Использование расширенной защиты данных Базы данных SQL с виртуальными сетями и почти полной совместимостьюUse SQL Database advanced data security with virtual networks and near 100% compatibility

Управляемый экземпляр является новой моделью развертывания базы данных SQL Azure. Она обеспечивает практически полную совместимость с последним ядром СУБД локальной версии SQL Server (Enterprise Edition), предоставляя собственную реализацию виртуальной сети, устраняющую распространенные проблемы безопасности и бизнес-модель, подходящую для клиентов локальной версии SQL Server.Managed instance is a new deployment option of Azure SQL Database, providing near 100% compatibility with the latest SQL Server on-premises (Enterprise Edition) Database Engine, providing a native virtual network (VNet) implementation that addresses common security concerns, and a business model favorable for on-premises SQL Server customers. Модель развертывания "Управляемый экземпляр" позволяет существующим клиентам SQL Server переместить их локальные приложения в облако методом lift-and-shift с минимальными изменениями приложения и базы данных.The managed instance deployment model allows existing SQL Server customers to lift and shift their on-premises applications to the cloud with minimal application and database changes. При этом эта модель развертывания сохраняет все возможности PaaS (автоматическое исправление и обновление версии, автоматическое резервное копирование, высокий уровень доступности), что значительно снижает расходы на управление и совокупную стоимость владения.At the same time, the managed instance deployment option preserves all PaaS capabilities (automatic patching and version updates, automated backups, high-availability ), that drastically reduces management overhead and TCO.

Важно!

Список регионов, в которых в настоящее время доступен вариант развертывания "Управляемый экземпляр", см. в разделе Поддерживаемые регионы.For a list of regions in which the managed instance deployment option is currently available, see supported regions.

На следующем рисунке показаны основные возможности управляемого экземпляра:The following diagram outlines key features of managed instances:

Основные возможности

Модель развертывания в виде управляемого экземпляра предназначена для клиентов, которые хотят перенести большое количество приложений из локальной среды или среды IaaS, самостоятельно созданной среды или среды, предоставленной ISV, в полностью управляемую облачную среду PaaS с минимальными усилиями.The managed instance deployment model is designed for customers looking to migrate a large number of apps from on-premises or IaaS, self-built, or ISV provided environment to fully managed PaaS cloud environment, with as low migration effort as possible. С помощью полностью автоматизированной службы Data Migration Service (DMS) в Azure клиенты могут методом lift-and-shift переносить локальный экземпляр SQL Server на управляемый экземпляр, который обеспечивает совместимость с SQL Server в локальной среде и полную изоляцию экземпляров клиента с поддержкой собственной виртуальной сети.Using the fully automated Data Migration Service (DMS) in Azure, customers can lift and shift their on-premises SQL Server to a managed instance that offers compatibility with SQL Server on-premises and complete isolation of customer instances with native VNet support. В программе Software Assurance можно обменять имеющиеся лицензии, чтобы получить сниженные тарифы на управляемый экземпляр при использовании программы Преимущество гибридного использования Azure для SQL Server.With Software Assurance, you can exchange their existing licenses for discounted rates on a managed instance using the Azure Hybrid Benefit for SQL Server. Управляемый экземпляр — лучший целевой объект миграции в облаке для экземпляров SQL Server, требующих высокого уровня безопасности и расширенных возможностей программирования.A managed instance is the best migration destination in the cloud for SQL Server instances that require high security and a rich programmability surface.

Вариант развертывания в виде управляемого экземпляра будет обеспечивать совместимость с последней версией локального SQL Server на уровне практически 100 % (предусмотрен многоэтапный план выпуска).The managed instance deployment option aims delivers close to 100% surface area compatibility with the latest on-premises SQL Server version through a staged release plan.

Чтобы выбрать между вариантом развертывания в виде отдельной базы данных, базы данных в пуле и управляемого экземпляра Базы данных SQL Azure, а также в SQL Server на виртуальной машине, ознакомьтесь со статьей Выбор правильного варианта SQL Server в Azure — PaaS или IaaS.To decide between the Azure SQL Database deployment options: single database, pooled database, and managed instance, and SQL Server hosted in virtual machine, see how to choose the right version of SQL Server in Azure.

Основные функции и возможностиKey features and capabilities

Управляемый экземпляр сочетает в себе лучшие функции, доступные в Базе данных SQL Azure и ядре СУБД SQL Server.Managed instance combines the best features that are available both in Azure SQL Database and SQL Server Database Engine.

Важно!

