Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Synchronisierungsprobleme identifizieren und beheben, wenn Benutzer oder Schlüssel in Ihrem Azure Cloud HSM-Cluster von einem oder mehreren Knoten fehlen.
Übersicht
In einigen Fällen werden Benutzer oder Schlüssel möglicherweise nicht auf alle Knoten in Ihrem Azure Cloud HSM-Cluster repliziert. Dies kann bei Dienstereignissen wie Selbstreparatur oder Upgrades auftreten, oder wenn die Erstellung auf einem oder mehreren Knoten fehlschlägt. Wenn zeitweilige Authentifizierungsfehler oder Kryptografieoperationsfehler auftreten, verfügen Sie möglicherweise über Benutzer oder Schlüssel, die synchronisiert werden müssen.
Von Bedeutung
Ein Benutzer oder Schlüssel, der nur auf einem Knoten existiert, läuft Gefahr eines dauerhaften, nicht wiederherstellbaren Verlusts, wenn dieser Knoten fehlschlägt. Wenn Sie fehlende Benutzer oder Schlüssel identifizieren, synchronisieren Sie sie sofort, und stellen Sie sicher, dass Sie über aktuelle Sicherungen verfügen.
Voraussetzungen
- Access auf einen virtuellen Computer mit installiertem Azure Cloud HSM SDK
- Das Tool
- Kryptographie-Verantwortlicher (CO) Zugangsdaten für Ihre Azure Cloud HSM-Bereitstellung
Benutzersynchronisierung
Alle Benutzer in Azure Cloud HSM werden vom Kunden vollständig verwaltet. Der Dienst führt keine Back-End-Benutzersynchronisierung durch, wenn die Benutzererstellung fehlschlägt. Wenn die Benutzererstellung auf einem oder mehreren Knoten fehlschlägt, müssen Sie den Benutzer manuell mit den fehlenden Knoten synchronisieren.
Von Bedeutung
Stellen Sie sicher, dass alle Benutzer konsistent erstellt werden und auf jedem Knoten im Cluster präsent sind. Wenn ein Benutzer fehlt oder die Erstellung auf einem Knoten fehlschlägt, müssen Sie die erforderlichen Befehle ausführen und Überprüfungsschritte ausführen, um die Konsistenz wiederherzustellen.
Identifizieren fehlender Benutzer
Starten Sie das Verwaltungsprogramm:
./azcloudhsm_mgmt_util ./azcloudhsm_resource.cfgFühren Sie den Befehl aus, um die Benutzer-ID, den Benutzertyp und den Benutzernamen unter jedem Knoten anzuzeigen (Server 0, 1, 2):
listUsersBeobachten Sie die Anzahl der gefundenen Benutzer für jeden Knoten und die entsprechenden Benutzernamen. Vergleichen Sie die Listen auf allen drei Servern, um fehlende Benutzer zu identifizieren.
Synchronisieren fehlender Benutzer
Melden Sie sich als Kryptografiebeauftragter (CO) an:
loginHSM CO admin <adminPassword>Vergewissern Sie sich, dass Sie sich erfolgreich bei allen drei Knoten angemeldet haben:
loginHSM success on server 0 loginHSM success on server 1 loginHSM success on server 2Hinweis
Wenn die Anmeldung bei einem Knoten fehlschlägt, schlägt der Synchronisierungsvorgang möglicherweise fehl. Stellen Sie vor dem Fortfahren eine erfolgreiche Anmeldung bei allen Knoten sicher.
Identifizieren Sie den Quellknoten, der den Benutzer hat. In diesem Beispiel verfügt Server 0 über einen Benutzer, der auf Server 1 und Server 2 nicht verfügbar ist:
server 0Führen Sie den Befehl für jeden Server aus, auf dem der Benutzer fehlt. Ersetzen Durch die tatsächliche Benutzer-ID:
syncUser <UserID> 1 syncUser <UserID> 2Hinweis
Wenn für einen Knoten ausgeführt wird, auf dem der Benutzer bereits vorhanden ist, wird die Fehlermeldung "Benutzer bereits erstellt, Objekt kann nicht eingefügt werden" angezeigt. Wenn der Benutzer nicht vorhanden ist, wird der Vorgang erfolgreich ausgeführt.
