Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan dukungan keandalan di Azure Key Vault, yang mencakup ketahanan intra-regional melalui zona ketersediaan dan penyebaran multi-wilayah.
Saat Anda menggunakan Azure, keandalan adalah tanggung jawab bersama. Microsoft menyediakan berbagai kemampuan untuk mendukung ketahanan dan pemulihan. Anda bertanggung jawab untuk memahami cara kerja kemampuan tersebut dalam semua layanan yang Anda gunakan, dan memilih kemampuan yang Anda butuhkan untuk memenuhi tujuan bisnis dan tujuan waktu aktif Anda.
Key Vault adalah layanan cloud yang menyediakan penyimpanan aman untuk rahasia, seperti kunci, kata sandi, sertifikat, dan informasi sensitif lainnya. Key Vault menyediakan berbagai fitur keandalan bawaan untuk membantu memastikan bahwa rahasia Anda tetap tersedia. Fitur-fitur ini termasuk replikasi wilayah otomatis, redundansi data, dan kemampuan untuk mencadangkan dan memulihkan rahasia Anda.
Rekomendasi penyebaran produksi
Untuk penyebaran produksi Key Vault, kami sarankan Anda melakukan langkah-langkah berikut:
Gunakan brankas kunci tingkat Standar atau Premium.
Aktifkan penghapusan sementara dan perlindungan penghapusan menyeluruh untuk mencegah penghapusan yang tidak disengaja atau berbahaya.
Untuk beban kerja penting, pertimbangkan untuk menerapkan strategi multi-wilayah yang dijelaskan dalam panduan ini.
Gambaran umum arsitektur keandalan
Untuk memastikan durabilitas tinggi dan ketersediaan kunci, rahasia, dan sertifikat Anda jika kegagalan perangkat keras atau pemadaman jaringan terjadi, Key Vault menyediakan beberapa lapisan redundansi untuk menjaga ketersediaan selama peristiwa berikut:
- Kegagalan perangkat keras
- Pemadaman jaringan
- Bencana yang dilokalkan
- Aktivitas pemeliharaan
Secara default, Key Vault mencapai redundansi dengan mereplikasi brankas kunci Anda dan kontennya dalam wilayah tersebut.
Jika wilayah memiliki wilayah berpasangan dan wilayah yang dipasangkan berada dalam geografi yang sama dengan wilayah utama, konten juga direplikasi ke wilayah yang dipasangkan. Pendekatan ini memastikan durabilitas tinggi kunci dan rahasia Anda, yang melindungi dari kegagalan perangkat keras, pemadaman jaringan, atau bencana lokal.
Kesalahan sementara
Kesalahan sementara adalah kegagalan yang bersifat sementara dan intermiten dalam komponen. Mereka sering terjadi di lingkungan terdistribusi seperti cloud, dan mereka adalah bagian normal dari operasi. Kesalahan sementara memperbaiki diri setelah waktu yang singkat. Penting bahwa aplikasi Anda dapat menangani kesalahan sementara, biasanya dengan mencoba kembali permintaan yang terpengaruh.
Semua aplikasi yang dihosting cloud harus mengikuti panduan penanganan kesalahan sementara Azure saat berkomunikasi dengan API, database, dan komponen lain yang dihosting cloud. Untuk informasi selengkapnya, lihat Rekomendasi untuk menangani kesalahan sementara.
Untuk menangani kegagalan sementara yang mungkin terjadi, aplikasi klien Anda harus menerapkan logika coba lagi saat berinteraksi dengan Key Vault. Pertimbangkan praktik terbaik berikut:
Gunakan Azure SDK, yang biasanya menyertakan mekanisme coba lagi bawaan.
Terapkan kebijakan coba lagi backoff eksponensial jika klien Anda terhubung langsung ke Key Vault.
Rahasia cache dalam memori jika memungkinkan untuk mengurangi permintaan langsung ke Key Vault.
Pantau kesalahan pembatasan akses karena melebihi batas layanan Key Vault dapat menyebabkan pembatasan tersebut.
Jika Anda menggunakan Key Vault dalam skenario throughput tinggi, pertimbangkan untuk mendistribusikan operasi Anda di beberapa brankas kunci untuk menghindari batas pembatasan. Pertimbangkan panduan khusus Key Vault untuk skenario berikut:
Skenario dengan throughput tinggi adalah skenario yang mendekati atau melebihi batas layanan untuk operasi Key Vault, seperti 200 operasi per detik untuk kunci yang dilindungi oleh perangkat lunak.
Untuk beban kerja throughput tinggi, pisahkan arus Key Vault Anda di antara beberapa vault dan wilayah yang berbeda.
