本页面介绍了如何使用加密备份文件从自行管理的来源或 Amazon RDS 来源迁移到 Cloud SQL for SQL Server。
Database Migration Service 完全兼容来自自行管理和 Amazon RDS 来源的加密 SQL Server 备份。 您可以将加密密钥上传到 Google Cloud ,以便 Database Migration Service 可以安全地解密您的数据并将其加载到 Cloud SQL for SQL Server 目标 实例,而不会损害您的数据安全性。
如果您想使用加密的备份文件,则必须加密您用于迁移中包含的特定数据库的每个备份文件 (完整备份、差分备份、事务日志)。也就是说,如果您想加密完整备份文件,则还必须加密您用于该数据库的差分备份文件和事务日志文件。所有备份文件都必须使用相同的密钥进行加密。
备份加密是按数据库进行评估的。例如,如果您从来源 SQL Server 实例迁移两个数据库:my-business-database 和
my-other-database,则可以独立地为 my-business-database 或 my-other-database 或这两个数据库使用加密备份。
如需为迁移使用加密备份,请执行以下步骤:
备份来源 SQL Server 实例并使用加密功能。将加密密钥保存在安全的位置,以便稍后将其上传到 Cloud Storage。请参阅 Microsoft 文档中的备份加密。
将加密密钥上传 到 Cloud Storage 存储桶。
仅限 Google Cloud CLI:创建 JSON 格式的映射文件,以将 加密密钥与迁移作业中包含的相关数据库进行匹配。 映射文件是一个对象数组,每个对象都代表单个数据库的映射。示例配置文件:
[ { "database": "db1", "encryptionOptions": { "certPath": "Path to certificate 1", "pvkPath": "Path to certificate private key 1", "pvkPassword": "Private key password 1" } }, { "database": "db2", "encryptionOptions": { "certPath": "Path to certificate 2", "pvkPath": "Path to certificate private key 2", "pvkPassword": "Private key password 2" } } ]其中:
database是数据库标识符。该标识符必须与 Cloud Storage 中的数据库文件夹名称一致。certPath、pvkPath和pvkPassword是证书文件的 Cloud Storage 路径,格式为gs://BUCKET_NAME/OBJECT_NAME。 例如:gs://my-bucket-name/certificate-folder/certificate-key-file1。 如需了解详情,请参阅 Cloud Storage 文档中的 对象命名空间 。
在创建更多备份文件(差分备份文件或事务日志文件)时,请确保使用与完整备份相同的加密密钥对其进行加密。