文章目录

  • 第三十四章 配置镜像 - 在镜像中激活日志加密
  • 在镜像中激活日志加密


第三十四章 配置镜像 - 在镜像中激活日志加密

在镜像中激活日志加密

在镜像成员上激活日志加密时,请记住三个重要的注意事项:

  • 不能在故障转移成员和 DR 异步上激活日志文件加密,除非镜像需要 TLS 安全性。
  • 如果在主服务器上激活了日志加密,则必须在属于镜像的任何报告异步上激活它。此外,最佳做法是在备份和任何 DR 异步上激活日志加密,以便在发生故障转移或 DR 升级时日志加密将继续有效。
  • 故障转移成员和 DR 异步之间的日志加密要求在一个成员上用于日志加密的加密密钥在其他成员上被激活(尽管不一定用于日志加密),以便根据需要用于解密收到的日志文件。具体来说,
  • 如果在主服务器上激活了日志加密,则必须在备份和所有 DR 异步上加载并激活用于主服务器上的日志加密的密钥。 (如果未激活主日志加密密钥的报告异步更改为 DR 异步,则会生成警告;异步可以暂时保持与镜像的连接,但下次需要时将无法重新连接,除非密钥已被激活。)
  • 如果在备份或 DR 异步上激活了日志加密,则必须在主数据库上加载并激活用于该成员的日志加密的密钥。

同样,作为准备故障转移或升级的最佳实践,如果任何成员(主要、备份)或可能成为(DR 异步)故障转移成员指定了日志加密密钥,则应将此密钥加载到所有其他此类成员上,包括多个 DR 异步。

注意:如果仅在报告异步上激活日志加密,则镜像不需要 TLS 安全性,并且唯一的加密密钥要求是在激活它的每个报告异步上选择一个密钥用于日志加密。

以下过程描述了在由故障转移成员 A(当前主)和 B(当前备份)、DR 异步 D 和报告异步 R 组成的镜像上激活日志加密的步骤:

  1. 如果镜像当前不需要 TLS 安全性(请参阅使用 TLS 安全性保护镜像通信),请使用编辑或删除故障转移成员中描述的过程将其配置为这样做。
  2. 选择将用于加密 ABD 上的日志文件的一个或多个加密密钥。如果需要,这些都可以不同。
  3. ABD 中的每一个上,如果可以转换为 DR 异步,则可选地在 R 上执行以下步骤:
    a. 加载并激活将用于加密 ABD(以及可选的 R)上的日志文件的所有密钥(如果它们尚未激活)。
    b. 按照为实例指定默认数据库加密密钥或日志加密密钥中所述,为实例选择所需的日志加密密钥。
  4. 如果在上一步中尚未执行此操作,请在 R 上加载、激活并选择一个日志加密密钥。
  5. ABDR 上,按配置加密启动设置中所述的顺序激活日志加密。

当在实例上激活日志加密时,加密会在实例重新启动或下一次日志切换后开始,以先到者为准。要在不重新启动镜像成员的情况下立即进行更改,可以手动切换每个成员上的日志文件,如数据完整性指南的“日志记录”一章中的切换日志文件中所述。

注意:^JOURNAL 例程(请参阅数据完整性指南的“日志记录”一章)包括一个选项,可以使用它来激活/停用日志加密,而不是使用管理门户。当使用此选项激活加密时,实例会立即切换到加密的日志文件,并将加密启动设置设置为交互。

要在实例上切换日志加密密钥,加载、激活并选择新密钥,该新密钥将在实例重新启动或下一次日志切换(以先到者为准)后用于加密。

在激活日志加密后向镜像添加 DR 异步时,请确保在添加新的 DR 异步之前激活 ABD 上使用的日志加密密钥或密钥。