Povolení replikace ve více oblastech ve službě Azure Managed HSM
Replikace ve více oblastech umožňuje rozšířit spravovaný fond HSM z jedné oblasti Azure (označované jako primární oblast) do jiné oblasti Azure (označované jako rozšířená oblast). Po nakonfigurování jsou obě oblasti aktivní, schopné obsluhovat požadavky a s automatizovanou replikací sdílet stejný klíčový materiál, role a oprávnění. Nejbližší dostupná oblast aplikace přijímá a splňuje požadavek, čímž maximalizuje propustnost a latenci čtení. I když jsou regionální výpadky vzácné, replikace ve více oblastech zvyšuje dostupnost klíčových kryptografických klíčů v případě, že jedna oblast nebude dostupná. Další informace o sla najdete ve sla pro spravovaný HSM služby Azure Key Vault.
Architektura
Pokud je ve spravovaném HSM povolená replikace ve více oblastech, vytvoří se druhý spravovaný fond HSM se třemi oddíly HSM s vyrovnáváním zatížení v rozšířené oblasti. Při vystavení požadavků globálnímu koncovému bodu <hsm-name>.managedhsm.azure.netDNS traffic Manageru obdrží a splní požadavek nejbližší dostupná oblast. I když každá oblast samostatně udržuje regionální vysokou dostupnost kvůli distribuci modulů HSM napříč oblastí, traffic manager zajistí, že i když všechny oddíly spravovaného HSM v jedné oblasti nejsou dostupné kvůli katastrofě, žádosti můžou dál obsluhovat spravovaný fond HSM v rozšířené oblasti.
Latence replikace
Jakákoli operace zápisu do spravovaného HSM, jako je vytvoření nebo aktualizace klíče, vytvoření nebo aktualizace definice role nebo vytvoření nebo aktualizace přiřazení role, může trvat až 6 minut, než se obě oblasti plně replikují. V tomto okně není zaručeno, že se zapsaný materiál replikoval mezi oblastmi. Proto je nejlepší počkat šest minut mezi vytvořením nebo aktualizací klíče a použitím klíče, aby se zajistilo, že se materiál klíče plně replikuje mezi oblastmi. Totéž platí pro přiřazení rolí a definice rolí.
Chování převzetí služeb při selhání
Převzetí služeb při selhání nastane, když jedna z oblastí ve spravovaném HSM s více oblastmi přestane být dostupná kvůli výpadku a druhá oblast začne obsluhovat všechny požadavky. Výpadek může být omezený jenom na fond HSM, celou službu Managed HSM nebo celou oblast Azure. Během převzetí služeb při selhání si můžete všimnout změny chování v závislosti na ovlivněné oblasti.
| Ovlivněná oblast | Povolená čtení | Povolené zápisy |
|---|---|---|
| Rozšířená oblast | Ano | Yes |
| Primární oblast | Ano | Možná |
Pokud se rozšířená oblast stane nedostupnou, operace čtení (získání klíče, seznam klíčů, všechny kryptografické operace, přiřazení rolí seznamu) jsou k dispozici, pokud je primární oblast aktivní. K dispozici jsou také operace zápisu (vytváření a aktualizace klíčů, vytváření a aktualizace přiřazení rolí, vytváření a aktualizace definic rolí).
Pokud primární oblast není dostupná, operace čtení jsou k dispozici, ale operace zápisu nemusí v závislosti na rozsahu výpadku.
Čas na převzetí služeb při selhání
Překlad DNS pod kapotou zpracovává přesměrování požadavků na primární nebo rozšířené oblasti.
Pokud jsou obě oblasti aktivní, Traffic Manager přeloží příchozí požadavky do umístění, které má nejbližší geografickou blízkost nebo nejnižší latenci sítě k původu požadavku. Záznamy DNS se konfigurují s výchozí hodnotou TTL 5 sekund.
Pokud oblast hlásí stav služby Traffic Manager, budoucí žádosti se v případě dostupnosti přeloží na jinou oblast. U klientů, kteří ukládají vyhledávání DNS do mezipaměti, může docházet k prodloužení doby převzetí služeb při selhání. Jakmile však vyprší platnost mezipaměti na straně klienta, budoucí požadavky by se měly směrovat do dostupné oblasti.
Podpora oblastí Azure
Následující oblasti jsou podporované jako primární oblasti (oblasti, ze kterých můžete replikovat spravovaný fond HSM).
- Východ USA
- USA – východ 2
- USA – sever
- Evropa – západ
- USA – západ
- Kanada – východ
- Střední Katar
- Východní Asie
- Asie – jih
- Velká Británie – jih
- USA – střed
- Japonsko – východ
- Švýcarsko – sever
- Brazílie – jih
- Austrálie – střed
- Střední Indie
- USA – západ 3
- Střední Kanada
- Austrálie – východ
- Jižní Indie
- Švédsko – střed
- Jižní Afrika – sever
- Jižní Korea – střed
- Evropa – sever
- Francie – střed
- Japonsko – západ
- USA (střed) – jih
- Střední Polsko
- Švýcarsko – západ
- Austrálie – jihovýchod
- Indie – západ
- Spojené arabské emiráty – střed
- Spojené arabské emiráty – sever
- USA – západ 2
- USA – středozápad
Poznámka:
OBLASTI USA – střed, USA – východ, USA – jih, USA – středozápad, Švýcarsko – sever, Západní Evropa, Indie – střed, Kanada – střed, Kanada – východ, Japonsko – západ, Katar – střed, Polsko – střed a USA – středozápad nejde v tuto chvíli rozšířit. Kvůli omezením kapacity v dané oblasti nemusí být pro rozšíření k dispozici jiné oblasti.