Управляемый экземпляр поддерживает все функции последней версии SQL Server, включая операции в сети, автоматическое исправление планов и другие усовершенствования для повышения производительности организации.A managed instance runs with all of the features of the most recent version of SQL Server, including online operations, automatic plan corrections, and other enterprise performance enhancements. Сравнение доступных функций приведено в разделе Сравнение функций Базы данных SQL Azure и SQL Server.A Comparison of the features available is explained in Feature comparison: Azure SQL Database versus SQL Server.

Преимущества PaaSPaaS benefits Непрерывность бизнес-процессовBusiness continuity
Нет необходимости в приобретении оборудования и управления имNo hardware purchasing and management
Отсутствие накладных расходов на управление базовой инфраструктуройNo management overhead for managing underlying infrastructure
Быстрая подготовка и масштабирование службыQuick provisioning and service scaling
Автоматическое исправление и обновление версииAutomated patching and version upgrade
Интеграция с другими службами данных PaaSIntegration with other PaaS data services
Соглашение об уровне обслуживания с гарантией времени непрерывной работы 99,99 %.99.99% uptime SLA
Встроенный высокий уровень доступностиBuilt in high-availability
Данные защищены путем автоматического создания резервных копийData protected with automated backups
Период хранения резервных копий настраивается пользователемCustomer configurable backup retention period
Инициируемые пользователем резервные копииUser-initiated backups
Возможность восстановления базы данных до точки во времениPoint in time database restore capability
Безопасность и соответствие требованиямSecurity and compliance УправлениеManagement
Изолированная среда (интеграция виртуальной сети, клиентская служба, выделенные ресурсы вычисления и хранилище)Isolated environment (VNet integration, single tenant service, dedicated compute and storage)
Прозрачное шифрование данных (TDE)Transparent data encryption (TDE)
Проверка подлинности Azure AD, поддержка единого входаAzure AD authentication, single sign-on support
Субъекты сервера (имена для входа) Azure AD (общедоступная предварительная версия)Azure AD server principals (logins) (public preview)
Соблюдение тех же стандартов соответствия, что и База данных SQL AzureAdheres to compliance standards same as Azure SQL database
Аудит SQLSQL auditing
обнаружение угрозthreat detection
Программный интерфейс Azure Resource Manager для автоматизации подготовки и масштабирования службыAzure Resource Manager API for automating service provisioning and scaling
Функциональные возможности портала Azure для подготовки и масштабирования службы вручнуюAzure portal functionality for manual service provisioning and scaling
Служба миграции данныхData Migration Service

Важно!

База данных SQL Azure (все параметры развертывания), сертифицирована для нескольких стандартов соответствия.Azure SQL Database (all deployment options), has been certified against a number of compliance standards. Дополнительные сведения см. в разделе Центр управления безопасностью Microsoft Azure где можно найти актуальный список сертификатов соответствия базы данных SQL.For more information, see the Microsoft Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

В следующей таблице показаны основные возможности управляемого экземпляра.The key features of managed instances are shown in the following table:

КомпонентFeature ОписаниеDescription
Версия и сборка SQL ServerSQL Server version / build Ядро СУБД SQL Server (последняя стабильная версия)SQL Server Database Engine (latest stable)
Управляемые, автоматически создаваемые резервные копииManaged automated backups ДаYes
Встроенный мониторинг и метрики базы данных и экземпляраBuilt-in instance and database monitoring and metrics ДаYes
Автоматическое применение исправления программного обеспеченияAutomatic software patching ДаYes
Новейшие функции ядра СУБДThe latest Database Engine features ДаYes
Число файлов данных (ROWS) в одной базе данныхNumber of data files (ROWS) per the database НесколькоMultiple
Число файлов журнала (LOG) в одной базе данныхNumber of log files (LOG) per database 11
Виртуальная сеть — развертывание Azure Resource ManagerVNet - Azure Resource Manager deployment ДаYes
Виртуальная сеть — классическая модель развертыванияVNet - Classic deployment model НетNo
Поддержка порталаPortal support ДаYes
Встроенная служба интеграции (службы SSIS)Built-in Integration Service (SSIS) Нет. Службы SSIS входят в PaaS Фабрики данных Azure.No - SSIS is a part of Azure Data Factory PaaS
Встроенные службы Analysis Services (службы SSAS)Built-in Analysis Service (SSAS) Нет. Службы SSAS являются отдельным решением PaaS.No - SSAS is separate PaaS
Встроенная служба отчетов (SSRS)Built-in Reporting Service (SSRS) Нет. Используйте Power BI или IaaS SSRS.No - use Power BI or SSRS IaaS

