Руководство по настройке зеркальных баз данных Microsoft Fabric из SQL Server

1. Подключитесь к экземпляру SQL Server с помощью средства выполнения запросов T-SQL, например SQL Server Management Studio (SSMS) или расширения mssql для Visual Studio Code.

2. Подключитесь к master базе данных. Создайте имя входа сервера и назначьте соответствующие разрешения.

   Это важно

   Для экземпляров SQL Server в группе доступности Always On учётная запись должна быть создана во всех экземплярах SQL Server. Главный объект fabric_login должен иметь один и тот же идентификатор безопасности в каждом экземпляре реплики.

   • Создайте имя входа fabric_loginс проверкой подлинности SQL. Вы можете выбрать любое имя для этого имени входа. Укажите собственный надежный пароль. Выполните следующий скрипт T-SQL в master базе данных:

   CREATE LOGIN [fabric_login] WITH PASSWORD = '<strong password>';
   ALTER SERVER ROLE [##MS_ServerStateReader##] ADD MEMBER [fabric_login];
   

   • Или войдите в систему в качестве администратора Microsoft Entra и создайте идентификатор Microsoft Entra ID, прошедший проверку подлинности для входа из существующей учетной записи (рекомендуется). Выполните следующий скрипт T-SQL в master базе данных:

   CREATE LOGIN [[email protected]] FROM EXTERNAL PROVIDER;
   ALTER SERVER ROLE [##MS_ServerStateReader##] ADD MEMBER [[email protected]];
   

3. Подключитесь к пользовательской базе данных, которую вы планируете отразить в Microsoft Fabric. Создайте пользователя базы данных, подключенного к имени входа, и предоставьте минимальные необходимые привилегии:

   • Для входа с проверкой подлинности SQL:

   CREATE USER [fabric_user] FOR LOGIN [fabric_login];
   GRANT SELECT, ALTER ANY EXTERNAL MIRROR, 
      VIEW SERVER SECURITY STATE, VIEW DATABASE SECURITY STATE, VIEW PERFORMANCE DEFINITION TO [fabric_user];
   

   • Или для входа с аутентификацией Microsoft Entra (рекомендуется):

   CREATE USER [[email protected]] FOR LOGIN [[email protected]];
   GRANT SELECT, ALTER ANY EXTERNAL MIRROR, 
      VIEW SERVER SECURITY STATE, VIEW DATABASE SECURITY STATE, VIEW PERFORMANCE DEFINITION TO [[email protected]];
   

1. Подключитесь к экземпляру SQL Server с помощью средства выполнения запросов T-SQL, например SQL Server Management Studio (SSMS) или расширения mssql для Visual Studio Code.

2. Подключитесь к master базе данных. Создайте имя входа сервера и назначьте соответствующие разрешения.

   Это важно

   Для экземпляров SQL Server в группе доступности Always On учётная запись должна быть создана во всех экземплярах SQL Server. Повторите следующие действия для каждого экземпляра реплики. Субъект fabric_login должен иметь один и тот же идентификатор безопасности в каждом экземпляре реплики.

   Вы можете выбрать любое имя для этого имени входа. Членство в роли сервера sysadmin экземпляра SQL Server 2016-2022 требуется для включения или отключения отслеживания изменений данных.

   • Выполните следующий скрипт T-SQL в master базе данных, чтобы создать имя для входа fabric_loginс проверкой подлинности SQL. Укажите собственный надежный пароль.

   CREATE LOGIN [fabric_login] WITH PASSWORD = '<strong password>';
   ALTER SERVER ROLE [sysadmin] ADD MEMBER [fabric_login];
   

   • Кроме того, войдите в систему в качестве администратора Microsoft Entra и создайте идентификатор Microsoft Entra, прошедший проверку подлинности для входа из существующей учетной записи. Выполните следующий скрипт T-SQL в master базе данных:

   CREATE LOGIN [[email protected]] FROM EXTERNAL PROVIDER;
   ALTER SERVER ROLE [sysadmin] ADD MEMBER  [[email protected]];
   

3. Для управления CDC требуется членство в роли db_owner в базе данных-источнике для зеркального отображения.

   Подключитесь к пользовательской базе данных, которую вы планируете отразить в Microsoft Fabric. Создайте пользователя базы данных, подключенного к имени входа, и предоставьте минимальные необходимые привилегии.

