Что такое управляемый экземпляр базы данных SQL Azure?What is Azure SQL Database managed instance?

Управляемый экземпляр является новой моделью развертывания базы данных SQL Azure. Она обеспечивает практически полную совместимость с последним ядром СУБД локальной версии SQL Server (Enterprise Edition), предоставляя собственную реализацию виртуальной сети, устраняющую распространенные проблемы безопасности и бизнес-модель, подходящую для клиентов локальной версии SQL Server.Managed instance is a new deployment option of Azure SQL Database, providing near 100% compatibility with the latest SQL Server on-premises (Enterprise Edition) Database Engine, providing a native virtual network (VNet) implementation that addresses common security concerns, and a business model favorable for on-premises SQL Server customers. Модель развертывания "Управляемый экземпляр" позволяет существующим клиентам SQL Server переместить их локальные приложения в облако методом lift-and-shift с минимальными изменениями приложения и базы данных.The managed instance deployment model allows existing SQL Server customers to lift and shift their on-premises applications to the cloud with minimal application and database changes. При этом эта модель развертывания сохраняет все возможности PaaS (автоматическое исправление и обновление версии, автоматическое резервное копирование, высокий уровень доступности), что значительно снижает расходы на управление и совокупную стоимость владения.At the same time, the managed instance deployment option preserves all PaaS capabilities (automatic patching and version updates, automated backups, high-availability ), that drastically reduces management overhead and TCO.

Важно!

Список регионов, в которых в настоящее время доступен вариант развертывания "Управляемый экземпляр", см. в разделе Поддерживаемые регионы.For a list of regions in which the managed instance deployment option is currently available, see supported regions.

На следующем рисунке показаны основные возможности управляемого экземпляра:The following diagram outlines key features of managed instances:

Основные возможности

Модель развертывания в виде управляемого экземпляра предназначена для клиентов, которые хотят перенести большое количество приложений из локальной среды или среды IaaS, самостоятельно созданной среды или среды, предоставленной ISV, в полностью управляемую облачную среду PaaS с минимальными усилиями.The managed instance deployment model is designed for customers looking to migrate a large number of apps from on-premises or IaaS, self-built, or ISV provided environment to fully managed PaaS cloud environment, with as low migration effort as possible. С помощью полностью автоматизированной службы Data Migration Service (DMS) в Azure клиенты могут методом lift-and-shift переносить локальный экземпляр SQL Server на управляемый экземпляр, который обеспечивает совместимость с SQL Server в локальной среде и полную изоляцию экземпляров клиента с поддержкой собственной виртуальной сети.Using the fully automated Data Migration Service (DMS) in Azure, customers can lift and shift their on-premises SQL Server to a managed instance that offers compatibility with SQL Server on-premises and complete isolation of customer instances with native VNet support. В программе Software Assurance можно обменять имеющиеся лицензии, чтобы получить сниженные тарифы на управляемый экземпляр при использовании программы Преимущество гибридного использования Azure для SQL Server.With Software Assurance, you can exchange their existing licenses for discounted rates on a managed instance using the Azure Hybrid Benefit for SQL Server. Управляемый экземпляр — лучший целевой объект миграции в облаке для экземпляров SQL Server, требующих высокого уровня безопасности и расширенных возможностей программирования.A managed instance is the best migration destination in the cloud for SQL Server instances that require high security and a rich programmability surface.

Вариант развертывания в виде управляемого экземпляра будет обеспечивать совместимость с последней версией локального SQL Server на уровне практически 100 % (предусмотрен многоэтапный план выпуска).The managed instance deployment option aims delivers close to 100% surface area compatibility with the latest on-premises SQL Server version through a staged release plan.

Чтобы выбрать между вариантом развертывания в виде отдельной базы данных, базы данных в пуле и управляемого экземпляра Базы данных SQL Azure, а также в SQL Server на виртуальной машине, ознакомьтесь со статьей Выбор правильного варианта SQL Server в Azure — PaaS или IaaS.To decide between the Azure SQL Database deployment options: single database, pooled database, and managed instance, and SQL Server hosted in virtual machine, see how to choose the right version of SQL Server in Azure.

Основные функции и возможностиKey features and capabilities

Управляемый экземпляр сочетает в себе лучшие функции, доступные в Базе данных SQL Azure и ядре СУБД SQL Server.Managed instance combines the best features that are available both in Azure SQL Database and SQL Server Database Engine.

Важно!

Управляемый экземпляр поддерживает все функции последней версии SQL Server, включая операции в сети, автоматическое исправление планов и другие усовершенствования для повышения производительности организации.A managed instance runs with all of the features of the most recent version of SQL Server, including online operations, automatic plan corrections, and other enterprise performance enhancements. Сравнение доступных функций приведено в разделе Сравнение функций Базы данных SQL Azure и SQL Server.A Comparison of the features available is explained in Feature comparison: Azure SQL Database versus SQL Server.

Преимущества PaaSPaaS benefits Непрерывность бизнес-процессовBusiness continuity
Нет необходимости в приобретении оборудования и управления имNo hardware purchasing and management
Отсутствие накладных расходов на управление базовой инфраструктуройNo management overhead for managing underlying infrastructure
Быстрая подготовка и масштабирование службыQuick provisioning and service scaling
Автоматическое исправление и обновление версииAutomated patching and version upgrade
Интеграция с другими службами данных PaaSIntegration with other PaaS data services
Соглашение об уровне обслуживания с гарантией времени непрерывной работы 99,99 %.99.99% uptime SLA
Встроенный высокий уровень доступностиBuilt in high-availability
Данные защищены путем автоматического создания резервных копийData protected with automated backups
Период хранения резервных копий настраивается пользователемCustomer configurable backup retention period
Инициируемые пользователем резервные копииUser-initiated backups
Возможность восстановления базы данных до точки во времениPoint in time database restore capability
Безопасность и соответствие требованиямSecurity and compliance УправлениеManagement
Изолированная среда (интеграция виртуальной сети, клиентская служба, выделенные ресурсы вычисления и хранилище)Isolated environment (VNet integration, single tenant service, dedicated compute and storage)
Прозрачное шифрование данных (TDE)Transparent data encryption (TDE)
Проверка подлинности Azure AD, поддержка единого входаAzure AD authentication, single sign-on support
Участники сервера Azure AD (имена для входа)Azure AD server principals (logins)
Соблюдение тех же стандартов соответствия, что и База данных SQL AzureAdheres to compliance standards same as Azure SQL database
Аудит SQLSQL auditing
Расширенная защита от угрозAdvanced Threat Protection
Программный интерфейс Azure Resource Manager для автоматизации подготовки и масштабирования службыAzure Resource Manager API for automating service provisioning and scaling
Функциональные возможности портала Azure для подготовки и масштабирования службы вручнуюAzure portal functionality for manual service provisioning and scaling
Служба миграции данныхData Migration Service

Важно!