Модель приобретения на основе виртуальных ядерvCore-based purchasing model

Модель покупки на основе виртуальных ядер в управляемом экземпляре обеспечивает больше гибкости, контроля и прозрачности. Это простой способ перенести свои требования к локальной рабочей нагрузке в облако.The vCore-based purchasing model for managed instances gives you flexibility, control, transparency, and a straightforward way to translate on-premises workload requirements to the cloud. Эта модель позволяет изменять ресурсы ЦП, памяти и хранилища с учетом потребностей рабочих нагрузок.This model allows you to change compute, memory, and storage based upon your workload needs. Модель на основе виртуальных ядер также обеспечивает экономию до 30 % при использовании программы Преимущество гибридного использования Azure для SQL Server.The vCore model is also eligible for up to 30 percent savings with the Azure Hybrid Benefit for SQL Server.

В модели на основе виртуальных ядер можно выбрать поколение оборудования.In vCore model, you can choose between generations of hardware.

  • В поколении 4 логических ЦП используются процессоры Intel E5-2673 версии 3 (Haswell) с частотой 2,4 ГГц, подключенные диски SSD, физические ядра, 7 ГБ ОЗУ на ядро и вычислительные ресурсы от 8 до 24 виртуальных ядер.Gen4 Logical CPUs are based on Intel E5-2673 v3 (Haswell) 2.4-GHz processors, attached SSD, physical cores, 7GB RAM per core, and compute sizes between 8 and 24 vCores.
  • 5-го поколения логических ЦП основаны на процессорах Intel E5-2673 v4 (Broadwell) 2,3 ГГц, быстрый NVMe SSD, поддержкой технологии hyper threading логическое ядро и вычисления размеров от 4 до 80 ядер.Gen5 Logical CPUs are based on Intel E5-2673 v4 (Broadwell) 2.3-GHz processors, fast NVMe SSD, hyper-threaded logical core, and compute sizes between 4 and 80 cores.

Дополнительные сведения о различиях между поколениями оборудования приведены в разделе Характеристики поколения оборудования.Find more information about the difference between hardware generations in managed instance resource limits.

Важно!

Новые 4-го поколения базы данных больше не поддерживаются в регионе, AustraliaEast.New Gen4 databases are no longer supported in the AustraliaEast region.

Уровни служб управляемого экземпляраManaged instance service tiers

Управляемый экземпляр доступен на двух уровнях служб:Managed instance is available in two service tiers:

  • Общего назначения. Для приложений с обычными требованиями к производительности и задержке ввода-вывода.General purpose: Designed for applications with typical performance and IO latency requirements.
  • Критически важный для бизнеса. Для приложений с низкими требованиями к задержке ввода-вывода и минимальным воздействием основных операций обслуживания на рабочую нагрузку.Business critical: Designed for applications with low IO latency requirements and minimal impact of underlying maintenance operations on the workload.

Оба уровня служб гарантируют доступность на уровне 99,99 % и позволяют вам независимо выбирать размер хранилища и вычислительную емкость.Both service tiers guarantee 99.99% availability and enable you to independently select storage size and compute capacity. Дополнительные сведения об архитектуре Базы данных SQL Azure с высоким уровнем доступности см. в статье Высокая доступность и База данных SQL Azure.For more information on the high availability architecture of Azure SQL Database, see High availability and Azure SQL Database.

Уровень служб общего назначенияGeneral purpose service tier

Ниже перечислены ключевые характеристики уровня служб общего назначения.The following list describes key characteristic of the General Purpose service tier:

  • Предназначен для большинства бизнес-приложений с обычными требованиями к производительности.Design for the majority of business applications with typical performance requirements
  • Высокопроизводительное хранилище BLOB-объектов Azure (8 ТБ).High-performance Azure Blob storage (8 TB)
  • Встроенный высокий уровень доступности на основе надежного хранилища BLOB-объектов Azure и Azure Service Fabric.Built-in high-availability based on reliable Azure Blob storage and Azure Service Fabric

Дополнительные сведения см. в статье об уровне хранилища в ценовой категории "Общего назначения", а также в статье с рекомендациями по оптимизации производительности хранилища и вопросами, касающимися управляемых экземпляров (общего назначения).For more information, see storage layer in general purpose tier and storage performance best practices and considerations for managed instances (general purpose).

Дополнительные сведения о различиях между уровнями служб см. в разделе Характеристики уровней служб.Find more information about the difference between service tiers in managed instance resource limits.

