Udostępnij za pośrednictwem

Włączanie replikacji w wielu regionach w zarządzanym module HSM platformy Azure

  • Artykuł

Replikacja w wielu regionach umożliwia rozszerzenie zarządzanej puli modułów HSM z jednego regionu świadczenia usługi Azure (nazywanego regionem podstawowym) do innego regionu świadczenia usługi Azure (nazywanego regionem rozszerzonym). Po skonfigurowaniu oba regiony są aktywne, mogą obsługiwać żądania i, za pomocą replikacji automatycznej, współużytkować ten sam materiał, role i uprawnienia klucza. Najbliższy dostępny region aplikacji odbiera i spełnia żądanie, maksymalizując w ten sposób przepływność i opóźnienie odczytu. Podczas gdy awarie regionalne są rzadkie, replikacja w wielu regionach zwiększa dostępność kluczy kryptograficznych o znaczeniu krytycznym, jeśli jeden region stanie się niedostępny. Aby uzyskać więcej informacji na temat umowy SLA, odwiedź stronę Sla for Azure Key Vault Managed HSM (Umowa SLA dla zarządzanego modułu HSM usługi Azure Key Vault).

Architektura

Diagram architektury zarządzanej replikacji wieloregionowej modułu HSM.

Po włączeniu replikacji z wieloma regionami w zarządzanym module HSM druga zarządzana pula modułów HSM z trzema partycjami HSM o zrównoważonym obciążeniu jest tworzona w regionie rozszerzonym. Gdy żądania są wysyłane do globalnego punktu końcowego <hsm-name>.managedhsm.azure.netDNS usługi Traffic Manager, najbliższy dostępny region odbiera i spełnia żądanie. Chociaż każdy region indywidualnie utrzymuje regionalną wysoką dostępność ze względu na dystrybucję modułów HSM w całym regionie, menedżer ruchu zapewnia, że nawet jeśli wszystkie partycje zarządzanego modułu HSM w jednym regionie są niedostępne z powodu awarii, żądania mogą być nadal obsługiwane przez zarządzaną pulę modułów HSM w rozszerzonym regionie.

Opóźnienie replikacji

Każda operacja zapisu w zarządzanym module HSM, taka jak tworzenie lub aktualizowanie klucza, tworzenie lub aktualizowanie definicji roli albo tworzenie lub aktualizowanie przypisania roli, może potrwać do 6 minut, zanim oba regiony zostaną w pełni zreplikowane. W tym oknie nie ma gwarancji, że zapisany materiał został zreplikowany między regionami. W związku z tym najlepiej odczekać sześć minut między utworzeniem lub zaktualizowaniem klucza i użyciem klucza, aby upewnić się, że materiał klucza został w pełni zreplikowany między regionami. Dotyczy to również przypisań ról i definicji ról.

Zachowanie trybu failover

Tryb failover występuje, gdy jeden z regionów w zarządzanym module HSM w wielu regionach staje się niedostępny z powodu awarii, a drugi region zaczyna obsługiwać wszystkie żądania. Awaria może być ograniczona tylko do puli modułów HSM, całej zarządzanej usługi HSM lub całego regionu świadczenia usługi Azure. Podczas pracy w trybie failover można zauważyć zmianę zachowania w zależności od regionu, którego dotyczy problem.

Region, którego dotyczy problem Dozwolone odczyty Dozwolone zapisy
Region rozszerzony Tak Tak
Region podstawowy Tak Być może

Jeśli region rozszerzony stanie się niedostępny, operacje odczytu (pobierz klucz, klucze listy, wszystkie operacje kryptograficzne, przypisania ról listy) są dostępne, jeśli region podstawowy jest aktywny. Dostępne są również operacje zapisu (tworzenie i aktualizowanie kluczy, tworzenie i aktualizowanie przypisań ról, tworzenie i aktualizowanie definicji ról).

Jeśli region podstawowy jest niedostępny, operacje odczytu są dostępne, ale operacje zapisu mogą nie być zależne od zakresu awarii.

Czas przejścia w tryb failover

Rozpoznawanie nazw DNS obsługuje przekierowywanie żądań do regionów podstawowych lub rozszerzonych.

Jeśli oba regiony są aktywne, usługa Traffic Manager rozpoznaje żądania przychodzące do lokalizacji, która ma najbliższą bliskość geograficzną lub najmniejsze opóźnienie sieci do źródła żądania. Rekordy DNS są konfigurowane przy użyciu domyślnego czasu wygaśnięcia 5 sekund.

Jeśli region zgłasza stan złej kondycji usługi Traffic Manager, przyszłe żądania są rozpoznawane w innym regionie, jeśli jest dostępny. Klienci buforujący wyszukiwania DNS mogą mieć dłuższy czas pracy w trybie failover. Jednak po wygaśnięciu pamięci podręcznej po stronie klienta przyszłe żądania powinny być kierowane do dostępnego regionu.

Obsługa regionów platformy Azure

Następujące regiony są obsługiwane jako regiony podstawowe (regiony, w których można replikować zarządzaną pulę modułów HSM)

  • Wschodnie stany USA
  • Wschodnie stany USA 2
  • Północne stany USA
  • Europa Zachodnia
  • Zachodnie stany USA
  • Kanada Wschodnia
  • Katar Środkowy
  • Azja Wschodnia
  • Azja Południowa
  • Południowe Zjednoczone Królestwo
  • Środkowe stany USA
  • Japonia Wschodnia
  • Szwajcaria Północna
  • Brazylia Południowa
  • Australia Środkowa
  • Indie Środkowe
  • Zachodnie stany USA 3
  • Kanada Środkowa
  • Australia Wschodnia
  • Indie południowe
  • Szwecja Środkowa
  • Północna Republika Południowej Afryki
  • Korea Środkowa
  • Europa Północna
  • Francja Środkowa
  • Japonia Zachodnia
  • Południowo-środkowe stany USA
  • Polska Środkowa
  • Szwajcaria Zachodnia
  • Australia Południowa
  • Indie Zachodnie
  • Środkowe Zjednoczone Emiraty Arabskie
  • Północne Zjednoczone Emiraty Arabskie
  • Zachodnie stany USA 2
  • Zachodnio-środkowe stany USA

Uwaga

W tym czasie nie można obecnie rozszerzyć regionów Środkowe stany USA, Środkowe stany USA, Wschodnie stany USA, Południowo-środkowe stany USA, Południowo-środkowe stany USA, Zachodnie stany USA 2, Europa Zachodnia, Indie Środkowe, Kanada Środkowa, Kanada Wschodnia, Japonia Zachodnia, Katar Środkowy, Środkowe stany USA, Środkowe i Zachodnie stany USA. Inne regiony mogą być niedostępne dla rozszerzenia z powodu ograniczeń pojemności w regionie.

Rozliczenia

Replikacja w wielu regionach do regionu rozszerzonego wiąże się z dodatkowymi rozliczeniami (x2), ponieważ nowa pula modułów HSM jest zużywana w regionie rozszerzonym. Aby uzyskać więcej informacji, zobacz Cennik zarządzanego modułu HSM platformy Azure.

Zachowanie usuwania nietrwałego

Funkcja usuwania nietrwałego zarządzanego modułu HSM umożliwia odzyskiwanie usuniętych modułów HSM i kluczy, jednak w scenariuszu z włączoną replikacją w wielu regionach istnieją subtelne różnice, w których pomocniczy moduł HSM musi zostać usunięty przed wykonaniem usuwania nietrwałego w podstawowym module HSM. Ponadto po usunięciu regionu rozszerzonego z podstawowego modułu HSM moduł HSM w usuniętym regionie jest czyszczone zamiast wprowadzać stan usuwania nietrwałego, a rozliczenia dla przeczyszczonego modułu HSM kończą się natychmiast. Zawsze można rozszerzyć na nowy region rozszerzony z podstawowego, jeśli jest to konieczne.

Funkcja usługi Azure Private Link umożliwia dostęp do zarządzanego modułu HSM za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Prywatny punkt końcowy można skonfigurować w zarządzanym module HSM w regionie podstawowym tak samo, jak w przypadku braku korzystania z funkcji replikacji w wielu regionach. W przypadku zarządzanego modułu HSM w regionie rozszerzonym zaleca się utworzenie innego prywatnego punktu końcowego i prywatnej strefy DNS po replikacji zarządzanego modułu HSM w regionie podstawowym do zarządzanego modułu HSM w regionie rozszerzonym. Spowoduje to przekierowanie żądań klientów do zarządzanego modułu HSM znajdującego się najbliżej lokalizacji klienta.

Poniżej przedstawiono kilka scenariuszy: Zarządzany moduł HSM w regionie podstawowym (Południowe Zjednoczone Królestwo) i inny zarządzany moduł HSM w regionie rozszerzonym (Zachodnio-środkowe stany USA).

  • Gdy oba zarządzane moduły HSM w regionach podstawowych i rozszerzonych są uruchomione z włączonym prywatnym punktem końcowym, żądania klientów są przekierowywane do zarządzanego modułu HSM znajdującego się najbliżej lokalizacji klienta. Żądania klientów przechodzą do prywatnego punktu końcowego najbliższego regionu, a następnie kierowane do zarządzanego modułu HSM tego samego regionu przez menedżera ruchu.

    Diagram przedstawiający pierwszy zarządzany scenariusz z wieloma regionami modułu HSM.

  • Jeśli jeden z zarządzanych modułów HSM (Południowe Zjednoczone Królestwo, na przykład) w scenariuszu replikowanym w wielu regionach jest niedostępny z włączonymi prywatnymi punktami końcowymi, żądania klientów są przekierowywane do dostępnego zarządzanego modułu HSM (Zachodnio-środkowe stany USA). Żądania klientów z południowej Wielkiej Brytanii trafią najpierw do prywatnego punktu końcowego południowego Zjednoczonego Królestwa, a następnie kierowane do zachodnio-środkowego zarządzanego modułu HSM przez menedżera ruchu.

    Diagram ilustrujący drugi scenariusz z wieloma regionami zarządzanego modułu HSM.

  • Zarządzane moduły HSM w regionach podstawowych i rozszerzonych, ale tylko jeden prywatny punkt końcowy skonfigurowany w regionie podstawowym lub rozszerzonym. Aby klient z innej sieci wirtualnej (VNET1) łączył się z zarządzanym modułem HSM za pośrednictwem prywatnego punktu końcowego w innej sieci wirtualnej (VNET2), wymaga komunikacji równorzędnej sieci wirtualnych między dwiema sieciami wirtualnymi. Możesz dodać link sieci wirtualnej dla prywatnej strefy DNS utworzonej podczas tworzenia prywatnego punktu końcowego.

    Diagram przedstawiający trzeci zarządzany scenariusz z wieloma regionami modułu HSM.

Na poniższym diagramie prywatny punkt końcowy jest tworzony tylko w regionie Południowej Wielkiej Brytanii, podczas gdy istnieją dwa zarządzane moduły HSM uruchomione po jednym w Południowej Wielkiej Brytanii, a drugi w regionie Zachodnio-środkowe stany USA. Żądania od obu klientów przechodzą do zarządzanego przez południowe Zjednoczone Królestwo modułu HSM, ponieważ żądania są kierowane przez prywatny punkt końcowy, a w tym przypadku prywatna lokalizacja punktu końcowego znajduje się na południu Wielkiej Brytanii.

Diagram przedstawiający czwarty zarządzany scenariusz z wieloma regionami modułu HSM.

Na poniższym diagramie prywatny punkt końcowy jest tworzony tylko w regionie Południowej Wielkiej Brytanii, dostępny jest tylko zarządzany moduł HSM w regionie Zachodnio-środkowe stany USA, a zarządzany moduł HSM na południu Wielkiej Brytanii jest niedostępny. W takim przypadku żądania zostaną przekierowane do zarządzanego przez moduł HSM zachodnio-środkowego regionu USA za pośrednictwem prywatnego punktu końcowego w Południowej Wielkiej Brytanii, ponieważ menedżer ruchu wykryje, że moduł HSM zarządzany przez Południowe Zjednoczone Królestwo jest niedostępny.

Diagram ilustrujący piąty scenariusz z wieloma regionami zarządzanego modułu HSM.

Polecenia interfejsu wiersza polecenia platformy Azure

Jeśli utworzysz nową pulę zarządzanych modułów HSM, a następnie rozszerzysz ją do regionu rozszerzonego, zapoznaj się z tymi instrukcjami przed rozszerzeniem. Jeśli rozszerzasz już istniejącą pulę zarządzanych modułów HSM, skorzystaj z poniższych instrukcji, aby rozszerzyć pulę modułów HSM na region rozszerzony.

Uwaga

Te polecenia wymagają interfejsu wiersza polecenia platformy Azure w wersji 2.48.1 lub nowszej. Aby zainstalować najnowszą wersję, zobacz Jak zainstalować interfejs wiersza polecenia platformy Azure.

Rozszerzanie podstawowego modułu HSM na region rozszerzony

Aby rozszerzyć zarządzaną pulę modułów HSM na inny region, uruchom następujące polecenie, które automatycznie utworzy nowy moduł HSM w regionie rozszerzonym.

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

Uwaga

"ContosoMHSM" w tym przykładzie jest podstawową nazwą puli HSM; "australiaeast" to rozszerzony region, w którym go rozszerzasz.

Usuwanie regionu rozszerzonego z podstawowego modułu HSM

Po usunięciu rozszerzonego modułu HSM partycje HSM w innym regionie zostaną przeczyszczone. Wszystkie moduły pomocnicze muszą zostać usunięte, zanim podstawowy zarządzany moduł HSM może zostać usunięty nietrwale lub przeczyszczone. Za pomocą tego polecenia można usunąć tylko pomocnicze pliki pomocnicze. Podstawowe można usunąć tylko za pomocą poleceń usuwania nietrwałego i przeczyszczania

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

Wyświetlanie listy wszystkich regionów

az keyvault region list --hsm-name ContosoMHSM

Następne kroki