Udostępnij za pośrednictwem

Włączanie replikacji w wielu regionach w zarządzanym module HSM platformy Azure

Replikacja w wielu regionach umożliwia rozszerzenie zarządzanej puli modułów HSM z jednego regionu świadczenia usługi Azure (nazywanego regionem podstawowym) do innego regionu świadczenia usługi Azure (nazywanego regionem rozszerzonym). Po skonfigurowaniu oba regiony są aktywne, mogą obsługiwać żądania i, za pomocą replikacji automatycznej, współużytkować ten sam materiał, role i uprawnienia klucza. Najbliższy dostępny region aplikacji odbiera i spełnia żądanie, maksymalizując przepływność odczytu i opóźnienia. Podczas gdy awarie regionalne są rzadkie, replikacja w wielu regionach zwiększa dostępność kluczy kryptograficznych o znaczeniu krytycznym, jeśli jeden region stanie się niedostępny. Po włączeniu replikacji w wielu regionach umowa SLA dla pul podstawowych i rozszerzeń łącznie wzrasta do 99,99. Aby uzyskać więcej informacji na temat umowy SLA, odwiedź stronę Sla for Azure Key Vault Managed HSM (Umowa SLA dla zarządzanego modułu HSM usługi Azure Key Vault).

Architektura

Diagram architektury zarządzanej replikacji wieloregionowej modułu HSM.

Po włączeniu replikacji z wieloma regionami w zarządzanym module HSM druga zarządzana pula modułów HSM z trzema partycjami HSM o zrównoważonym obciążeniu jest tworzona w regionie rozszerzonym. Gdy żądania są wysyłane do globalnego punktu końcowego <hsm-name>.managedhsm.azure.netDNS usługi Traffic Manager, najbliższy dostępny region odbiera i spełnia żądanie. Chociaż każdy region indywidualnie utrzymuje regionalną wysoką dostępność ze względu na dystrybucję modułów HSM w całym regionie, menedżer ruchu zapewnia, że nawet jeśli wszystkie partycje zarządzanego modułu HSM w jednym regionie są niedostępne z powodu awarii, żądania są nadal obsługiwane przez zarządzaną pulę modułów HSM w rozszerzonym regionie.

Opóźnienie replikacji

Każda operacja zapisu w zarządzanym module HSM, taka jak tworzenie lub aktualizowanie klucza, tworzenie lub aktualizowanie definicji roli albo tworzenie lub aktualizowanie przypisania roli, może potrwać do 6 minut, zanim oba regiony zostaną w pełni zreplikowane. W tym oknie nie ma gwarancji, że zapisany materiał został zreplikowany między regionami. W związku z tym najlepiej odczekać sześć minut między utworzeniem lub zaktualizowaniem klucza a jego użyciem, aby upewnić się, że materiał klucza został w pełni zreplikowany między regionami. Dotyczy to również przypisań ról i definicji ról.

Zachowanie trybu failover

Tryb failover występuje, gdy jeden z regionów w zarządzanym module HSM w wielu regionach staje się niedostępny z powodu awarii, a drugi region zaczyna obsługiwać wszystkie żądania. Awaria może być ograniczona tylko do puli modułów HSM, całej zarządzanej usługi HSM lub całego regionu świadczenia usługi Azure. Podczas pracy w trybie failover można zauważyć zmianę zachowania w zależności od regionu, którego dotyczy problem.

Region, którego dotyczy problem Odczytywanie dozwolone Dozwolone zapisy
Region rozszerzony Tak Tak
Region podstawowy Tak Tak

Jeśli region podstawowy lub rozszerzony ulegnie awarii, nadal można wykonywać operacje odczytu i zapisu.

  • Operacje odczytu: pobierz klucz, listuj klucze, uruchom operacje kryptograficzne i listuj przypisania ról.
  • Operacje zapisu: tworzenie lub aktualizowanie kluczy, przypisań ról i definicji ról.

Czas przejścia w tryb failover

W tle rozpoznawanie nazw DNS obsługuje przekierowywanie żądań do regionów podstawowych lub rozszerzonych.