Уровень служб "Критически важный для бизнеса"Business Critical service tier

Уровень служб "Критически важный для бизнеса" предназначен для приложений с высокими требованиями к операциям ввода-вывода.Business Critical service tier is built for applications with high IO requirements. Предлагает самую высокую отказоустойчивость к сбоям благодаря использованию нескольких изолированных реплик.It offers highest resilience to failures using several isolated replicas.

Ниже приведены основные характеристики уровня служб "Критически важный для бизнеса".The following list outlines the key characteristics of the Business Critical service tier:

Дополнительные сведения о различиях между уровнями служб см. в разделе Характеристики уровней служб.Find more information about the difference between service tiers in managed instance resource limits.

Расширенный уровень безопасности и соответствие требованиямAdvanced security and compliance

Вариант развертывания в виде управляемого экземпляра сочетает в себе расширенные функции безопасности, предоставляемые облаком Azure и ядром СУБД SQL Server.The managed instance deployment option combines advanced security features provided by Azure cloud and SQL Server Database Engine.

Обеспечение защиты управляемого экземпляра путем изоляцииManaged instance security isolation

Управляемый экземпляр предоставляет дополнительную защиту путем изоляции от других клиентов в облаке Azure.A managed instance provides additional security isolation from other tenants in the Azure cloud. Для обеспечения защиты путем изоляции необходимо следующее.Security isolation includes:

  • Собственная реализованная виртуальная сеть и подключение к локальной среде с помощью Azure Express Route или VPN-шлюза.Native virtual network implementation and connectivity to your on-premises environment using Azure Express Route or VPN Gateway.
  • В стандартном развертывании конечной точки SQL предоставляется только через частный IP-адрес, разрешающий безопасные подключения из Azure в частной или гибридной сетей.In a default deployment, SQL endpoint is exposed only through a private IP address, allowing safe connectivity from private Azure or hybrid networks.
  • Отдельный клиент с выделенной базовой инфраструктурой (вычислений, хранения).Single-tenant with dedicated underlying infrastructure (compute, storage).

На следующей схеме показаны различные варианты подключения для приложений:The following diagram outlines various connectivity options for your applications:

высокий уровень доступности

Чтобы получить дополнительные сведения об интеграции виртуальной сети и политике сети на уровне подсети, ознакомьтесь со статьями Архитектура подключения к Управляемому экземпляру Базы данных SQL Azure и Подключение приложения к Управляемому экземпляру Базы данных SQL.To learn more details about VNet integration and networking policy enforcement at the subnet level, see VNet architecture for managed instances and Connect your application to a managed instance.

Важно!

Поместите несколько управляемых экземпляров в той же подсети, везде, где это разрешено требованиями к безопасности, так как это создаст дополнительные преимущества.Place multiple managed instance in the same subnet, wherever that is allowed by your security requirements, as that will bring you additional benefits. Выделение экземпляров в одной и той же подсети значительно упростит обслуживание сетевой инфраструктуры и сократит время подготовки экземпляра, так как длительное предоставление ресурсов связано с затратами на развертывание первого управляемого экземпляра в подсети.Collocating instances in the same subnet will significantly simplify networking infrastructure maintenance and reduce instance provisioning time, since long provisioning duration is associated with the cost of deploying the first managed instance in a subnet.

Возможности безопасности Базы данных SQL AzureAzure SQL Database Security Features

База данных SQL Azure предоставляет набор расширенных функций безопасности, которые можно использовать для защиты данных.Azure SQL Database provides a set of advanced security features that can be used to protect your data.

