Дополнительные сведения см. в руководстве по миграции из SQL Server в Управляемый экземпляр SQL Azure в автономном режиме с помощью DMS.

Поддерживаемые функции SQL

Управляемый экземпляр SQL стремится обеспечивать почти полную совместимость с последней версией SQL Server (предусмотрен многоэтапный план выпуска). Сравнение функций Базы данных SQL Azure и Управляемого экземпляра SQL см. в этой статье, а список различий T-SQL между Управляемым экземпляром SQL и SQL Server — здесь.

Управляемый экземпляр SQL поддерживает обратную совместимость с базами данных SQL Server 2008. Поддерживается прямой перенос из серверов баз данных SQL Server 2005, а уровень совместимости для перенесенных баз данных SQL Server 2005 обновлен до версии SQL Server 2008.

На следующей схеме показана контактная зона совместимости в Управляемом экземпляре SQL:

Контактная зона совместимости

Основные различия между локальным SQL Server и Управляемым экземпляром SQL

Управляемый экземпляр SQL в облаке постоянно обновляется. Это означает, что некоторые компоненты SQL Server могут быть устаревшими, больше не использоваться или иметь альтернативные варианты. В некоторых конкретных случаях инструменты должны определять, что определенный компонент работает нестандартным образом или служба работает в среде, которую вы контролируете не полностью.

Некоторые ключевые отличия:

  • Высокий уровень доступности уже встроен и настроен с использованием технологии, аналогичной группам доступности AlwaysOn.
  • Поддерживаются только автоматическое резервное копирование и восстановление до точки во времени. Клиент может инициировать команды резервного копирования copy-only, которые не препятствуют работе цепочки автоматического резервного копирования.
  • Не поддерживается указание полных физических путей, поэтому поддержку всех сценариев работы с ними необходимо обеспечить иначе: RESTORE DB не поддерживает WITH MOVE, для CREATE DB нельзя применять физические пути, а BULK INSERT работает только с большими двоичными объектами Azure и т. д.
  • Управляемый экземпляр SQL поддерживает аутентификацию Azure AD в качестве облачной альтернативы аутентификации Windows.
  • Управляемый экземпляр SQL автоматически управляет файловыми группами и файлами с механизмом XTP для баз данных, содержащих объекты выполняющейся в памяти OLTP.
  • Управляемый экземпляр SQL поддерживает службы SQL Server Integration Services (SSIS) и может размещать каталог SSIS (SSISDB), в котором хранятся пакеты SSIS, но эти пакеты выполняются в управляемой среде Azure SSIS Integration Runtime (IR) в службе "Фабрика данных Azure" (ADF). Подробные сведения см. в статье о создании Azure SSIS IR в ADF. Сравнение функций служб SSIS см. в разделе Сравнение базы данных SQL с Управляемым экземпляром SQL.

Функции администрирования

Управляемый экземпляр SQL позволяет системному администратору тратить меньше времени на административные задачи, так как служба выполняет их сама или значительно упрощает их. Например, установка ОС и реляционной СУБД или применение исправлений для них, динамическое изменение размера и настройка экземпляра, резервное копирование, репликация базы данных (включая системные базы данных), настройка высокого уровня доступности, настройка потоков данных для мониторинга работоспособности и производительности.

Дополнительные сведения см. в статьях о поддерживаемых и неподдерживаемых функциях Управляемого экземпляра SQL и различиях T-SQL между Управляемым экземпляром SQL и SQL Server.

Программное определение управляемого экземпляра

В таблице ниже приведены некоторые свойства, доступные через Transact-SQL, которые можно использовать для определения того, работает ли приложение с Управляемым экземпляром SQL, а также для получения важных свойств.

Свойство Значение Комментировать
@@VERSION Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation. Это значение совпадает со значением в базе данных SQL. Это не касается ядра SQL версии 12 (SQL Server 2014). Управляемый экземпляр SQL всегда запускает последнюю стабильную версию ядра SQL, номер которой равен или больше номера последней доступной RTM-версии SQL Server.
SERVERPROPERTY ('Edition') SQL Azure Это значение совпадает со значением в базе данных SQL.
SERVERPROPERTY('EngineEdition') 8 Данное значение уникально идентифицирует управляемый экземпляр.
@@SERVERNAME, SERVERPROPERTY ('ServerName') Полное DNS-имя экземпляра в формате <instanceName>.<dnsPrefix>.database.windows.net, где <instanceName> — имя, предоставленное клиентом, а <dnsPrefix> — автоматически формируемая часть имени, гарантируемая уникальность глобального DNS-имени (например, "wcus17662feb9ce98"). Пример: my-managed-instance.wcus17662feb9ce98.database.windows.net

Дальнейшие действия