Az Azure Key Vault rendelkezésre állása és redundanciája

Az Azure Key Vault több redundanciaréteget is kínál, így biztosíthatja, hogy a kulcsok és titkos kulcsok akkor is elérhetők maradjanak az alkalmazás számára, ha a szolgáltatás egyes összetevői sikertelenek, vagy ha az Azure-régiók vagy a rendelkezésre állási zónák nem érhetők el.

Megjegyzés:

Ez az útmutató a tárolókra vonatkozik. A felügyelt HSM-készletek eltérő magas rendelkezésre állási és vészhelyreállítási modellt használnak; további információt a felügyelt HSM vészhelyreállítási útmutatójában talál.

Adatreplikáció

A Key Vault az adatok replikálásának módja attól függ, hogy a tároló melyik régióban található.

A legtöbb olyan Azure-régió esetében, amely egy másik régióval van párosítva, a kulcstartó tartalma a régión belül és a párosított régióban is replikálódik. A párosított régió általában legalább 150 mérföldnyire van, de ugyanazon a földrajzi helyen belül. Ez a megközelítés biztosítja a kulcsok és titkos kódok magas tartósságát. Az Azure-régiópárokról további információt az Azure párosított régióiban talál. Két kivétel a Brazília déli régiója, amely egy másik földrajzi régióhoz van párosítva, és az USA 3. nyugati régiója. Ha az USA 3. déli vagy nyugati régiójában hoz létre kulcstartókat, azok nem replikálódnak régiók között.

A pár nélküli Azure-régiók, valamint az USA 3. déli és nyugati régiója esetében az Azure Key Vault zónaredundáns tárolást (ZRS) használ az adatok háromszori replikálásához a régión belül, független rendelkezésre állási zónákban. Az Azure Key Vault Premium esetében a három zóna közül kettő a hardveres biztonsági modul (HSM) kulcsainak replikálására szolgál. A biztonsági mentési és visszaállítási funkcióval replikálhatja a tároló tartalmát egy tetszőleges másik régióba.

Feladatátvétel egy régión belül

Ha a Key Vault szolgáltatás egyes összetevői sikertelenek, a régión belüli alternatív összetevők szolgálják ki a kérést, hogy meggyőződjenek arról, hogy a funkció nem romlik. Nem kell semmilyen műveletet elvégeznie – a folyamat automatikusan megtörténik, és transzparens lesz Önnek.

Hasonlóképpen, egy olyan régióban, ahol a tárolót a rendelkezésre állási zónák között replikálják, ha egy rendelkezésre állási zóna nem érhető el, akkor az Azure Key Vault automatikusan átirányítja a kéréseket egy másik rendelkezésre állási zónába a magas rendelkezésre állás biztosítása érdekében.

Feladatátvétel régiók között

Ha olyan régióban van, amely automatikusan replikálja a kulcstartót egy másodlagos régióba, akkor abban a ritka esetben, amikor egy teljes Azure-régió nem érhető el, a régióban az Azure Key Vaultból érkező kérések automatikusan egy másodlagos régióba lesznek irányítva (feladatátvétel). Ha az elsődleges régió ismét elérhető, a kérések vissza lesznek irányítva (sikertelenek) az elsődleges régióba. Ismét nem kell semmilyen műveletet elvégeznie, mert ez automatikusan megtörténik.

Fontos

A régiók közötti feladatátvétel nem támogatott a következő régiókban:

• Bármely régió, amely nem rendelkezik párosított régióval
• Dél-Brazília
• Délkelet-Brazília
• West US 3

Minden más régió olvasási hozzáférésű georedundáns tárolást (RA-GRS) használ az adatok párosított régiók közötti replikálásához. További információ: Azure Storage-redundancia: Redundancia egy másodlagos régióban.

Azokban a régiókban, amelyek nem támogatják az automatikus replikációt egy másodlagos régióba, az Azure-kulcstartók helyreállítását régióhiba-forgatókönyvben kell megterveznie. To back up and restore your Azure key vault to a region of your choice, complete the steps that are detailed in Azure Key Vault backup.

Ezzel a magas rendelkezésre állási kialakítással az Azure Key Vault nem igényel állásidőt a karbantartási tevékenységekhez.

A következőkre van néhány figyelmeztetés:

• Régiós feladatátvétel esetén a szolgáltatás feladatátvétele eltarthat néhány percig. A feladatátvétel előtt ez idő alatt küldött kérések sikertelenek lehetnek.

• Ha privát kapcsolatot használ a kulcstartóhoz való csatlakozáshoz, akár 20 percet is igénybe vehet, amíg a kapcsolat újra létrejön egy régió feladatátvétele esetén.

• A feladatátvétel során a kulcstartó írásvédett módban van. A következő műveletek írásvédett módban támogatottak:

  • Tanúsítványok listázása
  • Tanúsítványok lekérése
  • Titkos kulcsok listázása
  • Titkos kódok lekérése
  • Listakulcsok
  • Kulcsok lekérése (tulajdonságai)
  • Titkosítás
  • Visszafejtés
  • Betakar
  • Unwrap
  • Ellenőrzés
  • Bejelentkezés
  • Backup

A feladatátvétel során nem módosíthatja a kulcstartó tulajdonságait. Nem módosíthatja a hozzáférési szabályzatot, illetve a tűzfal konfigurációit és beállításait.

A feladatátvételi feladat visszavétele után minden kéréstípus (beleértve az olvasási és írási kérelmeket) elérhető.

Következő lépések

• Azure Key Vault biztonsági mentése
• Redundancia az Azure Storage szolgáltatásban
• Párosított Azure-régiók