  • Аудит управляемого экземпляра позволяет отслеживать события базы данных и записывать их в файл журнала аудита, размещенный в учетной записи хранения Azure.Managed instance auditing tracks database events and writes them to an audit log file placed in your Azure storage account. Аудит может помочь соблюдать стандарты, проанализировать работу с базой данных и получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности.Auditing can help maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.
  • Шифрование данных при передаче: управляемый экземпляр защищает данные, шифруя их при передаче с помощью протокола TLS.Data encryption in motion - a managed instance secures your data by providing encryption for data in motion using Transport Layer Security. В дополнение к применению протокола TLS вариант развертывания в виде управляемого экземпляра обеспечивает защиту конфиденциальных данных в процессе использования, при хранении и во время обработки запроса с помощью функции Always Encrypted.In addition to transport layer security, the managed instance deployment option offers protection of sensitive data in flight, at rest and during query processing with Always Encrypted. Функция Always Encrypted — первая в отрасли функция, которая предлагает непревзойденную защиту данных от взлома, включая кражу чрезвычайно важных данных.Always Encrypted is an industry-first that offers unparalleled data security against breaches involving the theft of critical data. Например, функция Always Encrypted дает возможность всегда хранить в базе данных номера кредитных карт в зашифрованном виде, даже во время обработки запроса, позволяя авторизованному персоналу или обрабатывающему их приложению расшифровывать их только в момент использования.For example, with Always Encrypted, credit card numbers are stored encrypted in the database always, even during query processing, allowing decryption at the point of use by authorized staff or applications that need to process that data.
  • Функция обнаружения угроз дополняет аудит, обеспечивая дополнительный уровень аналитики безопасности, встроенной в службу, которая выявляет подозрительные и потенциально опасные попытки получить доступ к базам данных или использовать их уязвимость.Threat detection complements auditing by providing an additional layer of security intelligence built into the service that detects unusual and potentially harmful attempts to access or exploit databases. Вы получаете оповещения о подозрительных действиях, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностях в доступе к базам данных.You are alerted about suspicious activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access patterns. Оповещения об обнаружении угроз можно просмотреть в Центре безопасности Azure, который предоставляет сведения о подозрительных операциях и дает рекомендации о том, как определить причину угрозы и устранить ее.Threat detection alerts can be viewed from Azure Security Center and provide details of suspicious activity and recommend action on how to investigate and mitigate the threat.
  • Динамическое маскирование данных ограничивает возможность раскрытия конфиденциальных данных, маскируя их для обычных пользователей.Dynamic data masking limits sensitive data exposure by masking it to non-privileged users. Динамическое маскирование данных помогает предотвратить несанкционированный доступ к конфиденциальным данным, позволяя вам самостоятельно определить, какой объем конфиденциальных данных следует раскрывать с минимальным влиянием на уровне приложения.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling you to designate how much of the sensitive data to reveal with minimal impact on the application layer. Эта функция работает на основе политики безопасности, скрывая конфиденциальные данные в результирующем наборе запроса по заданным полям базы данных, не меняя сами данные в базе данных.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.
  • Безопасность на уровне строк позволяет управлять доступом к строкам в таблице базы данных в зависимости от характеристик пользователя, выполняющего запрос (например, членство в группе или контекст выполнения).Row-level security enables you to control access to rows in a database table based on the characteristics of the user executing a query (such as by group membership or execution context). Безопасность на уровне строк (RLS) упрощает проектирование и программирование безопасности в приложении.Row-level security (RLS) simplifies the design and coding of security in your application. RLS позволяет реализовать ограничения доступа к строкам данных.RLS enables you to implement restrictions on data row access. Например, обеспечьте сотрудникам доступ только к тем строкам данных, которые имеют отношение к их отделу, или только к тем данным, которые относятся к ним.For example, ensuring that workers can access only the data rows that are pertinent to their department, or restricting a data access to only the relevant data.
  • Прозрачное шифрование данных (TDE) позволяет шифровать файлы данных управляемого экземпляра. Это называется шифрованием неактивных данных.Transparent data encryption (TDE) encrypts managed instance data files, known as encrypting data at rest. TDE выполняет шифрование операций ввода-вывода в режиме реального времени, а также расшифровку файлов данных и журналов.TDE performs real-time I/O encryption and decryption of the data and log files. Шифрование использует ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для обеспечения доступности во время восстановления.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. Вы можете защитить все свои базы данных в управляемом экземпляре с помощью прозрачного шифрования данных.You can protect all your databases in a managed instance with transparent data encryption. Прозрачное шифрование данных — это надежная технология шифрования данных на месте SQL Server, требуемая многими стандартами соответствия для защиты носителя данных от кражи.TDE is SQL Server’s proven encryption-at-rest technology that is required by many compliance standards to protect against theft of storage media.

Перемещение зашифрованной базы данных в управляемый экземпляр поддерживается через службу Azure Database Migration Service (DMS) или собственное восстановление.Migration of an encrypted database to a managed instance is supported via the Azure Database Migration Service (DMS) or native restore. Если вы планируете переносить зашифрованная база данных с помощью собственного восстановления, миграции существующих прозрачное шифрование данных сертификата из локального SQL Server или SQL Server на виртуальной машине в управляемый экземпляр — это обязательный шаг.If you plan to migrate an encrypted database using native restore, migration of the existing TDE certificate from the SQL Server on-premises or SQL Server in a virtual machine to a managed instance is a required step. Дополнительные сведения о параметрах перемещения см. в статье Перенос экземпляра SQL Server в Управляемый экземпляр Базы данных SQL Azure.For more information about migration options, see SQL Server instance migration to managed instance.

