Azure SQL für Administratoren

In diesem Intensivkurs wird gezeigt wie Azure SQL Server in einer Azure Hybrid Umgebung über verschiedene Wege bereitgestellt und verwaltet werden können. On-Premises AD Benutzer und Gruppen werden via Entra Connect in Microsoft Entra repliziert und können für die Authentifizierung beim Zugriff auf Azure SQL genutzt werden. Es wird in demonstriert wie man über OAuth2 und VNets sichere Verbindungen von App Services zu Azure SQL Datenbanken herstellt. Eine Besonderheit ist der Einsatz von Managed Identities. System-Assigned (SAMI) und User-Assigned Managed Identities (UAMI) sorgen dafür, dass Scripten und Applikationen für die Authentifizierung keine Credentials mitgeben müssen, weil sie SAMI oder UAMI nutzen um OAuth2 Token zu beantragen. Connection String enthält somit keinen Benutzer und Passwort mehr, sondern nur noch Managed Identity. Auf die generelle Rechtevergabe und Security wird eingegangen. Dazu gehören die Azure RBAC Roles um SQL verwalten zu können.

Auch Themen wie die dynamische Skalierung von SQL Ressourcen sowie Performance Tuning in der Azure Cloud ist Teil des Kurses. Abgerundet wird der Kurs durch Hochverfügbarkeit in der Azure Cloud mittels Geo-Replication, Zonen-Redundanz und Failover Groups.

Empfehlung: Besuchen Sie unseren Azure Kurs Azure Administration Hybrid, um Ihre Azure Hybrid Umgebung mit SQL korrekt zu planen.

In diesem Azure SQL Kurs wird zuerst erklärt wie ein Azure Tenant mit Management Groups und Subscriptions in einer Enterprise Umgebung aufgebaut werden soll. Eine Hybrid Umgebung mit On-Premises AD und Azure Entra benötigt Entra Connect um lokale Benutzer, Groups und Computerobjekte in Azure AD synchronisiert werden. Die entsprechenden Administrator Accounts können dann On-Premise und für Azure SQL verwendet werden. Bevor es tief in Azure SQL geht, müssen Teilnehmer die Azure Core Komponenten Azure Resource Manager (ARM) und auch die Azure RBAC (Role-Based Access Control) kenenlernen. Nicht jeder kann z.B. die Azure Resource VM verwalten, dazu braucht er diverse RBAC Rollen für Virtual Machine.

Um Azure SQL zu verwenden, werden für jeden Teilnehmer entsprechende Azure Resource Groups angelegt. Für die Azure SQL Ressourcen werden entsprechende VNets mit Subnetzen verwendet. Dabei wird erklärt was bei VNet Delegation hinsichtlich Azure SQL Managed Instance und App Services zu beachten ist. Weiterhin werden die VNets mit einem Service Endpoint versehen, um einen sicheren Zugriff auf Azure SQL Databases über VNets zu ermöglichen.

Es wird demonstriert wie Azure Key Vault verwendet werden kann, um Passwörter abzulegen und per Powershell Script automatisch für das Deployment zu beziehen. Dabei wird das Deployment von Azure SQL Server Databases über das Azure Portal durchgeführt. Weiterhin wird für die Automatisierung gezeigt, wie Deployments anhand von Deployment Templates mit dem Azure Resource Manager ausgeführt werden. Aber auch Deployments per Powershell Modul Az werden gezeigt, da diese in manchen Fällen Vorteile gegenüber ARM Templates bringen.

Zwar konzentriert sich der Kurs primär auf Azure SQL Server und Azure SQL Databases, aber es wird ebenfalls gezeigt, welche Vorteile Azure SQL Managed Instances bringen und wo die Unterschiede zu Azure SQL Server liegen. Optional wird gezeigt, wie man direkt SQL Server 2022 in einer Azure VM bereitstellt. Details zu SQL Server 2022 findet man auch im Kurs SQL Server 2022 / 2019.

Für den Zugriff auf Azure SQL Server und Databases werden verschiedene Verwaltungstools vorgestellt, wie das Azure Portal, SQL Server Management Studio und das neuere Azure Data Studio. Aber auch der direkte Zugriff der Powershell und sqlcmd sind Teil des Kurses.

Im Kurs werden dabei mehrere Datenbanken verwendet. So wird auch gezeigt wie eine Datenbank über ein BACPAC File und einen Storage Account direkt in Azure SQL importiert und verwendet werden kann. Hier wird auch der Powershell basierte Import über Data Tier Application ohne Verwendung eines Storage Account demonstriert, was für sehr große Datenbanken notwendig ist und die Sicherheit während dem Import erhöht.