База данных SQL Azure (все варианты развертывания) сертифицирована по рядам стандартов соответствия.Azure SQL Database (all deployment options), has been certified against a number of compliance standards. Дополнительные сведения см. в центре управления безопасностью Microsoft Azure , где можно найти самый актуальный список сертификатов соответствия базы данных SQL.For more information, see the Microsoft Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

В следующей таблице показаны основные возможности управляемого экземпляра.The key features of managed instances are shown in the following table:

ФункцияFeature Description (Описание)Description
Версия и сборка SQL ServerSQL Server version / build Ядро СУБД SQL Server (последняя стабильная версия)SQL Server Database Engine (latest stable)
Управляемые, автоматически создаваемые резервные копииManaged automated backups ДаYes
Встроенный мониторинг и метрики базы данных и экземпляраBuilt-in instance and database monitoring and metrics ДаYes
Автоматическое применение исправления программного обеспеченияAutomatic software patching ДаYes
Новейшие функции ядра СУБДThe latest Database Engine features ДаYes
Число файлов данных (ROWS) в одной базе данныхNumber of data files (ROWS) per the database НесколькоMultiple
Число файлов журнала (LOG) в одной базе данныхNumber of log files (LOG) per database 11
Виртуальная сеть — развертывание Azure Resource ManagerVNet - Azure Resource Manager deployment ДаYes
Виртуальная сеть — классическая модель развертыванияVNet - Classic deployment model НетNo
Поддержка порталаPortal support ДаYes
Встроенная служба интеграции (службы SSIS)Built-in Integration Service (SSIS) Нет. Службы SSIS входят в PaaS Фабрики данных Azure.No - SSIS is a part of Azure Data Factory PaaS
Встроенные службы Analysis Services (службы SSAS)Built-in Analysis Service (SSAS) Нет. Службы SSAS являются отдельным решением PaaS.No - SSAS is separate PaaS
Встроенная служба отчетов (SSRS)Built-in Reporting Service (SSRS) Нет. Используйте Power BI или IaaS SSRS.No - use Power BI or SSRS IaaS

Модель приобретения на основе виртуальных ядерvCore-based purchasing model

Модель приобретения на основе виртуальных ядер в управляемом экземпляре обеспечивает больше гибкости, контроля и прозрачности. Это простой способ перенести свои требования к локальной рабочей нагрузке в облако.The vCore-based purchasing model for managed instances gives you flexibility, control, transparency, and a straightforward way to translate on-premises workload requirements to the cloud. Эта модель позволяет изменять ресурсы ЦП, памяти и хранилища с учетом потребностей рабочих нагрузок.This model allows you to change compute, memory, and storage based upon your workload needs. Модель на основе виртуальных ядер также обеспечивает экономию до 30 % при использовании программы Преимущество гибридного использования Azure для SQL Server.The vCore model is also eligible for up to 30 percent savings with the Azure Hybrid Benefit for SQL Server.

В модели на основе виртуальных ядер можно выбрать поколение оборудования.In vCore model, you can choose between generations of hardware.

  • Го поколения Логические процессоры основаны на процессорах Intel 2673 v3 (Haswell) с частотой 2,4 ГГц, подключенном SSD, физических ядрах, 7 ГБ ОЗУ на ядро и вычислении размеров от 8 до 24 виртуальных ядер.Gen4 Logical CPUs are based on Intel E5-2673 v3 (Haswell) 2.4-GHz processors, attached SSD, physical cores, 7-GB RAM per core, and compute sizes between 8 and 24 vCores.
  • Го поколения Логические процессоры основаны на процессорах Intel 2673 V4 (Broadwell) с тактовой частотой 2,3 ГГц, быстром SSD NVMe, логическом ядре с технологией Hyper-Threading и размерах вычислений от 4 до 80.Gen5 Logical CPUs are based on Intel E5-2673 v4 (Broadwell) 2.3-GHz processors, fast NVMe SSD, hyper-threaded logical core, and compute sizes between 4 and 80 cores.

Дополнительные сведения о различиях между поколениями оборудования приведены в разделе Характеристики поколения оборудования.Find more information about the difference between hardware generations in managed instance resource limits.

Важно!

Новые базы данных го поколения больше не поддерживаются в Восточная Австралия или Южная Бразилия регионах.New Gen4 databases are no longer supported in the Australia East or Brazil South regions.

Уровни служб управляемого экземпляраManaged instance service tiers

Управляемый экземпляр доступен на двух уровнях служб:Managed instance is available in two service tiers:

  • Общее назначение: предназначено для приложений с типичными требованиями к производительности и задержкам ввода-вывода.General purpose: Designed for applications with typical performance and IO latency requirements.
  • Критически важный для бизнеса: предназначен для приложений с низкими требованиями к задержкам ввода-вывода и минимальным влиянием базовых операций обслуживания на рабочую нагрузку.Business critical: Designed for applications with low IO latency requirements and minimal impact of underlying maintenance operations on the workload.

Оба уровня служб гарантируют доступность на уровне 99,99 % и позволяют вам независимо выбирать размер хранилища и вычислительную емкость.Both service tiers guarantee 99.99% availability and enable you to independently select storage size and compute capacity. Дополнительные сведения об архитектуре Базы данных SQL Azure с высоким уровнем доступности см. в статье Высокая доступность и База данных SQL Azure.For more information on the high availability architecture of Azure SQL Database, see High availability and Azure SQL Database.

