Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Key Vault is een cloudservice die een beveiligd archief biedt voor geheimen, zoals sleutels, wachtwoorden, certificaten en andere gevoelige informatie. Key Vault biedt een reeks ingebouwde betrouwbaarheidsfuncties om ervoor te zorgen dat uw geheimen beschikbaar blijven.
Wanneer u Azure gebruikt, is betrouwbaarheid een gedeelde verantwoordelijkheid. Microsoft biedt een scala aan mogelijkheden ter ondersteuning van tolerantie en herstel. U bent verantwoordelijk voor het begrijpen van de werking van deze mogelijkheden binnen alle services die u gebruikt en het selecteren van de mogelijkheden die u nodig hebt om te voldoen aan uw bedrijfsdoelstellingen en beschikbaarheidsdoelen.
In dit artikel wordt beschreven hoe Key Vault bestand is tegen verschillende mogelijke storingen en problemen, waaronder tijdelijke fouten, storingen in de beschikbaarheidszone en regio-storingen. Er wordt ook beschreven hoe u back-ups kunt gebruiken om te herstellen van andere soorten problemen, en hoe herstelfuncties kunnen helpen om onbedoeld verwijderen te voorkomen, en wordt belangrijke informatie over de service level agreement (SLA) van Key Vault benadrukt.
Aanbevelingen voor productie-implementatie voor betrouwbaarheid
Voor productiewerkzaamheden raden we u aan het volgende te doen:
- Gebruik sleutelkluizen van de standaard- of premium-tier.
- Schakel voorlopig verwijderen en opschonen in om onbedoelde of schadelijke verwijdering te voorkomen.
- Voor kritieke workloads kunt u overwegen strategieën voor meerdere regio's te implementeren die in deze handleiding worden beschreven.
Overzicht van betrouwbaarheidsarchitectuur
Om een hoge duurzaamheid en beschikbaarheid van uw sleutels, geheimen en certificaten te garanderen als er een hardwarestoring of netwerkstoring optreedt, biedt Key Vault meerdere redundantielagen om de beschikbaarheid te behouden tijdens de volgende gebeurtenissen:
- Hardwarefouten
- Netwerkstoringen
- Gelokaliseerde rampen
- Onderhoudsactiviteiten
Key Vault bereikt standaard redundantie door uw sleutelkluis en de inhoud ervan binnen de regio te repliceren.
Als de regio een gekoppelde regio heeft en die gekoppelde regio zich in dezelfde geografie bevindt als de primaire regio, wordt de inhoud ook gerepliceerd naar de gekoppelde regio. Deze aanpak zorgt voor een hoge duurzaamheid van uw sleutels en geheimen, die bescherming bieden tegen hardwarefouten, netwerkstoringen of gelokaliseerde rampen.
Tolerantie voor tijdelijke fouten
Tijdelijke fouten zijn korte, onregelmatige fouten in onderdelen. Ze vinden vaak plaats in een gedistribueerde omgeving, zoals de cloud, en ze zijn een normaal onderdeel van de bewerkingen. Tijdelijke fouten corrigeren zichzelf na een korte periode. Het is belangrijk dat uw toepassingen tijdelijke fouten kunnen afhandelen, meestal door de betreffende aanvragen opnieuw uit te voeren.
Alle in de cloud gehoste toepassingen moeten de richtlijnen voor tijdelijke foutafhandeling van Azure volgen wanneer ze communiceren met eventuele in de cloud gehoste API's, databases en andere onderdelen. Zie Aanbevelingen voor het afhandelen van tijdelijke foutenvoor meer informatie.
Als u tijdelijke fouten wilt afhandelen die zich kunnen voordoen, moeten uw clienttoepassingen logica voor opnieuw proberen implementeren wanneer ze communiceren met Key Vault. Houd rekening met de volgende best practices:
Gebruik de Azure SDK's, die doorgaans ingebouwde mechanismen voor opnieuw proberen bevatten.
