这是我们第一次在关键的生产数据库上应用 TDE,我有以下问题。
在进行 TDE 时:
- 我们仍然可以使用连接字符串访问正在该数据库上工作的应用程序吗?
- 如果 TDE 在加密数据库时失败,它会破坏 .mdf 文件吗?我将如何恢复数据库?
- .ldf 和 .mdf 是否仍然可以访问,我们可以读写这些文件吗?
- 在进行 TDE 时,哪些数据库操作会受到影响?
- TDE 对磁盘使用有什么影响吗?
- TDE 对数据库备份有什么影响吗?如果启用 TDE,是否会自动加密 .bak、.trn 文件?
- 在应用TDE的过程中,我们需要关注哪些方面?需要停电吗?
- 对 SQL Server 服务包或累积更新有什么影响吗?
相关平台是带有可用性组的 SQL Server 2014 SP2 GDR。
是的。TDE只在存储层实现。数据在从磁盘读取时被解密。因此,存储层之外的任何东西都不会受到影响。
为了安全起见,我强烈建议在加密之前进行完整备份。但是,极不可能发生破坏数据库或使其无法使用的问题。
如前所述,加密/解密在存储层完成,系统使用 .mdf 和 .ldf 文件的方式与使用未加密数据库的方式相同。它只是在写入前加密数据,读取后解密数据。
系统将使用大量 CPU 和磁盘 I/O,因为它必须读取、加密和写入数据库中的每个数据页。
不会,数据库的大小将保持不变。如果您正在使用压缩或其他技术,它将继续在 TDE 中使用它,仅在读取和写入磁盘页面时完成。
取决于多种因素,备份可能会稍微慢一些,如果您以前使用压缩备份,备份文件会更大一些。多少取决于数据类型和 SQL Server 版本(最新版本支持在 TDE 数据库上进行压缩)。是的,.bak 和 .trn 文件中的数据将被加密。
我会建议专注于一杯好茶或咖啡。在享用您选择的饮料时,请留意 SQL Server 错误日志。不需要中断,但由于加密数据库所需的资源利用率,有一个维护窗口是理想的。
一般来说,答案是否定的。但是,如果发现仅影响 TDE 的缺陷,则建议安装包含修复程序的 CU。我们看不到未来,但无论是否使用 TDE,您都将安装相同的 CU 和服务包。它只是数据库引擎的一项功能,因此对数据库引擎的所有更新都将包含所有 TDE 功能。