Niezawodność w usłudze Azure Key Vault

Azure Key Vault to usługa w chmurze, która zapewnia bezpieczny magazyn wpisów tajnych, takich jak klucze, hasła, certyfikaty i inne poufne informacje. Usługa Key Vault udostępnia szereg wbudowanych funkcji niezawodności, które pomagają zapewnić, że wpisy tajne pozostaną dostępne.

W przypadku korzystania z platformy Azure niezawodność jest wspólną odpowiedzialnością. Firma Microsoft oferuje szereg możliwości wspierania odporności systemów i odzyskiwania. Odpowiadasz za zrozumienie sposobu działania tych możliwości we wszystkich używanych usługach oraz wybór możliwości potrzebnych do osiągnięcia twoich celów biznesowych i celów dostępności.

W tym artykule opisano, że usługa Key Vault jest odporna na różne potencjalne awarie i problemy, w tym przejściowe błędy, awarie stref dostępności i awarie regionów. W tym artykule opisano również, jak można używać kopii zapasowych do odzyskiwania po innych typach problemów, funkcji odzyskiwania, aby zapobiec przypadkowemu usunięciu, oraz wyróżnia niektóre kluczowe informacje o umowie dotyczącej poziomu usług (SLA) usługi Key Vault.

Zalecenia dotyczące wdrażania produkcyjnego pod kątem niezawodności

W przypadku obciążeń produkcyjnych zalecamy:

• Użyj magazynów kluczy w warstwie Standard lub Premium.
• Włącz usuwanie nietrwałe i przeczyszczanie, aby zapobiec przypadkowemu lub złośliwemu usunięciu.
• W przypadku obciążeń krytycznych rozważ zaimplementowanie strategii obejmujących wiele regionów, które zostały opisane w tym przewodniku.

Omówienie architektury niezawodności

Aby zapewnić wysoką trwałość i dostępność kluczy, wpisów tajnych i certyfikatów w przypadku awarii sprzętu lub awarii sieci, usługa Key Vault zapewnia wiele warstw nadmiarowości w celu zachowania dostępności podczas następujących zdarzeń:

• Awarie sprzętowe
• Awarie sieci
• Zlokalizowane awarie
• Działania konserwacyjne

Domyślnie usługa Key Vault zapewnia nadmiarowość, replikując magazyn kluczy i jego zawartość w regionie.

Jeśli region ma sparowany region , a sparowany region znajduje się w tej samej lokalizacji geograficznej co region podstawowy, zawartość jest również replikowana do sparowanego regionu. Takie podejście zapewnia wysoką trwałość kluczy i wpisów tajnych, co chroni przed awariami sprzętu, awariami sieci lub zlokalizowanymi awariami.

Odporność na błędy przejściowe

Błędy przejściowe to krótkotrwałe, sporadyczne awarie w komponentach. Występują one często w środowisku rozproszonym, takich jak chmura, i są one normalną częścią operacji. Błędy przejściowe naprawiają się po krótkim czasie. Ważne jest, aby aplikacje mogły obsługiwać błędy przejściowe, zwykle ponawiając próby żądań, których dotyczy problem.

Wszystkie aplikacje hostowane w chmurze powinny postępować zgodnie ze wskazówkami dotyczącymi obsługi błędów przejściowych platformy Azure podczas komunikowania się z dowolnymi interfejsami API hostowanymi w chmurze, bazami danych i innymi składnikami. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące obsługi błędów przejściowych.

Aby obsłużyć wszelkie przejściowe błędy, które mogą wystąpić, aplikacje klienckie powinny implementować logikę ponawiania prób podczas interakcji z usługą Key Vault. Rozważ następujące najlepsze rozwiązania:

• Użyj zestawów SDK platformy Azure, które zwykle obejmują wbudowane mechanizmy ponawiania prób.

• Stosuj zasady ponawiania prób z wykładniczym odstępem, jeśli klienci łączą się bezpośrednio z Key Vault.

• Buforowanie wpisów tajnych w pamięci, gdy jest to możliwe, aby zmniejszyć liczbę żądań bezpośrednich do usługi Key Vault.