   • Для входа с проверкой подлинности SQL:

   CREATE USER [fabric_user] FOR LOGIN [fabric_login];
   ALTER ROLE [db_owner] ADD MEMBER [fabric_user];
   

   • Или для входа с аутентификацией Microsoft Entra (рекомендуется):

   CREATE USER [[email protected]] FOR LOGIN [[email protected]];
   ALTER ROLE [db_owner] ADD MEMBER [fabric_user];
   

Подключение сервера к Azure Arc и включение управляемой идентификации

Чтобы настроить зеркальное отображение Fabric, необходимо настроить Azure Arc для экземпляра SQL Server 2025.

1. Подключите сервер к Azure Arc. Следуйте шагам в Кратком руководстве - Подключение гибридного компьютера с серверами с поддержкой Azure Arc.

   Для экземпляров SQL Server, работающих в группе доступности Always On или в конфигурации экземпляра отказоустойчивого кластера, все узлы должны быть подключены к системе Azure Arc.

2. Три ключа реестра необходимы на сервере Windows Server, который размещает исходный экземпляр SQL Server для зеркального отображения Fabric. Для Windows Server разделы реестра содержат сведения об управляемом удостоверении, назначаемом системой (SAMI). Следующий скрипт PowerShell добавляет три ключа в реестр, необходимые разрешения файловой системы и управляемые удостоверения.

   Замечание

   В этом разделе содержится скрипт для изменения реестра Windows. Внимательно выполните эти действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем, при возникновении проблемы, вы можете восстановить реестр. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. Как создать резервную копию и восстановить реестр в Windows.

   Три ключа реестра добавляются в указанное место.

   • Для экземпляра по умолчанию: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication
   • Для именованного экземпляра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.Instancename\MSSQLServer\FederatedAuthentication

   Скрипт добавляет следующие ключи:

   • ArcServerManagedIdentityClientId
   • ArcServerSystemAssignedManagedIdentityClientId
   • ArcServerSystemAssignedManagedIdentityTenantID

   Выполните следующий сценарий PowerShell, чтобы настроить назначаемое системой управляемое удостоверение (SAMI) и необходимые разделы реестра в Windows Server, на котором размещен исходный экземпляр SQL Server.

    $apiVersion = "2020-06-01"
    $resource = "https://storage.azure.com/"
    $ep = $env:IDENTITY_ENDPOINT
    $msi = "arc"
    if (!$ep) {
        $msi = "vm"
        $ep = 'http://169.254.169.254/metadata/identity/oauth2/token'
    }
    $endpoint = "{0}?resource={1}&api-version={2}" -f $ep,$resource,$apiVersion
    $secretFile = ""
    try {
        Invoke-WebRequest -Method GET -Uri $endpoint -Headers @{Metadata='True'} -UseBasicParsing > $null
        $msi = "vm"
    } catch {
        if ($_.Exception.Response.Headers) {
            $wwwAuthHeader = $_.Exception.Response.Headers["WWW-Authenticate"]
            if ($wwwAuthHeader -match "Basic realm=.+") {
                $secretFile = ($wwwAuthHeader -split "Basic realm=")[1]
            }
        }
    }
    $secret = ""
    if ($secretFile) {
        $msi = "arc"
        $secret = cat -Raw $secretFile
    }
    try {
        $response = Invoke-WebRequest -Method GET -Uri $endpoint -Headers @{Metadata='True'; Authorization="Basic $secret"} -UseBasicParsing
    } catch {
        Write-Output "Can not establish communication with IMDS service. You need either to have Azure Arc service installed or run this script on Azure VM."
    }
    if ($response) {
        $parts = (ConvertFrom-Json -InputObject $response.Content).access_token -split "\."
        $padLength = 4 - ($parts[1].Length % 4)
        if ($padLength -ne 4) { $parts[1] += "=" * $padLength }
        $payload = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($parts[1])) | ConvertFrom-Json
        $regPath = "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL"
        $instance = ""
        $regKey = Get-Item -Path $regPath
        $regKey.GetValueNames() | Where-Object { $regKey.GetValue($_) -match 'MSSQL17' } | ForEach-Object {
            $instance = $_
            $service = if ($instance -eq "MSSQLSERVER") { "MSSQLSERVER" } else { "MSSQL$" + $instance }
            $reginst = $regKey.GetValue($_)
            $regFed = "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\$($reginst)\MSSQLServer\FederatedAuthentication"
            if (-not (Test-Path -Path $regFed)) {
                New-Item -Path $regFed -Force > $null
            }
            if ($msi -eq "arc") {
                Write-Host "Registering Azure Arc MSI service for SQL Server instance: " $instance `n
                Set-ItemProperty -Path $regFed -Name "ArcServerManagedIdentityClientId" -Value ""
                Set-ItemProperty -Path $regFed -Name "ArcServerSystemAssignedManagedIdentityClientId" -Value $($payload.appid)
                Set-ItemProperty -Path $regFed -Name "ArcServerSystemAssignedManagedIdentityTenantId" -Value $($payload.tid)
                $svcPath = "HKLM:\SYSTEM\CurrentControlSet\Services\$($service)"
                if (Test-Path -Path $svcPath) {
                    $keyPath = Split-Path $secretFile
                    $svcKey = Get-Item -Path $svcPath
                    $sqlAccount = $svcKey.GetValue("ObjectName")
                    if ($sqlAccount -ne "LocalSystem") {
                        Write-Host "Permissioning folder" $keyPath "for SQL Server account" $sqlAccount `n
                        icacls $keyPath /grant "$($sqlAccount):(OI)(CI)R"
                        $group = "Hybrid agent extension applications"
                        $isMember = Get-LocalGroupMember -Group $group | Where-Object { $_.Name -eq $sqlAccount }
                        if (-not $isMember) {
                            Write-Host "Also adding SQL running account to local group: $group" `n
                            Add-LocalGroupMember -Group $group -Member $sqlAccount
                        } else {
                            Write-Host ""
                        }
                    }
                }
            } else {
                Write-Host "Registering Azure VM MSI service for SQL Server instance: " $instance `n
                Set-ItemProperty -Path $regFed -Name "PrimaryAADTenant" -Value ""
                Set-ItemProperty -Path $regFed -Name "OnBehalfOfAuthority" -Value "https://login.windows.net/"
                Set-ItemProperty -Path $regFed -Name "FederationMetadataEndpoint" -Value "login.windows.net"
                Set-ItemProperty -Path $regFed -Name "AzureVmManagedIdentityClientId" -Value ""
                Set-ItemProperty -Path $regFed -Name "AzureVmSystemAssignedManagedIdentityClientId" -Value $($payload.appid)
                Set-ItemProperty -Path $regFed -Name "AzureVmSystemAssignedManagedIdentityTenantId" -Value $($payload.tid)
            }
        }
        Write-Host "Registeration complete for:" `n "Client ID: " $($payload.appid) `n "Tenant ID: " $($payload.tid) `n
    } 
   

