Többrégiós replikáció engedélyezése az Azure Managed HSM-en
A többrégiós replikáció lehetővé teszi egy felügyelt HSM-készlet kiterjesztését egy Azure-régióból (az elsődleges régióból) egy másik Azure-régióba (kiterjesztett régióba). A konfigurálás után mindkét régió aktív, képes a kérések kiszolgálására, és automatizált replikációval ugyanazokkal a kulcsfontosságú anyagokkal, szerepkörökkel és engedélyekkel rendelkezik. Az alkalmazás legközelebbi elérhető régiója fogadja és teljesíti a kérést, ezáltal maximalizálva az olvasási átviteli sebességet és a késést. Bár a regionális kimaradások ritkán fordulnak elő, a többrégiós replikáció növeli a kritikus fontosságú titkosítási kulcsok rendelkezésre állását, ha egy régió elérhetetlenné válik. Az SLA-val kapcsolatos további információkért látogasson el az Azure Key Vault által felügyelt HSM-hez készült SLA-ba.
Architektúra
Ha a többrégiós replikáció engedélyezve van egy felügyelt HSM-en, egy második felügyelt HSM-készlet jön létre három elosztott terhelésű HSM-partícióval egy kiterjesztett régióban. Amikor a Traffic Manager globális DNS-végpontja <hsm-name>.managedhsm.azure.netfelé küld kéréseket, a legközelebbi elérhető régió fogadja és teljesíti a kérést. Bár a HSM-ek régiónkénti eloszlása miatt minden régió külön-külön fenntartja a regionális magas rendelkezésre állást, a forgalomkezelő biztosítja, hogy még ha az egyik régióban lévő felügyelt HSM összes partíciója katasztrófa miatt nem érhető el, a kérelmeket továbbra is kiszolgálhatja a kiterjesztett régió felügyelt HSM-készlete.
Replikáció késése
A felügyelt HSM-be történő írási művelet, például kulcs létrehozása vagy frissítése, szerepkördefiníció létrehozása vagy frissítése, illetve szerepkör-hozzárendelés létrehozása vagy frissítése akár 6 percet is igénybe vehet, amíg mindkét régió teljes mértékben replikálódik. Ebben az ablakban nem garantált, hogy az írott anyag replikálódott a régiók között. Ezért érdemes hat percet várni a kulcs létrehozása vagy frissítése, valamint a kulcs használata között annak biztosítása érdekében, hogy a kulcs anyaga teljes mértékben replikálva legyen a régiók között. Ugyanez vonatkozik a szerepkör-hozzárendelésekre és a szerepkör-definíciókra is.
Feladatátvételi viselkedés
A feladatátvétel akkor történik, ha egy többrégiós felügyelt HSM egyik régiója leállás miatt elérhetetlenné válik, a másik régió pedig megkezdi az összes kérés kiszolgálását. A kimaradás csak a HSM-készletre, a teljes felügyelt HSM-szolgáltatásra vagy a teljes Azure-régióra korlátozódhat. A feladatátvétel során az érintett régiótól függően megváltozhat a viselkedése.
| Érintett régió | Olvasás engedélyezett | Írási műveletek engedélyezettek |
|---|---|---|
| Kiterjesztett régió | Igen | Igen |
| Elsődleges régió | Igen | Talán |
Ha egy kiterjesztett régió elérhetetlenné válik, olvasási műveletek (kulcs lekérése, listakulcsok, minden titkosítási művelet, listaszerepkör-hozzárendelés) akkor érhetők el, ha az elsődleges régió él. Írási műveletek (kulcsok létrehozása és frissítése, szerepkör-hozzárendelések létrehozása és frissítése, szerepkördefiníciók létrehozása és frissítése) is elérhetők.
Ha az elsődleges régió nem érhető el, olvasási műveletek érhetők el, de az írási műveletek nem feltétlenül, a kimaradás hatókörétől függően.
Feladatátvétel ideje
A kapucni alatt a DNS-feloldás kezeli a kérések átirányítását az elsődleges vagy a kiterjesztett régiókba.
Ha mindkét régió aktív, a Traffic Manager arra a helyre oldja fel a bejövő kéréseket, amely a legközelebbi földrajzi közelséggel vagy a legalacsonyabb hálózati késéssel rendelkezik a kérés forrásához. A DNS-rekordok alapértelmezett 5 másodperces TTL-vel vannak konfigurálva.