Überprüfen der Benutzersynchronisierung
Beenden Sie den aktuellen Serverkontext:
exitFühren Sie den Befehl aus, um zu bestätigen, dass alle Benutzer-IDs, Benutzertypen und Benutzernamen nun einheitlich sind und unter jedem Knoten (Server 0, 1, 2) verfügbar sind.
listUsers
Schlüsselsynchronisierung
Wenn Sie Schlüssel erstellen, liegt es in Ihrer Verantwortung, sicherzustellen, dass Schlüssel auf allen Knoten vorhanden sind. Obwohl Azure Cloud HSM dienstseitige Schlüsselsynchronisierungs- und Wiederherstellungsvorgänge unterstützt, müssen Sie überprüfen, ob Schlüssel vor der Verwendung auf fehlenden Knoten verfügbar sind.
Von Bedeutung
Wenn ein Schlüssel fehlt oder die Erstellung auf einem Knoten fehlschlägt, müssen Sie die entsprechenden Befehle ausführen und Überprüfungsschritte ausführen, um die Konsistenz wiederherzustellen. Ein Schlüssel, der nur auf einem Knoten vorhanden ist, ist bei Ausfall dieses Knotens einem dauerhaften Verlust ausgesetzt.
Identifizieren fehlender Schlüssel
Starten Sie das Verwaltungsprogramm:
./azcloudhsm_mgmt_util ./azcloudhsm_resource.cfgMelden Sie sich als Kryptografiebeauftragter (CO) an:
loginHSM CO admin <adminPassword>Vergewissern Sie sich, dass Sie sich erfolgreich bei allen drei Knoten angemeldet haben:
loginHSM success on server 0 loginHSM success on server 1 loginHSM success on server 2Führen Sie den Befehl aus, um die Anzahl der Tasten und Tastenhandle-IDs unter jedem Knoten anzuzeigen:
findAllKeys 0 0Beobachten Sie die Anzahl der Schlüssel, die pro Knoten gefunden werden, und die entsprechenden Schlüssel-Handle-IDs. Vergleichen Sie die Ergebnisse auf allen drei Servern, um fehlende Schlüssel zu identifizieren.
Synchronisieren fehlender Schlüssel
Identifizieren Sie den Quellknoten mit dem Schlüssel. In diesem Beispiel verfügt Server 0 über ein Schlüsselhandle, das auf Server 1 und Server 2 nicht verfügbar ist:
server 0Führen Sie den Befehl für jeden Server aus, auf dem der Schlüssel fehlt. Ersetzen Sie durch die tatsächliche Schlüsselhandle-ID:
syncKey <KeyHandle> 1 syncKey <KeyHandle> 2Beispielsweise zum Synchronisieren des Schlüsselhandles 262150 für die Server 1 und 2:
syncKey 262150 1 syncKey 262150 2
Überprüfen der Schlüsselsynchronisierung
Beenden Sie den aktuellen Serverkontext:
exitFühren Sie diesen Befehl aus, um zu bestätigen, dass alle Schlüsselziehpunkte und die Anzahl der gefundenen Schlüssel jetzt gleich und unter jedem Knoten verfügbar sind (Server 0, 1, 2):
findAllKeys 0 0
Bewährte Methoden
So verhindern Sie Synchronisierungsprobleme und potenzielle Datenverluste:
- Überprüfen Sie nach der Erstellung: Nachdem Sie einen beliebigen Benutzer oder Schlüssel erstellt haben, überprüfen Sie sofort, ob er auf allen drei Knoten vorhanden ist.
- Regelmäßige Sicherungen verwalten: Verwenden Sie die Sicherungs- und Wiederherstellungsfunktionen , um vor Knotenfehlern zu schützen.
- Überwachung auf Diskrepanzen: Führen regelmäßig und aus, um auf Inkonsistenzen über Knoten hinweg zu prüfen.
- Reagieren Sie schnell auf Fehler: Wenn Sie einen Benutzer- oder Schlüsselerstellungsfehler feststellen, synchronisieren Sie ihn mit den fehlenden Knoten, bevor ein Knotenfehler auftritt.