Azure Key Vault 가용성 및 중복성

Azure Key Vault는 서비스의 개별 구성 요소가 실패하거나 Azure 지역 또는 가용성 영역을 사용할 수 없는 경우에도 애플리케이션에서 키와 비밀을 계속 사용할 수 있도록 여러 계층의 중복성을 제공합니다.

참고 항목

이 가이드는 자격 증명 모음에 적용됩니다. 관리되는 HSM 풀은 다른 고가용성 및 재해 복구 모델을 사용합니다. 자세한 내용은 관리되는 HSM 재해 복구 가이드를 참조하세요.

데이터 복제

Key Vault에서 데이터를 복제하는 방식은 자격 증명 모음이 있는 특정 지역에 따라 다릅니다.

다른 지역과 쌍을 이루는 대부분의 Azure 지역의 경우 키 자격 증명 모음의 콘텐츠는 해당 지역 내와 쌍을 이루는 지역 모두에 복제됩니다. 쌍을 이루는 지역은 일반적으로 최소 150마일 떨어져 있지만 동일한 지리 내에 있습니다. 이 방식은 키와 비밀의 높은 내구성을 보장합니다. Azure 지역 쌍에 대한 자세한 내용은 Azure 쌍 지역을 참조하세요. 두 가지 예외는 다른 지역의 지역과 쌍을 이루는 브라질 남부 지역과 미국 서부 3 지역입니다. 브라질 남부 또는 미국 서부 3에서 키 자격 증명 모음을 만드는 경우 지역 간에 복제되지 않습니다.

쌍이 없는 Azure 지역과 브라질 남부 및 미국 서부 3 지역의 경우 Azure Key Vault는 ZRS(영역 중복 스토리지)를 사용하여 해당 지역 내에서 독립적인 가용성 영역에 걸쳐 데이터를 3번 복제합니다. Azure Key Vault Premium의 경우 세 영역 중 두 개가 HSM(하드웨어 보안 모듈) 키를 복제하는 데 사용됩니다. 또한 백업 및 복원 기능을 사용하여 자격 증명 모음의 콘텐츠를 선택한 다른 지역에 복제할 수도 있습니다.

지역 내 장애 조치(failover)

키 자격 증명 모음 서비스 내에서 개별 구성 요소가 실패하면 기능이 저하되지 않도록 하기 위해 해당 지역 내의 대체 구성 요소가 요청을 처리하도록 개입됩니다. 어떤 작업도 수행할 필요가 없습니다. 이 프로세스는 자동으로 수행되며 사용자에게 투명하게 공개됩니다.

마찬가지로, 자격 증명 모음이 가용성 영역 전체에 복제되는 지역에서 가용성 영역을 사용할 수 없는 경우 Azure Key Vault는 자동으로 요청을 다른 가용성 영역으로 리디렉션하여 고가용성을 보장합니다.

지역 간 장애 조치(failover)

Key Vault를 보조 지역에 자동으로 복제하는 지역에 있는 경우 드물게 전체 Azure 지역을 사용할 수 없으면 해당 지역의 Azure Key Vault에 대한 요청은 자동으로 보조 지역으로 라우팅(장애 조치(failover))됩니다. 기본 지역을 다시 사용할 수 있는 경우 요청은 주 지역으로 다시 라우팅(장애 복구(failback))됩니다. 다시 한 번 말씀드리지만, 이 작업은 자동으로 이루어지므로 어떤 조치도 필요하지 않습니다.

Important

다음 지역에서는 지역 간 장애 조치(failover)가 지원되지 않습니다.

• 쌍을 이루는 지역이 없는 지역
• 브라질 남부
• 브라질 남동부
• 미국 서부 3

다른 모든 지역은 RA-GRS(읽기 액세스 지역 중복 스토리지)를 사용하여 쌍을 이루는 지역 간에 데이터를 복제합니다. 자세한 내용은 Azure Storage 중복성: 보조 지역의 중복성을 참조하세요.

보조 지역으로의 자동 복제를 지원하지 않는 지역에서는 지역 오류 시나리오에서 Azure Key Vault 복구를 계획해야 합니다. 원하는 지역에 Azure 키 자격 증명 모음을 백업하고 복원하려면 Azure Key Vault 백업에 자세히 설명된 단계를 완료합니다.

이 고가용성 디자인을 통해 Azure Key Vault는 유지 관리 작업을 위한 가동 중지 시간이 필요하지 않습니다.

알고 있어야 하는 몇 가지 주의 사항이 있습니다.

• 지역 장애 조치 시 서비스를 장애 조치하는 데 몇 분 정도 걸릴 수 있습니다. 장애 조치 전에 이 시간 동안 이루어진 요청이 실패할 수 있습니다.

• 프라이빗 링크를 사용하여 키 자격 증명 모음에 연결하는 경우 지역 장애 조치(failover) 시 연결이 다시 설정되는 데 최대 20분이 걸릴 수 있습니다.

• 장애 조치(failover) 동안 주요 자격 증명 모음은 읽기 전용 모드입니다. 읽기 전용 모드에서는 다음 작업이 지원됩니다.

  • 인증서 나열
  • 인증서 가져오기
  • 비밀 나열
  • 암호 가져오기
  • 키 나열
  • 키(키의 속성) 가져오기
  • Encrypt
  • 암호 해독
  • 줄 바꿈
  • 래핑 해제
  • 확인
  • Sign
  • Backup

장애 조치 중에는 키 자격 증명 모음 속성을 변경할 수 없습니다. 액세스 정책 또는 방화벽 구성 및 설정을 변경할 수 없습니다.

장애 조치가 장애 복구되면 모든 요청 유형( 읽기 및 쓰기 요청 포함)을 사용할 수 있습니다.

다음 단계

• Azure Key Vault 백업
• Azure Storage 중복성
• Azure 쌍을 이루는 지역