   Это важно

   Для экземпляров SQL Server, работающих в группе доступности Always On или в конфигурации экземпляра отказоустойчивого кластера, запустите сценарий PowerShell локально на каждом узле.

3. Подключитесь к локальному экземпляру SQL Server 2025. При подключении выберите сертификат сервера trust.

4. Просмотр управляемых удостоверений:

   SELECT *
   FROM sys.dm_server_managed_identities;
   

   Это должно возвращать 1 строку с правильным client_id и tenant_id. Identity_type должно иметь значение "Назначаемое системой".

Добавление разрешений управляемых удостоверений в Microsoft Fabric

Управляемое удостоверение SQL Server создается и автоматически получает разрешения от Microsoft Fabric.

Однако для экземпляров SQL Server, работающих в группе доступности Always On или конфигурации экземпляра отказоустойчивого кластера, назначаемому системой управляемому удостоверению (SAMI) каждого дополнительного узла необходимо предоставить разрешения соавтора рабочей области Fabric. Управляемое удостоверение создается с помощью скрипта PowerShell, который предоставляется для каждого вторичного узла, и этому удостоверению необходимо вручную предоставить разрешения Fabric.

1. На портале Fabric предоставьте разрешения Fabric управляемому удостоверению каждого вторичного узла.

   1. В рабочей области Fabric выберите "Управление доступом".

      

   2. Выберите " Добавить людей или группы".

   3. В диалоговом окне "Добавление людей" найдите имена серверов для каждого узла в группе доступности или отказоустойчивом кластере.

   4. Назначьте каждой учетной записи роль участника.

      

Настройка локального шлюза данных

Проверьте требования к сети для Fabric, чтобы получить доступ к SQL Server. Для зеркального отображения данных необходимо установить локальный шлюз данных . Убедитесь, что сеть локального компьютера шлюза может подключаться к экземпляру SQL Server. Дополнительные сведения см. в статье "Практическое руководство. Защита зеркальных баз данных Microsoft Fabric из SQL Server".

1. Скачайте локальный шлюз данных из Официального центра загрузки Майкрософт.
2. Запустите установку. Следуйте инструкциям по установке локального шлюза данных.
   • Укажите адрес электронной почты учетной записи Майкрософт.
   • Имя: MyOPDG или любое нужное имя.
   • Ключ восстановления: укажите надежный ключ восстановления.