Уровень служб общего назначенияGeneral purpose service tier

Ниже перечислены ключевые характеристики уровня служб общего назначения.The following list describes key characteristic of the General Purpose service tier:

  • Предназначен для большинства бизнес-приложений с обычными требованиями к производительности.Design for the majority of business applications with typical performance requirements
  • Высокопроизводительное хранилище BLOB-объектов Azure (8 ТБ).High-performance Azure Blob storage (8 TB)
  • Встроенный высокий уровень доступности на основе надежного хранилища BLOB-объектов Azure и Azure Service Fabric.Built-in high-availability based on reliable Azure Blob storage and Azure Service Fabric

Дополнительные сведения см. в статье об уровне хранилища в ценовой категории "Общего назначения", а также в статье с рекомендациями по оптимизации производительности хранилища и вопросами, касающимися управляемых экземпляров (общего назначения).For more information, see storage layer in general purpose tier and storage performance best practices and considerations for managed instances (general purpose).

Дополнительные сведения о различиях между уровнями служб см. в разделе Характеристики уровней служб.Find more information about the difference between service tiers in managed instance resource limits.

Уровень служб "Критически важный для бизнеса"Business Critical service tier

Уровень служб "Критически важный для бизнеса" предназначен для приложений с высокими требованиями к операциям ввода-вывода.Business Critical service tier is built for applications with high IO requirements. Предлагает самую высокую отказоустойчивость к сбоям благодаря использованию нескольких изолированных реплик.It offers highest resilience to failures using several isolated replicas.

Ниже приведены основные характеристики уровня служб "Критически важный для бизнеса".The following list outlines the key characteristics of the Business Critical service tier:

Дополнительные сведения о различиях между уровнями служб см. в разделе Характеристики уровней служб.Find more information about the difference between service tiers in managed instance resource limits.

Операции управления управляемыми экземплярамиManaged instance management operations

База данных SQL Azure поддерживает операции управления, которые можно использовать для автоматического развертывания новых управляемых экземпляров и удаления ненужных, а также обновления их свойств.Azure SQL Database provides management operations that you can use to automatically deploy new managed instances, update instance properties, and delete instances when no longer needed. В этом разделе содержатся сведения об операциях управления и их типичных длительностей.This section provides information about management operations and their typical durations.

Для поддержки развертываний в виртуальных сетях Azure (виртуальных сетей) и обеспечения изоляции и безопасности для клиентов управляемый экземпляр использует виртуальные кластеры, которые представляют выделенный набор изолированных виртуальных машин, развернутых внутри подсеть виртуальной сети клиента.To support deployments within Azure Virtual Networks (VNets) and provide isolation and security for customers, managed instance relies on virtual clusters, which represent a dedicated set of isolated virtual machines deployed inside the customer's virtual network subnet. По сути, каждое развертывание управляемого экземпляра в пустой подсети приводит к созданию нового виртуального кластера.Essentially, every managed instance deployment in an empty subnet results in a new virtual cluster buildout.

Последующие операции с развернутыми управляемыми экземплярами также могут иметь влияние на его базовый виртуальный кластер.Subsequent operations on deployed managed instances might also have effects on its underlying virtual cluster. Это влияет на длительность операций управления, так как развертывание дополнительных виртуальных машин сопровождается накладными расходами, которые необходимо учитывать при планировании новых развертываний или обновлений существующих управляемых экземпляров.This affects the duration of management operations, as deploying additional virtual machines comes with an overhead that needs to be considered when you plan new deployments or updates to existing managed instances.

Все операции управления можно классифицировать следующим образом:All management operations can be categorized as follows:

  • Развертывание экземпляра (создание нового экземпляра).Instance deployment (new instance creation).
  • Обновление экземпляра (изменение свойств экземпляра, например виртуальных ядер или зарезервированное хранилище).Instance update (changing instance properties, such as vCores or reserved storage.
  • Удаление экземпляра.Instance deletion.

Как правило, операции с виртуальными кластерами имеют наибольшее значение.Typically, operations on virtual clusters take the longest. Длительность операций в виртуальных кластерах различается — ниже приведены значения, которые обычно можно рассчитывать на основе существующих данных телеметрии службы:Duration of the operations on virtual clusters vary – below are the values that you can typically expect, based on existing service telemetry data:

  • Создание виртуального кластера.Virtual cluster creation. Это синхронный шаг в операциях управления экземпляром.This is a synchronous step in instance management operations. 90% операций завершено за 4 часа.90% of operations finish in 4 hours.
  • Изменение размера виртуального кластера (расширение или сжатие).Virtual cluster resizing (expansion or shrinking). Расширение — это синхронный шаг, а сжатие выполняется асинхронно (без влияния на длительность операций управления экземпляром).Expansion is a synchronous step, while shrinking is performed asynchronously (without impact on the duration of instance management operations). 90% расширения кластера заканчиваются менее чем на 2,5 часов.90% of cluster expansions finish in less than 2.5 hours.
  • Удаление виртуального кластера.Virtual cluster deletion. Удаление — это асинхронный шаг, но его также можно инициировать вручную в пустом виртуальном кластере. в этом случае он выполняется синхронно.Deletion is an asynchronous step, but it can also be initiated manually on an empty virtual cluster, in which case it executes synchronously. 90% операций удаления виртуальных кластеров заканчивается через 1,5 часов.90% of virtual cluster deletions finish in 1.5 hours.

Кроме того, управление экземплярами может также включать одну из операций в размещенных базах данных, что приводит к более длительным длительностьм:Additionally, management of instances may also include one of the operations on hosted databases, which results in longer durations:

  • Присоединение файлов базы данных из службы хранилища Azure.Attaching database files from Azure Storage. Это синхронный шаг, например вычисление (Виртуальное ядро) или масштабирование хранилища на уровне служб общего назначения.This is a synchronous step, such as compute (vCore), or storage scaling up or down in the General Purpose service tier. 90% этих операций завершается за 5 минут.90% of these operations finish in 5 minutes.
  • Always On заполнения группы доступности.Always On availability group seeding. Это синхронный шаг, например вычисление (Виртуальное ядро) или масштабирование хранилища на уровне служб критически важный для бизнеса, а также изменение уровня службы с общего назначения на критически важный для бизнеса (или наоборот).This is a synchronous step, such as compute (vCore), or storage scaling in the Business Critical service tier as well as in changing the service tier from General Purpose to Business Critical (or vice versa). Длительность этой операции пропорциональна общему размеру базы данных, а также текущей активности базы данных (число активных транзакций).Duration of this operation is proportional to the total database size as well as current database activity (number of active transactions). Операция базы данных при обновлении экземпляра может значительно отклонить общую длительность.Database activity when updating an instance can introduce significant variance to the total duration. 90% этих операций выполняется с 220 ГБ/ч или выше.90% of these operations execute at 220 GB / hour or higher.

