デプロイメント シナリオ
Microsoft は、高可用性 (HA) とディザスター リカバリーを実現するために、リージョンおよびマルチリージョン内のスタンプに決済用ハードウェア セキュリティ モジュール (HSM) をデプロイしています。 リージョンでは、単一ラックの障害を防ぐために HSM が別々のスタンプにデプロイされます。高可用性を実現するには、リージョン内の 2 つの別々のスタンプから 2 つのデバイスがプロビジョニングされる必要があります。 ディザスター リカバリーの場合、代替リージョンで HSM デバイスがプロビジョニングされる必要があります。
Thales では、クラスター (同じ LMK で初期化された HSM のコレクション) を介して HA をサポートする PayShield SDK を顧客に提供していません。 ただし、Thales PayShield デバイスの顧客の使用シナリオがステートレス サーバーに似ています。 そのため、アプリケーションの実行時に HSM 間で同期が必要ありません。 HA は、カスタム クライアントを使用して処理されます。 1つの実装で、アプリケーションに接続されている正常な HSM 間で負荷を分散できると思われます。 高可用性を実装する責任はユーザーにあります。これを実現するには、複数のデバイスをプロビジョニングし、それらの負荷を分散して、利用可能なあらゆる種類のバックアップ メカニズムを使用してキーをバックアップします。
重要
- 運用環境を開始する前に、Microsoft Cloud ソリューション アーキテクトが決済用 HSM のデプロイ アーキテクチャの設計と準備状況を確認済みであることを確かめてください。
- [ソリューション設定] に表示されているサポート対象のトポロジと制約を確認します。
- 決済用 HSM サブネットでは、ネットワーク セキュリティ グループとユーザー定義ルートはサポートされていません。
- 仮想ネットワーク ピアリングでは、決済用 HSM インスタンスとのリージョン間通信をサポートしていません。 あるリージョンの VM が別のリージョンの決済用 HSM インスタンスと通信するには、ExpressRoute または VPN ゲートウェイを使う必要があります。
- お客様は、同じサブスクリプションのもとで 1 つのリージョンの各スタンプから最大 2 つの決済用 HSM を割り当てることができます。
- お客様が運用環境で高可用性のセットアップを行っていない場合、そのお客様は Microsoft 側から S2 サポートを受けることができません。
高可用性の展開
高可用性を実現するには、ユーザーがスタンプ 1 とスタンプ 2 の間に HSM を割り当てる必要があります (つまり、同じスタンプから 2 つの HSM を割り当てないでください)
ディザスター リカバリーのデプロイ
このシナリオは、地域レベルの障害に対応します。 通常の戦略は、待機時間のため、リージョン 1 のアプリケーションからリージョン 2 の HSM への到達を試行せず、アプリケーション スタック (およびその HSM) を完全に切り替えることです。