• Monitoruj błędy ograniczania przepustowości, ponieważ przekroczenie limitów usługi Key Vault powoduje ograniczanie przepustowości.

Jeśli używasz usługi Key Vault w scenariuszach o wysokiej przepływności, rozważ rozdzielenie operacji na kilka magazynów kluczy, aby uniknąć limitów przepustowości. Rozważ wskazówki specyficzne dla usługi Key Vault dla następujących scenariuszy:

• Scenariusz o wysokiej przepływności jest taki, który zbliża się lub przekracza limity usługi dla operacji usługi Key Vault, takich jak 200 operacji na sekundę w przypadku kluczy chronionych przez oprogramowanie.

• W przypadku obciążeń o wysokiej wydajności podziel ruch usługi Key Vault między kilka magazynów i różne regiony.

• Limit obejmujący całą subskrypcję dla wszystkich typów transakcji wynosi pięć razy więcej niż limit pojedynczego magazynu kluczy.

• Użyj oddzielnej składnicy dla każdej domeny zabezpieczeń lub dostępności. Jeśli na przykład masz pięć aplikacji w dwóch regionach, rozważ użycie 10 skarbców.

• W przypadku operacji klucza publicznego, takich jak szyfrowanie, zawijanie i weryfikacja, wykonaj te operacje lokalnie, buforując materiał klucza publicznego.

Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące ograniczania przepustowości usługi Key Vault.

Odporność na błędy strefy dostępności

Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.

Usługa Key Vault automatycznie zapewnia nadmiarowość stref w regionach, które obsługują strefy dostępności. Ta nadmiarowość zapewnia wysoką dostępność w regionie bez konieczności stosowania określonej konfiguracji.

Gdy strefa dostępności stanie się niedostępna, usługa Key Vault automatycznie przekierowuje żądania do innych stref dostępności w dobrej kondycji, aby zapewnić wysoką dostępność.

Obsługa regionów

Usługa Key Vault domyślnie umożliwia nadmiarowość stref we wszystkich regionach świadczenia usługi Azure, które obsługują strefy dostępności.

Wymagania

Wszystkie jednostki SKU usługi Key Vault, Standardowa i Premium obsługują ten sam poziom dostępności i odporności. Nie ma żadnych wymagań specyficznych dla warstwy, aby osiągnąć odporność strefy.

Koszt

Nie ma dodatkowych kosztów związanych z redundancją stref w usłudze Key Vault. Ceny są oparte na jednostce SKU ( w warstwie Standardowa lub Premium) oraz na liczbie wykonanych operacji.

Zachowanie, gdy wszystkie strefy są w dobrej kondycji

W tej sekcji opisano, czego można oczekiwać, gdy magazyny kluczy znajdują się w regionie ze strefami dostępności i wszystkie strefy są operacyjne.

• Trasowanie ruchu między strefami: Key Vault automatycznie zarządza trasowaniem ruchu między strefami dostępności. Podczas normalnych operacji żądania są dystrybuowane w strefach transparentnie.

• Replikacja danych między strefami: Dane usługi Key Vault są synchronicznie replikowane w różnych strefach dostępności w regionach obsługujących strefy. Dzięki tej replikacji klucze, wpisy tajne i certyfikaty pozostają spójne i dostępne, nawet jeśli strefa stanie się niedostępna.

Zachowanie podczas awarii strefy

W poniższej sekcji opisano, czego można się spodziewać, gdy skarbce kluczy znajdują się w regionie posiadającym strefy dostępności i co najmniej jedna z nich jest niedostępna:

• Wykrywanie i reagowanie: Usługa Key Vault jest odpowiedzialna za wykrywanie błędów strefy i automatyczne reagowanie na nie. Nie musisz podejmować żadnych działań podczas awarii strefy.

• Powiadomienie: firma Microsoft nie powiadamia cię automatycznie, gdy strefa nie działa. Możesz jednak użyć usługi Azure Resource Health do monitorowania kondycji pojedynczego zasobu i skonfigurować alerty usługi Resource Health w celu powiadamiania o problemach. Możesz również użyć usługi Azure Service Health , aby zrozumieć ogólną kondycję usługi, w tym wszelkie błędy strefy, i skonfigurować alerty usługi Service Health w celu powiadamiania o problemach.

