Dela via

Aktivera replikering i flera regioner på Azure Managed HSM

Med replikering i flera regioner kan du utöka en hanterad HSM-pool från en Azure-region (kallas den primära regionen) till en annan Azure-region (kallas för en utökad region). När de har konfigurerats är båda regionerna aktiva, kan hantera begäranden och, med automatiserad replikering, dela samma nyckelmaterial, roller och behörigheter. Den närmaste tillgängliga regionen för programmet tar emot och uppfyller begäran, vilket maximerar läsdataflödet och svarstiden. Regionala avbrott är sällsynta, men replikering i flera regioner förbättrar tillgängligheten för verksamhetskritiska kryptografiska nycklar om en region blir otillgänglig. När replikering i flera regioner är aktiverat ökar serviceavtalet för de primära poolerna och tilläggspoolerna tillsammans till 99,99. Mer information om serviceavtal finns i SLA för Azure Key Vault Managed HSM.

Arkitektur

Arkitekturdiagram över hanterad HSM-replikering i flera regioner.

När replikering i flera regioner är aktiverad på en hanterad HSM skapas en andra hanterad HSM-pool med tre belastningsutjämnings-HSM-partitioner i en utökad region. När begäranden utfärdas till den globala DNS-slutpunkten <hsm-name>.managedhsm.azure.neti Traffic Manager tar den närmaste tillgängliga regionen emot och uppfyller begäran. Varje region har regional hög tillgänglighet individuellt på grund av fördelningen av HSM:er i regionen, men trafikhanteraren ser till att även om alla partitioner av en hanterad HSM i en region inte är tillgängliga på grund av en katastrof, hanteras begäranden fortfarande av den hanterade HSM-poolen i den utökade regionen.

Replikeringsfördröjning

Alla skrivåtgärder till managed HSM, till exempel att skapa eller uppdatera en nyckel, skapa eller uppdatera en rolldefinition eller skapa eller uppdatera en rolltilldelning, kan ta upp till 6 minuter innan båda regionerna replikeras helt. Under denna period är det inte garanterat att det skriftliga innehållet har replikerats mellan regionerna. Därför är det bäst att vänta sex minuter mellan att skapa eller uppdatera nyckeln och använda nyckeln för att säkerställa att nyckelmaterialet har replikerats helt mellan regioner. Detsamma gäller för rolltilldelningar och rolldefinitioner.

Övergångsbeteende

Redundans uppstår när en av regionerna i en hanterad HSM för flera regioner blir otillgänglig på grund av ett avbrott och den andra regionen börjar hantera alla begäranden. Avbrottet kan begränsas till din HSM-pool, hela managed HSM-tjänsten eller hela Azure-regionen. Under failover kan du märka förändringar i beteendet beroende på den påverkade regionen.

Berörd region Läsningar tillåtna Skrivningar tillåtna
Utökad region Ja Ja
Primär region Ja Ja

Om en primär eller utökad region slutar fungera kan du fortfarande utföra både läs- och skrivåtgärder.

  • Läsåtgärder: hämta nyckel, listnycklar, köra kryptografiska åtgärder och lista rolltilldelningar.
  • Skrivåtgärder: skapa eller uppdatera nycklar, rolltilldelningar och rolldefinitioner.

Tid till övergång

Under huven hanterar DNS-upplösningen omdirigeringen av begäranden till antingen de primära eller utökade regionerna.

Om båda regionerna är aktiva löser Traffic Manager inkommande begäranden till den plats som har den närmaste geografiska närheten eller den lägsta nätverksfördröjningen till begärans ursprung. DNS-poster konfigureras med en standard-TTL på 5 sekunder.

Om en region rapporterar en ohälsosam status till Traffic Manager, kommer framtida begäranden att styras mot den andra regionen om den är tillgänglig. Klienter som cachelagrar DNS-sökningar kan uppleva förlängd felflyttningstid. Men när alla cacheminnen på klientsidan upphör att gälla bör framtida begäranden dirigeras till den tillgängliga regionen.

Stöd för Azure-region

Alla Azure Managed HSM-regioner stöds som primära regioner (regioner där du kan replikera en hanterad HSM-pool från).

Kommentar

USA Östra, Västeuropa, Kanada Östra, Qatar Centrala, Polen Centrala och Västindien kan för närvarande inte utökas. Andra regioner kan vara otillgängliga för tillägg på grund av kapacitetsbegränsningar i regionen.

Fakturering

Replikering i flera regioner till en utökad region medför extra fakturering (x2), eftersom en ny HSM-pool används i en utökad region. Mer information finns i Priser för Azure Managed HSM.

