Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Çok bölgeli çoğaltma, yönetilen bir HSM havuzunu bir Azure bölgesinden (birincil bölge olarak adlandırılır) başka bir Azure bölgesine (genişletilmiş bölge olarak adlandırılır) genişletmenize olanak tanır. Yapılandırıldıktan sonra her iki bölge de etkin olur, isteklere hizmet eder ve otomatik çoğaltma ile aynı anahtar malzemeyi, rolleri ve izinleri paylaşır. Uygulamaya en yakın kullanılabilir bölge isteği alır ve yerine getirerek okuma aktarım hızını ve gecikme süresini en üst düzeye çıkarır. Bölgesel kesintiler nadir olsa da çok bölgeli çoğaltma, bir bölgenin kullanılamaz duruma gelmesi için görev açısından kritik şifreleme anahtarlarının kullanılabilirliğini artırır. Çok bölgeli çoğaltma etkinleştirildiğinde, birincil ve uzantı havuzları için birleştirilmiş SLA 99,99'a yükseltilir. SLA hakkında daha fazla bilgi için Azure Key Vault Yönetilen HSM SLA'sını ziyaret edin.
Mimari
Yönetilen bir HSM'de çok bölgeli çoğaltma etkinleştirildiğinde, genişletilmiş bir bölgede üç yük dengeli HSM bölümüne sahip ikinci bir yönetilen HSM havuzu oluşturulur. Traffic Manager genel DNS uç noktasına <hsm-name>.managedhsm.azure.netistekler gönderildiğinde, kullanılabilir en yakın bölge isteği alır ve yerine getirir. Her bölge, HSM'lerin bölge genelinde dağıtılması nedeniyle bölgesel yüksek kullanılabilirliği ayrı ayrı korurken, trafik yöneticisi bir bölgedeki yönetilen HSM'nin tüm bölümlerinin bir felaket nedeniyle kullanılamamasını sağlar ve isteklerin genişletilmiş bölgedeki yönetilen HSM havuzu tarafından sunulmaya devam etmesini sağlar.
Çoğaltma gecikme süresi
Yönetilen HSM'ye, örneğin bir anahtar oluşturma veya güncelleştirme, rol tanımı oluşturma veya güncelleştirme, ya da rol ataması oluşturma veya güncelleştirme gibi herhangi bir yazma işlemi, her iki bölgenin de tam çoğaltılması tamamlanana kadar 6 dakika kadar sürebilir. Bu zaman dilimi içinde, yazılı materyalin bölgeler arasında çoğaltılması garanti edilmez. Bu nedenle, anahtar malzemesinin bölgeler arasında tam olarak çoğaltılmasını sağlamak için anahtarı oluşturma veya güncelleştirme ile anahtarı kullanma arasında altı dakika beklemek en iyisidir. Aynı durum rol atamaları ve rol tanımları için de geçerlidir.
Yük devretme davranışı
Çok bölgeli Yönetilen HSM'deki bölgelerden biri kesinti nedeniyle kullanılamaz duruma geldiğinde ve diğer bölge tüm isteklere hizmet etmeye başladığında yük devretme gerçekleşir. Kesinti yalnızca HSM havuzunuzla, Yönetilen HSM hizmetinin tamamıyla veya Azure bölgesinin tamamıyla sınırlı olabilir. Yük devretme sırasında, etkilenen bölgeye bağlı olarak davranışlarda bir değişiklik fark edebilirsiniz.
| Etkilenen Bölge | İzin Verilen Okumalar | İzin Verilen Yazma İşlemleri |
|---|---|---|
| Genişletilmiş Bölge | Evet | Evet |
| Birincil Bölge | Evet | Evet |
Birincil veya genişletilmiş bölge devre dışı kalırsa, yine de hem okuma hem de yazma işlemleri gerçekleştirebilirsiniz.
- Okuma işlemleri: anahtar alma, anahtarları listeleme, şifreleme işlemlerini çalıştırma ve rol atamalarını listeleme.