Batas seluruh langganan untuk semua jenis transaksi adalah lima kali batas brankas kunci individual.
Gunakan vault terpisah untuk setiap domain keamanan atau ketersediaan. Misalnya, jika Anda memiliki lima aplikasi di dua wilayah, pertimbangkan untuk menggunakan 10 vault.
Untuk operasi kunci publik seperti enkripsi, pembungkusan, dan verifikasi, lakukan operasi ini secara lokal dengan menyimpan materi kunci publik.
Untuk informasi selengkapnya, lihat Panduan pembatasan untuk Key Vault.
Dukungan zona ketersediaan
Zona ketersediaan adalah grup pusat data yang terpisah secara fisik dalam wilayah Azure. Ketika satu zona gagal, layanan dapat melakukan failover ke salah satu zona yang tersisa.
Key Vault secara otomatis menyediakan redundansi zona di wilayah yang mendukung zona ketersediaan. Redundansi ini memberikan ketersediaan tinggi dalam suatu wilayah tanpa memerlukan konfigurasi tertentu.
Ketika zona ketersediaan menjadi tidak tersedia, Key Vault secara otomatis mengalihkan permintaan Anda ke zona ketersediaan sehat lainnya untuk memastikan ketersediaan tinggi.
Dukungan wilayah
Key Vault memungkinkan redundansi zona secara default di semua wilayah Azure yang mendukung zona ketersediaan.
Persyaratan
Semua SKU Key Vault, Standar dan Premium, mendukung tingkat ketersediaan dan ketahanan yang sama. Tidak ada persyaratan khusus tingkat untuk mencapai ketahanan zona.
Biaya
Tidak ada biaya tambahan yang terkait dengan redundansi zona di Key Vault. Harga didasarkan pada SKU, baik Standar atau Premium, dan jumlah operasi yang dilakukan.
Operasi normal
Bagian ini menjelaskan apa yang bisa diharapkan ketika brankas kunci utama terletak di sebuah daerah yang memiliki zona ketersediaan dan semua zona ketersediaan berfungsi penuh.
Perutean lalu lintas antar zona: Key Vault secara otomatis mengelola perutean lalu lintas antar zona ketersediaan. Selama operasi normal, permintaan didistribusikan di seluruh zona secara transparan.
Replikasi data antar zona: Data Key Vault direplikasi secara sinkron di seluruh zona ketersediaan di wilayah yang mendukung zona. Replikasi ini memastikan bahwa kunci, rahasia, dan sertifikat Anda tetap konsisten dan tersedia meskipun zona menjadi tidak tersedia.
Pengalaman penutupan zona
Bagian berikut menjelaskan apa yang diharapkan ketika brankas kunci berada di wilayah yang memiliki zona ketersediaan dan satu atau beberapa zona ketersediaan tidak tersedia:
Deteksi dan respons: Layanan Key Vault bertanggung jawab untuk mendeteksi kegagalan zona dan secara otomatis meresponsnya. Anda tidak perlu mengambil tindakan apa pun selama kegagalan zona.
Pemberitahuan: Anda dapat memantau status brankas kunci Anda melalui Azure Resource Health dan Azure Service Health. Layanan ini memberikan pemberitahuan tentang degradasi layanan apa pun.
Permintaan aktif: Selama kegagalan zona, zona yang terpengaruh mungkin gagal menangani permintaan dalam penerbangan, yang mengharuskan aplikasi klien untuk mencobanya kembali. Aplikasi klien harus mengikuti praktik penanganan kesalahan sementara untuk memastikan bahwa mereka dapat mencoba kembali permintaan jika terjadi kegagalan zona.
Kehilangan data yang diharapkan: Tidak ada kehilangan data yang diharapkan selama kegagalan zona karena replikasi sinkron antar zona.
Waktu henti yang diharapkan: Untuk operasi baca, harusnya hampir tidak ada waktu henti selama kegagalan zona. Operasi tulis mungkin mengalami ketidaktersediaan sementara saat layanan menyesuaikan dengan kegagalan zona. Operasi baca diharapkan tetap tersedia selama kegagalan zona.
Pengalihan lalu lintas: Key Vault secara otomatis mengalihkan lalu lintas dari zona yang terpengaruh ke zona sehat tanpa memerlukan intervensi pelanggan.
Pemulihan zona
Saat zona ketersediaan yang terpengaruh pulih, Key Vault secara otomatis memulihkan operasi ke zona tersebut. Platform Azure sepenuhnya mengelola proses ini dan tidak memerlukan intervensi pelanggan.