В следующей таблице перечислены операции и типичные общие длительности.The following table summarizes operations and typical overall durations:

КатегорияCategory ОперацияOperation Долгосрочный сегментLong-running segment Предполагаемая длительностьEstimated duration
РазвертываниеDeployment Первый экземпляр в пустой подсетиFirst instance in an empty subnet Создание виртуального кластераVirtual cluster creation 90% операций завершено за 4 часа90% of operations finish in 4 hours
РазвертываниеDeployment Первый экземпляр другого поколения оборудования в непустой подсети (например, первый экземпляр поколения 5 в подсети с экземплярами поколения 4)First instance of another hardware generation in a non-empty subnet (for example, first Gen 5 instance in a subnet with Gen 4 instances) Создание виртуального кластера *Virtual cluster creation* 90% операций завершено за 4 часа90% of operations finish in 4 hours
РазвертываниеDeployment Первое создание экземпляра 4 виртуальных ядер в пустой или непустой подсетиFirst instance creation of 4 vCores, in an empty or non-empty subnet Создание виртуального кластера * *Virtual cluster creation** 90% операций завершено за 4 часа90% of operations finish in 4 hours
РазвертываниеDeployment Последующее создание экземпляра в непустой подсети (2-й, третий и т. д. экземпляр)Subsequent instance creation within the non-empty subnet (2nd, 3rd, etc. instance) Изменение размера виртуального кластераVirtual cluster resizing 90% операций завершено за 2,5 ч90% of operations finish in 2.5 hours
обновлятьUpdate Изменение свойства экземпляра (пароль администратора, имя входа AAD, флаг Преимущество гибридного использования Azure)Instance property change (admin password, AAD login, Azure Hybrid Benefit flag) НедоступноN/A До 1 минутыUp to 1 minute
Блокировка измененийUpdate Масштабирование хранилища экземпляров (уровень служб общего назначения)Instance storage scaling up/down (General Purpose service tier) -Изменение размера виртуального кластера- Virtual cluster resizing
— Присоединение файлов базы данных- Attaching database files
90% операций завершено за 2,5 ч90% of operations finish in 2.5 hours
Блокировка измененийUpdate Масштабирование хранилища экземпляров (уровень служб критически важный для бизнеса)Instance storage scaling up/down (Business Critical service tier) -Изменение размера виртуального кластера- Virtual cluster resizing
-Always On заполнение группы доступности- Always On availability group seeding
90% операций завершено за 2,5 часов + время для заполнения всех баз данных (220 ГБ/ч)90% of operations finish in 2.5 hours + time to seed all databases (220 GB / hour)
Блокировка измененийUpdate Вычисление экземпляра (виртуальных ядер) увеличение и уменьшение масштаба (общего назначения)Instance compute (vCores) scaling up and down (General Purpose) -Изменение размера виртуального кластера- Virtual cluster resizing
— Присоединение файлов базы данных- Attaching database files
90% операций завершено за 2,5 ч90% of operations finish in 2.5 hours
Блокировка измененийUpdate Вычисление экземпляра (виртуальных ядер) увеличение и уменьшение масштаба (критически важный для бизнеса)Instance compute (vCores) scaling up and down (Business Critical) -Изменение размера виртуального кластера- Virtual cluster resizing
-Always On заполнение группы доступности- Always On availability group seeding
90% операций завершено за 2,5 часов + время для заполнения всех баз данных (220 ГБ/ч)90% of operations finish in 2.5 hours + time to seed all databases (220 GB / hour)
Блокировка измененийUpdate Масштабирование экземпляра до 4 виртуальных ядер (общего назначения)Instance scale down to 4 vCores (General Purpose) — Изменение размера виртуального кластера (если это сделано в первый раз, может потребоваться создание виртуального кластера * *)- Virtual cluster resizing (if done for the first time, it may require virtual cluster creation**)
— Присоединение файлов базы данных- Attaching database files
90% операций завершено в 4 ч 5 мин * *90% of operations finish in 4 h 5 min**
Блокировка измененийUpdate Масштабирование экземпляра до 4 виртуальных ядер (общего назначения)Instance scale down to 4 vCores (General Purpose) — Изменение размера виртуального кластера (если это сделано в первый раз, может потребоваться создание виртуального кластера * *)- Virtual cluster resizing (if done for the first time, it may require virtual cluster creation**)
-Always On заполнение группы доступности- Always On availability group seeding
90% операций завершено за 4 часа + время на заполнение всех баз данных (220 Гб/час)90% of operations finish in 4 hours + time to seed all databases (220 GB / hour)
Блокировка измененийUpdate Изменение уровня служб экземпляра (общего назначения для критически важный для бизнеса и наоборот)Instance service tier change (General Purpose to Business Critical and vice versa) -Изменение размера виртуального кластера- Virtual cluster resizing
-Always On заполнение группы доступности- Always On availability group seeding
90% операций завершено за 2,5 часов + время для заполнения всех баз данных (220 ГБ/ч)90% of operations finish in 2.5 hours + time to seed all databases (220 GB / hour)
ЛежащиеDeletion Удаление экземпляраInstance deletion Резервное копирование заключительного фрагмента журнала для всех баз данныхLog tail backup for all databases 90% операций завершается до 1 минуты.90% operations finish in up to 1 minute.
Примечание. при удалении последнего экземпляра в подсети эта операция планирует удаление виртуального кластера через 12 часов * * *Note: if last instance in the subnet is deleted, this operation will schedule virtual cluster deletion after 12 hours***
УдалениеDeletion Удаление виртуального кластера (в качестве операции, инициированной пользователем)Virtual cluster deletion (as user-initiated operation) Удаление виртуального кластераVirtual cluster deletion 90% операций завершено до 1,5 часов90% of operations finish in up to 1.5 hours

* виртуальный кластер строится для каждого создания оборудования.* Virtual cluster is built per hardware generation.

