Database Migration Service 完全兼容加密的 SQL Server 备份。您可以将加密密钥上传到 Google Cloud ,以便 Database Migration Service 安全地解密您的数据并将其加载到 Cloud SQL for SQL Server 目标实例,而不会损害数据安全性。
如果您想使用加密的备份文件,则必须对迁移中包含的特定数据库所用的每个备份文件(完整备份、差分备份、事务日志)进行加密。也就是说,如果您想加密完整备份文件,那么还必须加密用于相应数据库的差分备份文件和事务日志文件。所有备份文件都必须使用相同的密钥进行加密。
备份加密是按数据库评估的。例如,如果您从源 SQL Server 实例迁移了两个数据库:my-business-database 和 my-other-database,则可以单独为 my-business-database 或 my-other-database 或同时为这两个数据库使用加密备份。
如需在迁移中使用加密备份,请执行以下步骤:
备份源 SQL Server 实例并使用加密功能。将加密密钥保存在安全的位置,以便日后将其上传到 Cloud Storage。请参阅 Microsoft 文档中的 备份加密。
将加密密钥上传到 Cloud Storage 存储桶。
仅限 Google Cloud CLI:创建 JSON 格式的映射文件,以将加密密钥与迁移作业中包含的相关数据库相匹配。 映射文件是一个对象数组,每个对象都表示单个数据库的映射。示例配置文件:
[ { "database": "db1", "encryptionOptions": { "certPath": "Path to certificate 1", "pvkPath": "Path to certificate private key 1", "pvkPassword": "Private key password 1" } }, { "database": "db2", "encryptionOptions": { "certPath": "Path to certificate 2", "pvkPath": "Path to certificate private key 2", "pvkPassword": "Private key password 2" } } ]其中:
database是您的数据库标识符。该标识符必须与 Cloud Storage 中的数据库文件夹名称一致。certPath、pvkPath和pvkPassword是证书文件的 Cloud Storage 路径,格式为gs://BUCKET_NAME/OBJECT_NAME。例如:gs://my-bucket-name/certificate-folder/certificate-key-file1。 如需了解详情,请参阅 Cloud Storage 文档中的对象命名空间。
在 创建迁移作业时,提供加密密钥的 Cloud Storage 路径。
创建更多备份文件(差分备份文件或事务日志文件)时,请确保使用与完整备份相同的加密密钥对这些文件进行加密。