Fakturace
Replikace mezi více oblastmi do rozšířené oblasti způsobuje další fakturaci (x2), protože nový fond HSM se spotřebovává v rozšířené oblasti. Další informace najdete v tématu o cenách spravovaného HSM Azure.
Chování obnovitelného odstranění
Funkce obnovitelného odstranění spravovaného HSM umožňuje obnovení odstraněných modulů HSM a klíčů, ale ve scénáři s povolenou replikací ve více oblastech existují drobné rozdíly, kdy je potřeba sekundární HSM odstranit, aby bylo možné provést obnovitelné odstranění v primárním HSM. Kromě toho, když je rozšířená oblast odebrána z primárního HSM, hsM v odebrané oblasti se vyprázdní místo zadání stavu obnovitelného odstranění a fakturace vyprázdněného HSM skončí okamžitě. V případě potřeby můžete kdykoli rozšířit na novou rozšířenou oblast z primární oblasti.
Chování privátního propojení s replikací více oblastí
Funkce Azure Private Link umožňuje přístup ke službě Managed HSM přes privátní koncový bod ve vaší virtuální síti. Privátní koncový bod byste na spravovaném HSM v primární oblasti nakonfigurovali stejně jako při použití funkce replikace ve více oblastech. Pro spravovaný HSM v rozšířené oblasti se doporučuje vytvořit další privátní koncový bod a privátní zónu DNS, jakmile se spravovaný HSM v primární oblasti replikuje do spravovaného HSM v rozšířené oblasti. Tím se požadavky klientů přesměruje do spravovaného HSM nejblíže k umístění klienta.
Níže uvedené scénáře s příklady: Spravovaný HSM v primární oblasti (Velká Británie – jih) a jiný spravovaný HSM v rozšířené oblasti (USA – středozápad).
Pokud jsou spravované HSM v primárních i rozšířených oblastech spuštěné a spuštěné s povoleným privátním koncovým bodem, požadavky klientů se přesměrují do spravovaného HSM nejblíže k umístění klienta. Požadavky klientů se přesunou do nejbližšího privátního koncového bodu oblasti a pak se přesměrují do spravovaného HSM stejné oblasti správcem provozu.
Pokud některý ze spravovaných modulů HSM (Velká Británie – jih, jako příklad) v replikovaném scénáři s více oblastmi není dostupný s povolenými privátními koncovými body, pak se požadavky klientů přesměrují do dostupného spravovaného HSM (USA – středozápad). Žádosti klientů z oblasti Velká Británie – jih nejprve přejdou do privátního koncového bodu uk – jih a pak se přesměrují do modulu HSM spravovaného středem USA – středozápad pomocí traffic manageru.
Spravované moduly HSM v primárních a rozšířených oblastech, ale pouze jeden privátní koncový bod nakonfigurovaný v primární nebo rozšířené oblasti. Aby se klient z jiné virtuální sítě (VNET1) připojil ke spravovanému HSM prostřednictvím privátního koncového bodu v jiné virtuální síti (VNET2), vyžaduje partnerský vztah virtuálních sítí mezi těmito dvěma virtuálními sítěmi. Můžete přidat propojení virtuální sítě pro privátní zónu DNS, která se vytvoří během vytváření privátního koncového bodu.
V následujícím diagramu se privátní koncový bod vytvoří jenom v oblasti Velká Británie – jih, zatímco v oblasti USA – středozápad jsou spuštěné dva spravované moduly HSM, přičemž každý je spuštěný v oblasti Velká Británie – jih a druhý v oblasti USA – středozápad. Požadavky z obou klientů přejdou do HSM spravovaného ve Velké Británii – jih, protože požadavky se směrují přes privátní koncový bod a umístění privátního koncového bodu v tomto případě je ve Velké Británii na jih.
V následujícím diagramu se privátní koncový bod vytvoří jenom v oblasti Velká Británie – jih, k dispozici je pouze spravovaný HSM v oblasti USA – západ a spravovaný HSM v oblasti Velká Británie – jih je nedostupný. V takovém případě se požadavky přesměrují na HSM spravovaném středem USA – středozápad prostřednictvím privátního koncového bodu ve Velké Británii – jih, protože Traffic Manager zjistí, že HSM spravované podle oblasti Velká Británie – jih není k dispozici.
Příkazy Azure CLI
Pokud vytváříte nový fond spravovaných HSM a pak se rozšíříte do rozšířené oblasti, přečtěte si tyto pokyny před rozšířením. Pokud rozšíření z již existujícího spravovaného fondu HSM, pomocí následujících pokynů rozšiřte fond HSM do rozšířené oblasti.
Poznámka:
Tyto příkazy vyžadují Azure CLI verze 2.48.1 nebo vyšší. Pokud chcete nainstalovat nejnovější verzi, přečtěte si, jak nainstalovat Azure CLI.
Rozšíření primárního HSM do rozšířené oblasti
Pokud chcete rozšířit spravovaný fond HSM do jiné oblasti, spusťte následující příkaz, který automaticky vytvoří nový HSM v rozšířené oblasti.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Poznámka:
"ContosoMHSM" v tomto příkladu je primární název fondu HSM; "australiaeast" je rozšířená oblast, do které ji rozšiřujete.
Odebrání rozšířené oblasti z primárního HSM
Po odebrání rozšířeného HSM se oddíly HSM v jiné oblasti vyprázdní. Před obnovením nebo vymazáním primárního spravovaného HSM je nutné odstranit všechny sekundární moduly. Pomocí tohoto příkazu je možné odstranit pouze sekundární soubory. Primární je možné odstranit pouze pomocí příkazů obnovitelného odstranění a vyprázdnění .
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Výpis všech oblastí
az keyvault region list --hsm-name ContosoMHSM