Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Key Vault har flera redundanslager för att se till att dina nycklar och hemligheter förblir tillgängliga för ditt program även om enskilda komponenter i tjänsten misslyckas, eller om Azure-regioner eller tillgänglighetszoner inte är tillgängliga.
Anteckning
Den här guiden gäller för valv. Hanterade HSM-pooler använder en annan modell för hög tillgänglighet och katastrofberedskap; för mer information, se Disaster Recovery Guide för hanterade HSM.
Översikt över återställningsalternativ
Azure Key Vault innehåller flera alternativ för att säkerställa tillgängligheten och återställningsbarheten för dina valvdata:
- Automatisk redundans och failöver (beskrivs i den här artikeln): Key Vault replikerar automatiskt data mellan regioner och hanterar failöver vid avbrott
- Skydd mot mjuk borttagning och rensning: Förhindrar oavsiktlig eller skadlig borttagning av valv- eller valvobjekt – se Azure Key Vault-återställningshantering med skydd mot mjuk borttagning och rensning
- Manuell säkerhetskopiering och återställning: För enskilda hemligheter, nycklar och certifikat – se Säkerhetskopiering av Azure Key Vault
Välj lämplig återställningsstrategi baserat på dina specifika krav och scenarier för haveriberedskap.
Datakopiering
Hur Key Vault replikerar dina data beror på vilken region valvet finns i.
För de flesta Azure-regioner som är kopplade till en annan region replikeras innehållet i ditt nyckelvalv både inom regionen och till den kopplade regionen. Den parade regionen ligger vanligtvis minst 250 miles bort, men inom samma geografi. Den här metoden säkerställer hög hållbarhet för dina nycklar och hemligheter. Mer information om Azure-regionpar finns i Länkade Azure-regioner. Två undantag är regionen Brasilien, södra, som är kopplad till en region i en annan geografi och regionen USA, västra 3. När du skapar nyckelvalv i Brasilien Södra eller USA Västra 3, är de inte replikerade mellan regioner.
För Azure-regioner med tillgänglighetszoner använder Azure Key Vault zonredundant lagring för att replikera dina data inom regionen, över oberoende tillgänglighetszoner.
Du kan också använda funktionen för säkerhetskopiering och återställning för att replikera innehållet i valvet till en annan region som du väljer.
Felövergång inom en region
Om enskilda komponenter i key vault-tjänsten misslyckas, går alternativa komponenter i regionen in för att hantera din begäran för att se till att det inte finns någon funktionsförsämring. Du behöver inte vidta några åtgärder – processen sker automatiskt och kommer att vara transparent för dig.
På samma sätt omdirigerar Azure Key Vault automatiskt dina begäranden till en annan tillgänglighetszon för att säkerställa hög tillgänglighet i en region där valvet replikeras mellan tillgänglighetszoner.
Redundans mellan regioner
Om du befinner dig i en region som automatiskt replikerar ditt nyckelvalv till en sekundär region, så kommer dina begäranden efter Azure Key Vault i den regionen automatiskt att omdirigeras till en sekundär region i det sällsynta fallet att en hel Azure-region är otillgänglig. När den primära regionen är tillgänglig igen dirigeras begäranden tillbaka (misslyckades) till den primära regionen. Återigen behöver du inte vidta några åtgärder eftersom detta sker automatiskt.
Viktigt!
Övergång mellan regioner stöds inte i följande regioner:
- Alla regioner som inte har en parregion
- Brasilien, södra
- Brasilien, sydöstra
- USA, västra 3
Alla andra regioner replikerar data mellan kopplade regioner.
I de regioner som inte stöder automatisk replikering till en sekundär region måste du planera för återställning av dina Azure-nyckelvalv i ett regionfelscenario. Om du vill säkerhetskopiera och återställa ditt Azure-nyckelvalv till en region som du väljer slutför du stegen som beskrivs i Azure Key Vault-säkerhetskopiering.
Med den här designen för hög tillgänglighet kräver Azure Key Vault ingen stilleståndstid för underhållsaktiviteter.
Det finns några varningar att vara medveten om:
Om en regionövergång inträffar kan det ta några minuter för tjänsten att växla över. Begäranden som görs under den här tiden innan övergången kanske inte går igenom.
Om du använder en privat anslutning för att ansluta till ditt nyckelvalv kan det ta upp till 20 minuter att återupprätta anslutningen vid felöverflyttning i en region.
Under systemövergången är ditt nyckelskåp i skrivskyddat läge. Följande åtgärder stöds i skrivskyddat läge:
- Lista certifikat
- Hämta certifikat
- Visa en lista över hemligheter
- Hämta hemligheter
- Visa en lista med nycklar
- Hämta (egenskaper för) nycklar
- Kryptera
- Avkryptera
- Omslag
- Packa upp
- Verifiera
- Signera
- Säkerhetskopiering
Under redundansväxlingen kan du inte göra ändringar i nyckelvalvsegenskaper. Du kommer inte att kunna ändra åtkomstprincip eller brandväggskonfigurationer och inställningar.
När en failover har återställts är alla typer av förfrågningar (inklusive läs- och skrivförfrågningar) tillgängliga.