배포 시나리오
Microsoft는 HA(고가용성) 및 재해 복구를 지원하기 위해 지역 및 다중 지역 내 스탬프에 결제 HSM(하드웨어 보안 모듈)을 배포합니다. 한 지역에서 HSM은 단일 랙 오류를 방지하기 위해 서로 다른 스탬프에 배포되며 고객은 고가용성을 달성하기 위해 두 개의 개별 스탬프에서 한 지역에 두 개의 디바이스를 프로비전해야 합니다. 재해 복구를 위해 고객은 대체 지역에서 HSM 디바이스를 프로비전해야 합니다.
Thales는 클러스터(동일한 LMK로 초기화된 HSM 컬렉션)를 통해 HA를 지원하는 PayShield SDK를 고객에게 제공하지 않습니다. 그러나 Thales PayShield 디바이스의 고객 사용 시나리오는 상태 비저장 서버와 같습니다. 따라서 애플리케이션 런타임 동안 HSM 간에 동기화가 필요하지 않습니다. 고객은 사용자 지정 클라이언트를 사용하여 HA를 처리합니다. 한 가지 구현은 애플리케이션에 연결된 정상 HSM 간의 부하를 분산하는 것입니다. 고객은 여러 디바이스를 프로비전하고, 부하를 분산하고, 사용 가능한 모든 종류의 백업 메커니즘을 사용하여 키를 백업함으로써 고가용성을 구현할 책임이 있습니다.
Important
- Microsoft 클라우드 솔루션 설계자가 프로덕션 시작 전에 결제 HSM 배포 아키텍처 설계 및 준비 상태를 검토했는지 확인합니다.
- 솔루션 디자인에 나열된 지원되는 토폴로지 및 제약 조건을 검토합니다.
- 네트워크 보안 그룹 및 사용자 정의 경로는 결제 HSM 서브넷에 대해 지원되지 않습니다.
- 가상 네트워크 피어링은 결제 HSM 인스턴스와의 지역 간 통신을 지원하지 않습니다. 한 지역의 VM은 ExpressRoute 또는 VPN Gateway를 사용하지 않고는 다른 지역의 결제 HSM 인스턴스와 통신할 수 없습니다.
- 고객은 동일한 구독에 있는 한 지역의 각 스탬프에서 최대 2개의 결제 HSM을 할당할 수 있습니다.
- 고객의 프로덕션 환경에 고가용성 설정이 없는 경우 고객은 Microsoft 쪽에서 S2 지원을 받을 수 없습니다.
고가용성 배포
고가용성을 위해 고객은 스탬프 1과 스탬프 2 사이에 HSM을 할당해야 합니다(즉, 동일한 스탬프의 두 HSM이 없음).
재해 복구 배포
이 시나리오는 지역 수준 오류를 충족합니다. 일반적인 전략은 대기 시간으로 인해 지역 1의 애플리케이션에서 지역 2의 HSM에 도달하는 대신 애플리케이션 스택(및 해당 HSM)을 완전히 전환하는 것입니다.