Disponibilidade e redundância do Azure Key Vault
O Azure Key Vault apresenta várias camadas de redundância para garantir que suas chaves e segredos permaneçam disponíveis para seu aplicativo, mesmo se os componentes individuais do serviço falharem ou se as regiões ou zonas de disponibilidade do Azure não estiverem disponíveis.
Nota
Este guia aplica-se aos cofres. Os pools de HSM gerenciados usam um modelo diferente de alta disponibilidade e recuperação de desastres; para obter mais informações, consulte Guia de recuperação de desastres do HSM gerenciado.
Replicação de dados
A maneira como o Key Vault replica seus dados depende da região específica em que seu cofre está.
Para a maioria das regiões do Azure emparelhadas com outra região, o conteúdo do cofre de chaves é replicado dentro da região e para a região emparelhada. A região emparelhada está geralmente a pelo menos 150 milhas de distância, mas dentro da mesma geografia. Esta abordagem garante uma elevada durabilidade das suas chaves e segredos. Para obter mais informações sobre pares de regiões do Azure, consulte Regiões emparelhadas do Azure. Duas exceções são a região Sul do Brasil, que é emparelhada a uma região em outra geografia, e a região Oeste dos EUA 3. Quando você cria cofres de chaves no Brasil Sul ou Oeste dos EUA 3, eles não são replicados entre regiões.
Para regiões do Azure não emparelhadas e as regiões Sul e Oeste dos EUA 3 do Brasil, o Azure Key Vault usa o ZRS (armazenamento redundante de zona) para replicar seus dados três vezes dentro da região, em zonas de disponibilidade independentes. Para o Azure Key Vault Premium, duas das três zonas são usadas para replicar as chaves do módulo de segurança de hardware (HSM).
Você também pode usar o recurso de backup e restauração para replicar o conteúdo do seu cofre para outra região de sua escolha.
Failover dentro de uma região
Se os componentes individuais do serviço do cofre de chaves falharem, os componentes alternativos dentro da região intervirão para atender à sua solicitação para garantir que não haja degradação da funcionalidade. Você não precisa tomar nenhuma medida — o processo acontece automaticamente e será transparente para você.
Da mesma forma, em uma região onde seu cofre é replicado entre zonas de disponibilidade, se uma zona de disponibilidade não estiver disponível, o Azure Key Vault redirecionará automaticamente suas solicitações para outra zona de disponibilidade para garantir alta disponibilidade.
Failover entre regiões
Se você estiver em uma região que replica automaticamente seu cofre de chaves para uma região secundária, no caso raro de uma região inteira do Azure não estar disponível, as solicitações feitas ao Cofre de Chaves do Azure nessa região serão automaticamente roteadas (failover) para uma região secundária. Quando a região primária está disponível novamente, as solicitações são roteadas de volta (falha de volta) para a região primária. Novamente, você não precisa tomar nenhuma ação porque isso acontece automaticamente.
Importante
Não há suporte para failover entre regiões nas seguintes regiões:
- Qualquer região que não tenha uma região emparelhada
- Brasil do Sul
- Brasil Sudeste
- EUA Oeste 3
Todas as outras regiões usam armazenamento com rededição geográfica de acesso de leitura (RA-GRS) para replicar dados entre regiões emparelhadas. Para obter mais informações, consulte Redundância do Armazenamento do Azure: Redundância em uma região secundária.
Nas regiões que não oferecem suporte à replicação automática para uma região secundária, você deve planejar a recuperação de seus cofres de chaves do Azure em um cenário de falha de região. Para fazer uma cópia de segurança e restauro do cofre de chaves do Azure para uma região à sua escolha, realize os passos detalhados em Cópia de segurança do Azure Key Vault.
Por meio desse design de alta disponibilidade, o Azure Key Vault não requer tempo de inatividade para atividades de manutenção.
Existem algumas ressalvas a ter em conta:
No caso de um failover de região, pode levar alguns minutos para o serviço fazer failover. As solicitações feitas durante esse período antes do failover podem falhar.
Se você estiver usando o link privado para se conectar ao cofre de chaves, pode levar até 20 minutos para que a conexão seja restabelecida no caso de failover de uma região.
Durante o failover, o cofre de chaves está no modo somente leitura. As seguintes operações são suportadas no modo somente leitura:
- Listar certificados
- Obter certificados
- Listar segredos
- Obtenha segredos
- Listar chaves
- Obter (propriedades de) chaves
- Encriptar
- Desencriptar
- Moldar
- Desembrulhar
- Verificar
- Assinar
- Backup
Durante o failover, você não poderá fazer alterações nas propriedades do cofre de chaves. Não poderá alterar a política de acesso ou as configurações e definições da firewall.
Depois que um failover é retornado, todos os tipos de solicitação (incluindo solicitações de leitura e gravação) ficam disponíveis.