Jeśli oba regiony są aktywne, usługa Traffic Manager rozpoznaje żądania przychodzące do lokalizacji, która ma najbliższą bliskość geograficzną lub najmniejsze opóźnienie sieci do źródła żądania. Rekordy DNS są konfigurowane przy użyciu domyślnego czasu życia 5 sekund.

Jeśli region zgłasza niezdrowy stan do Traffic Manager, przyszłe żądania są kierowane do innego regionu, jeśli jest dostępny. Klienci buforujący wyszukiwania DNS mogą mieć dłuższy czas pracy w trybie failover. Jednak po wygaśnięciu pamięci podręcznej po stronie klienta przyszłe żądania powinny być kierowane do dostępnego regionu.

Obsługa regionów platformy Azure

Wszystkie regiony zarządzanego modułu HSM platformy Azure są obsługiwane jako regiony podstawowe (regiony, z których można replikować zarządzaną pulę modułów HSM).

Uwaga / Notatka

Wschodnie USA, Południowo-środkowe USA, Zachodnie USA 2, Szwajcaria Północna, Europa Zachodnia, Indie Środkowe, Kanada Środkowa, Kanada Wschodnia, Japonia Zachodnia, Katar Środkowy, Polska Środkowa i Zachodnio-środkowe USA nie mogą być obecnie rozbudowane. Inne regiony mogą być niedostępne dla rozszerzenia z powodu ograniczeń pojemności w regionie.

Fakturowanie

Replikacja w wielu regionach do rozszerzonego regionu wiąże się z dodatkowymi kosztami (x2), ponieważ w rozszerzonym regionie jest wykorzystywana nowa pula modułów HSM. Aby uzyskać więcej informacji, zobacz Cennik zarządzanego modułu HSM platformy Azure.

Zachowanie miękkiego usuwania

Funkcja miękkiego usuwania zarządzanego HSM umożliwia odzyskiwanie usuniętych modułów HSM i kluczy, jednak w scenariuszu z włączoną replikacją w wielu regionach występują subtelne różnice, gdzie przed wykonaniem miękkiego usuwania na podstawowym module HSM, pomocniczy moduł HSM musi zostać usunięty. Ponadto po usunięciu regionu rozszerzonego z podstawowego modułu HSM, moduł HSM w usuniętym regionie jest czyszczony zamiast przechodzić w stan miękkiego usuwania, a rozliczenia dla usuniętego modułu HSM kończą się natychmiast. Zawsze można rozszerzyć na nowy region rozszerzony z podstawowego, jeśli jest to konieczne.

Funkcja usługi Azure Private Link umożliwia dostęp do zarządzanego modułu HSM za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Prywatny punkt końcowy można skonfigurować w zarządzanym module HSM w regionie podstawowym tak samo, jak w przypadku braku korzystania z funkcji replikacji w wielu regionach. W przypadku zarządzanego modułu HSM w regionie rozszerzonym zaleca się utworzenie innego prywatnego punktu końcowego i prywatnej strefy DNS, gdy zarządzany moduł HSM w regionie podstawowym jest replikowany do zarządzanego modułu HSM w regionie rozszerzonym., który przekierowuje żądania klientów do zarządzanego modułu HSM znajdującego się najbliżej lokalizacji klienta.

Poniżej przedstawiono kilka scenariuszy z przykładami: Zarządzany moduł HSM w regionie podstawowym (Południowe Zjednoczone Królestwo) i inny zarządzany moduł HSM w regionie rozszerzonym (Zachodnio-środkowe stany USA).

  • Gdy oba zarządzane moduły HSM w regionach podstawowych i rozszerzonych są uruchomione z włączonym prywatnym punktem końcowym, żądania klientów są przekierowywane do zarządzanego modułu HSM znajdującego się najbliżej lokalizacji klienta. Żądania klientów trafiają do prywatnego punktu końcowego najbliższego regionu, a następnie są kierowane do Managed HSM tego samego regionu przez Menedżera Ruchu.

    Diagram przedstawiający pierwszy zarządzany scenariusz z wieloma regionami modułu HSM.

  • Jeśli jeden z zarządzanych HSM (UK South, na przykład) w scenariuszu replikowanym w wielu regionach jest niedostępny, a prywatne punkty końcowe są włączone, żądania klientów są przekierowywane do dostępnego zarządzanego HSM (USA West Central). Żądania klientów z południowej Wielkiej Brytanii trafią najpierw do prywatnego punktu końcowego południowego Zjednoczonego Królestwa, a następnie będą kierowane do Centralnie zarządzanego HSM zachodniego regionu USA przez menedżerem ruchu.