- Yazma işlemleri: anahtarları, rol atamalarını ve rol tanımlarını oluşturun veya güncelleştirin.
Yük devretme zamanı
Arka planda, DNS çözümlemesi isteklerin birincil veya genişletilmiş bölgelere yeniden yönlendirilmesini işler.
Her iki bölge de etkinse Traffic Manager, gelen istekleri isteğin kaynağına en yakın coğrafi yakınlık veya en düşük ağ gecikme süresine sahip konuma çözümler. DNS kayıtları 5 saniyelik varsayılan TTL ile yapılandırılır.
Bir bölge, Traffic Manager'a sağlıksız bir durum bildirirse, gelecekteki istekler, başka bir bölge varsa, diğerine yönlendirilir. DNS sorgularını önbelleğe alan istemciler, uzatılmış yük devretme süreleriyle karşılaşabilir. Ancak tüm istemci tarafı önbelleklerinin süresi dolduğunda, gelecekteki isteklerin kullanılabilir bölgeye yönlendirilmesi gerekir.
Azure bölge desteği
Tüm Azure Yönetilen HSM bölgeleri birincil bölgeler (Yönetilen HSM havuzunu çoğaltabileceğiniz bölgeler) olarak desteklenir.
Not
ABD Doğu, Batı Avrupa, Doğu Kanada, Orta Katar, Orta Polonya ve Batı Hindistan şu anda genişletilmiş bölgeler olamaz. Bölgedeki kapasite sınırlamaları nedeniyle diğer bölgeler uzantı için kullanılamıyor olabilir.
Faturalandırma
Bir genişletilmiş bölgeye çok bölgeli çoğaltma işlemi, genişletilmiş bir bölgede yeni bir HSM havuzu tüketildiğinden dolayı (x2) ek faturalama oluşturur. Daha fazla bilgi için bkz . Azure Yönetilen HSM fiyatlandırması.
Yumuşak silme davranışı
Yönetilen HSM geçici silme özelliği silinen HSM'lerin ve anahtarların kurtarılmasına olanak tanır, ancak çok bölgeli çoğaltma özellikli bir senaryoda, geçici silmenin birincil HSM'de yürütülebilmesi için ikincil HSM'nin silinmesi gereken küçük farklılıklar vardır. Ayrıca, genişletilmiş bir bölge birincil HSM'den kaldırıldığında, kaldırılan bölgedeki HSM geçici olarak silinme durumuna girmek yerine tamamen temizlenir ve temizlenmiş HSM için faturalama derhal sona erer. Gerekirse her zaman birincil bölgeden yeni bir genişletilmiş bölgeye genişletebilirsiniz.
Çok bölgeli replikasyon ile özel bağlantının davranışı
Azure Özel Bağlantı özelliği, yönetilen HSM hizmetine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar. Yönetilen HSM'de, çok bölgeli çoğaltma özelliğini kullanmadığınız sırada yaptığınız gibi birincil bölgedeki özel uç noktayı yapılandırabilirsiniz. Genişletilmiş bir bölgedeki Yönetilen HSM için, birincil bölgedeki Yönetilen HSM genişletilmiş bölgedeki Yönetilen HSM'ye çoğaltıldıktan sonra başka bir özel uç nokta ve özel DNS bölgesi oluşturmanız önerilir. Bu, istemci isteklerini istemci konumuna en yakın Yönetilen HSM'ye yönlendirir.
Örnek içeren bazı senaryolar şunlardır: Birincil bölgede yönetilen HSM (Güney Birleşik Krallık) ve genişletilmiş bir bölgede (ABD Orta Batı) başka bir Yönetilen HSM.
Birincil ve genişletilmiş bölgelerdeki her iki Yönetilen HSM de özel uç nokta etkin olduğunda çalışır duruma geldiğinde, istemci istekleri, istemci konumuna en yakın olan Yönetilen HSM'ye yönlendirilir. İstemci istekleri en yakın bölgenin özel uç noktasına gider ve ardından traffic manager tarafından aynı bölgenin Yönetilen HSM'sine yönlendirilir.