• Aktywne żądania: Podczas awarii strefy, której dotyczy problem, strefa może nie obsługiwać żądań w locie, co wymaga, aby aplikacje klienckie ponawiały próby. Aplikacje klienckie powinny postępować zgodnie z przejściowymi rozwiązaniami dotyczącymi obsługi błędów , aby upewnić się, że mogą ponowić próby żądań w przypadku wystąpienia awarii strefy.

• Oczekiwana utrata danych: Brak utraty danych podczas awarii strefy z powodu synchronicznej replikacji między strefami.

• Oczekiwany przestój: W przypadku operacji odczytu nie powinno być żadnych przestojów podczas awarii strefy. Operacje zapisu mogą być czasowo niedostępne, gdy usługa dostosowuje się do awarii strefy. Oczekuje się, że operacje odczytu pozostaną dostępne podczas awarii w strefie.

• Przekierowywanie ruchu: Usługa Key Vault automatycznie przekierowuje ruch z strefy, której dotyczy problem, do stref w dobrej kondycji bez konieczności interwencji klienta.

Odzyskiwanie strefy

Po odzyskaniu strefy dostępności, której dotyczy problem, usługa Key Vault automatycznie przywraca operacje do tej strefy. Platforma Azure w pełni zarządza tym procesem i nie wymaga żadnej interwencji klienta.

Odporność na awarie całego regionu

Zasoby usługi Key Vault są wdrażane w jednym regionie świadczenia usługi Azure. Jeśli region stanie się niedostępny, magazyn kluczy jest również niedostępny. Istnieją jednak podejścia, których można użyć, aby zapewnić odporność na awarie regionów. Te podejścia zależą od tego, czy magazyn kluczy znajduje się w sparowanym lub innym regionie oraz od konkretnych wymagań i konfiguracji.

Przełączanie awaryjne zarządzane przez firmę Microsoft do regionu partnerskiego

Usługa Key Vault obsługuje replikację zarządzaną przez firmę Microsoft i tryb failover dla magazynów kluczy w większości sparowanych regionów. Zawartość skrytki kluczy jest automatycznie replikowana zarówno w obrębie regionu, jak i asynchronicznie do sparowanego regionu. Takie podejście zapewnia wysoką trwałość kluczy i wpisów tajnych. W mało prawdopodobnym przypadku długotrwałej awarii regionu firma Microsoft może zainicjować regionalne przełączenie awaryjne magazynu kluczy.

Następujące regiony nie obsługują replikacji zarządzanej przez firmę Microsoft ani trybu failover między regionami:

• Brazylia Południowa
• Brazylia Południowo-Wschodnia
• Zachodnie stany USA 3
• Każdy region, który nie ma sparowanego regionu

Ważne

Firma Microsoft wyzwala tryb failover zarządzany przez firmę Microsoft. Prawdopodobnie wystąpi po znaczącym opóźnieniu i zostanie wykonane w miarę możliwości. Istnieją również pewne wyjątki od tego procesu. Przejście w tryb failover magazynów kluczy może wystąpić w czasie, który różni się od czasu przejścia w tryb failover innych usług platformy Azure.

Jeśli potrzebujesz odporności na awarie regionów, rozważ użycie jednego z niestandardowych rozwiązań z wieloma regionami w celu zapewnienia odporności.

Możesz również użyć funkcji tworzenia kopii zapasowej i przywracania , aby replikować zawartość magazynu do innego wybranego regionu.

Rozważania

• Przestój: Chociaż tryb failover jest w toku, magazyn kluczy może być niedostępny przez kilka minut.

• Tylko do odczytu po przejściu w tryb failover: Po przejściu w tryb failover magazyn kluczy staje się tylko do odczytu i obsługuje tylko ograniczone akcje. Nie można zmienić właściwości magazynu kluczy podczas działania w regionie pomocniczym, a nie można modyfikować zasad dostępu i konfiguracji zapory podczas działania w regionie pomocniczym.