Ha egy régió nem megfelelő állapotot jelent a Traffic Managernek, a jövőbeli kérések feloldódnak a másik régióban, ha elérhető. A DNS-kereséseket gyorsítótárazó ügyfelek hosszabb feladatátvételi időt tapasztalhatnak. Ha azonban az ügyféloldali gyorsítótárak lejárnak, a jövőbeli kéréseknek az elérhető régióba kell irányítaniuk.
Azure-régió támogatása
A következő régiók támogatottak elsődleges régiókként (olyan régiók, amelyekből felügyelt HSM-készletet replikálhat)
- USA keleti régiója
- USA 2. keleti régiója
- USA északi régiója
- Nyugat-Európa
- USA nyugati régiója
- Kelet-Kanada
- Közép-Katar
- Kelet-Ázsia
- Ázsia délkeleti régiója
- Az Egyesült Királyság déli régiója
- USA középső régiója
- Kelet-Japán
- Észak-Svájc
- Dél-Brazília
- Ausztrália középső régiója
- Közép-India
- USA nyugati régiója 3
- Közép-Kanada
- Kelet-Ausztrália
- Dél-India
- Közép-Svédország
- Dél-Afrika északi régiója
- Dél-Korea középső régiója
- Észak-Európa
- Közép-Franciaország
- Nyugat-Japán
- USA déli középső régiója
- Közép-Lengyelország
- Nyugat-Svájc
- Ausztrália Dél-Kelet
- Nyugat-India
- Egyesült Arab Emírségek középső régiója
- Egyesült Arab Emírségek északi régiója
- USA 2. nyugati régiója
- USA nyugati középső régiója
Feljegyzés
Az USA középső régiója, az USA keleti régiója, az USA déli középső régiója, az USA 2. nyugati régiója, Észak-Svájc, Nyugat-Európa, Közép-India, Közép-Kanada középső régiója, Kelet-Kanada, Nyugat-Japán, Katar középső régiója, Közép-Lengyelország és az USA nyugati középső régiója jelenleg nem bővíthető. Előfordulhat, hogy a régió kapacitáskorlátozásai miatt más régiók nem érhetők el a bővítéshez.
Számlázás
A kiterjesztett régióba történő többrégiós replikáció további számlázást (x2) von maga után, mivel egy új HSM-készletet használnak fel egy kiterjesztett régióban. További információ: Azure Managed HSM díjszabása.
Helyreállítható törlés működése
A felügyelt HSM helyreállítható törlési funkciója lehetővé teszi a törölt HSM-eknek és kulcsoknak a helyreállítását, azonban többrégiós replikációs forgatókönyv esetén vannak apró különbségek, amikor a másodlagos HSM-et törölni kell, mielőtt a helyreállítható törlés végrehajtható lenne az elsődleges HSM-en. Ezenkívül ha egy kiterjesztett régiót eltávolít az elsődleges HSM-ből, az eltávolított régió HSM-ét törli a rendszer a helyreállítható törlési állapot megadása helyett, és a törölt HSM számlázása azonnal véget ér. Szükség esetén mindig kiterjeszthet egy új kiterjesztett régióra az elsődleges területről.
Privát kapcsolat viselkedése többrégiós replikációval
Az Azure Private Link szolgáltatás lehetővé teszi a felügyelt HSM szolgáltatás elérését a virtuális hálózat privát végpontja felett. A privát végpontot az elsődleges régió felügyelt HSM-jén ugyanúgy konfigurálná, mint a többrégiós replikációs funkció használata esetén. A kiterjesztett régióban lévő felügyelt HSM esetében javasoljuk, hogy hozzon létre egy másik privát végpontot és privát DNS-zónát, miután az elsődleges régió felügyelt HSM-ét replikálta a kiterjesztett régió felügyelt HSM-ére. Ez átirányítja az ügyfélkéréseket az ügyfél helyéhez legközelebbi felügyelt HSM-hez.
Néhány alábbi forgatókönyv példákkal: Felügyelt HSM egy elsődleges régióban (az Egyesült Királyság déli régiójában) és egy másik felügyelt HSM egy kiterjesztett régióban (USA nyugati középső régiója).
