26、深入探索Azure SQL与Azure Data Lake：功能、安全与扩展

云朵来信

于 2025-12-05 13:06:05 发布

阅读量3

点赞数

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/b0c1d2/article/details/155796052

动手实践Azure云开发专栏收录该内容

32 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

深入探索Azure SQL与Azure Data Lake：功能、安全与扩展

1. Azure SQL入门与基本操作

当你完成Azure SQL数据库的配置并感到满意后，点击“创建”按钮，即可启动资源调配过程。完成后，可通过“概述”面板访问资源，这里能查看基本信息。接下来，我们将深入了解Azure SQL的各项功能。

在Azure门户中，“配置”面板允许你设置数据库的层级和定价模式。若要提升数据库性能，可轻松更改分配的DTU（数据库事务单位）或vCore数量，使数据库能更快处理查询。对于简单场景，配置单个数据库即可，便于监控且性能需求变化不大；其他情况则建议使用弹性池。

2. 地理复制与故障转移功能

进入“地理复制”面板，会看到类似测试Azure Cosmos DB时的地图。在此可快速创建辅助区域，以便在需要时执行故障转移。点击感兴趣的区域，会显示“创建辅助数据库”屏幕，若该区域内尚无可用服务器，需再次创建，并设置定价层级（辅助数据库的层级可与主数据库不同）。此外，还能通过该面板为数据库启用故障转移组，实现自动故障转移。若要进行强制故障转移，点击辅助数据库，会显示相应操作界面。需注意，故障转移的完全传播可能需要一些时间。

3. 连接字符串与服务器设置

在“连接字符串”面板，可看到不同环境下的连接字符串模板，还能下载适用于ADO.NET、JDBC、ODBC或PHP的驱动程序。但需注意，这只是模板，需设置用户名和密码才能正常使用。

点击“概述”面板上的服务器名称，可查看SQL Server的详细信息。在“设置”部分，有多个重要的面板：
- 故障转移组 ：创建故障转移组可实现自动故障转移，组由主服务器和辅助服务器组成，有定义好的故障转移策略和宽限期。
- 管理备份 ：可配置服务器备份（如启用长期保留），并查看所有可用备份。
- Active Directory管理员 ：可使用Active Directory中的用户设置服务器管理员，建议使用组而非单个账户。
- SQL数据库 ：快速访问该服务器提供服务的数据库。
- SQL弹性池 ：显示可用的弹性池，若要创建新池，可在“概述”面板点击“+新建池”按钮。
- 已删除的数据库 ：即使数据库从服务中移除，仍有机会恢复，可在此面板查看可恢复的数据库。
- 导入/导出历史记录 ：显示数据库的所有导入和导出操作，是很好的审计工具。
- DTU配额 ：查看服务器的DTU/vCore配额。

4. Azure SQL的安全特性

Azure SQL提供多种安全选项，即使是基础层级也具备防火墙、全面操作审计和数据加密等功能。

4.1 防火墙设置

在浏览SQL数据库时，“概述”面板上的“设置服务器防火墙”按钮可轻松设置允许访问Azure SQL的防火墙规则。默认情况下，Azure SQL拒绝所有流量，需将允许与服务器通信的计算机IP加入白名单。若使用Microsoft SQL Server Management Studio连接服务器时被拒，很可能是IP未被列入白名单，需添加特定IP地址。此外，还可通过该设置阻止Azure服务与Azure SQL实例通信，也能添加虚拟网络，创建受严格规则保护的应用和数据库生态系统。

4.2 高级威胁防护（ATP）

ATP是Azure SQL的高级功能，默认未启用，目前提供60天免费试用。可通过“高级威胁防护”面板启用，它包含三个独立功能：
- 数据发现与分类 ：分析数据的敏感性和法律分类（如GDPR要求）。
- 漏洞评估 ：根据SQL Server最佳实践检查数据库的潜在漏洞。
- 威胁检测 ：主动监控数据库的可疑活动并记录。

4.3 审计功能

若要了解服务器内部的具体操作，需启用审计功能。审计会将所有操作记录到所选存储中，目前有三种存储审计日志的选项：
- 存储
- 日志分析（预览）
- 事件中心（预览）

启用审计后，点击“查看审计日志”按钮可查看所有记录的操作。

4.4 动态数据屏蔽

有时希望允许他人读取数据库中的数据，但不希望其读取敏感信息（如出生日期、地址或姓氏），Azure SQL的动态数据屏蔽功能可满足此需求。添加屏蔽有两种方式：使用推荐或点击“+添加屏蔽”按钮手动添加。需选择架构、表、列和屏蔽字段格式，配置并保存规则后，非管理员用户将看到屏蔽后的值。

5. Azure SQL的扩展策略

数据库的性能需求会随时间和应用状态变化，此时扩展功能至关重要，可根据服务需求调整成本和可用资源。Azure SQL有多种扩展场景：

5.1 单数据库扩展

单数据库扩展很简单，只需进入“配置”面板，选择感兴趣的新层级。通过监控数据库性能，若发现持续的性能高峰或利用率接近最大值，增加一些DTU或其他资源是明智的选择。还可设置利用率上限警报，实现部分自动化扩展。