Implementeer beleid voor exponentieel uitstel als uw clients rechtstreeks verbinding maken met Key Vault.
Cachegeheimen in het geheugen indien mogelijk om directe aanvragen naar Key Vault te verminderen.
Controleren op beperkingsfouten omdat het overschrijden van de Key Vault-servicelimieten beperking veroorzaakt.
Als u Key Vault gebruikt in scenario's met hoge doorvoer, kunt u overwegen om uw bewerkingen over meerdere sleutelkluizen te verspreiden om throttlinglimieten te vermijden. Houd rekening met de key Vault-specifieke richtlijnen voor de volgende scenario's:
Een scenario met hoge doorvoer is een scenario dat de servicelimieten voor Key Vault-bewerkingen nadert of overschrijdt, zoals 200 bewerkingen per seconde voor met software beveiligde sleutels.
Voor workloads met hoge doorvoer verdeelt u uw Key Vault-verkeer tussen meerdere kluizen en verschillende regio's.
Een abonnementsbrede limiet voor alle transactietypen is vijf keer de limiet voor afzonderlijke sleutelkluizen.
Gebruik een afzonderlijke kluis voor elk beveiligings- of beschikbaarheidsdomein. Als u bijvoorbeeld vijf apps in twee regio's hebt, kunt u overwegen om 10 kluizen te gebruiken.
Voor openbare-sleutelbewerkingen, zoals versleuteling, wrapping en verificatie, voert u deze bewerkingen lokaal uit door het materiaal van de openbare sleutel in de cache op te cachen.
Voor meer informatie, zie de richtlijnen voor beperking van Key Vault.
Tolerantie voor fouten in beschikbaarheidszones
Beschikbaarheidszones zijn fysiek gescheiden groepen datacenters binnen een Azure-regio. Wanneer één zone uitvalt, kunnen services een failover uitvoeren naar een van de resterende zones.
Key Vault biedt automatisch zoneredundantie in regio's die beschikbaarheidszones ondersteunen. Deze redundantie biedt hoge beschikbaarheid binnen een regio zonder dat hiervoor een specifieke configuratie is vereist.
Wanneer een beschikbaarheidszone niet beschikbaar is, stuurt Key Vault uw aanvragen automatisch om naar andere gezonde beschikbaarheidszones om hoge beschikbaarheid te garanderen.
Ondersteuning voor regio
Key Vault maakt zoneredundantie standaard mogelijk in alle Azure-regio's die beschikbaarheidszones ondersteunen.
Behoeften
Alle Key Vault-SKU's, Standard en Premium, ondersteunen hetzelfde niveau van beschikbaarheid en tolerantie. Er zijn geen laagspecifieke vereisten voor het bereiken van zonetolerantie.
Kosten
Er zijn geen extra kosten verbonden aan zoneredundantie in Key Vault. De prijzen zijn gebaseerd op de SKU, Standard of Premium, en het aantal uitgevoerde bewerkingen.
Gedrag wanneer alle zones in orde zijn
Deze sectie legt uit wat u kunt verwachten wanneer sleutelkluizen zich bevinden in een regio met beschikbaarheidszones en alle zones operationeel zijn.
Verkeersroutering tussen zones: Key Vault beheert automatisch verkeersroutering tussen beschikbaarheidszones. Tijdens normale bewerkingen worden aanvragen transparant verdeeld over zones.
Gegevensreplicatie tussen zones: Key Vault-gegevens worden synchroon gerepliceerd over beschikbaarheidszones in regio's die zones ondersteunen. Deze replicatie zorgt ervoor dat uw sleutels, geheimen en certificaten consistent en beschikbaar blijven, zelfs als een zone niet beschikbaar is.
Gedrag tijdens een zonefout
In de volgende sectie wordt uitgelegd wat u kunt verwachten wanneer sleutelkluizen zich in een regio bevinden met beschikbaarheidszones en een of meer van deze zones niet beschikbaar zijn:
- Detectie en reactie: De Key Vault-service is verantwoordelijk voor het detecteren van zonefouten en het automatisch reageren op deze fouten. U hoeft geen actie te ondernemen tijdens een zonefout.