Beteende vid mjuk borttagning

Funktionen för mjuk borttagning av hanterad HSM tillåter återställning av borttagna HSM:er och nycklar, men i ett scenario med replikering i flera regioner finns det subtila skillnader där den sekundära HSM:en måste tas bort innan mjuk borttagning kan köras på den primära HSM:en. När en utökad region tas bort från den primära HSM:en rensas dessutom HSM i den borttagna regionen i stället för att ange ett tillstånd för mjuk borttagning och faktureringen för den rensade HSM slutar omedelbart. Du kan alltid utöka till en ny utökad region från den primära regionen om det behövs.

Med funktionen Azure Private Link kan du komma åt den hanterade HSM-tjänsten via en privat slutpunkt i det virtuella nätverket. Du konfigurerar en privat slutpunkt på Managed HSM i den primära regionen precis som när du inte använder replikeringsfunktionen för flera regioner. För Managed HSM i en utökad region rekommenderar vi att du skapar en annan privat slutpunkt och en privat DNS-zon när den hanterade HSM:en i den primära regionen replikeras till managed HSM i en utökad region., som omdirigerar klientbegäranden till den hanterade HSM som är närmast klientplatsen.

Här följer några scenarier med exempel: Hanterad HSM i en primär region (storbritannien, södra) och en annan hanterad HSM i en utökad region (USA, västra centrala).

  • När både hanterade HSM:er i de primära och utökade regionerna är igång med privat slutpunkt aktiverat omdirigeras klientbegäranden till den hanterade HSM som är närmast klientplatsen. Klientbegäranden går till den närmaste regionens privata slutpunkt och dirigeras sedan till samma regions hanterade HSM av trafikhanteraren.

    Diagram som illustrerar det första hanterade HSM-scenariot för flera regioner.

  • När en av de hanterade HSM:erna (uk south, som exempel) i ett replikerat scenario med flera regioner inte är tillgängligt med privata slutpunkter aktiverade, omdirigeras klientbegäranden till tillgänglig Hanterad HSM (USA, västra centrala). Klientbegäranden från UK south går först till den privata slutpunkten i UK south och dirigeras sedan till US west Central Managed HSM av trafikhanteraren.

    Diagram som illustrerar det andra hanterade HSM-scenariot för flera regioner.

  • Hanterade HSM:er i primära och utökade regioner men bara en privat slutpunkt som konfigurerats i antingen den primära eller utökade regionen. För att en klient från ett annat virtuellt nätverk (VNET1) ska kunna ansluta till en hanterad HSM via en privat slutpunkt i ett annat virtuellt nätverk (VNET2) krävs peering för virtuella nätverk mellan de två virtuella nätverken. Du kan lägga till länken för virtuellt nätverk för den privata DNS-zonen som skapas när den privata slutpunkten skapas.

    Diagram som illustrerar det tredje hanterade HSM-scenariot för flera regioner.

I det här diagrammet skapas den privata slutpunkten endast i regionen Storbritannien, södra, medan det finns två hanterade HSM:er som körs var och en i Storbritannien, södra och den andra i USA, västra centrala. Begäranden från båda klienterna går till UK South Managed HSM eftersom begäranden dirigeras via den privata slutpunkten och den privata slutpunktens plats i det här fallet är i Storbritannien, södra.

Diagram som illustrerar det fjärde hanterade HSM-scenariot för flera regioner.

I det här diagrammet skapas den privata slutpunkten endast i regionen Södra Storbritannien, hanterad HSM i centrala västra USA är den enda tillgängliga och hanterad HSM i Södra Storbritannien är inte tillgänglig. I detta fall omdirigeras begäranden till US West Central Managed HSM via den privata slutpunkten i UK South eftersom trafikhanteraren upptäcker att UK South Managed HSM är otillgänglig.

Diagram som illustrerar det femte hanterade HSM-scenariot för flera regioner.

Azure CLI-kommandon

Om du skapar en ny Hanterad HSM-pool och sedan utökar till en utökad region kan du läsa de här anvisningarna innan du utökar. Om du utökar från en redan befintlig hanterad HSM-pool använder du följande instruktioner för att utöka HSM-poolen till en utökad region.

Kommentar

Dessa kommandon kräver Azure CLI version 2.48.1 eller senare. Information om hur du installerar den senaste versionen finns i Så här installerar du Azure CLI.

Utöka en primär HSM till en utökad region

Om du vill utöka en hanterad HSM-pool till en annan region kör du följande kommando som automatiskt skapar en ny HSM i en utökad region.

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

Kommentar

"ContosoMHSM" i det här exemplet är det primära HSM-poolnamnet; "australiaeast" är den utökade region som du utökar till.

Ta bort en utökad region från den primära HSM:en

När du tar bort en utökad HSM kommer HSM-partitionerna i den andra regionen att rensas. Alla sekundärfiler måste tas bort innan en primär hanterad HSM kan tas bort eller rensas. Endast sekundärfiler kan tas bort med det här kommandot. Den primära kan bara tas bort med hjälp av kommandona för mjuk borttagning och rensning

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

Visa en lista över alla regioner

az keyvault region list --hsm-name ContosoMHSM

Nästa steg

  • Last updated on