    Diagram ilustrujący drugi wieloregionowy scenariusz zarządzanego modułu HSM.

  • Zarządzane moduły HSM w regionach podstawowych i rozszerzonych, ale tylko jeden prywatny punkt końcowy skonfigurowany w regionie podstawowym lub rozszerzonym. Aby klient z innej sieci wirtualnej (VNET1) mógł łączyć się z zarządzanym modułem HSM za pośrednictwem prywatnego punktu końcowego w innej sieci wirtualnej (VNET2), wymaga to połączenia równopuszczającego między tymi dwoma sieciami wirtualnymi. Możesz dodać link do sieci wirtualnej dla prywatnej strefy DNS utworzonej podczas tworzenia prywatnego punktu końcowego.

    Diagram przedstawiający trzeci zarządzany scenariusz z wieloma regionami modułu HSM.

Na tym diagramie prywatny punkt końcowy jest tworzony tylko w regionie Południowym Wielkiej Brytanii, podczas gdy istnieją dwa Zarządzane HSM uruchomione: jeden w regionie Południowym Wielkiej Brytanii, a drugi w regionie Centralno-Zachodnich Stanów Zjednoczonych. Żądania od obu klientów trafiają do zarządzanego modułu HSM w regionie UK South, ponieważ są kierowane przez prywatny punkt końcowy, znajdujący się w tej części Wielkiej Brytanii.

Diagram ilustrujący czwarty scenariusz zarządzanego modułu HSM w wielu regionach.

Na tym diagramie prywatny punkt końcowy jest tworzony tylko w regionie Południowa Anglia, zarządzany HSM w regionie Zachodnio-środkowe USA jest jedynym dostępnym, a zarządzany HSM w Południowej Anglii jest niedostępny. W takim przypadku żądania zostaną przekierowane do zarządzanego modułu HSM w regionie US West Central za pośrednictwem prywatnego punktu końcowego w regionie UK South, ponieważ menedżer ruchu wykrywa, że zarządzany moduł HSM w regionie UK South jest niedostępny.

Diagram ilustrujący piąty scenariusz zarządzanego HSM w wielu regionach.

Polecenia CLI platformy Azure

Jeśli utworzysz nową pulę zarządzanych modułów HSM, a następnie rozszerzysz ją do regionu rozszerzonego, przed rozszerzeniem zapoznaj się z tymi instrukcjami . Jeśli rozszerzasz już istniejącą pulę zarządzanych modułów HSM, skorzystaj z poniższych instrukcji, aby rozszerzyć pulę modułów HSM na region rozszerzony.

Uwaga / Notatka

Te polecenia wymagają interfejsu wiersza polecenia platformy Azure w wersji 2.48.1 lub nowszej. Aby zainstalować najnowszą wersję, zobacz Jak zainstalować interfejs wiersza polecenia platformy Azure.

Rozszerzanie podstawowego modułu HSM na region rozszerzony

Aby rozszerzyć zarządzaną pulę modułów HSM na inny region, uruchom następujące polecenie, które automatycznie utworzy nowy moduł HSM w regionie rozszerzonym.

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

Uwaga / Notatka

"ContosoMHSM" w tym przykładzie jest podstawową nazwą puli HSM; "australiaeast" to dodatkowy region, do którego go rozszerzasz.

Usuń rozszerzoną strefę z podstawowego modułu HSM

Po usunięciu rozszerzonego modułu HSM partycje HSM w innym regionie zostaną przeczyszczone. Wszystkie moduły dodatkowe muszą zostać usunięte, zanim zarządzany moduł HSM jako główny może zostać tymczasowo usunięty lub trwale usunięty. Za pomocą tego polecenia można usunąć tylko elementy pomocnicze. Podstawowy można usunąć tylko za pomocą poleceń miękkiego usunięcia i czyszczenia.

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

Wyświetlanie listy wszystkich regionów

az keyvault region list --hsm-name ContosoMHSM

Dalsze kroki

  • Last updated on