Интеграция Azure Active DirectoryAzure Active Directory Integration

Вариант развертывания в виде управляемого экземпляра поддерживает стандартный вход СУБД SQL Server и вход, интегрированный с Azure Active Directory (AAD).The managed instance deployment option supports traditional SQL server Database engine logins and logins integrated with Azure Active Directory (AAD). Субъекты сервера (имена для входа) Azure AD (предварительная версия) представляют собой облачную версию Azure локальных имен для входа базы данных, которые вы используете в своей локальной среде.Azure AD server principals (logins) (public preview) are Azure cloud version of on-premises database logins that you are using in your on-premises environment. Субъекты сервера (имена для входа) Azure AD позволяют указать пользователей и группы из вашего клиента Azure Active Directory как субъектов области экземпляров, которые могут выполнять любые операции на уровне экземпляра, включая запросы между базами данных в одном и том же управляемом экземпляре.Azure AD server principals (logins) enables you to specify users and groups from your Azure Active Directory tenant as true instance-scoped principals, capable of performing any instance-level operation, including cross-database queries within the same managed instance.

Появился новый синтаксис для создания субъектов сервера (имен для входа) Azure AD (общедоступная предварительная версия) — FROM EXTERNAL PROVIDER.A new syntax is introduced to create Azure AD server principals (logins) (public preview), FROM EXTERNAL PROVIDER. Дополнительные сведения о синтаксисе см. в статье CREATE LOGIN (Transact-SQL) и в статье Подготовка администратора Azure Active Directory для управляемого экземпляра.For more information on the syntax, see CREATE LOGIN, and review the Provision an Azure Active Directory administrator for your managed instance article.

Интеграция Azure Active Directory и Многофакторная идентификацияAzure Active Directory integration and multi-factor authentication

Вариант развертывания в виде управляемого экземпляра позволяет централизованно управлять удостоверениями пользователя базы данных и другими службами Майкрософт с помощью интеграции Azure Active Directory.The managed instance deployment option enables you to centrally manage identities of database user and other Microsoft services with Azure Active Directory integration. Эта возможность упростила управление разрешениями и повысила уровень безопасности.This capability simplified permission management and enhances security. Azure Active Directory поддерживает Многофакторную идентификацию (MFA) для повышения безопасности данных и приложений, поддерживая процесс единого входа.Azure Active Directory supports multi-factor authentication (MFA) to increase data and application security while supporting a single sign-on process.

AuthenticationAuthentication

В процессе проверки подлинности управляемого экземпляра пользователям предлагается подтвердить их личность при подключении к базе данных.Managed instance authentication refers to how users prove their identity when connecting to the database. База данных SQL поддерживает два типа аутентификации:SQL Database supports two types of authentication:

  • Аутентификация SQL.SQL Authentication:

    Это метод аутентификации с использованием имени пользователя и пароля.This authentication method uses a username and password.

  • Аутентификация Azure Active Directory.Azure Active Directory Authentication:

    Это метод аутентификации с использованием удостоверений, контролируемых Azure Active Directory, которая поддерживается управляемыми и интегрированными доменами.This authentication method uses identities managed by Azure Active Directory and is supported for managed and integrated domains. По возможности используйте проверку подлинности Active Directory (встроенная безопасность).Use Active Directory authentication (integrated security) whenever possible.

АвторизацияAuthorization

Процесс проверки подлинности включает в себя набор действий, которые пользователь может выполнять в базе данных SQL Azure. Этот набор действий определяется принадлежностью учетной записи пользователя к ролям базы данных и разрешениями на уровне объектов.Authorization refers to what a user can do within an Azure SQL Database, and is controlled by your user account's database role memberships and object-level permissions. Управляемый экземпляр имеет такие же возможности авторизации, что и SQL Server 2017.A Managed instance has same authorization capabilities as SQL Server 2017.

Миграция баз данныхDatabase migration

Вариант развертывания в виде управляемого экземпляра предназначен для пользовательских сценариев, требующих массового переноса баз данных из реализаций локальной базы данных или базы данных IaaS.The managed instance deployment option targets user scenarios with mass database migration from on-premises or IaaS database implementations. Управляемый экземпляр поддерживает несколько вариантов переноса базы данных.Managed instance supports several database migration options:

Архивация и восстановлениеBack up and restore

При перемещении используются резервные копии SQL, сохраненные в хранилище BLOB-объектов Azure.The migration approach leverages SQL backups to Azure Blob storage. Резервные копии, хранимые в хранилище BLOB-объектов Azure, можно восстановить непосредственно в управляемый экземпляр с помощью команды T-SQL RESTORE.Backups stored in Azure storage blob can be directly restored into a managed instance using the T-SQL RESTORE command.