Ein weiterer wichtiger Teil ist das Azure SQL Database Management. Hier wird gezeigt wie DATA Files in der Größe verändert werden können und welche Rolle die TempDB Datenbank spielt. Auch wird die master Datenbank eines Azure SQL Servers genauer analysiert.Mit Dynamic Scaling Vorgängen kann dabei die Performance im laufenden Betrieb erhöht werden. Dabei wird aber nicht nur Dynamic Scaling sondern auch Auto Scaling betrachtet, mit welcher sich die Anzahl der vCores dynamisch je nach Last erhöhen kann. Database Operations lassen sich derzeit aber nicht per Azure Portal abbrechen, daher wird gezeigt wie per Powershell in laufende Database Operations (wie Dynamic Scaling) eingegriffen werden kann.

Die verschiedenen Editionen / Tiers sowie Service Level Objectives und deren Unterschiede werden ausführlich erläutert, so dass die Teilnehmer wissen, wann Standard / General Purpose oder Premium / Business Critical Tiers einzusetzen sind. Der Unterschied zwischen DTUs (Database Transaction Units) und den vCore basierten Tiers wird dabei hervorgehoben. Weiterhin wird gezeigt welche Vorteile die neuen Optionen wie Serverless Computing und die Hyperscale Edition bieten.

Für Downsizing kann es notwendig sein auch DATA Files wieder zu verkleinern. Hier werden Shrink Operationen direkt auf Azure SQL Databases durchgeführt.

Mit Elastic Pools lassen sich letztendlich Ressourcen zwischen verschiedenen Datenbanken teilen. Im Kurs wird dabei erklärt wie Elastic Pools aufgebaut werden und wie sich dynamisch Datenbanken in Elastic Pools verschieben oder wieder entfernen lassen.

Ein weiterer wichtiger Punkt ist die Konfiguration von Azure SQL Server und Azure SQL Databases sowie Azure SQL Managed Instances. Dabei wird die allgemeine Konfiguration betrachtet und auf Database Scoped Configurations eingegangen. Damit lassen sich zusätzliche Optimierungen aktivieren. Weiterhin wird Accelerated Database Recovery verwendet um mehr Performance zu erhalten, wenn Transaktionen abgebrochen werden, beispielsweise bei einem Failover.

Bei der Azure SQL Database Rechteverwaltung wird aufgezeigt wie SQL Administratoren eingesetzt werden, die sich direkt über das AAD authentifizieren. Weiterhin wird der Unterschied von Logins und Contained Usern erläutert. Die Benutzer können dabei aus dem Azure Active Directory kommen oder als SQL Login angelegt worden sein. Die Rollen eines Azure SQL Servers unterscheiden sich dabei von einem klassischen SQL Server.

Mit Role Based Access Control lässt sich für die Azure Cloud steuern, welche Administratoren jeweils welche Ressourcen verwalten können. Im Kurs wird für die Verwaltung der Azure SQL Server eine Custom RBAC Role verwendet. Es wird gezeigt welche RBAC Berechtigungen für diese Rolle nötig sind.

Im Modul Rechtemanagement wird erklärt, wie Datenbankbenutzern Berechtigungen innerhalb von Datenbanken per T-SQL gegeben werden und auf welche Besonderheiten dabei in Azure SQL Database zu achten ist um eine möglichst hohe Sicherheit zu erreichen.

Im Kurs wird dabei auch demonstriert wie man einen App Service so konfiguriert, dass die App sicher über OAuth2 auf mehrere Azure SQL Databases zugreifen kann. Dabei werden Managed Identities verwendet und der Zugriff erfolgt über einen SQL Service Endpoint innerhalb eines VNet Subnets. Dabei müssen keine Passwörter mehr in Connection Strings hinterlegt werden. Anhand eines praxisnahen Beispiels wird die gesamte Konfiguration bzgl. Azure SQL anhand eines Webshops erläutert.Zum Vergleich wird demonstriert wie klassische SQL Logins über Passwörter sich authentifizieren können, was allerdings deutlich unsicherer ist.

Um hohe Sicherheit zu erreichen wird weiterhin die Azure SQL Server Firewall eingesetzt und gezeigt wo der Unterschied zu Azure SQL Database basierten Firewalls liegt. Der Zugriff von Applikationen über Private Endpoints auf Azure SQL Datenbanken wird im Kurs durchgeführt.

Um mögliche Angriffe zu erkennen, wird außerdem Advanced Thread Protection aktiviert und mit Auditing gekoppelt. Mögliche Sicherheitslücken können weiterhin über das Vulnerability Assignment gefunden werden. Über Data Classification kann angegeben werden, in welchen Spalten sich besonders schützenswerte Daten befinden, bzw. welche Daten DSGVO relevant sind. Mit dem Microsoft Defender for SQL lassen sich Angriffe erkennen und Sicherheitslücken schließen. Microsoft Defender for SQL wird dabei ebenfalls im Kurs aktiviert und verwendet.