Создание зеркального SQL Server

1. Откройте портал «Fabric».
2. Используйте существующую рабочую область или создайте новую рабочую область.
3. Перейдите в панель Создания. Щелкните значок "Создать".
4. Прокрутите страницу, чтобы выбрать зеркальную базу данных SQL Server.
5. Введите имя базы данных SQL Server для зеркалирования, затем выберите Создать.

Подключите Fabric к вашему экземпляру SQL Server

Чтобы включить зеркальное отображение, необходимо подключиться к экземпляру SQL Server из Fabric, чтобы инициировать подключение из Fabric. Ниже приведены инструкции по созданию подключения к SQL Server.

1. В разделе "Новые источники" выберите базу данных SQL Server. Или выберите существующее подключение SQL Server из концентратора OneLake.

2. Если вы выбрали новое подключение, введите сведения о подключении к экземпляру SQL Server.

   • Сервер. Полный путь к имени сервера, который Fabric будет использовать для доступа к экземпляру SQL Server, то же самое, что и для SSMS.

   Подсказка

   Экземпляры SQL Server в группе доступности AlwaysOn используют прослушиватель AlwaysOn для сервера. Если SQL Server работает в конфигурации экземпляра отказоустойчивого кластера, используйте имя виртуальной сети для сервера.

   • База данных: введите имя SQL Server.
     • Подключение: создание нового подключения.
     • Имя подключения: автоматическое имя предоставляется. Его можно изменить.
     • Шлюз данных: Выберите локальный шлюз данных, настроенный в соответствии с вашим сценарием.
     • Тип проверки подлинности: выберите метод проверки подлинности и укажите основного пользователя, которого вы настроили в разделе "Использование имени входа и сопоставленного пользователя базы данных".
     • Установите флажок "Использовать зашифрованное подключение ".

3. Нажмите Подключиться.

Подготовка экземпляра SQL Server

1. Служба агент SQL Server должна быть запущена. Настоятельно рекомендуется настроить автоматическое запуск.
2. Измененная запись данных (CDC) будет автоматически включена и настроена зеркальным отображением Fabric для каждой требуемой таблицы в базе данных. Просмотрите известные проблемы и ошибки с CDC. CDC требует, чтобы каждая таблица содержит первичный ключ.

Настройка локального шлюза данных

Проверьте требования к сети для Fabric, чтобы получить доступ к SQL Server. Для зеркального отображения данных необходимо установить локальный шлюз данных . Убедитесь, что сеть локального компьютера шлюза может подключаться к экземпляру SQL Server. Дополнительные сведения см. в статье "Практическое руководство. Защита зеркальных баз данных Microsoft Fabric из SQL Server".

1. Скачайте локальный шлюз данных, см. раздел "Скачать локальный шлюз данных" из Официального центра загрузки Майкрософт.
2. Запустите установку. Следуйте инструкциям по установке локального шлюза данных.
   • Укажите адрес электронной почты учетной записи Майкрософт.
   • Имя: MyOPDG или любое нужное имя.
   • Ключ восстановления: укажите надежный ключ восстановления.

Создание зеркального SQL Server

1. Откройте портал «Fabric».
2. Используйте существующую рабочую область или создайте новую рабочую область.
3. Перейдите в панель Создания. Щелкните значок "Создать".
4. Прокрутите страницу, чтобы выбрать зеркальную базу данных SQL Server.
5. Введите имя базы данных SQL Server для зеркалирования, затем выберите Создать.

Подключите Fabric к вашему экземпляру SQL Server

Чтобы включить зеркальное отображение, необходимо подключиться к экземпляру SQL Server из Fabric, чтобы инициировать подключение из Fabric. Ниже приведены инструкции по созданию подключения к SQL Server.

1. В разделе "Новые источники" выберите базу данных SQL Server. Или выберите существующее подключение SQL Server из концентратора OneLake.

2. Если вы выбрали новое подключение, введите сведения о подключении к экземпляру SQL Server.

   • Сервер. Полный путь к имени сервера, который Fabric будет использовать для доступа к экземпляру SQL Server, то же самое, что и для SSMS.

   Подсказка

   Для экземпляров SQL Server в группе доступности Always On используйте прослушиватель Always On для сервера. Если SQL Server работает в конфигурации экземпляра отказоустойчивого кластера, используйте имя виртуальной сети для сервера.

