Azure Yönetilen HSM'de çok bölgeli çoğaltmayı etkinleştirme
Çok bölgeli çoğaltma, yönetilen bir HSM havuzunu bir Azure bölgesinden (birincil olarak adlandırılır) başka bir Azure bölgesine (ikincil olarak adlandırılır) genişletmenize olanak tanır. Yapılandırıldıktan sonra her iki bölge de etkin olur, isteklere hizmet eder ve otomatik çoğaltma ile aynı anahtar malzemeyi, rolleri ve izinleri paylaşır. Uygulamaya en yakın kullanılabilir bölge isteği alır ve yerine getirerek okuma aktarım hızını ve gecikme süresini en üst düzeye çıkarır. Bölgesel kesintiler nadir olsa da çok bölgeli çoğaltma, bir bölgenin kullanılamaz duruma gelmesi için görev açısından kritik şifreleme anahtarlarının kullanılabilirliğini artırır. SLA hakkında daha fazla bilgi için Azure Key Vault Yönetilen HSM için SLA'yı ziyaret edin.
Mimari
Yönetilen bir HSM'de çok bölgeli çoğaltma etkinleştirildiğinde, ikincil bölgede üç yük dengeli HSM bölümüne sahip ikinci bir yönetilen HSM havuzu oluşturulur. Traffic Manager genel DNS uç noktasına <hsm-name>.managedhsm.azure.netistekler gönderildiğinde, kullanılabilir en yakın bölge isteği alır ve yerine getirir. Her bölge, HSM'lerin bölge genelinde dağıtılması nedeniyle bölgesel yüksek kullanılabilirliği ayrı ayrı korurken, trafik yöneticisi bir bölgedeki yönetilen HSM'nin tüm bölümleri bir felaket nedeniyle kullanılamasa bile isteklerin ikincil yönetilen HSM havuzu tarafından sağlanabilmesini sağlar.
Çoğaltma gecikme süresi
Yönetilen HSM'ye anahtar oluşturma veya güncelleştirme, rol tanımı oluşturma veya güncelleştirme ya da rol ataması oluşturma veya güncelleştirme gibi herhangi bir yazma işlemi, her iki bölgenin de tam olarak çoğaltılması 6 dakika kadar sürebilir. Bu pencere içinde, yazılan malzemenin bölgeler arasında çoğaltıldığı garanti değildir. Bu nedenle, anahtar malzemesinin bölgeler arasında tam olarak çoğaltılmasını sağlamak için anahtarı oluşturma veya güncelleştirme ile anahtarı kullanma arasında altı dakika beklemek en iyisidir. Aynı durum rol atamaları ve rol tanımları için de geçerlidir.
Yük devretme davranışı
Çok bölgeli Yönetilen HSM'deki bölgelerden biri kesinti nedeniyle kullanılamaz duruma geldiğinde ve diğer bölge tüm isteklere hizmet etmeye başladığında yük devretme gerçekleşir. Kesinti yalnızca HSM havuzunuzla, Yönetilen HSM hizmetinin tamamıyla veya Azure bölgesinin tamamıyla sınırlı olabilir. Yük devretme sırasında, etkilenen bölgeye bağlı olarak davranışta bir değişiklik olduğunu fark edebilirsiniz.
| Etkilenen Bölge | İzin Verilen Okumalar | İzin Verilen Yazma İşlemleri |
|---|---|---|
| İkincil | Yes | Yes |
| Birincil | Yes | Olabilir |
İkincil bölge kullanılamaz duruma gelirse, birincil bölge etkinse okuma işlemleri (anahtar, liste anahtarları, tüm şifreleme işlemleri, liste rolü atamaları) kullanılabilir. Yazma işlemleri (anahtarları oluşturma ve güncelleştirme, rol atamaları oluşturma ve güncelleştirme, rol tanımları oluşturma ve güncelleştirme) de kullanılabilir.
Birincil bölge kullanılamıyorsa, okuma işlemleri kullanılabilir, ancak kesintinin kapsamına bağlı olarak yazma işlemleri kullanılamayabilir.
Yük devretme süresi
Arka planda DNS çözümlemesi, isteklerin birincil veya ikincil bölgeye yeniden yönlendirilmesini işler.