Mittels Row Level Security Policies und Data Masking lässt sich feingranular regeln, welche Personen Zugriff auf Daten bekommen, bzw. welche Daten bei einem Zugriff automatisch anonymisiert werden.

Letztendlich werden die DATA Files, Log Files und Backups per Transparent Data Encryption verschlüsselt. Hier bietet die Azure Cloud mittlerweile die Möglichkeit nicht nur einen Schlüssel von Microsoft zu verwenden, sondern über BYOK (Bring your own key) auch einen eigenen Schlüssel für die Transparent Data Encryption zu hinterlegen.

Mit Azure SQL Database Auditing kann nachvollzogen werden, was auf einem Azure SQL Server / Database genau passiert ist, welche Personen sich eingeloggt haben, welche Queries ausgeführt wurden und welche Berechtigungen sich im Laufe der Zeit verändert haben. Dabei wird ein Storage Account für das Auditing angebunden, allerdings lassen sich auch Audits direkt zu einen Log Analytics Workspace senden. Im Kurs wird auch gezeigt wie Audit Actions und Audit Groups verwendet und konfiguriert werden.

Im Modul Monitoring wird das Azure Activity Log für Azure SQL Server und Azure SQL Databases betrachtet um genauer nachzuvollziehen, welche Änderungen stattgefunden haben. Das Azure Activity Log lässt sich dabei ebenfalls auch auf einen Log Analytics Workspace senden.Weiterhin werden die Diagnostic settings verwendet um weitere Analyse Daten wie Metriken aufzuzeichnen. Dabei wird der Log Analytics Workspace mittels Kusto Query Language (KQL) ausgewertet. Für die bessere Auswertung wird eine Azure SQL Solution verwendet. Dabei wird auch gezeigt, wie SQL Insights aufgezeichnet werden können, um mit KI und Machine Learning Einsichten in mögliche Fehler und Performance Probleme einer Azure SQL Database oder SQL Managed Instance zu erhalten. SQL Insights können weiterhin Empfehlungen geben, wie man entsprechende Probleme lösen kann.Mit Azure SQL Metriken lässt sich ermitteln wie stark die Ressourcen beansprucht werden und wo ein möglicher Flaschenhals liegt (CPU, I/O, Memory).Mittels Alerts kann man sich letztendlich bei Problemen direkt benachrichtigen lassen (beispielsweise per E-Mail).

Monitoring per T-SQL ist bei Azure SQL Databases sowie Azure SQL Managed Instances allerdings ebenfalls eine wichtige Methode um tiefere Einblicke in Probleme zu erhalten. Gewisse Daten, z.B. Performance Metriken zu Secondary Replicas, lassen sich derzeit nur per T-SQL erfassen.

Mit dem Query Store ist es möglich, die Performance einzelner Queries zu verfolgen und auch die Ressourcenauslastung einer Datenbank auf einzelne Queries herunter zu brechen. Über Regressed Queries lassen sich direkt Queries finden, die schlechtere Performance aufweisen als früher. Der Query Store stellt in Azure SQL eine zentrale Komponente für das Automatic Tuning dar.

Im Kurs wird speziell auf das Performance Tuning von Azure SQL Datenbanken eingegangen. Dabei wird Automatic Tuning erklärt, welches im vollen Feature Umfang derzeit nur in der Azure Cloud existiert. Weiterhin wird auch demonstriert, wie sich manuelles Tuning durchführen lässt und wie man entsprechende Indizes aufspüren kann, mit denen sich die Performance der Workloads massiv verbessert.

Backup & Restore wird speziell für Azure SQL Databases gezeigt. Zwar wird einem beim Backup viel von Microsoft in der Cloud abgenommen, dennoch gibt es einige wichtige Dinge zu beachten. Backup Policies werden verwendet um Long-Term-Retention Backups sowie Point-In-Time fähige Backups zu konfigurieren. Hyperscale Tiers erlauben sehr schnelle Restores in wenigen Minuten, selbst für riesige Datenbanken bis zu 100 TB. Zu Backups gehört auch die Möglichkeit Geo-Restores auszuführen, wenn eine komplette Location nicht mehr verfügbar ist. Weiterhin werden Point-in-Time Restores demonstriert.

Mit Azure Automation lassen sich Powershell Scripte automatisieren, welche dynamisch Azure SQL konfigurieren können. Für die Automatisierung von T-SQL Scripten gibt es mittlerweile einen Ersatz für den SQL Server Agent. So lassen sich über Elastic Jobs T-SQL Aufgaben per Zeitplan ausführen.

