Поделиться через

Включение репликации с несколькими регионами в управляемом HSM Azure

  • Статья

Репликация с несколькими регионами позволяет расширить управляемый пул HSM из одного региона Azure (называемого основным регионом) в другой регион Azure (называемый расширенным регионом). После настройки оба региона активны, могут обслуживать запросы и автоматически выполнять репликацию, совместно использовать один и тот же ключевой материал, роли и разрешения. Ближайший доступный регион приложению получает и выполняет запрос, максимизируя пропускную способность чтения и задержку. Хотя региональные сбои редки, репликация в нескольких регионах повышает доступность критически важных криптографических ключей, если один регион станет недоступным. Дополнительные сведения об уровне обслуживания см . в разделе об уровне обслуживания для управляемого HSM Azure Key Vault.

Архитектура

Схема архитектуры управляемой репликации HSM с несколькими регионами.

Если репликация с несколькими регионами включена в управляемом HSM, второй управляемый пул HSM с тремя секциями HSM с балансировкой нагрузки, создается в расширенном регионе. Когда запросы отправляются в Диспетчер трафика глобальную конечную точку <hsm-name>.managedhsm.azure.netDNS, ближайший доступный регион получает и выполняет запрос. Хотя каждый регион по отдельности поддерживает региональную высокий уровень доступности из-за распределения виртуальных машин HSM в регионе, диспетчер трафика гарантирует, что даже если все разделы управляемого HSM в одном регионе недоступны из-за катастрофы, запросы по-прежнему обслуживаются управляемым пулом HSM в расширенном регионе.

Задержка репликации

Любая операция записи в управляемый модуль HSM, например создание или обновление ключа, создание или обновление определения роли или создание или обновление назначения роли, может занять до 6 минут, прежде чем оба региона полностью реплицируются. В этом окне не гарантируется, что письменный материал реплицировался между регионами. Поэтому рекомендуется ждать шесть минут между созданием или обновлением ключа и использованием ключа, чтобы убедиться, что материал ключа полностью реплицирован между регионами. Это же относится к назначениям ролей и определениям ролей.

Поведение отработки отказа

Отработка отказа возникает, когда один из регионов в управляемом HSM в нескольких регионах становится недоступным из-за сбоя, а другой регион начинает обслуживать все запросы. Сбой может быть ограничен только пулом HSM, всей управляемой службой HSM или всей областью Azure. Во время отработки отказа вы можете заметить изменение поведения в зависимости от затронутого региона.

Затронутый регион Разрешено чтение Разрешено запись
Расширенный регион Да Да
Основной регион Да Возможно

Если расширенный регион становится недоступным, операции чтения (получение ключа, ключи списка, все операции шифрования, назначения ролей списка) доступны, если основной регион жив. Операции записи (создание и обновление ключей, создание и обновление назначений ролей, создание и обновление определений ролей) также доступны.

Если основной регион недоступен, операции чтения доступны, но операции записи могут не выполняться в зависимости от области сбоя.

Время отработки отказа

В области разрешения DNS выполняется перенаправление запросов на основные или расширенные регионы.

Если оба региона активны, Диспетчер трафика разрешает входящие запросы в расположение, которое имеет ближайшее географическое расположение или наименьшую задержку сети к источнику запроса. Записи DNS настраиваются с использованием TTL по умолчанию 5 секунд.

Если регион сообщает о неработоспособном состоянии в Диспетчер трафика, при наличии будущие запросы разрешаются в другой регион. При кэшировании подстановок DNS клиенты могут столкнуться с расширенным временем отработки отказа. Но после истечения срока действия кэша на стороне клиента будущие запросы должны направляться в доступный регион.

Поддерживаемый регион Azure

Следующие регионы поддерживаются в качестве основных регионов (регионы, из которых можно реплицировать управляемый пул HSM)

  • Восточная часть США
  • Восточная часть США 2
  • Север США
  • Западная Европа
  • Западная часть США
  • Восточная Канада
  • Центральный Катар
  • Восточная Азия
  • Азия SouthEast
  • южная часть Соединенного Королевства
  • Центральная часть США
  • Восточная Япония
  • Северная Швейцария
  • Южная Бразилия
  • Центральная Австралия
  • Центральная Индия
  • Западная часть США 3
  • Центральная Канада
  • Восточная Австралия
  • Южная Индия
  • Центральная Швеция
  • Северная часть ЮАР
  • Республика Корея, центральный регион
  • Северная Европа
  • Центральная Франция
  • Западная Япония
  • Центрально-южная часть США
  • Центральная Польша
  • Западная Швейцария
  • Юго-Восточная часть Австралии
  • Западная Индия
  • Центральная часть ОАЭ
  • Северная часть ОАЭ;
  • Западная часть США 2
  • Центрально-западная часть США

Примечание.

Центральная часть США, восточная часть США, южная часть США, западная часть США 2, Северная Швейцария, Западная Европа, Центральная Индия, Центральная Канада, Восточная Канада, Западная Япония, Центральная Часть Катара, Центральная Польша и Центрально-западная часть США в настоящее время не могут быть расширены. Другие регионы могут быть недоступны для расширения из-за ограничений емкости в регионе.