Her iki bölge de etkinse Traffic Manager, gelen istekleri isteğin kaynağına en yakın coğrafi yakınlık veya en düşük ağ gecikme süresine sahip konuma çözümler. DNS kayıtları 5 saniyelik varsayılan TTL ile yapılandırılır.
Bir bölge Traffic Manager'a iyi durumda olmayan bir durum bildirirse, gelecekteki istekler varsa diğer bölgeye çözüm getirir. DNS aramalarını önbelleğe alma istemcileri, uzun yük devretme süresiyle karşılaşabilir. Ancak tüm istemci tarafı önbelleklerinin süresi dolduğunda, gelecekteki isteklerin kullanılabilir bölgeye yönlendirilmesi gerekir.
Azure bölge desteği
Aşağıdaki bölgeler birincil bölgeler olarak desteklenir (Yönetilen HSM havuzunu çoğaltabileceğiniz bölgeler)
- ABD Doğu
- ABD Doğu 2
- ABD Kuzey
- Batı Avrupa
- ABD Batı
- Doğu Kanada
- Katar Merkezi
- Doğu Asya
- Asya GüneyEast
- Güney Birleşik Krallık
- ABD Orta
- Doğu Japonya
- Kuzey İsviçre
- Güney Brezilya
- Orta Avustralya
- Hindistan Orta
- ABD Batı 3
- Orta Kanada
- Doğu Avustralya
- Güney Hindistan
- Orta İsveç
- Güney Afrika Kuzey
- Güney Kore - Orta
- Kuzey Avrupa
- Orta Fransa
- Batı Japonya
- ABD Orta Güney
- Polonya Merkezi
- Batı İsviçre
- Avustralya SouthEast
- Hindistan Batı
- BAE Orta
- Kuzey BAE
- ABD Batı 2
- ABD Orta Batı
Not
ORTA ABD, DOĞU ABD, Orta Güney ABD, Batı ABD 2, kuzey İsviçre, Batı Avrupa, Orta Hindistan, Orta Kanada, Doğu Kanada, Batı Japonya, Orta Katar, Orta Polonya ve ORTA Batı ABD şu anda ikincil bölge olarak genişletilemez. Bölgedeki kapasite sınırlamaları nedeniyle diğer bölgeler uzantı için kullanılamıyor olabilir.
Faturalandırma
İkincil bölgeye çok bölgeli çoğaltma, ikincil bölgede yeni bir HSM havuzu tüketildiğinden ek faturalama (x2) oluşturur. Daha fazla bilgi için bkz . Azure Yönetilen HSM fiyatlandırması.
Geçici silme davranışı
Yönetilen HSM geçici silme özelliği silinen HSM'lerin ve anahtarların kurtarılmasına olanak tanır, ancak çok bölgeli çoğaltma özellikli bir senaryoda, geçici silmenin birincil HSM'de yürütülebilmesi için ikincil HSM'nin silinmesi gereken küçük farklılıklar vardır. Ayrıca, ikincil bir öğe silindiğinde hemen temizlenir ve ikincil için tüm faturalamayı durduran geçici silme durumuna geçilmez. Gerekirse her zaman birincil bölgeden ikincil olarak yeni bir bölgeye genişletebilirsiniz.
Çok bölgeli çoğaltma ile özel bağlantı davranışı
Azure Özel Bağlantı özelliği, yönetilen HSM hizmetine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar. Yönetilen HSM'de, çok bölgeli çoğaltma özelliğini kullanmadığınız sırada yaptığınız gibi birincil bölgedeki özel uç noktayı yapılandırabilirsiniz. İkincil bölgedeki Yönetilen HSM için, birincil bölgedeki Yönetilen HSM ikincil bölgedeki Yönetilen HSM'ye çoğaltıldıktan sonra başka bir özel uç nokta oluşturmanız önerilir. Bu, istemci isteklerini istemci konumuna en yakın Yönetilen HSM'ye yönlendirir.
Aşağıdaki örneklerle bazı senaryolar: Birincil bölgede yönetilen HSM (Güney Birleşik Krallık) ve ikincil bölgede (ABD Orta Batı) başka bir Yönetilen HSM.