- Melding: Microsoft informeert u niet automatisch wanneer een zone niet beschikbaar is. U kunt Azure Resource Health echter gebruiken om te controleren op de status van een afzonderlijke resource en u kunt Resource Health-waarschuwingen instellen om u op de hoogte te stellen van problemen. U kunt Azure Service Health ook gebruiken om inzicht te hebben in de algehele status van de service, inclusief eventuele zonefouten, en u kunt Service Health-waarschuwingen instellen om u op de hoogte te stellen van problemen.
Actieve aanvragen: Tijdens een zonefout kan de getroffen zone mogelijk geen aanvragen tijdens de vlucht verwerken. Hiervoor moeten clienttoepassingen deze opnieuw proberen. Clienttoepassingen moeten de tijdelijke procedures voor foutafhandeling volgen om ervoor te zorgen dat ze aanvragen opnieuw kunnen proberen als er een zonefout optreedt.
Verwachte gegevensverlies: Er wordt geen gegevensverlies verwacht tijdens een zonefout vanwege de synchrone replicatie tussen zones.
Verwachte downtime: Voor leesbewerkingen moet er minimaal tot geen downtime zijn tijdens een zonefout. Schrijfbewerkingen kunnen tijdelijk niet beschikbaar zijn terwijl de service zich aanpast aan de zonefout. Leesbewerkingen blijven naar verwachting beschikbaar tijdens zone-uitval.
Verkeer omleiden: Key Vault routeert verkeer automatisch weg van de getroffen zone naar gezonde zones zonder tussenkomst van de klant.
Zoneherstel
Wanneer de betrokken beschikbaarheidszone is hersteld, herstelt Key Vault automatisch de operaties in die zone. Het Azure-platform beheert dit proces volledig en vereist geen tussenkomst van de klant.
Tolerantie voor storingen in de hele regio
Key Vault-resources worden geïmplementeerd in één Azure-regio. Wordt de regio onbeschikbaar, dan is uw sleutelkluis ook onbeschikbaar. Er zijn echter benaderingen die u kunt gebruiken om tolerantie voor storingen in regio's te garanderen. Deze benaderingen zijn afhankelijk van of de sleutelkluis zich in een gekoppelde of niet-gepaareerde regio bevindt en aan uw specifieke vereisten en configuratie.
Microsoft-beheerd failover naar een gekoppelde regio
Key Vault ondersteunt door Microsoft beheerde replicatie en failover voor sleutelkluizen in de meeste gekoppelde regio's. De inhoud van uw sleutelkluis wordt automatisch zowel binnen de regio als asynchroon naar de gekoppelde regio gerepliceerd. Deze aanpak zorgt voor een hoge duurzaamheid van uw sleutels en geheimen. In het onwaarschijnlijke geval van een aanhoudende regiostoring kan Microsoft een regionale failover van uw Key Vault initiëren.
De volgende regio's bieden geen ondersteuning voor door Microsoft beheerde replicatie of failover tussen regio's:
- Brazilië Zuid
- Brazilië - zuidoost
- Westelijke VS 3
- Elke regio die geen gekoppelde regio heeft
Belangrijk
Microsoft activeert door Microsoft beheerde failover. Het is waarschijnlijk na een aanzienlijke vertraging en wordt uitgevoerd op basis van best effort. Er zijn ook enkele uitzonderingen op dit proces. De failover van sleutelkluizen kan optreden op een tijdstip dat verschilt van de failovertijd van andere Azure-services.
Als u bestand moet zijn tegen storingen in regio's, kunt u overwegen een van de aangepaste oplossingen voor meerdere regio's te gebruiken voor tolerantie.
U kunt ook de back-up- en herstelfunctie gebruiken om de inhoud van uw kluis te repliceren naar een andere regio van uw keuze.