5.2 弹性池扩展

启用弹性池后，扩展方式有所不同。不再针对单个数据库的DTU进行操作，而是选择弹性池，引入了弹性DTU的概念。在此模型中，通过弹性池配置扩展数据库，单个数据库只能更改最大可用数据大小（受池设置的限制）。

5.3 只读扩展

有时只需扩展数据库的读取性能，例如流行的门户网站，管理集中但全球提供服务。Azure SQL可仅扩展负责读取管理的部分服务，但需使用Premium/Business Critical层级。启用只读扩展可使用REST API：

HTTP PUT
https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/
{GroupName}/providers/Microsoft.Sql/servers/{ServerName}/databases/{DatabaseName}?api-version= 2014-04-01-preview
Body:
{
   "properties":
   {
      "readScale":"Enabled"
   }
}

也可使用PowerShell：

Set-AzureRmSqlDatabase -ResourceGroupName <my-resource-group> -ServerName
<my-server> -DatabaseName <my-database> -ReadScale Disabled

5.4 分片扩展

分片是另一种扩展数据库的方式，与弹性池不同，分片为每个数据库分配独立资源，是水平扩展的一种模型。可使用弹性数据库拆分合并工具对弹性池进行分片。一般在以下情况使用分片：
- 数据量太大，单个实例无法处理。
- 希望实现请求负载均衡。
- 希望进行数据地理分布式存储。

需注意，每个分片的数据结构必须相同。

6. Azure SQL的监控与调优

数据库常是许多应用的核心，因此快速诊断性能或使用问题并轻松调整至关重要。Azure SQL提供多种功能帮助你深入了解实例情况。

6.1 监控功能

可使用警报监控SQL数据库，通过点击“警报”面板访问此功能。有两种类型的警报：
- 添加指标警报（经典） ：基于CPU百分比、死锁或数据库总大小等指标触发。
- 添加活动日志警报 ：每当事件发生时触发。

可同时使用这两种警报，覆盖以下方面：
| 监控类型 | 具体内容 |
| ---- | ---- |
| 指标警报 | 性能不足、无效查询、配置问题、整体服务健康状况 |
| 活动日志警报 | 即将到来的维护活动、实际服务问题、服务健康建议 |

6.2 调优功能

“智能性能”功能组可帮助监控和调优SQL数据库性能。以“性能建议”为例，初始时该功能为空，但在使用Azure SQL过程中会显示不同的建议。点击“自动化”按钮，可选择感兴趣的自动调优选项，如管理索引或强制查询计划。

通过以上对Azure SQL各方面功能的介绍，我们可以看到它是一个功能强大且灵活的服务，能满足不同场景的需求。接下来，我们将探讨Azure Data Lake的相关内容。

7. Azure Data Lake简介

在大数据时代，我们常常需要存储无限量的数据。对于大多数大数据平台来说，即使是最大容量的软限制也可能给应用的积极开发和维护带来问题。Azure Data Lake为我们提供了存储结构化和非结构化数据的无限可能，同时具备高效的安全模型和出色的性能。

8. Azure Data Lake的关键主题

以下是Azure Data Lake的几个关键主题：

Azure Data Lake存储基础 ：了解Azure Data Lake存储的基本概念、架构和工作原理，为后续的使用打下坚实的基础。
在Azure Data Lake存储中存储数据 ：掌握如何将数据存入Azure Data Lake存储，包括不同类型数据的存储方式和最佳实践。
安全特性和注意事项 ：认识Azure Data Lake提供的安全功能，以及在使用过程中需要注意的安全问题，确保数据的安全性。
使用Azure Data Lake存储的最佳实践 ：学习一些实用的最佳实践，帮助你更高效地使用Azure Data Lake存储，提升工作效率和数据处理能力。

9. 技术要求

若要进行相关练习，你需要具备访问Azure订阅的权限。有了这个基础，你就可以开始探索Azure Data Lake的强大功能，充分利用其无限的存储能力和优秀的性能，为你的大数据应用提供支持。

综上所述，Azure SQL和Azure Data Lake在不同方面为大数据处理和管理提供了强大的支持。Azure SQL以其丰富的功能和灵活的扩展能力，满足了数据库管理和性能优化的需求；而Azure Data Lake则为海量数据的存储提供了可靠的解决方案。通过合理运用这两个工具，我们能够更好地应对大数据时代的挑战，实现数据的高效利用和价值挖掘。

深入探索Azure SQL与Azure Data Lake：功能、安全与扩展

10. Azure Data Lake Store 基础

Azure Data Lake Store 是一个可扩展的大数据存储库，能够处理任意规模和类型的数据。它基于 Hadoop Distributed File System (HDFS) 架构，提供了高吞吐量和低延迟的数据访问。其主要特点包括：
- 高可扩展性 ：可以无缝扩展以存储 PB 级的数据，无需担心容量限制。
- 多协议支持 ：支持多种数据访问协议，如 REST、HDFS 等，方便不同类型的应用程序与之集成。
- 数据分层存储 ：允许用户根据数据的访问频率和重要性进行分层存储，优化存储成本。