Dukungan multi-wilayah
Sumber daya Key Vault disebarkan ke dalam satu wilayah Azure. Jika wilayah menjadi tidak tersedia, Key Vault Anda juga tidak tersedia. Namun, ada pendekatan yang dapat Anda gunakan untuk membantu memastikan ketahanan terhadap pemadaman wilayah. Pendekatan ini tergantung pada persyaratan dan konfigurasi spesifik Anda serta apakah Key Vault berada di wilayah yang dipasangkan atau tidak berpasangan.
Failover yang dikelola Microsoft ke wilayah yang dipasangkan
Key Vault mendukung replikasi dan failover yang dikelola Microsoft untuk brankas kunci di sebagian besar wilayah yang dipasangkan. Konten brankas kunci Anda direplikasi secara otomatis baik di dalam wilayah maupun, secara asinkron, ke wilayah yang dipasangkan. Pendekatan ini memastikan durabilitas kunci dan rahasia Anda yang tinggi. Jika terjadi kejadian kegagalan wilayah yang tidak mungkin dan berkepanjangan, Microsoft mungkin akan memulai failover regional untuk key vault Anda.
Wilayah berikut ini tidak mendukung replikasi atau failover yang dikelola Microsoft di seluruh wilayah:
- Brasil Selatan
- Brasil Tenggara
- Barat AS 3
- Wilayah apa pun yang tidak memiliki wilayah berpasangan
Penting
Microsoft memicu failover yang dikelola Microsoft. Kemungkinan akan terjadi setelah penundaan yang signifikan dan dilakukan seoptimal mungkin. Ada juga beberapa pengecualian untuk proses ini. Failover dari Key Vault mungkin terjadi pada waktu yang berbeda dari waktu failover layanan Azure lainnya.
Jika Anda harus tahan terhadap pemadaman wilayah, pertimbangkan untuk menggunakan salah satu pendekatan multi-wilayah alternatif.
Anda juga dapat menggunakan fitur pencadangan dan pemulihan untuk mereplikasi konten vault Anda ke wilayah lain pilihan Anda.
Pertimbangan
Downtime: Saat failover sedang berlangsung, brankas kunci Anda mungkin tidak tersedia selama beberapa menit.
Baca-saja setelah failover: Setelah failover, brankas kunci menjadi baca-saja dan hanya mendukung tindakan terbatas. Anda tidak dapat mengubah properti brankas kunci saat beroperasi di wilayah sekunder, dan kebijakan akses dan konfigurasi firewall tidak dapat dimodifikasi saat beroperasi di wilayah sekunder.
Saat key vault Anda dalam mode baca-saja, hanya operasi berikut yang diizinkan:
- Mencantumkan sertifikat
- Mendapatkan sertifikat
- Mencantumkan rahasia
- Mendapatkan rahasia
- Menampilkan kunci
- Mendapatkan kunci (beserta properti)
- Mengenkripsi
- Mendekripsi
- Membungkus
- Membuka bungkus
- Verify
- Menandatangani
- Backup
Biaya
Tidak ada biaya tambahan untuk kemampuan replikasi multi-wilayah bawaan Key Vault.
Operasi normal
Bagian berikut menjelaskan apa yang diharapkan ketika Azure Key Vault terletak di wilayah yang mendukung replikasi dan failover yang dikelola Microsoft dan wilayah utama beroperasi:
Perutean lalu lintas antar wilayah: Selama operasi normal, semua permintaan dirutekan ke wilayah utama tempat brankas kunci Anda disebarkan.
Replikasi data antar wilayah: Key Vault mereplikasi data secara asinkron ke wilayah yang dipasangkan. Saat Anda membuat perubahan pada konten brankas kunci, perubahan tersebut terlebih dahulu diterapkan ke wilayah utama lalu direplikasi ke wilayah sekunder.
Pengalaman wilayah yang mengalami gangguan
Bagian berikut menjelaskan apa yang diharapkan ketika "key vault" berada di wilayah yang mendukung replikasi dan failover yang dikelola Microsoft, dan terjadi gangguan di wilayah primer:
Deteksi dan respons: Microsoft dapat memutuskan untuk melakukan failover jika wilayah utama hilang. Proses ini dapat memakan waktu beberapa jam setelah hilangnya wilayah utama, atau lebih lama dalam beberapa skenario. Failover brankas kunci mungkin tidak terjadi bersamaan dengan layanan Azure lainnya.
Pemberitahuan: Anda dapat memantau status brankas kunci Anda melalui pemberitahuan Azure Resource Health dan Azure Service Health.
Permintaan aktif: Selama failover wilayah, permintaan aktif mungkin gagal, dan aplikasi klien perlu mencobanya kembali setelah failover selesai.