Es wird genauer betrachtet, wie die Hochverfügbarkeit von Azure SQL Databases sichergestellt wird und welche Möglichkeiten sich in den Business Critical / Premium Tiers über Always On Technik ergeben. Dabei wird auch die Möglichkeit aufgezeigt Leseanfragen kostenfrei auf zweite Knoten auszulagern.Für maximale Hochverfügbarkeit wird Geo-Replication eingerichtet. Weiterhin werden mehrere Datenbanken zu einer Failover Group zusammengefasst. Die Unterschiede von Geo-Replication und Failover Groups werden verdeutlicht. Diese wird auch eigene Listener Endpunkte erhalten. Konzepte wie automatischer Failover mittels Grace Period werden gezeigt. Dabei wird ein Failover ohne Datenverlust und ein Forced Failover mit Datenverlust durchgeführt.

Am Ende des Kurses wissen die Teilnehmer, welche Komponenten von Azure SQL unter welchen Umständen eingesetzt werden müssen und sind in der Lage auch komplexe Azure SQL Strukturen aufzubauen und sicher zu verwalten.

Azure SQL Vorbereitung

• Resource Group anlegen
• VNets anlegen, Subnet Delegation
• Azure Key Vault anlegen und für Passwörter nutzen

Azure SQL Database Deployment

• ARM Deployment
• Powershell Az
• Deployment von Azure SQL Server und Azure Databases

Azure SQL Managed Instance Deployment

• ARM Managed Instance Deployment
• Unterschiede der Azure Managed Instance zu Azure SQL Database
• VNet Subnet Delegation

Azure SQL VM Deployment (Optional)

• VM Deployment für SQL Server 2022
• VM Konfiguration

Verwaltungstools

• SSMS
• Azure Data Studio
• Azure Portal
• Powershell

Grundlagen zu Datenbanken

• Allgemeine Grundlagen und Beispiele spezielle für Azure SQL Database
• Verwenden von Dynamic Management Views und Functions
• Verwendung von Catalog Views

Azure SQL Database Import

• BACPAC File Import über Portal, Powershell Storage Account
• Import über SqlPackage.exe in Azure SQL Database

Azure SQL Database Management

• File resizing, tempdb, systemdbs
• Tier Change, Powershell Abort
• Shrink Databases
• Event Log
• Dynamic Scaling
• Auto Scaling / DB Operations / Abbrechen von DB Operations
• Elastic Pool Management

Azure SQL Database Konfiguration

• Allgemeine Konfiguration
• Database Scoped Konfiguration
• Accelerated Database Recovery

Azure SQL Database Rechteverwaltung

• Logins
• Contained User
• Azure SQL Database Rollen loginmanager und dbmanager
• Rechtemanagement auf Azure SQL Database ebene (Schemafreigaben)
• SID Verwaltung über Management Views

Azure SQL Database Security

• Resource Bases Access Control (RBAC)
• Managed Identities mit App Service Connection Strings nutzen
• OAuth2 Authentication zu Azure SQL
• Azure SQL Server Firewall
• Azure SQL Database Firewall
• Private Endpoints
• Threat Protection
• Vulnerability Assignment
• Data Masking (optional)
• Microsoft Defender for SQL

Azure SQL Database Verschlüsselung

• Transparent Data Encryption
• BYOK

Azure SQL Database Auditing

• Azure SQL Database Auditing auf Storage Account
• Audit Actions
• Audit Groups

Monitoring

• Azure Activity Log
• Log Analytics
• Azure SQL Solutions
• SQL Metrics / Alerts
• T-SQL Monitoring

Query Store

• Query Store Configuration
• Query Store Analyse
• Regressed Queries
• Top Resource Consuming Queries

Azure SQL Database Performance Tuning

• Automatic Tuning (Automatic Plan Tuning / Create Index / Drop Index)
• Query Plans / Force Plans
• Manuelles Index Tuning
• Index Recommendations
• XTP Engine (optional)
• Compression (optional)

Azure SQL Database Backup & Restore

• PTR Restore
• LTR Backups
• Geo Restores
• BACPAK export

Azure SQL Automatisierung

• Elastic Jobs
• Elastic Job Database
• Maintenance Aufgaben per Elastic Jobs
• Zugriff auf Azure SQL per Azure Automation (z.B. für Dynamic Scaling Vorgänge)

Azure SQL Database HA

• Zonen Redundanz
• Geo-Replication
• Application Intent Read Only Routing
• Failover Groups, Forced Failover, Manual Failover
• Grace Period für Automatic Failover