11. 在 Azure Data Lake Store 中存储数据

将数据存储到 Azure Data Lake Store 中可以通过多种方式实现，以下是一些常见的操作步骤：

11.1 使用 Azure 门户

登录 Azure 门户，导航到你的 Azure Data Lake Store 账户。
在账户中创建一个新的文件夹或使用现有的文件夹来组织数据。
点击文件夹，选择“上传”选项，然后选择要上传的数据文件。

11.2 使用 Azure CLI

# 登录 Azure 账户
az login

# 设置默认的订阅
az account set --subscription <subscription_id>

# 上传文件到 Azure Data Lake Store
az dls fs upload --account <data_lake_store_name> --source-path <local_file_path> --destination-path <destination_path>

11.3 使用 SDK

以 Python SDK 为例：

from azure.datalake.store import core, lib

# 认证
token = lib.auth()
adls_client = core.AzureDLFileSystem(token, store_name='<data_lake_store_name>')

# 上传文件
adls_client.upload('<local_file_path>', '<destination_path>')

12. Azure Data Lake 的安全特性

Azure Data Lake 提供了一系列强大的安全功能，以保护存储在其中的数据。

12.1 访问控制

基于角色的访问控制 (RBAC) ：可以为不同的用户或用户组分配不同的角色，如读取、写入、管理等权限，确保只有授权的人员可以访问数据。
访问控制列表 (ACL) ：可以对文件夹和文件设置更细粒度的访问权限，包括对特定用户或用户组的读写权限。

12.2 数据加密

静态加密 ：数据在存储时会自动进行加密，使用 Azure 管理的密钥或客户自己管理的密钥进行加密。
传输加密 ：在数据传输过程中，使用 SSL/TLS 协议进行加密，确保数据的安全性。

12.3 审计与监控

Azure Data Lake 提供了详细的审计和监控功能，可以记录所有的访问和操作日志，帮助用户及时发现和应对潜在的安全威胁。

13. 使用 Azure Data Lake Store 的最佳实践

为了更高效地使用 Azure Data Lake Store，以下是一些最佳实践建议：

数据组织 ：合理组织数据，使用文件夹和子文件夹来分类存储数据，方便数据的管理和查询。
性能优化 ：根据数据的访问模式和性能需求，选择合适的存储层和数据分区方式，以提高数据的访问速度。
成本管理 ：定期清理不再使用的数据，合理使用存储层和数据保留策略，降低存储成本。

14. 总结

Azure SQL 和 Azure Data Lake 是两个功能强大且互补的服务。Azure SQL 为传统的数据库管理提供了丰富的功能和灵活的扩展能力，适用于需要高性能和高可靠性的应用场景。而 Azure Data Lake 则为大数据存储和处理提供了无限的可能性，能够处理各种类型和规模的数据。

在实际应用中，可以根据具体的需求和场景，合理选择和组合使用这两个服务，以实现数据的高效管理和价值挖掘。例如，可以使用 Azure SQL 来处理实时交易数据，同时使用 Azure Data Lake 来存储和分析历史数据和非结构化数据。

以下是一个简单的流程图，展示了如何根据数据特点选择合适的服务：

graph TD;
    A[数据类型] --> B{结构化数据};
    B -->|实时交易| C[Azure SQL];
    B -->|历史数据| D[Azure Data Lake];
    A --> E{非结构化数据};
    E --> F[Azure Data Lake];

15. 常见问题解答

为了帮助读者更好地理解和使用 Azure SQL 和 Azure Data Lake，以下是一些常见问题及解答：

问题	解答
Azure SQL 和 Microsoft SQL Server 在更新策略上有什么不同？	Azure SQL 由 Azure 平台自动管理更新，用户无需手动操作；而 Microsoft SQL Server 需要用户自行管理更新。
什么是分片？	分片是一种数据库扩展技术，通过将数据分散到多个独立的数据库实例中，实现水平扩展，提高数据库的性能和可扩展性。
创建了新的 SQL 数据库，但服务器拒绝连接，可能是什么问题？	可能是防火墙规则未正确配置，需要将允许连接的 IP 地址添加到防火墙白名单中。
Azure SQL 有哪两种可用的购买模式？	分别是基于 DTU（数据库事务单位）的购买模式和基于 vCore 的购买模式。
什么是弹性池？	弹性池是一种共享资源的数据库集合，多个数据库可以共享池中的资源，根据实际需求动态分配资源，提高资源利用率和成本效益。
DTU 和 eDTU 有什么区别？	DTU 是用于衡量单个数据库性能的指标；eDTU 是弹性池中的弹性数据库事务单位，用于衡量弹性池中的资源分配和使用情况。
如何在 Azure SQL 中屏蔽特定字段？	可以使用动态数据屏蔽功能，通过选择架构、表、列和屏蔽字段格式，配置并保存规则，非管理员用户将看到屏蔽后的值。
审计日志有哪些可用的存储目的地？	审计日志有三种存储目的地：存储、日志分析（预览）和事件中心（预览）。