** параметр развертывания 4 виртуальных ядер был выпущен в июне 2019 и требует новой версии виртуального кластера.** The 4 vCores deployment option was released in June 2019 and requires a new virtual cluster version. Если у вас есть экземпляры в целевой подсети, которые были созданы до 12 июня, новый виртуальный кластер будет автоматически развернут для размещения 4 экземпляров Виртуальное ядро.If you had instances in the target subnet that were all created before June 12, a new virtual cluster will be deployed automatically to host 4 vCore instances.

*** 12 часов — это текущая конфигурация, но это может измениться в будущем, поэтому не следует зависеть от нее.*** 12 hours is the current configuration but that might change in the future, so don't take a hard dependency on it. Если необходимо удалить виртуальный кластер ранее (например, освободить подсеть), см. раздел Удаление подсети после удаления управляемого экземпляра базы данных SQL Azure.If you need to delete a virtual cluster earlier (to release the subnet for example), see Delete a subnet after deleting an Azure SQL Database managed instance.

Доступность экземпляра во время управленияInstance availability during management

Управляемые экземпляры недоступны для клиентских приложений во время операций развертывания и удаления.Managed instances are not available to client applications during deployment and deletion operations.

Управляемые экземпляры доступны во время операций обновления, но существуют небольшие простои, вызванные отработкой отказа, которая происходит в конце обновлений, обычно длится до 10 секунд.Managed instances are available during update operations but there is a short downtime caused by the failover that happens at the end of updates that typically lasts up to 10 seconds.

Важно!

Длительность отработки отказа может значительно варьироваться в случае длительных транзакций, происходящих в базах данных из-за длительного времени восстановления.Duration of a failover can vary significantly in case of long-running transactions that happen on the databases due to prolonged recovery time. Поэтому не рекомендуется масштабировать вычислительные ресурсы или хранилище управляемого экземпляра базы данных SQL Azure, а также изменять уровень служб одновременно с длительными транзакциями (импорт данных, задания обработки данных, перестроение индекса и т. д.).Hence it’s not recommended to scale compute or storage of Azure SQL Database managed instance or to change service tier at the same time with the long-running transactions (data import, data processing jobs, index rebuild, etc.). Отработка отказа базы данных, которая будет выполнена в конце операции, приведет к отмене текущих транзакций и приведет к длительному времени восстановления.Database failover that will be performed at the end of the operation will cancel ongoing transactions and result in prolonged recovery time.

Ускоренное восстановление базы данных в настоящее время недоступно для управляемых экземпляров базы данных SQL Azure.Accelerated database recovery is not currently available for Azure SQL Database managed instances. После включения эта функция значительно сокращает изменчивость времени отработки отказа даже в случае долго выполняющихся транзакций.Once enabled, this feature will significantly reduce variability of failover time, even in case of long-running transactions.

Расширенный уровень безопасности и соответствие требованиямAdvanced security and compliance

Вариант развертывания в виде управляемого экземпляра сочетает в себе расширенные функции безопасности, предоставляемые облаком Azure и ядром СУБД SQL Server.The managed instance deployment option combines advanced security features provided by Azure cloud and SQL Server Database Engine.

Обеспечение защиты управляемого экземпляра путем изоляцииManaged instance security isolation

Управляемый экземпляр предоставляет дополнительную защиту путем изоляции от других клиентов в облаке Azure.A managed instance provides additional security isolation from other tenants in the Azure cloud. Для обеспечения защиты путем изоляции необходимо следующее.Security isolation includes:

  • Собственная реализованная виртуальная сеть и подключение к локальной среде с помощью Azure Express Route или VPN-шлюза.Native virtual network implementation and connectivity to your on-premises environment using Azure Express Route or VPN Gateway.
  • В развертывании по умолчанию конечная точка SQL предоставляется только через частный IP-адрес, что обеспечивает возможность безопасного подключения из частных или гибридных сетей Azure.In a default deployment, SQL endpoint is exposed only through a private IP address, allowing safe connectivity from private Azure or hybrid networks.
  • Отдельный клиент с выделенной базовой инфраструктурой (вычислений, хранения).Single-tenant with dedicated underlying infrastructure (compute, storage).

На следующей схеме показаны различные варианты подключения для приложений:The following diagram outlines various connectivity options for your applications:

Высокая доступность

Чтобы получить дополнительные сведения об интеграции виртуальной сети и политике сети на уровне подсети, ознакомьтесь со статьями Архитектура подключения к Управляемому экземпляру Базы данных SQL Azure и Подключение приложения к Управляемому экземпляру Базы данных SQL.To learn more details about VNet integration and networking policy enforcement at the subnet level, see VNet architecture for managed instances and Connect your application to a managed instance.

Важно!

Поместите несколько управляемых экземпляров в той же подсети, везде, где это разрешено требованиями к безопасности, так как это создаст дополнительные преимущества.Place multiple managed instance in the same subnet, wherever that is allowed by your security requirements, as that will bring you additional benefits. Выделение экземпляров в одной и той же подсети значительно упростит обслуживание сетевой инфраструктуры и сократит время подготовки экземпляра, так как длительное предоставление ресурсов связано с затратами на развертывание первого управляемого экземпляра в подсети.Collocating instances in the same subnet will significantly simplify networking infrastructure maintenance and reduce instance provisioning time, since long provisioning duration is associated with the cost of deploying the first managed instance in a subnet.

Возможности безопасности Базы данных SQL AzureAzure SQL Database Security Features

База данных SQL Azure предоставляет набор расширенных функций безопасности, которые можно использовать для защиты данных.Azure SQL Database provides a set of advanced security features that can be used to protect your data.