Важно!

Резервные копии из управляемого экземпляра можно восстановить только в другом управляемом экземпляре.Backups from a managed instance can only be restored to another managed instance. Их нельзя восстановить на локальном сервере SQL Server или в отдельной базе данных или эластичном пуле.They cannot be restored to an on-premises SQL Server or to a single database/elastic pool.

Служба миграции данныхData Migration Service

Azure Database Migration Service — это полностью управляемая служба, которая выполняет непрерывную миграцию из множества источников баз данных на платформы данных Azure с минимальным временем простоя.The Azure Database Migration Service is a fully managed service designed to enable seamless migrations from multiple database sources to Azure Data platforms with minimal downtime. Эта служба упрощает выполнение задач, необходимых для перемещения имеющихся сторонних баз данных и баз данных SQL Server в Базу данных SQL Azure (отдельные базы данных, объединенные в эластичные пулы и базы данных экземпляра в управляемом экземпляре) и SQL Server на виртуальной машине Azure.This service streamlines the tasks required to move existing third party and SQL Server databases to Azure SQL Database (single databases, pooled databases in elastic pools, and instance databases in a managed instance) and SQL Server in Azure VM. Дополнительные сведения см. статье Руководство. Перенос SQL Server в Управляемый экземпляр Базы данных SQL Azure с помощью DMS в автономном режиме.See How to migrate your on-premises database to managed instance using DMS.

Поддерживаемые функции SQLSQL features supported

До выхода общедоступной версии службы вариант развертывания в виде управляемого экземпляра будет предоставлять совместимость с локальным SQL Server на уровне практически 100 %. Эта совместимость будет реализовываться поэтапно.The managed instance deployment option aims to deliver close to 100% surface area compatibility with on-premises SQL Server coming in stages until service general availability. Список отличий T-SQL между управляемыми экземплярами и SQL Server см. в этой статье, а сравнение функций Базы данных SQL Azure и SQL Server доступно в этой статье.For a features and comparison list, see SQL Database feature comparison, and for a list of T-SQL differences in managed instances versus SQL Server, see managed instance T-SQL differences from SQL Server.

Вариант развертывания в виде управляемого экземпляра поддерживает обратную совместимость с базами данных SQL 2008.The managed instance deployment option supports backward compatibility to SQL 2008 databases. Поддерживается прямой перенос из серверов баз данных SQL 2005. Уровень совместимости для перенесенных баз данных SQL 2005 обновлен до версии SQL 2008.Direct migration from SQL 2005 database servers is supported, compatibility level for migrated SQL 2005 databases are updated to SQL 2008.

На следующей схеме показана совместимость в управляемом экземпляре.The following diagram outlines surface area compatibility in managed instance:

Миграция

Основные различия между локальным SQL Server и управляемым экземпляромKey differences between SQL Server on-premises and in a managed instance

Вариант развертывания в виде управляемого экземпляра всегда обновлен в облаке. Это означает, что некоторые компоненты локального SQL Server могут быть устаревшими, снятыми с учета или же вместо них можно использовать альтернативные варианты.The managed instance deployment option benefits from being always-up-to-date in the cloud, which means that some features in on-premises SQL Server may be either obsolete, retired, or have alternatives. В конкретных случаях инструменты должны определять, что определенный компонент работает несколько иначе или что служба работает в среде, которую вы не полностью контролируете.There are specific cases when tools need to recognize that a particular feature works in a slightly different way or that service is not running in an environment you do not fully control:

