Activer TDE pour les bases de données toujours en existants
Question
J'ai besoin de faire une petite analyse comparative de toujours, avec et sans TDE activé. Toutes les instructions que je vois couvrent ajoutant des bases de données cryptées à un groupe de disponibilité, mais je ne vois aucune mention d'activer le chiffrement pour une base de données déjà dans un AG.
Puis-je simplement restaurer le certificat de serveur sur tous les nœuds, puis activer TDE à partir du primaire? J'espère que je n'ai pas besoin de supprimer la base de données de l'AG, de le chiffrer, puis de réinitialiser tous les nœuds, car la base de données est d'environ 100 Go. Nous pouvons le faire si nécessaire, mais cela ralentira certainement un peu nos tests.
Mise à jour
Je viens d'essayer sur des machines virtuelles de laboratoire. J'ai pu créer un certificat au primaire, le restaurer sur tous les nœuds secondaires, puis créer une clé de cryptage de base de données au primaire à l'aide de ce certificat. Tout ce que j'avais à faire après ça était ALTER DATABASE AdventureWorks SET ENCRYPTION ON
Sur le serveur principal, et après une minute ou deux, SYS.DM_DATABASE_ENCRYPTION_KEYS a montré Encryption_State = 3 à tous les nœuds.
Alors, question de suivi: y a-t-il une raison de penser que je ne devrais pas utiliser cette procédure? SQL Server semble être satisfait des résultats, mais je n'ai vu cette approche discutée nulle part. Lorsque l'on traite du chiffrement et des questions à disponibilité élevée, je ne veux pas laisser les choses au hasard.
Pas de solution correcte