Overwegingen
Downtime: Terwijl de failover wordt uitgevoerd, is uw sleutelkluis mogelijk enkele minuten niet beschikbaar.
Alleen-lezen na failover: Na een failover wordt de sleutelkluis alleen-lezen en ondersteunt alleen beperkte acties. U kunt de eigenschappen van de sleutelkluis niet wijzigen tijdens het werken in de secundaire regio en toegangsbeleid en firewallconfiguraties kunnen niet worden gewijzigd terwijl u in de secundaire regio werkt.
Wanneer uw sleutelkluis zich in de modus Alleen-lezen bevindt, worden alleen de volgende bewerkingen ondersteund:
- Certificaten weergeven
- Certificaten ophalen
- Geheimen vermelden
- Geheimen ophalen
- Lijstsleutels
- Sleutels ophalen (eigenschappen van)
- Coderen
- Decoderen
- Wikkelen
- Uitpakken
- Verify
- Teken
- Backup
Kosten
Er zijn geen extra kosten voor de ingebouwde replicatiemogelijkheden voor meerdere regio's van Key Vault.
Gedrag wanneer alle regio's in orde zijn
In de volgende sectie wordt beschreven wat u kunt verwachten wanneer een sleutelkluis zich in een regio bevindt die ondersteuning biedt voor door Microsoft beheerde replicatie en failover en de primaire regio operationeel is:
Verkeersroutering tussen regio's: Tijdens normale bewerkingen worden alle aanvragen doorgestuurd naar de primaire regio waar uw sleutelkluis is geïmplementeerd.
Gegevensreplicatie tussen regio's: Key Vault repliceert gegevens asynchroon naar de gekoppelde regio. Wanneer u wijzigingen aanbrengt in de inhoud van uw sleutelkluis, worden deze wijzigingen eerst doorgevoerd in de primaire regio en vervolgens gerepliceerd naar de secundaire regio.
Gedrag tijdens een regiofout
In de volgende sectie wordt beschreven wat u kunt verwachten wanneer een sleutelkluis zich in een regio bevindt die ondersteuning biedt voor door Microsoft beheerde replicatie en failover en dat er een storing is in de primaire regio:
- Detectie en reactie: Microsoft kan besluiten om een failover uit te voeren als de primaire regio verloren gaat. Dit proces kan enkele uren na het verlies van de primaire regio of langer duren in sommige scenario's. Failover van sleutelkluizen vindt mogelijk niet op hetzelfde moment plaats als andere Azure-services.
- Melding: Microsoft informeert u niet automatisch wanneer een zone niet beschikbaar is. U kunt Azure Resource Health echter gebruiken om te controleren op de status van een afzonderlijke resource en u kunt Resource Health-waarschuwingen instellen om u op de hoogte te stellen van problemen. U kunt Azure Service Health ook gebruiken om inzicht te hebben in de algehele status van de service, inclusief eventuele zonefouten, en u kunt Service Health-waarschuwingen instellen om u op de hoogte te stellen van problemen.
Actieve aanvragen: Tijdens een regiofailover kunnen actieve aanvragen mislukken en moeten clienttoepassingen deze opnieuw proberen nadat de failover is voltooid.
Verwachte gegevensverlies: Er kunnen gegevensverlies zijn als wijzigingen niet worden gerepliceerd naar de secundaire regio voordat de primaire regio mislukt.
Verwachte uitvaltijd: Tijdens een grote storing van de primaire regio is uw key vault mogelijk enkele uren niet beschikbaar of totdat Microsoft een failover naar de secundaire regio initieert.
Als u Private Link gebruikt om verbinding te maken met uw sleutelkluis, kan het tot 20 minuten duren voordat de verbinding opnieuw tot stand is gebracht na de failover van de regio.
Verkeer omleiden: Nadat een regiofailover is voltooid, worden aanvragen automatisch doorgestuurd naar de gekoppelde regio zonder tussenkomst van de klant.