  • Аудит управляемого экземпляра позволяет отслеживать события базы данных и записывать их в файл журнала аудита, размещенный в учетной записи хранения Azure.Managed instance auditing tracks database events and writes them to an audit log file placed in your Azure storage account. Аудит может помочь соблюдать стандарты, проанализировать работу с базой данных и получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности.Auditing can help maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.
  • Шифрование данных при передаче: управляемый экземпляр защищает данные, шифруя их при передаче с помощью протокола TLS.Data encryption in motion - a managed instance secures your data by providing encryption for data in motion using Transport Layer Security. В дополнение к применению протокола TLS вариант развертывания в виде управляемого экземпляра обеспечивает защиту конфиденциальных данных в процессе использования, при хранении и во время обработки запроса с помощью функции Always Encrypted.In addition to transport layer security, the managed instance deployment option offers protection of sensitive data in flight, at rest and during query processing with Always Encrypted. Функция Always Encrypted — первая в отрасли функция, которая предлагает непревзойденную защиту данных от взлома, включая кражу чрезвычайно важных данных.Always Encrypted is an industry-first that offers unparalleled data security against breaches involving the theft of critical data. Например, функция Always Encrypted дает возможность всегда хранить в базе данных номера кредитных карт в зашифрованном виде, даже во время обработки запроса, позволяя авторизованному персоналу или обрабатывающему их приложению расшифровывать их только в момент использования.For example, with Always Encrypted, credit card numbers are stored encrypted in the database always, even during query processing, allowing decryption at the point of use by authorized staff or applications that need to process that data.
  • Расширенная защита от угроз дополняет Аудит , предоставляя дополнительный уровень логики безопасности, встроенный в службу, которая обнаруживает необычные и потенциально опасные попытки доступа к базам данных или их использования.Advanced Threat Protection complements auditing by providing an additional layer of security intelligence built into the service that detects unusual and potentially harmful attempts to access or exploit databases. Вы получаете оповещения о подозрительных действиях, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностях в доступе к базам данных.You are alerted about suspicious activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access patterns. Оповещения Advanced Threat Protection можно просмотреть в центре безопасности Azure и предоставить сведения о подозрительной активности и получить рекомендации по исследованию и устранению угрозы.Advanced Threat Protection alerts can be viewed from Azure Security Center and provide details of suspicious activity and recommend action on how to investigate and mitigate the threat.
  • Динамическое маскирование данных ограничивает возможность раскрытия конфиденциальных данных, маскируя их для обычных пользователей.Dynamic data masking limits sensitive data exposure by masking it to non-privileged users. Динамическое маскирование данных помогает предотвратить несанкционированный доступ к конфиденциальным данным, позволяя вам самостоятельно определить, какой объем конфиденциальных данных следует раскрывать с минимальным влиянием на уровне приложения.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling you to designate how much of the sensitive data to reveal with minimal impact on the application layer. Эта функция работает на основе политики безопасности, скрывая конфиденциальные данные в результирующем наборе запроса по заданным полям базы данных, не меняя сами данные в базе данных.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.
  • Безопасность на уровне строк позволяет управлять доступом к строкам в таблице базы данных в зависимости от характеристик пользователя, выполняющего запрос (например, членство в группе или контекст выполнения).Row-level security enables you to control access to rows in a database table based on the characteristics of the user executing a query (such as by group membership or execution context). Безопасность на уровне строк (RLS) упрощает проектирование и программирование безопасности в приложении.Row-level security (RLS) simplifies the design and coding of security in your application. RLS позволяет реализовать ограничения доступа к строкам данных.RLS enables you to implement restrictions on data row access. Например, обеспечьте сотрудникам доступ только к тем строкам данных, которые имеют отношение к их отделу, или только к тем данным, которые относятся к ним.For example, ensuring that workers can access only the data rows that are pertinent to their department, or restricting a data access to only the relevant data.
  • Прозрачное шифрование данных (TDE) позволяет шифровать файлы данных управляемого экземпляра. Это называется шифрованием неактивных данных.Transparent data encryption (TDE) encrypts managed instance data files, known as encrypting data at rest. TDE выполняет шифрование операций ввода-вывода в режиме реального времени, а также расшифровку файлов данных и журналов.TDE performs real-time I/O encryption and decryption of the data and log files. Шифрование использует ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для обеспечения доступности во время восстановления.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. Вы можете защитить все свои базы данных в управляемом экземпляре с помощью прозрачного шифрования данных.You can protect all your databases in a managed instance with transparent data encryption. Прозрачное шифрование данных — это надежная технология шифрования данных на месте SQL Server, требуемая многими стандартами соответствия для защиты носителя данных от кражи.TDE is SQL Server’s proven encryption-at-rest technology that is required by many compliance standards to protect against theft of storage media.

Перемещение зашифрованной базы данных в управляемый экземпляр поддерживается через службу Azure Database Migration Service (DMS) или собственное восстановление.Migration of an encrypted database to a managed instance is supported via the Azure Database Migration Service (DMS) or native restore. Если планируется миграция зашифрованной базы данных с помощью собственного восстановления, то необходимо выполнить миграцию существующего сертификата TDE из SQL Server локального или SQL Server на виртуальной машине в управляемый экземпляр.If you plan to migrate an encrypted database using native restore, migration of the existing TDE certificate from the SQL Server on-premises or SQL Server in a virtual machine to a managed instance is a required step. Дополнительные сведения о параметрах перемещения см. в статье Перенос экземпляра SQL Server в Управляемый экземпляр Базы данных SQL Azure.For more information about migration options, see SQL Server instance migration to managed instance.

Интеграция с Azure Active DirectoryAzure Active Directory Integration

Вариант развертывания в виде управляемого экземпляра поддерживает стандартный вход СУБД SQL Server и вход, интегрированный с Azure Active Directory (AAD).The managed instance deployment option supports traditional SQL server Database engine logins and logins integrated with Azure Active Directory (AAD). Субъекты сервера (имена для входа) Azure AD (предварительная версия) представляют собой облачную версию Azure локальных имен для входа базы данных, которые вы используете в своей локальной среде.Azure AD server principals (logins) (public preview) are Azure cloud version of on-premises database logins that you are using in your on-premises environment. Участники сервера Azure AD (имена входа) позволяют указывать пользователей и группы из клиента Azure Active Directory как истинные участники уровня экземпляра, способные выполнять любые операции на уровне экземпляра, включая запросы между базами данных в пределах одного управляемого вхождение.Azure AD server principals (logins) enable you to specify users and groups from your Azure Active Directory tenant as true instance-scoped principals, capable of performing any instance-level operation, including cross-database queries within the same managed instance.

