Tillgänglighet och redundans för Azure Key Vault

Azure Key Vault har flera redundanslager för att se till att dina nycklar och hemligheter förblir tillgängliga för ditt program även om enskilda komponenter i tjänsten misslyckas, eller om Azure-regioner eller tillgänglighetszoner inte är tillgängliga.

Kommentar

Den här guiden gäller för valv. Hanterade HSM-pooler använder en annan modell för hög tillgänglighet och haveriberedskap. Mer information finns i Guide för hanterad HSM-haveriberedskap.

Datareplikering

Hur Key Vault replikerar dina data beror på vilken region valvet finns i.

För de flesta Azure-regioner som är kopplade till en annan region replikeras innehållet i ditt nyckelvalv både inom regionen och till den kopplade regionen. Den parade regionen ligger vanligtvis minst 250 miles bort, men inom samma geografi. Den här metoden säkerställer hög hållbarhet för dina nycklar och hemligheter. Mer information om Azure-regionpar finns i Länkade Azure-regioner. Två undantag är regionen Brasilien, södra, som är kopplad till en region i en annan geografi och regionen USA, västra 3. När du skapar nyckelvalv i Brasilien, södra eller USA, västra 3, replikeras de inte mellan regioner.

För Azure-regioner som inte har ett par, samt regionerna Brasilien, södra och USA, västra 3 använder Azure Key Vault zonredundant lagring (ZRS) för att replikera dina data tre gånger inom regionen, över oberoende tillgänglighetszoner. För Azure Key Vault Premium används två av de tre zonerna för att replikera HSM-nycklar (Hardware Security Module). Du kan också använda funktionen för säkerhetskopiering och återställning för att replikera innehållet i valvet till en annan region som du väljer.

Redundans inom en region

Om enskilda komponenter i key vault-tjänsten misslyckas, går alternativa komponenter i regionen in för att hantera din begäran för att se till att det inte finns någon funktionsförsämring. Du behöver inte vidta några åtgärder – processen sker automatiskt och kommer att vara transparent för dig.

På samma sätt omdirigerar Azure Key Vault automatiskt dina begäranden till en annan tillgänglighetszon för att säkerställa hög tillgänglighet i en region där valvet replikeras mellan tillgänglighetszoner.

Redundans mellan regioner

Om du befinner dig i en region som automatiskt replikerar ditt nyckelvalv till en sekundär region, dirigeras de begäranden som du gör av Azure Key Vault i den regionen automatiskt till en sekundär region i den sällsynta händelsen att en hel Azure-region inte är tillgänglig. När den primära regionen är tillgänglig igen dirigeras begäranden tillbaka (misslyckades) till den primära regionen. Återigen behöver du inte vidta några åtgärder eftersom detta sker automatiskt.

Viktigt!

Redundans mellan regioner stöds inte i följande regioner:

• Alla regioner som inte har en länkad region
• Brasilien, södra
• Brasilien, sydöstra
• USA, västra 3

Alla andra regioner använder geo-redundant lagring med läsåtkomst (RA-GRS) för att replikera data mellan parkopplade regioner. Mer information finns i Azure Storage-redundans: Redundans i en sekundär region.

I de regioner som inte stöder automatisk replikering till en sekundär region måste du planera för återställning av dina Azure-nyckelvalv i ett regionfelscenario. Om du vill säkerhetskopiera och återställa ditt Azure-nyckelvalv till en region som du väljer slutför du stegen som beskrivs i Azure Key Vault-säkerhetskopiering.

Med den här designen för hög tillgänglighet kräver Azure Key Vault ingen stilleståndstid för underhållsaktiviteter.

Det finns några varningar att vara medveten om:

• Om en region redundansväxlar kan det ta några minuter för tjänsten att redundansväxla. Begäranden som görs under den här tiden innan redundansväxlingen kan misslyckas.

• Om du använder privat länk för att ansluta till ditt nyckelvalv kan det ta upp till 20 minuter innan anslutningen återupprättas om en region redundansväxlar.

• Under redundansväxlingen är nyckelvalvet i skrivskyddat läge. Följande åtgärder stöds i skrivskyddat läge:

  • Lista certifikat
  • Hämta certifikat
  • Visa en lista över hemligheter
  • Hämta hemligheter
  • Visa en lista med nycklar
  • Hämta (egenskaper för) nycklar
  • Kryptera
  • Avkryptera
  • Radbryt
  • Packa upp
  • Verifiera
  • Signera
  • Backup

Under redundansväxlingen kan du inte göra ändringar i nyckelvalvsegenskaper. Du kommer inte att kunna ändra åtkomstprincip eller brandväggskonfigurationer och inställningar.

När en redundansväxling har återställts är alla typer av begäranden (inklusive läs - och skrivbegäranden) tillgängliga.

Nästa steg

• Säkerhetskopiering av Azure Key Vault
• Redundans i Azure Storage
• Länkade Azure-regioner