Ha az elsődleges és a kiterjesztett régióban lévő felügyelt HSM-eket is engedélyezi a privát végpont, az ügyfélkérések az ügyfél helyéhez legközelebb eső felügyelt HSM-hez lesznek átirányítva. Az ügyfélkérések a legközelebbi régió privát végpontjára kerülnek, majd a forgalomkezelő átirányítja ugyanahhoz a régióhoz a felügyelt HSM-hez.
Ha egy többrégiós replikált forgatókönyv egyik felügyelt HSM-je (például az Egyesült Királyság déli régiója) nem érhető el, és engedélyezve vannak a privát végpontok, akkor az ügyfélkérések átirányítva lesznek a rendelkezésre álló felügyelt HSM-hez (USA nyugati középső régiója). Az Egyesült Királyság déli régiójából érkező ügyfélkérések először az Egyesült Királyság déli magánvégpontjára kerülnek, majd a forgalomkezelő átirányítják az USA nyugati középső régiója által felügyelt HSM-hez.
Felügyelt HSM-k elsődleges és kiterjesztett régiókban, de csak egy privát végpont van konfigurálva az elsődleges vagy a kiterjesztett régióban. Ahhoz, hogy egy másik virtuális hálózatról (VNET1) származó ügyfél egy másik VNET2 magánvégponton keresztül csatlakozzon egy felügyelt HSM-hez, a két virtuális hálózat közötti társviszony-létesítést igényli. A privát végpont létrehozása során létrehozott privát DNS-zónához hozzáadhat VNET-hivatkozást.
Az alábbi ábrán a privát végpont csak az Egyesült Királyság déli régiójában jön létre, míg az Egyesült Királyság déli régiójában két felügyelt HSM van, amelyek mindegyike az Egyesült Királyság déli régiójában, a másik pedig az USA nyugati középső régiójában fut. Mindkét ügyfél kérései az Egyesült Királyság déli felügyelt HSM-éhez kerülnek, mivel a kérések a privát végponton keresztül vannak irányítva, és ebben az esetben a privát végpont helye az Egyesült Királyság déli részén található.
Az alábbi ábrán a privát végpont csak az Egyesült Királyság déli régiójában jön létre, csak az USA nyugati középső régiójában található felügyelt HSM érhető el, az Egyesült Királyság déli régiójában pedig a felügyelt HSM nem érhető el. Ebben az esetben a rendszer átirányítja a kéréseket az EGYESÜLT Államok nyugati középső felügyelt HSM-éhez az Egyesült Királyság déli részén található privát végponton keresztül, mert a traffic manager észleli, hogy az Egyesült Királyság déli felügyelt HSM-je nem érhető el.
Az Azure CLI parancsai
Ha új felügyelt HSM-készletet hoz létre, majd kiterjesztett régióra terjed ki, a kiterjesztés előtt tekintse meg ezeket az utasításokat . Ha egy már meglévő felügyelt HSM-készletről terjeszti ki, akkor az alábbi utasításokat követve bővítse ki a HSM-készletet egy kiterjesztett régióra.
Feljegyzés
Ezekhez a parancsokhoz az Azure CLI 2.48.1-es vagy újabb verziója szükséges. A legújabb verzió telepítéséhez tekintse meg az Azure CLI telepítését ismertető témakört.
Elsődleges HSM kiterjesztése kiterjesztett régióra
Ha egy felügyelt HSM-készletet egy másik régióra szeretne kiterjeszteni, futtassa a következő parancsot, amely automatikusan létrehoz egy új HSM-et egy kiterjesztett régióban.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Feljegyzés
Ebben a példában a "ContosoMHSM" az elsődleges HSM-készlet neve; A "australiaeast" az a kiterjesztett régió, amelybe kiterjeszti.
Kiterjesztett régió eltávolítása az elsődleges HSM-ből
Ha eltávolít egy kiterjesztett HSM-et, a másik régióban lévő HSM-partíciók törlődnek. Minden másodfokot törölni kell, mielőtt egy elsődleges felügyelt HSM helyreállíthatóan törölhető vagy törölhető lenne. Ezzel a paranccsal csak a másodfokok törölhetők. Az elsődleges csak a helyreállítható törlési és törlési parancsokkal törölhető
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Az összes régió listázása
az keyvault region list --hsm-name ContosoMHSM
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: