Delen via

Replicatie in meerdere regio's inschakelen in Azure Managed HSM

  • Artikel

Met replicatie van meerdere regio's kunt u een beheerde HSM-pool uitbreiden van de ene Azure-regio (de primaire regio genoemd) naar een andere Azure-regio (een uitgebreide regio genoemd). Zodra beide regio's zijn geconfigureerd, kunnen aanvragen worden verwerkt en, met geautomatiseerde replicatie, hetzelfde belangrijke materiaal, rollen en machtigingen delen. De dichtstbijzijnde beschikbare regio voor de toepassing ontvangt en voldoet aan de aanvraag, waardoor de leesdoorvoer en latentie worden gemaximaliseerd. Hoewel regionale storingen zeldzaam zijn, verbetert replicatie in meerdere regio's de beschikbaarheid van bedrijfskritische cryptografische sleutels als er één regio niet beschikbaar is. Ga naar de SLA voor beheerde HSM van Azure Key Vault voor meer informatie over SLA.

Architectuur

Architectuurdiagram van beheerde HSM-replicatie met meerdere regio's.

Wanneer replicatie met meerdere regio's is ingeschakeld op een beheerde HSM, wordt er een tweede beheerde HSM-pool met drie HSM-partities met gelijke taakverdeling gemaakt in een uitgebreide regio. Wanneer aanvragen worden uitgegeven aan het globale DNS-eindpunt <hsm-name>.managedhsm.azure.netvan Traffic Manager, ontvangt en voldoet de dichtstbijzijnde beschikbare regio aan de aanvraag. Hoewel elke regio afzonderlijk regionale hoge beschikbaarheid onderhoudt vanwege de distributie van HSM's in de regio, zorgt de Traffic Manager ervoor dat zelfs als alle partities van een beheerde HSM in één regio niet beschikbaar zijn vanwege een ramp, aanvragen nog steeds kunnen worden verwerkt door de beheerde HSM-pool in de uitgebreide regio.

Replicatielatentie

Elke schrijfbewerking naar de beheerde HSM, zoals het maken of bijwerken van een sleutel, het maken of bijwerken van een roldefinitie, of het maken of bijwerken van een roltoewijzing, kan tot 6 minuten duren voordat beide regio's volledig worden gerepliceerd. In dit venster is het niet gegarandeerd dat het geschreven materiaal tussen de regio's is gerepliceerd. Daarom kunt u het beste zes minuten wachten tussen het maken of bijwerken van de sleutel en het gebruik van de sleutel om ervoor te zorgen dat het sleutelmateriaal volledig is gerepliceerd tussen regio's. Hetzelfde geldt voor roltoewijzingen en roldefinities.

Failovergedrag

Failover treedt op wanneer een van de regio's in een beheerde HSM met meerdere regio's niet meer beschikbaar is vanwege een storing en de andere regio begint alle aanvragen te verwerken. De storing is mogelijk alleen beperkt tot uw HSM-pool, de volledige beheerde HSM-service of de hele Azure-regio. Tijdens de failover ziet u mogelijk een wijziging in gedrag, afhankelijk van de betreffende regio.

Getroffen regio Toegestane leesbewerkingen Toegestane schrijfbewerkingen
Uitgebreide regio Ja Ja
Primaire regio Ja Misschien

Als een uitgebreide regio niet meer beschikbaar is, zijn leesbewerkingen (sleutel ophalen, lijstsleutels, alle cryptobewerkingen, lijstroltoewijzingen) beschikbaar als de primaire regio actief is. Schrijfbewerkingen (sleutels maken en bijwerken, roltoewijzingen maken en bijwerken, roldefinities maken en bijwerken) zijn ook beschikbaar.

Als de primaire regio niet beschikbaar is, zijn leesbewerkingen beschikbaar, maar schrijfbewerkingen mogelijk niet, afhankelijk van het bereik van de storing.

Tijd tot failover

Dns-omzetting verwerkt de omleiding van aanvragen naar de primaire of de uitgebreide regio's.

Als beide regio's actief zijn, worden binnenkomende aanvragen door Traffic Manager omgezet naar de locatie met de dichtstbijzijnde geografische nabijheid of de laagste netwerklatentie naar de oorsprong van de aanvraag. DNS-records worden geconfigureerd met een standaard-TTL van 5 seconden.

Als een regio een beschadigde status rapporteert aan Traffic Manager, worden toekomstige aanvragen indien beschikbaar omgezet in de andere regio. Clients die DNS-zoekopdrachten opslaan in de cache, kunnen langere failovertijd ervaren. Maar zodra caches aan de clientzijde verlopen, moeten toekomstige aanvragen worden doorgestuurd naar de beschikbare regio.

Ondersteuning voor Azure-regio's

De volgende regio's worden ondersteund als primaire regio's (regio's waaruit u een beheerde HSM-pool kunt repliceren)

  • US - oost
  • US - oost 2
  • VS - noord
  • Europa - west
  • US - west
  • Canada - oost
  • Qatar - centraal
  • Azië oost
  • Azië - zuid-Oost
  • Verenigd Koninkrijk Zuid
  • US - centraal
  • Japan East
  • Zwitserland - noord
  • Brazilië - zuid
  • Australië - centraal
  • India - centraal
  • US - west 3
  • Canada - midden
  • Australië - oost
  • India - zuid
  • Zweden - centraal
  • Zuid-Afrika - noord
  • Korea - centraal
  • Europa - noord
  • Frankrijk - centraal
  • Japan - west
  • US - zuid-centraal
  • Polen - centraal
  • Zwitserland - west
  • Australië - zuid-Oost
  • India - west
  • UAE - centraal
  • VAE - noord
  • US - west 2
  • US - west-centraal

Notitie

VS - centraal, VS - oost, VS - zuid-centraal, VS - west 2, Zwitserland - noord, Europa - west, India - centraal, Canada - centraal, Japan - west, Qatar - centraal, Polen - centraal en VS - west-centraal kunnen momenteel geen regio's worden uitgebreid. Andere regio's zijn mogelijk niet beschikbaar voor uitbreiding vanwege capaciteitsbeperkingen in de regio.

Billing

Replicatie van meerdere regio's naar een uitgebreide regio zorgt voor extra facturering (x2), omdat een nieuwe HSM-pool wordt gebruikt in een uitgebreide regio. Zie De prijzen van Azure Managed HSM voor meer informatie.

Gedrag bij voorlopig verwijderen

Met de functie Voor voorlopig verwijderen van beheerde HSM's kunt u verwijderde HSM's en sleutels herstellen. In een scenario met replicatie met meerdere regio's zijn er subtiele verschillen waarbij de secundaire HSM moet worden verwijderd voordat voorlopig verwijderen kan worden uitgevoerd op de primaire HSM. Als een uitgebreide regio wordt verwijderd uit de primaire HSM, wordt de HSM in de verwijderde regio opgeschoond in plaats van een status voor voorlopig verwijderen in te voeren en eindigt de facturering voor de opgeschoonde HSM onmiddellijk. U kunt zo nodig altijd uitbreiden naar een nieuwe uitgebreide regio van de primaire regio.

Met de functie Azure Private Link hebt u toegang tot de beheerde HSM-service via een privé-eindpunt in uw virtuele netwerk. U configureert een privé-eindpunt op de beheerde HSM in de primaire regio, net zoals wanneer u de replicatiefunctie voor meerdere regio's niet gebruikt. Voor de beheerde HSM in een uitgebreide regio is het raadzaam om een ander privé-eindpunt en een privé-DNS-zone te maken zodra de beheerde HSM in de primaire regio wordt gerepliceerd naar de beheerde HSM in een uitgebreide regio. Hiermee worden clientaanvragen omgeleid naar de beheerde HSM die het dichtst bij de clientlocatie ligt.

Enkele scenario's hieronder met voorbeelden: Beheerde HSM in een primaire regio (VK - zuid) en een andere beheerde HSM in een uitgebreide regio (US - west-centraal).

  • Wanneer zowel beheerde HSM's in de primaire als uitgebreide regio's actief zijn en actief zijn met een privé-eindpunt, worden clientaanvragen omgeleid naar de beheerde HSM die zich het dichtst bij de clientlocatie bevindt. Clientaanvragen gaan naar het privé-eindpunt van de dichtstbijzijnde regio en worden vervolgens doorgestuurd naar de beheerde HSM van dezelfde regio door traffic manager.

    Diagram waarin het eerste scenario met meerdere regio's van de beheerde HSM wordt geïllustreerd.

  • Wanneer een van de beheerde HSM's (VK - zuid, bijvoorbeeld) in een gerepliceerd scenario met meerdere regio's niet beschikbaar is met privé-eindpunten ingeschakeld, worden clientaanvragen omgeleid naar de beschikbare beheerde HSM (US - west-centraal). Clientaanvragen van vk - zuid gaan eerst naar het privé-eindpunt van het VK - zuid en worden vervolgens doorgestuurd naar de door traffic manager beheerde HSM vs - west-centraal.

    Diagram waarin het tweede scenario met beheerde HSM's voor meerdere regio's wordt weergegeven.

  • Beheerde HSM's in primaire en uitgebreide regio's, maar slechts één privé-eindpunt dat is geconfigureerd in de primaire of uitgebreide regio. Voor een client van een ander VNET (VNET1) om via een privé-eindpunt in een ander VNET (VNET2) verbinding te maken met een beheerde HSM, is VNET-peering tussen de twee VNET's vereist. U kunt VNET-koppeling toevoegen voor de privé-DNS-zone die wordt gemaakt tijdens het maken van het privé-eindpunt.

    Diagram met het derde scenario met beheerde HSM's voor meerdere regio's.

In het onderstaande diagram wordt alleen een privé-eindpunt gemaakt in de regio VK - zuid, terwijl er twee beheerde HSM's actief zijn in het VK - zuid en de andere in us - west-centraal. Aanvragen van beide clients gaan naar de door het VK beheerde HSM, omdat aanvragen worden gerouteerd via het privé-eindpunt en de locatie van het privé-eindpunt in dit geval in het vk - zuid.

Diagram met het vierde scenario met beheerde HSM's voor meerdere regio's.

In het onderstaande diagram wordt alleen een privé-eindpunt gemaakt in de regio VK - zuid, is alleen de beheerde HSM in de VS - west-centraal beschikbaar en is de beheerde HSM in het VK - zuid niet beschikbaar. In dit geval worden aanvragen omgeleid naar de door US - west-centraal beheerde HSM via het privé-eindpunt in het VK - zuid, omdat traffic manager detecteert dat de door het VK beheerde HSM niet beschikbaar is.

Diagram met het vijfde beheerde HSM-scenario voor meerdere regio's.

Azure CLI-opdrachten

Als u een nieuwe beheerde HSM-pool maakt en vervolgens uitbreidt naar een uitgebreide regio, raadpleegt u deze instructies voordat u gaat uitbreiden. Als u een bestaande beheerde HSM-pool uitbreidt, gebruikt u de volgende instructies om de HSM-pool uit te breiden naar een uitgebreide regio.

Notitie

Voor deze opdrachten is Azure CLI versie 2.48.1 of hoger vereist. Zie De Azure CLI installeren om de nieuwste versie te installeren.

Een primaire HSM uitbreiden naar een uitgebreide regio

Als u een beheerde HSM-pool wilt uitbreiden naar een andere regio, voert u de volgende opdracht uit waarmee automatisch een nieuwe HSM in een uitgebreide regio wordt gemaakt.

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

Notitie

'ContosoMHSM' in dit voorbeeld is de naam van de primaire HSM-pool; "australiaeast" is de uitgebreide regio waarin u het uitbreidt.

Een uitgebreide regio verwijderen uit de primaire HSM

Nadat u een uitgebreide HSM hebt verwijderd, worden de HSM-partities in de andere regio verwijderd. Alle secundaire bestanden moeten worden verwijderd voordat een primaire beheerde HSM voorlopig kan worden verwijderd of verwijderd. Alleen secundaire bestanden kunnen worden verwijderd met behulp van deze opdracht. De primaire kan alleen worden verwijderd met behulp van de opdrachten voor voorlopig verwijderen en opschonen

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

Alle regio's weergeven

az keyvault region list --hsm-name ContosoMHSM

Volgende stappen