  • Высокий уровень доступности встроен и предварительно настроен с помощью технологии, аналогичной группам доступности AlwaysOn.High-availability is built in and pre-configured using technology similar to Always On Availability Groups.
  • Автоматическое резервное копирование и восстановление состояния системы до определенной точки во времени.Automated backups and point in time restore. Клиент может инициировать резервные копирования copy-only, которые не препятствуют работе автоматической цепочки резервных копий.Customer can initiate copy-only backups that do not interfere with automatic backup chain.
  • Управляемый экземпляр не позволяет указывать полные физические пути, поэтому все соответствующие сценарии должны поддерживаться по-разному. Сценарий RESTORE DB не поддерживает WITH MOVE, с CREATE DB нельзя применять физические пути, BULK INSERT работает только с большими двоичными объектами Azure и т. д.Managed instance does not allow specifying full physical paths so all corresponding scenarios have to be supported differently: RESTORE DB does not support WITH MOVE, CREATE DB doesn’t allow physical paths, BULK INSERT works with Azure Blobs only, etc.
  • Управляемый экземпляр поддерживает проверку подлинности Azure AD в качестве облачной альтернативы проверке подлинности Windows.Managed instance supports Azure AD authentication as cloud alternative to Windows authentication.
  • Управляемый экземпляр автоматически управляет файловыми группами и файлами с механизмом XTP для баз данных, содержащих объекты выполняющейся в памяти OLTP.Managed instance automatically manages XTP filegroup and files for databases containing In-Memory OLTP objects
  • Управляемый экземпляр поддерживает службы SQL Server Integration Services (SSIS). Он может размещать каталог SSIS (SSISDB), в котором хранятся пакеты SSIS, но эти пакеты выполняются в управляемой среде Azure SSIS Integration Runtime (IR) в службе "Фабрика данных Azure" (ADF) (см. руководство по созданию Azure SSIS IR в ADF).Managed instance supports SQL Server Integration Services (SSIS) and can host SSIS catalog (SSISDB) that stores SSIS packages, but they are executed on a managed Azure-SSIS Integration Runtime (IR) in Azure Data Factory (ADF), see Create Azure-SSIS IR in ADF. Дополнительные сведения см. в разделе Сравнение отдельной базы данных SQL или пула эластичных баз данных и Управляемого экземпляра Базы данных SQL.To compare the SSIS features in SQL Database, see Compare Azure SQL Database single databases/elastic pools and managed instance.

Возможности администрирования управляемого экземпляраManaged instance administration features

Вариант развертывания в виде управляемого экземпляра позволяет системному администратору тратить меньше времени на административные задачи, так как служба Базы данных SQL либо выполняет их за вас, либо значительно упрощает эти задачи.The managed instance deployment option enables system administrator to spend less time on administrative tasks because the SQL Database service either performs them for you or greatly simplifies those tasks. Например, установка или исправление ОС и реляционной СУБД, динамическое изменение размера и конфигурация экземпляра, резервное копирование, репликация базы данных (включая системные базы данных), конфигурация высокого уровня доступности, конфигурация работоспособности и наблюдение за производительностью потоков данных.For example, OS / RDBMS installation and patching, dynamic instance resizing and configuration, backups, database replication (including system databases), high availability configuration, and configuration of health and performance monitoring data streams.

Важно!

Список поддерживаемых, частично поддерживаемых и неподдерживаемых функций см. в статье Сравнение функций Базы данных SQL Azure и SQL Server.For a list of supported, partially supported, and unsupported features, see SQL Database features. Список отличий T-SQL между управляемыми экземплярами и SQL Server см. в этой статье.For a list of T-SQL differences in managed instances versus SQL Server, see managed instance T-SQL differences from SQL Server

Программное определение управляемого экземпляраHow to programmatically identify a managed instance

В таблице ниже приведены некоторые свойства, доступные в Transact SQL, которые можно использовать, чтобы определить, работает ли приложение с управляемым экземпляром, а также узнать важные свойства.The following table shows several properties, accessible through Transact SQL, that you can use to detect that your application is working with managed instance and retrieve important properties.

СвойствоProperty ValueValue КомментарийComment
@@VERSION Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation.Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation. Это значение совпадает со значением в базе данных SQL.This value is same as in SQL Database.
SERVERPROPERTY ('Edition') SQL AzureSQL Azure Это значение совпадает со значением в базе данных SQL.This value is same as in SQL Database.
SERVERPROPERTY('EngineEdition') 88 Данное значение уникально идентифицирует управляемый экземпляр.This value uniquely identifies a managed instance.
@@SERVERNAME, SERVERPROPERTY ('ServerName')@@SERVERNAME, SERVERPROPERTY ('ServerName') Полное DNS-имя экземпляра в формате <instanceName>.<dnsPrefix>.database.windows.net, где <instanceName> — имя, предоставленное клиентом, а <dnsPrefix> — автоматически формируемая часть имени, гарантируемая уникальность глобального DNS-имени (например, "wcus17662feb9ce98").Full instance DNS name in the following format:<instanceName>.<dnsPrefix>.database.windows.net, where <instanceName> is name provided by the customer, while <dnsPrefix> is autogenerated part of the name guaranteeing global DNS name uniqueness ("wcus17662feb9ce98", for example) Пример: my-managed-instance.wcus17662feb9ce98.database.windows.netExample: my-managed-instance.wcus17662feb9ce98.database.windows.net

Дальнейшие действияNext steps