Выставление счетов

Репликация с несколькими регионами в расширенный регион вызывает дополнительные выставления счетов (x2), так как новый пул HSM используется в расширенном регионе. Дополнительные сведения см. в статье о ценах на управляемый HSM в Azure.

Поведение обратимого удаления

Функция обратимого удаления управляемого устройства HSM позволяет восстановить удаленные модули HSM и ключи, однако в сценарии репликации с несколькими регионами существуют тонкие различия, в которых вторичный HSM необходимо удалить, прежде чем обратимое удаление можно выполнить на первичном HSM. Кроме того, когда расширенный регион удаляется из основного HSM, HSM в удаленном регионе очищается, а не вводит состояние обратимого удаления, а выставление счетов за очистку HSM завершается немедленно. При необходимости вы всегда можете расширить его до нового расширенного региона из основного.

Функция Приватный канал Azure позволяет получить доступ к управляемой службе HSM через частную конечную точку в виртуальной сети. Вы настраиваете частную конечную точку на управляемом HSM в основном регионе так же, как и при использовании функции репликации с несколькими регионами. Для управляемого HSM в расширенном регионе рекомендуется создать другую частную конечную точку и частную зону DNS после репликации управляемого HSM в основном регионе в управляемый HSM в расширенном регионе. Он перенаправляет клиентские запросы в управляемое устройство HSM, ближайшее к расположению клиента.

Ниже приведены некоторые сценарии с примерами: Управляемый HSM в основном регионе (южная часть Великобритании) и другой управляемый HSM в расширенном регионе (западная часть США).

  • Если управляемые виртуальные машины HSM в основных и расширенных регионах работают с включенной частной конечной точкой, клиентские запросы перенаправляются в управляемое устройство HSM, ближайшее к расположению клиента. Клиентские запросы отправляются в частную конечную точку ближайшего региона, а затем направляются в управляемый HSM того же региона диспетчером трафика.

    Схема, демонстрирующая первый управляемый сценарий HSM с несколькими регионами.

  • Если один из управляемых виртуальных машин (южная часть Великобритании, как пример) в многорегионном сценарии недоступен с включенными частными конечными точками, то клиентские запросы перенаправляются в доступный управляемый HSM (центрально-западная часть США). Клиентские запросы из Южной Великобритании будут отправляться в частную конечную точку юга Великобритании, а затем направляется на западную часть США Центральной управляемой HSM диспетчером трафика.

    Схема, иллюстрирующая второй управляемый сценарий HSM с несколькими регионами.

  • Управляемые виртуальные машины HSM в основных и расширенных регионах, но только одна частная конечная точка, настроенная в основном или расширенном регионе. Для подключения клиента из другой виртуальной сети (VNET1) к управляемому HSM через частную конечную точку в другой виртуальной сети (VNET2) требуется пиринг между двумя виртуальными сетями. Вы можете добавить ссылку виртуальной сети для частной зоны DNS, которая создается во время создания частной конечной точки.

    Схема, иллюстрирующая третий управляемый сценарий HSM с несколькими регионами.

На этой схеме частная конечная точка создается только в южном регионе Великобритании, в то время как два управляемых HSM работают и работают один в южной части Великобритании, а другой — в западной части США. Запросы от обоих клиентов отправляются в управляемый HSM в Великобритании, так как запросы направляются через частную конечную точку и расположение частной конечной точки в этом случае находится на юге Великобритании.

Схема, демонстрирующая четвертый управляемый сценарий HSM с несколькими регионами.

На этой схеме частная конечная точка создается только в южном регионе Великобритании, управляемый HSM в западной части США является единственным доступным, и управляемый HSM в Южной Части Великобритании недоступен. В этом случае запросы будут перенаправлены на управляемый HSM центрально-западной части США через частную конечную точку на юге Великобритании, так как диспетчер трафика обнаруживает, что SSM на юге Великобритании недоступен.

Схема, иллюстрирующая пятый управляемый сценарий HSM с несколькими регионами.

Команды Azure CLI

Если вы создаете новый пул управляемого модуля HSM, а затем расширяется в расширенный регион, ознакомьтесь с этими инструкциями перед расширением. Если расширение из уже существующего управляемого пула HSM, выполните следующие инструкции, чтобы расширить пул HSM в расширенный регион.

Примечание.

Для этих команд требуется Azure CLI версии 2.48.1 или более поздней. Чтобы установить последнюю версию, см. инструкции по установке Azure CLI.

Расширение основного устройства HSM в расширенный регион

Чтобы расширить управляемый пул HSM в другой регион, выполните следующую команду, которая автоматически создаст новый модуль HSM в расширенном регионе.

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

Примечание.

ContosoMHSM в этом примере является основным именем пула HSM; "australiaeast" — это расширенный регион, в который вы расширяете его.

Удаление расширенного региона из основного устройства HSM

После удаления расширенного HSM секции HSM в другом регионе будут удалены. Все вторичные файлы необходимо удалить, прежде чем первичный управляемый модуль HSM может быть обратимо удален или удален. С помощью этой команды можно удалить только вторичные файлы. Основное можно удалить только с помощью команд обратимого удаления и очистки

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

Вывод списка всех регионов

az keyvault region list --hsm-name ContosoMHSM

Следующие шаги