Çok bölgeli çoğaltılmış bir senaryoda Yönetilen HSM'lerden biri (örnek olarak Güney Birleşik Krallık) özel uç noktalar etkinleştirildiğinde kullanılamaz duruma geldiğinde, istemci istekleri kullanılabilir Yönetilen HSM'ye (ABD Batı Orta) yönlendirilir. Güney Birleşik Krallık'tan gelen istemci istekleri önce Güney Birleşik Krallık'ın özel uç noktasına gider ve ardından trafik yöneticisi tarafından Orta Batı Abd Yönetilen HSM'ye yönlendirilir.
Birincil ve genişletilmiş bölgelerde yönetimli HSM'ler mevcut, ancak yalnızca birincil veya genişletilmiş bölgede yapılandırılmış tek bir özel uç nokta var. Farklı bir sanal ağdan (VNET1) bir istemcinin yönetilen HSM'ye farklı bir sanal ağdaki (VNET2) özel bir uç nokta üzerinden bağlanması için iki sanal ağ arasında sanal ağ eşlemesi gerekir. Özel uç nokta oluşturma sırasında oluşturulan özel DNS bölgesi için sanal ağ bağlantısı ekleyebilirsiniz.
Bu diyagramda özel uç nokta yalnızca Birleşik Krallık Güney bölgesinde oluşturulurken, biri Güney Birleşik Krallık'ta, diğeri orta Batı ABD'de olmak üzere iki Yönetilen HSM çalışır durumdadır. İstekler özel uç nokta üzerinden yönlendirildiğinden ve bu örnekte özel uç nokta konumu Güney Birleşik Krallık'ta olduğundan her iki istemciden gelen istekler Birleşik Krallık Güney Yönetilen HSM'ye gider.
Bu diyagramda özel uç nokta yalnızca Birleşik Krallık Güney bölgesinde oluşturulur, ORTA Batı ABD'deki Yönetilen HSM kullanılabilir tek noktadır ve Güney Birleşik Krallık'taki Yönetilen HSM kullanılamaz. Bu durumda, trafik yöneticisi Birleşik Krallık Güney Tarafından Yönetilen HSM'nin kullanılamadığını algıladığı için istekler Güney Birleşik Krallık'taki özel uç nokta üzerinden ABD Orta Batı Yönetilen HSM'ye yönlendirilir.
Azure CLI komutları
Yeni bir Yönetilen HSM havuzu oluşturup daha sonra genişletilmiş bir bölgeye genişletiyorsanız, genişletmeden önce bu yönergelere bakın. Zaten var olan bir Yönetilen HSM havuzundan genişletiliyorsa, HSM havuzunu genişletilmiş bir bölgeye genişletmek için aşağıdaki yönergeleri kullanın.
Not
Bu komutlar Için Azure CLI sürüm 2.48.1 veya üzeri gerekir. En son sürümü yüklemek için bkz . Azure CLI'yı yükleme.
Birincil HSM'yi genişletilmiş bir bölgeye uzatmak
Yönetilen HSM havuzunu başka bir bölgeye genişletmek için, genişletilmiş bölgede otomatik olarak yeni bir HSM oluşturacak aşağıdaki komutu çalıştırın.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Not
Bu örnekteki "ContosoMHSM" birincil HSM havuzu adıdır; "australiaeast", genişletmekte olduğunuz genişletilmiş bölgedir.
Birincil HSM'den genişletilmiş bölgeyi kaldırma
Genişletilmiş bir HSM'yi kaldırdığınızda, diğer bölgedeki HSM bölümleri temizlenir. Birincil yönetilen HSM'nin geçici olarak silinebilmesi veya temizlenebilmesi için önce tüm ikincillerin silinmesi gerekir. Bu komut kullanılarak yalnızca ikincil öğeler silinebilir. Birincil yalnızca geçici silme ve temizleme komutları kullanılarak silinebilir
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Tüm bölgeleri listeleme
az keyvault region list --hsm-name ContosoMHSM