Новый синтаксис вводится для создания участников сервера Azure AD (имен входа) из внешнего поставщика.A new syntax is introduced to create Azure AD server principals (logins), FROM EXTERNAL PROVIDER. Дополнительные сведения о синтаксисе см. в статье CREATE LOGIN (Transact-SQL) и в статье Подготовка администратора Azure Active Directory для управляемого экземпляра.For more information on the syntax, see CREATE LOGIN, and review the Provision an Azure Active Directory administrator for your managed instance article.

Интеграция Azure Active Directory и Многофакторная идентификацияAzure Active Directory integration and multi-factor authentication

Вариант развертывания в виде управляемого экземпляра позволяет централизованно управлять удостоверениями пользователя базы данных и другими службами Майкрософт с помощью интеграции Azure Active Directory.The managed instance deployment option enables you to centrally manage identities of database user and other Microsoft services with Azure Active Directory integration. Эта возможность упростила управление разрешениями и повысила уровень безопасности.This capability simplified permission management and enhances security. Azure Active Directory поддерживает Многофакторную идентификацию (MFA) для повышения безопасности данных и приложений, поддерживая процесс единого входа.Azure Active Directory supports multi-factor authentication (MFA) to increase data and application security while supporting a single sign-on process.

АутентификацияAuthentication

В процессе проверки подлинности управляемого экземпляра пользователям предлагается подтвердить их личность при подключении к базе данных.Managed instance authentication refers to how users prove their identity when connecting to the database. База данных SQL поддерживает два типа аутентификации:SQL Database supports two types of authentication:

  • Аутентификация SQL.SQL Authentication:

    Это метод аутентификации с использованием имени пользователя и пароля.This authentication method uses a username and password.

  • Аутентификация Azure Active Directory.Azure Active Directory Authentication:

    Это метод аутентификации с использованием удостоверений, контролируемых Azure Active Directory, которая поддерживается управляемыми и интегрированными доменами.This authentication method uses identities managed by Azure Active Directory and is supported for managed and integrated domains. По возможности используйте проверку подлинности Active Directory (встроенная безопасность).Use Active Directory authentication (integrated security) whenever possible.

АвторизацияAuthorization

Процесс проверки подлинности включает в себя набор действий, которые пользователь может выполнять в базе данных SQL Azure. Этот набор действий определяется принадлежностью учетной записи пользователя к ролям базы данных и разрешениями на уровне объектов.Authorization refers to what a user can do within an Azure SQL Database, and is controlled by your user account's database role memberships and object-level permissions. Управляемый экземпляр имеет такие же возможности авторизации, что и SQL Server 2017.A Managed instance has same authorization capabilities as SQL Server 2017.

Перенос баз данныхDatabase migration

Вариант развертывания в виде управляемого экземпляра предназначен для пользовательских сценариев, требующих массового переноса баз данных из реализаций локальной базы данных или базы данных IaaS.The managed instance deployment option targets user scenarios with mass database migration from on-premises or IaaS database implementations. Управляемый экземпляр поддерживает несколько вариантов переноса базы данных.Managed instance supports several database migration options:

Резервное копирование и восстановлениеBack up and restore

При перемещении используются резервные копии SQL, сохраненные в хранилище BLOB-объектов Azure.The migration approach leverages SQL backups to Azure Blob storage. Резервные копии, хранимые в хранилище BLOB-объектов Azure, можно восстановить непосредственно в управляемый экземпляр с помощью команды T-SQL RESTORE.Backups stored in Azure storage blob can be directly restored into a managed instance using the T-SQL RESTORE command.

Важно!

Резервные копии из управляемого экземпляра можно восстановить только в другом управляемом экземпляре.Backups from a managed instance can only be restored to another managed instance. Их нельзя восстановить на локальном сервере SQL Server или в отдельной базе данных или эластичном пуле.They cannot be restored to an on-premises SQL Server or to a single database/elastic pool.

Служба миграции данныхData Migration Service

Azure Database Migration Service — это полностью управляемая служба, которая выполняет непрерывную миграцию из множества источников баз данных на платформы данных Azure с минимальным временем простоя.The Azure Database Migration Service is a fully managed service designed to enable seamless migrations from multiple database sources to Azure Data platforms with minimal downtime. Эта служба упрощает выполнение задач, необходимых для перемещения имеющихся сторонних баз данных и баз данных SQL Server в Базу данных SQL Azure (отдельные базы данных, базы данных в эластичных пулах и экземпляры баз данных в управляемом экземпляре) и SQL Server на виртуальной машине Azure.This service streamlines the tasks required to move existing third party and SQL Server databases to Azure SQL Database (single databases, pooled databases in elastic pools, and instance databases in a managed instance) and SQL Server in Azure VM. Дополнительные сведения см. статье Руководство. Перенос SQL Server в Управляемый экземпляр Базы данных SQL Azure с помощью DMS в автономном режиме.See How to migrate your on-premises database to managed instance using DMS.

Поддерживаемые функции SQLSQL features supported

До выхода общедоступной версии службы вариант развертывания в виде управляемого экземпляра будет предоставлять совместимость с локальным SQL Server на уровне практически 100 %. Эта совместимость будет реализовываться поэтапно.The managed instance deployment option aims to deliver close to 100% surface area compatibility with on-premises SQL Server coming in stages until service general availability. Список отличий T-SQL между управляемыми экземплярами и SQL Server см. в этой статье, а сравнение функций Базы данных SQL Azure и SQL Server доступно в этой статье.For a features and comparison list, see SQL Database feature comparison, and for a list of T-SQL differences in managed instances versus SQL Server, see managed instance T-SQL differences from SQL Server.

Вариант развертывания в виде управляемого экземпляра поддерживает обратную совместимость с базами данных SQL 2008.The managed instance deployment option supports backward compatibility to SQL 2008 databases. Поддерживается прямой перенос из серверов баз данных SQL 2005. Уровень совместимости для перенесенных баз данных SQL 2005 обновлен до версии SQL 2008.Direct migration from SQL 2005 database servers is supported, compatibility level for migrated SQL 2005 databases are updated to SQL 2008.