  Jeśli magazyn kluczy jest w trybie tylko do odczytu, obsługiwane są tylko następujące operacje:

  • Wyświetlanie listy certyfikatów
  • Pobieranie certyfikatów
  • Wyświetlanie listy wpisów tajnych
  • Uzyskiwanie wpisów tajnych
  • Wyświetlanie listy kluczy
  • Pobieranie (właściwości) kluczy
  • Szyfrować
  • Odszyfrować
  • Owijać
  • Rozpakować
  • Verify
  • Znak
  • Backup

Koszt

Nie ma dodatkowych kosztów za wbudowane funkcje replikacji między regionami usługi Key Vault.

Zachowanie, gdy wszystkie regiony są w dobrej kondycji

W poniższej sekcji opisano, czego można oczekiwać, gdy magazyn kluczy znajduje się w regionie obsługującym replikację zarządzaną przez Microsoft i przełączanie awaryjne, a region podstawowy jest dostępny:

• Trasowanie ruchu między regionami: Podczas normalnych operacji wszystkie żądania są kierowane do regionu podstawowego, w którym wdrożono skrytkę kluczy.

• Replikacja danych między regionami: Usługa Key Vault replikuje dane asynchronicznie do sparowanego regionu. Po wprowadzeniu zmian w zawartości magazynu kluczy te zmiany są najpierw zatwierdzane w regionie podstawowym, a następnie replikowane do regionu pomocniczego.

Zachowanie podczas awarii regionu

W poniższej sekcji opisano, czego można oczekiwać, gdy magazyn kluczy znajduje się w regionie obsługującym replikację zarządzaną przez firmę Microsoft i tryb failover, a w regionie podstawowym występuje awaria:

• Wykrywanie i reagowanie: Firma Microsoft może zdecydować się na przejście w tryb failover w przypadku utraty regionu podstawowego. Ten proces może potrwać kilka godzin po utracie regionu podstawowego lub dłużej w niektórych scenariuszach. Failover magazynów kluczy może nie wystąpić w tym samym czasie, co w przypadku innych usług platformy Azure.

• Powiadomienie: firma Microsoft nie powiadamia cię automatycznie, gdy strefa nie działa. Możesz jednak użyć usługi Azure Resource Health do monitorowania kondycji pojedynczego zasobu i skonfigurować alerty usługi Resource Health w celu powiadamiania o problemach. Możesz również użyć usługi Azure Service Health , aby zrozumieć ogólną kondycję usługi, w tym wszelkie błędy strefy, i skonfigurować alerty usługi Service Health w celu powiadamiania o problemach.

• Aktywne żądania: Podczas pracy w trybie failover w regionie aktywne żądania mogą zakończyć się niepowodzeniem, a aplikacje klienckie muszą ponowić próbę po zakończeniu pracy w trybie failover.

• Oczekiwana utrata danych: Może wystąpić utrata danych, jeśli zmiany nie zostaną zreplikowane do regionu pomocniczego, zanim region podstawowy ulegnie awarii.

• Oczekiwany przestój: Podczas poważnej awarii regionu podstawowego magazyn kluczy może być niedostępny przez kilka godzin lub dopóki Microsoft nie zainicjuje przełączenia na region pomocniczy.

  Jeśli używasz usługi Private Link do nawiązywania połączenia z magazynem kluczy, ponowne nawiązanie połączenia po przejściu w tryb failover regionu może potrwać do 20 minut.

• Przekierowywanie ruchu: Po zakończeniu pracy w trybie failover w regionie żądania są automatycznie kierowane do sparowanego regionu bez konieczności interwencji klienta.

Niestandardowe rozwiązania obejmujące wiele regionów w celu zapewnienia odporności

Istnieją scenariusze, w których zarządzane przez firmę Microsoft możliwości przełączania awaryjnego między regionami usługi Key Vault nie są odpowiednie:

• Magazyn kluczy znajduje się w nieparowanym regionie.