Aangepaste oplossingen voor meerdere regio's voor veerkracht
Er zijn scenario's waarin de door Microsoft beheerde failovermogelijkheden voor meerdere regio's van Key Vault niet geschikt zijn:
Uw sleutelkluis bevindt zich in een niet-gepaarde regio.
Uw sleutelkluis bevindt zich in een gekoppelde regio die geen ondersteuning biedt voor door Microsoft beheerde replicatie en failover tussen regio's in Brazilië Zuid, Brazilië Zuidoost en West VS 3.
Uw bedrijfstijddoelen worden niet voldaan door de hersteltijd of het gegevensverlies dat door Microsoft beheerde cross-regionale failover biedt.
U moet een failover uitvoeren naar een regio die niet gekoppeld is aan uw primaire regio.
U kunt een aangepaste failoveroplossing voor meerdere regio's ontwerpen door de volgende stappen uit te voeren:
Maak afzonderlijke sleutelkluizen in verschillende regio's.
Gebruik de functionaliteit voor back-up en herstel om consistente geheimen in verschillende regio's te onderhouden.
Implementeer logica op toepassingsniveau om een failover uit te voeren tussen sleutelkluizen.
Backups en herstel
Key Vault kan een back-up maken van afzonderlijke geheimen, sleutels en certificaten en deze herstellen. Back-ups zijn bedoeld om u een offlinekopie van uw geheimen te bieden in het onwaarschijnlijke geval dat u geen toegang meer hebt tot uw sleutelkluis.
Houd rekening met de volgende belangrijke factoren met betrekking tot back-upfunctionaliteit:
Back-ups maken versleutelde blobs die niet buiten Azure kunnen worden ontsleuteld.
Back-ups kunnen alleen worden hersteld naar een sleutelkluis binnen hetzelfde Azure-abonnement en azure-geografie.
Er is een beperking van het maken van een back-up van maximaal 500 eerdere versies van een sleutel, geheim of certificaatobject.
Back-ups zijn momentopnamen van een bepaald tijdstip en worden niet automatisch bijgewerkt wanneer geheimen worden gewijzigd.
Voor de meeste oplossingen hoeft u niet uitsluitend te vertrouwen op back-ups. Gebruik in plaats daarvan de andere mogelijkheden die in deze handleiding worden beschreven om uw tolerantievereisten te ondersteunen. Back-ups beschermen echter tegen enkele risico's die andere benaderingen niet hebben, zoals onbedoeld verwijderen van specifieke geheimen. Zie Key Vault-back-up voor meer informatie.
Herstellingsfuncties
Key Vault biedt twee belangrijke herstelfuncties om onbedoelde of schadelijke verwijdering te voorkomen:
Voorlopig verwijderen: Wanneer deze optie is ingeschakeld, kunt u verwijderde kluizen en objecten herstellen tijdens een configureerbare bewaarperiode. Deze periode is een standaardwaarde van 90 dagen. U kunt soft delete beschouwen als een prullenbak voor de resources van uw sleutelkluis.
Verwijderbeveiliging: Wanneer deze is ingeschakeld, voorkomt verwijderbeveiliging dat uw sleutelkluis en de bijbehorende objecten permanent worden verwijderd totdat de bewaarperiode is verstreken. Deze beveiliging voorkomt dat kwaadwillende actoren uw geheimen permanent vernietigen.
We raden beide functies ten zeerste aan voor productieomgevingen. Zie voor meer informatie Voorlopig verwijderen en beveiliging tegen opschonen in de documentatie over herstelbeheer van Key Vault.
Diensteniveauovereenkomst
De SLA (Service Level Agreement) voor Azure-services beschrijft de verwachte beschikbaarheid van elke service en de voorwaarden waaraan uw oplossing moet voldoen om die beschikbaarheidsverwachting te bereiken. Zie SLA's voor onlineservices voor meer informatie.