На следующей схеме показана совместимость в управляемом экземпляре.The following diagram outlines surface area compatibility in managed instance:

Миграция

Основные различия между локальным SQL Server и управляемым экземпляромKey differences between SQL Server on-premises and in a managed instance

Вариант развертывания в виде управляемого экземпляра всегда обновлен в облаке. Это означает, что некоторые компоненты локального SQL Server могут быть устаревшими, снятыми с учета или же вместо них можно использовать альтернативные варианты.The managed instance deployment option benefits from being always-up-to-date in the cloud, which means that some features in on-premises SQL Server may be either obsolete, retired, or have alternatives. В конкретных случаях инструменты должны определять, что определенный компонент работает несколько иначе или что служба работает в среде, которую вы не полностью контролируете.There are specific cases when tools need to recognize that a particular feature works in a slightly different way or that service is not running in an environment you do not fully control:

  • Высокий уровень доступности встроен и предварительно настроен с помощью технологии, аналогичной группам доступности AlwaysOn.High-availability is built in and pre-configured using technology similar to Always On Availability Groups.
  • Автоматическое резервное копирование и восстановление состояния системы до определенной точки во времени.Automated backups and point in time restore. Клиент может инициировать резервные копирования copy-only, которые не препятствуют работе автоматической цепочки резервных копий.Customer can initiate copy-only backups that do not interfere with automatic backup chain.
  • Управляемый экземпляр не позволяет указывать полные физические пути, поэтому все соответствующие сценарии должны поддерживаться по-разному: инструкция RESTORE DB не поддерживает перемещение, создание базы данных не допускает физические пути, BULK INSERT работает только с большими двоичными объектами Azure и т. д.Managed instance does not allow specifying full physical paths so all corresponding scenarios have to be supported differently: RESTORE DB does not support WITH MOVE, CREATE DB doesn’t allow physical paths, BULK INSERT works with Azure Blobs only, etc.
  • Управляемый экземпляр поддерживает проверку подлинности Azure AD в качестве облачной альтернативы проверке подлинности Windows.Managed instance supports Azure AD authentication as cloud alternative to Windows authentication.
  • Управляемый экземпляр автоматически управляет файловыми группами и файлами с механизмом XTP для баз данных, содержащих объекты выполняющейся в памяти OLTP.Managed instance automatically manages XTP filegroup and files for databases containing In-Memory OLTP objects
  • Управляемый экземпляр поддерживает службы SQL Server Integration Services (SSIS). Он может размещать каталог SSIS (SSISDB), в котором хранятся пакеты SSIS, но эти пакеты выполняются в управляемой среде Azure SSIS Integration Runtime (IR) в службе "Фабрика данных Azure" (ADF) (см. руководство по созданию Azure SSIS IR в ADF).Managed instance supports SQL Server Integration Services (SSIS) and can host SSIS catalog (SSISDB) that stores SSIS packages, but they are executed on a managed Azure-SSIS Integration Runtime (IR) in Azure Data Factory (ADF), see Create Azure-SSIS IR in ADF. Сведения о сравнении функций служб SSIS в базе данных SQL см. в статье Сравнение отдельной базы данных SQL Azure, эластичного пула и управляемого экземпляра.To compare the SSIS features in SQL Database, see Compare an Azure SQL Database single database, elastic pool, and managed instance.

Возможности администрирования управляемого экземпляраManaged instance administration features

Вариант развертывания в виде управляемого экземпляра позволяет системному администратору тратить меньше времени на административные задачи, так как служба Базы данных SQL либо выполняет их за вас, либо значительно упрощает эти задачи.The managed instance deployment option enables system administrator to spend less time on administrative tasks because the SQL Database service either performs them for you or greatly simplifies those tasks. Например, установка или исправление ОС и реляционной СУБД, динамическое изменение размера и конфигурация экземпляра, резервное копирование, репликация базы данных (включая системные базы данных), конфигурация высокого уровня доступности, конфигурация работоспособности и наблюдение за производительностью потоков данных.For example, OS / RDBMS installation and patching, dynamic instance resizing and configuration, backups, database replication (including system databases), high availability configuration, and configuration of health and performance monitoring data streams.

Важно!

Список поддерживаемых, частично поддерживаемых и неподдерживаемых функций см. в статье Сравнение функций Базы данных SQL Azure и SQL Server.For a list of supported, partially supported, and unsupported features, see SQL Database features. Список отличий T-SQL между управляемыми экземплярами и SQL Server см. в этой статье.For a list of T-SQL differences in managed instances versus SQL Server, see managed instance T-SQL differences from SQL Server

Программное определение управляемого экземпляраHow to programmatically identify a managed instance

В таблице ниже приведены некоторые свойства, доступные в Transact SQL, которые можно использовать, чтобы определить, работает ли приложение с управляемым экземпляром, а также узнать важные свойства.The following table shows several properties, accessible through Transact SQL, that you can use to detect that your application is working with managed instance and retrieve important properties.

СвойствоProperty ЗначениеValue КомментарийComment
@@VERSION Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation.Microsoft SQL Azure (RTM) - 12.0.2000.8 2018-03-07 Copyright (C) 2018 Microsoft Corporation. Это значение совпадает со значением в базе данных SQL.This value is same as in SQL Database.
SERVERPROPERTY ('Edition') SQL AzureSQL Azure Это значение совпадает со значением в базе данных SQL.This value is same as in SQL Database.
SERVERPROPERTY('EngineEdition') 88 Данное значение уникально идентифицирует управляемый экземпляр.This value uniquely identifies a managed instance.
@@SERVERNAME, SERVERPROPERTY ('ServerName')@@SERVERNAME, SERVERPROPERTY ('ServerName') Полное DNS-имя экземпляра в формате <instanceName>.<dnsPrefix>.database.windows.net, где <instanceName> — имя, предоставленное клиентом, а <dnsPrefix> — автоматически формируемая часть имени, гарантируемая уникальность глобального DNS-имени (например, "wcus17662feb9ce98").Full instance DNS name in the following format:<instanceName>.<dnsPrefix>.database.windows.net, where <instanceName> is name provided by the customer, while <dnsPrefix> is autogenerated part of the name guaranteeing global DNS name uniqueness ("wcus17662feb9ce98", for example) Пример: my-managed-instance.wcus17662feb9ce98.database.windows.netExample: my-managed-instance.wcus17662feb9ce98.database.windows.net

Дальнейшие действияNext steps