• Magazyn kluczy znajduje się w sparowanym regionie, który nie obsługuje replikacji między regionami zarządzanej przez firmę Microsoft ani przełączania awaryjnego w regionach Brazylia Południowa, Brazylia Południowo-Wschodnia i Zachód USA 3.

• Cele dotyczące dostępności działalności nie są zaspokojone przez czas odzyskiwania ani utratę danych w ramach zarządzanego przez Microsoft procesu awaryjnego przełączania między regionami.

• Musisz przejść w tryb failover do regionu, który nie jest parą regionu podstawowego.

Niestandardowe rozwiązanie trybu failover między regionami można zaprojektować, wykonując następujące czynności:

1. Utwórz oddzielne skarbce kluczy w różnych regionach.

2. Użyj funkcji tworzenia i przywracania kopii zapasowych, aby zachować spójne tajemnice w różnych regionach.

3. Zaimplementuj logikę na poziomie aplikacji, aby zapewnić przełączanie awaryjne między narzędziami do zarządzania kluczami.

Tworzenie kopii zapasowej i przywracanie

Usługa Key Vault może tworzyć kopie zapasowe i przywracać poszczególne wpisy tajne, klucze i certyfikaty. Kopie zapasowe mają zapewnić Ci wersję offline Twoich sekretów w mało prawdopodobnym przypadku, gdy utracisz dostęp do swojego skarbca kluczy.

Weź pod uwagę następujące kluczowe czynniki dotyczące funkcji tworzenia kopii zapasowych:

• Kopie zapasowe tworzą zaszyfrowane obiekty blob, których nie można odszyfrować poza platformą Azure.

• Kopie zapasowe można przywrócić tylko do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure.

• Istnieje ograniczenie tworzenia kopii zapasowej nie więcej niż 500 wcześniejszych wersji klucza, wpisu tajnego lub obiektu certyfikatu.

• Kopie zapasowe to migawki punktów czasowych i nie są automatycznie aktualizowane po zmianie sekretów.

W przypadku większości rozwiązań nie należy polegać wyłącznie na kopiach zapasowych. Zamiast tego skorzystaj z innych możliwości opisanych w tym przewodniku, aby spełnić wymagania dotyczące odporności. Jednak kopie zapasowe chronią przed niektórymi zagrożeniami, przed którymi inne podejścia nie chronią, takimi jak przypadkowe usunięcie określonych sekretów. Aby uzyskać więcej informacji, zobacz Tworzenie kopii zapasowej usługi Key Vault.

Funkcje odzyskiwania

Usługa Key Vault udostępnia dwie kluczowe funkcje odzyskiwania, aby zapobiec przypadkowemu lub złośliwemu usunięciu:

• Usuwanie nietrwałe: Po włączeniu usuwania nietrwałego można odzyskać usunięte magazyny i obiekty w konfigurowalnym okresie przechowywania. Ten okres jest domyślnie 90 dni. Miękkie usuwanie można porównać do kosza na zasoby skarbca kluczy.

• Ochrona przed usunięciem: Gdy jest włączona, ochrona przed usunięciem zapobiega trwałemu usunięciu magazynu kluczy i jego obiektów do czasu upływu okresu przechowywania. To zabezpieczenie zapobiega trwałemu niszczeniu tajnych informacji przez złośliwych użytkowników.

Zdecydowanie zalecamy korzystanie z obu funkcji w środowiskach produkcyjnych. Aby uzyskać więcej informacji, zobacz Nietrwałe usuwanie i ochrona przed czyszczeniem w dokumentacji zarządzania odzyskiwaniem usługi Key Vault.

Umowa dotycząca poziomu usług

Umowa dotycząca poziomu usług (SLA) dla usług platformy Azure opisuje oczekiwaną dostępność każdej usługi oraz warunki, które rozwiązanie musi spełnić, aby osiągnąć te oczekiwania dotyczące dostępności. Aby uzyskać więcej informacji, zobacz Umowy SLA dotyczące usług online.

Treści powiązane

• Kopia zapasowa usługi Key Vault
• Zarządzanie odzyskiwaniem usługi Key Vault
• Niezawodność na platformie Azure