   • База данных: введите имя SQL Server.
     • Подключение: создание нового подключения.
     • Имя подключения: автоматическое имя предоставляется. Его можно изменить.
     • Шлюз данных: Выберите имя локального шлюза данных, настроенного в соответствии с вашим сценарием.
     • Тип проверки подлинности: выберите метод проверки подлинности и укажите основного пользователя, которого вы настроили в разделе "Использование имени входа и сопоставленного пользователя базы данных".

3. Нажмите Подключиться.

Настройка вторичных реплик групп доступности AlwaysOn

Этот раздел требуется только в том случае, если исходная база данных для зеркального отображения SQL Server в Fabric входит в группу доступности AlwaysOn.

Если исходная база данных находится в группе доступности AlwaysOn, для настройки вторичных реплик необходимо выполнить дополнительные действия. Повторите эти действия для каждой вторичной реплики, чтобы подготовить всю группу доступности. Для каждой реплики необходимо настроить задания агента SQL, чтобы механизм CDC вел себя правильно, когда эта реплика является первичной.

1. Переключение группы доступности на вторичную реплику.

2. Используйте предоставленный скрипт для создания в системной базе данных экземпляра msdb вторичной реплики заданий очистки и захвата, если они еще не существуют. Эти задания важны для поддержания исторических данных, сохраненных CDC.

   В следующем скрипте замените <YOUR DATABASE NAME> именем зеркальной базы данных. Выполните следующую команду в зеркальной базе данных.

   DECLARE @db nvarchar(128) = '<YOUR DATABASE NAME>';
   
   DECLARE @capture nvarchar(128) = N'cdc.' + @db + N'_capture';
   DECLARE @cleanup nvarchar(128) = N'cdc.' + @db + N'_cleanup';
   -- Names may differ. Run `SELECT * FROM msdb.dbo.sysjobs WHERE category_id = 13 or category_id = 16` to see if these names exist.
   
    IF NOT EXISTS (SELECT name, job_id FROM msdb.dbo.sysjobs WHERE name = @capture)
    BEGIN
        -- Create the capture job
        EXEC sys.sp_cdc_add_job @job_type = N'capture';
        PRINT 'CDC capture job has been created.';
    END
    ELSE
    BEGIN
        PRINT 'CDC capture job already exists.';
        -- Start capture job is running
        IF NOT EXISTS (SELECT j.name, j.enabled, ja.start_execution_date, ja.stop_execution_date
            FROM msdb.dbo.sysjobs AS j
            LEFT JOIN msdb.dbo.sysjobactivity AS ja ON j.job_id = ja.job_id
            WHERE j.name = @capture and ((ja.start_execution_date IS NOT NULL and ja.stop_execution_date IS NULL)) or j.enabled <> 0)
        BEGIN
            EXEC msdb.dbo.sp_start_job @job_name = @capture;
            PRINT 'CDC capture job started running.';
        END
        ELSE
        BEGIN
            PRINT 'CDC capture job already running.';
        END
    END
   
    IF NOT EXISTS (SELECT name,job_id FROM msdb.dbo.sysjobs WHERE name = @cleanup)
    BEGIN
        -- Create the cleanup job
        EXEC sys.sp_cdc_add_job @job_type = N'cleanup';
        PRINT 'CDC cleanup job has been created.';
    END
    ELSE
    BEGIN
        -- Ensure that the cleanup job is properly scheduled (default schedule)
        IF NOT EXISTS (SELECT j.name, j.enabled, ja.start_execution_date, ja.stop_execution_date
            FROM msdb.dbo.sysjobs AS j
            LEFT JOIN msdb.dbo.sysjobactivity AS ja ON j.job_id = ja.job_id
            WHERE j.name = @cleanup and j.enabled <> 0)
        BEGIN
            EXEC msdb.dbo.sp_update_job @job_name = @cleanup, @enabled = 1;
            PRINT 'CDC cleanup job updated to enabled.';
        END
        ELSE
        BEGIN
            PRINT 'CDC cleanup job already enabled.';
        END
        PRINT 'CDC cleanup job already exists.';
    END
   

   Задания захвата и очистки для CDC запускаются немедленно и создаются с параметрами по умолчанию. Дополнительные сведения о заданиях см. в разделе sys.sp_cdc_add_job (Transact-SQL).

3. Каждое задание будет выполняться по умолчанию на каждой реплике группы доступности, даже если она является вторичной репликой. Это приведет к возникновению ошибок в журналах, так как пользовательские базы данных на вторичных репликах не записываются. Включите два задания CDC на первичных репликах и отключите их на вторичных репликах. Следуйте инструкциям в разделе "Отслеживание измененных данных" в группах доступности AlwaysOn.