Kehilangan data yang diharapkan: Mungkin ada beberapa kehilangan data jika perubahan tidak direplikasi ke wilayah sekunder sebelum wilayah utama gagal.
Waktu henti yang diharapkan: Selama pemadaman utama wilayah utama, brankas kunci Anda mungkin tidak tersedia selama beberapa jam atau sampai Microsoft memulai failover ke wilayah sekunder.
Jika Anda menggunakan Private Link untuk menyambungkan ke brankas kunci, mungkin perlu waktu hingga 20 menit agar koneksi dibuat kembali setelah failover wilayah.
Pengalihan lalu lintas: Setelah failover wilayah selesai, permintaan secara otomatis dirutekan ke wilayah yang dipasangkan tanpa memerlukan intervensi pelanggan.
Pendekatan multi-wilayah alternatif
Ada skenario di mana kemampuan failover lintas wilayah yang dikelola Microsoft dari Key Vault tidak cocok:
Brankas kunci Anda berada di wilayah yang tidak berpasangan.
Brankas kunci Anda berada di wilayah berpasangan yang tidak mendukung replikasi lintas wilayah yang dikelola Microsoft dan failover di Brasil Selatan, Brasil Tenggara, dan US Barat 3.
Keinginan uptime bisnis Anda tidak terpenuhi oleh waktu pemulihan atau kehilangan data dari layanan failover antar wilayah yang dikelola oleh Microsoft.
Anda perlu melakukan failover ke wilayah yang bukan pasangan wilayah utama Anda.
Anda dapat merancang solusi failover lintas wilayah kustom dengan melakukan langkah-langkah berikut:
Buat brankas kunci terpisah di wilayah yang berbeda.
Gunakan fungsionalitas pencadangan dan pemulihan untuk mempertahankan rahasia yang konsisten di seluruh wilayah.
Terapkan logika tingkat aplikasi untuk melakukan failover di antara brankas kunci.
Sekumpulan cadangan
Key Vault dapat mencadangkan dan memulihkan rahasia, kunci, dan sertifikat secara individual. Pencadangan dimaksudkan untuk memberi Anda salinan offline dari rahasia Anda dalam kejadian yang tidak terduga bahwa Anda kehilangan akses ke brankas kunci Anda.
Pertimbangkan faktor-faktor utama berikut mengenai fungsionalitas pencadangan:
Cadangan membuat blob terenkripsi yang tidak dapat didekripsi di luar Azure.
Cadangan hanya dapat dipulihkan ke brankas kunci dalam langganan Azure dan geografi Azure yang sama.
Terdapat batasan untuk mencadangkan tidak lebih dari 500 versi sebelumnya dari objek kunci, rahasia, atau sertifikat.
Cadangan adalah rekam jepret titik waktu dan tidak diperbarui secara otomatis saat rahasia berubah.
Untuk sebagian besar solusi, Anda tidak boleh mengandalkan cadangan secara eksklusif. Sebagai gantinya, gunakan kemampuan lain yang dijelaskan dalam panduan ini untuk mendukung persyaratan ketahanan Anda. Namun, cadangan melindungi dari beberapa risiko yang tidak dilakukan pendekatan lain, seperti penghapusan rahasia tertentu yang tidak disengaja. Untuk informasi selengkapnya, lihat Pencadangan Key Vault.
Fitur pemulihan
Key Vault menyediakan dua fitur pemulihan utama untuk mencegah penghapusan yang tidak disengaja atau berbahaya:
Penghapusan sementara: Saat diaktifkan, penghapusan sementara memungkinkan Anda memulihkan vault dan objek yang dihapus selama periode retensi yang dapat dikonfigurasi. Periode ini adalah default 90 hari. Pikirkan penghapusan sementara seperti keranjang sampah untuk sumber daya brankas kunci Anda.
Perlindungan penghapusan menyeluruh: Saat diaktifkan, perlindungan penghapusan menyeluruh mencegah penghapusan permanen brankas kunci Anda dan objeknya hingga periode retensi berlalu. Perlindungan ini mencegah aktor jahat menghancurkan rahasia Anda secara permanen.
Kami sangat merekomendasikan kedua fitur untuk lingkungan produksi. Untuk informasi selengkapnya, lihat Perlindungan penghapusan sementara dan penghapusan menyeluruh dalam dokumentasi manajemen pemulihan Key Vault.
Perjanjian tingkat layanan
Perjanjian tingkat layanan (SLA) untuk Key Vault menjelaskan ketersediaan layanan yang diharapkan, dan kondisi yang harus dipenuhi untuk mencapai harapan ketersediaan tersebut. Untuk informasi selengkapnya, lihat SLA untuk layanan online.