Hem birincil hem de ikincil bölgelerdeki Yönetilen HSM'ler özel uç nokta etkinken çalışır duruma geldiğinde, istemci istekleri istemci konumuna en yakın Yönetilen HSM'ye yönlendirilir. İstemci istekleri en yakın bölgenin özel uç noktasına gider ve ardından traffic manager tarafından aynı bölgenin Yönetilen HSM'sine yönlendirilir.
Çok bölgeli çoğaltılmış bir senaryoda Yönetilen HSM'lerden biri (örnek olarak Güney Birleşik Krallık) özel uç noktalar etkinleştirildiğinde kullanılamaz duruma geldiğinde, istemci istekleri kullanılabilir Yönetilen HSM'ye (ABD Batı Orta) yönlendirilir. Güney Birleşik Krallık'tan gelen istemci istekleri önce Güney Birleşik Krallık'ın özel uç noktasına gider ve ardından trafik yöneticisi tarafından Orta Batı Abd Yönetilen HSM'ye yönlendirilir.
Birincil ve ikincil bölgelerde yönetilen HSM'ler, ancak birincil veya ikincil olarak yapılandırılmış yalnızca bir özel uç nokta. Farklı bir sanal ağdan (VNET1) bir istemcinin yönetilen HSM'ye farklı bir VNET'teki (VNET2) özel bir uç nokta üzerinden bağlanması için iki VNET arasında sanal ağ eşlemesi gerekir. Özel uç nokta oluşturma sırasında oluşturulan özel DNS bölgesi için sanal ağ bağlantısı ekleyebilirsiniz.
Aşağıdaki diyagramda özel uç nokta yalnızca Birleşik Krallık Güney bölgesinde oluşturulurken, biri Güney Birleşik Krallık'ta, diğeri orta Batı ABD'de olmak üzere iki Yönetilen HSM çalışır durumdadır. İstekler özel uç nokta üzerinden yönlendirildiğinden ve bu örnekte özel uç nokta konumu Güney Birleşik Krallık'ta olduğundan her iki istemciden gelen istekler Birleşik Krallık Güney Yönetilen HSM'ye gider.
Aşağıdaki diyagramda özel uç nokta yalnızca Birleşik Krallık Güney bölgesinde oluşturulur, yalnızca ORTA Batı ABD'deki Yönetilen HSM kullanılabilir ve Güney Birleşik Krallık'taki Yönetilen HSM kullanılamaz. Bu durumda, trafik yöneticisi Birleşik Krallık Güney Tarafından Yönetilen HSM'nin kullanılamadığını algıladığı için istekler Güney Birleşik Krallık'taki özel uç nokta üzerinden ABD Orta Batı Yönetilen HSM'ye yönlendirilir.
Azure CLI komutları
Yeni bir Yönetilen HSM havuzu oluşturup ikincil bir havuza genişletiyorsanız, genişletmeden önce bu yönergelere bakın. Zaten var olan bir Yönetilen HSM havuzundan genişletiliyorsa, ikincil bir HSM'yi başka bir bölgeye oluşturmak için aşağıdaki yönergeleri kullanın.
Not
Bu komutlar Için Azure CLI sürüm 2.48.1 veya üzeri gerekir. En son sürümü yüklemek için bkz . Azure CLI'yı yükleme.
Başka bir bölgeye ikincil HSM ekleme
Yönetilen bir HSM havuzunu başka bir bölgeye genişletmek için, otomatik olarak ikinci bir HSM oluşturacak aşağıdaki komutu çalıştırın.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Not
Bu örnekteki "ContosoMHSM" birincil HSM havuzu adıdır; "australiaeast", genişletmekte olduğunuz ikincil bölgedir.
Başka bir bölgedeki ikincil HSM'yi kaldırma
İkincil bir HSM'yi kaldırdığınızda, diğer bölgedeki HSM bölümleri temizlenir. Birincil yönetilen HSM'nin geçici olarak silinebilmesi veya temizlenebilmesi için önce tüm ikincillerin silinmesi gerekir. Bu komut kullanılarak yalnızca ikincil öğeler silinebilir. Birincil yalnızca geçici silme ve temizleme komutları kullanılarak silinebilir
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Tüm bölgeleri listeleme
az keyvault region list --hsm-name ContosoMHSM
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin