Přemístění služby Azure Key Vault do jiné oblasti

  • Článek

Azure Key Vault nepodporuje přemístění trezoru klíčů do jiné oblasti.

Místo přemístění potřebujete:

  • Vytvořte nový trezor klíčů s přemístěním přidružených služeb Azure.
  • Znovu vygenerujte všechny požadované klíče, tajné kódy nebo certifikáty. V některých případech možná budete muset přenést tajné kódy nebo certifikáty z existujícího trezoru klíčů do přemísťovaného trezoru klíčů.

Diagram znázorňující vzor přemístění služby Azure Key Vault

Požadavky

  • Ověřte, že vaše předplatné Azure umožňuje vytvářet trezory klíčů v cílové oblasti.

  • Vytvořte mapu závislostí se všemi službami Azure používanými službou Key Vault. Pro služby, které jsou v rozsahu přemístění, musíte zvolit odpovídající strategii přemístění.

  • V závislosti na návrhu služby Key Vault možná budete muset nasadit a nakonfigurovat virtuální síť v cílové oblasti.

  • Dokument a plánování opětovné konfigurace ve službě Key Vault v cílové oblasti:

    • Zásady přístupu a nastavení konfigurace sítě
    • Obnovitelné odstranění a ochrana před vymazáním
    • Nastavení automatického zotavování

Odstávka

Informace o možných výpadkech najdete v tématu Architektura přechodu na cloud pro Azure: Výběr metody přemístění.

Důležité informace o koncových bodech služby

Koncové body služby virtuální sítě pro Azure Key Vault omezují přístup k zadané virtuální síti. Koncové body můžou také omezit přístup k seznamu rozsahů adres IPv4 (protokol IPv4 verze 4). Přístup byl odepřen všem uživatelům, kteří se připojují ke službě Key Vault mimo tyto zdroje. Pokud se koncové body služby nakonfigurovaly ve zdrojové oblasti pro prostředek služby Key Vault, je potřeba provést totéž v cílové oblasti.

V případě úspěšného obnovení služby Key Vault do cílové oblasti je nutné předem vytvořit virtuální síť a podsíť. V případě, že se přesun těchto dvou prostředků provádí pomocí nástroje Azure Resource Mover, koncové body služby se nenakonfigurují automaticky. Proto je potřeba je nakonfigurovat ručně, což je možné provést prostřednictvím webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Důležité informace o privátním koncovém bodu

Azure Private Link poskytuje privátní připojení z virtuální sítě k platformě Azure jako službě (PaaS), službám vlastněným zákazníkem nebo partnerským službám Microsoftu. Private Link zjednodušuje síťovou architekturu a zabezpečuje připojení mezi koncovými body v Azure tím, že eliminuje vystavení dat veřejnému internetu.

V případě úspěšného obnovení služby Key Vault v cílové oblasti musí být virtuální síť a podsíť vytvořeny, než dojde k skutečnému obnovení.

Důležité informace o integraci DNS privátního koncového bodu Azure

Je důležité správně nakonfigurovat nastavení DNS tak, aby přeložil IP adresu privátního koncového bodu na plně kvalifikovaný název domény (FQDN) připojovací řetězec.

Stávající služby Microsoft Azure už můžou mít konfiguraci DNS pro veřejný koncový bod. Tato konfigurace musí být přepsána pro připojení pomocí privátního koncového bodu.

Síťové rozhraní přidružené k privátnímu koncovému bodu obsahuje informace pro konfiguraci VAŠEHO DNS. Informace o síťovém rozhraní zahrnují plně kvalifikovaný název domény a privátní IP adresy vašeho prostředku privátního propojení.

Ke konfiguraci nastavení DNS pro privátní koncové body můžete použít následující možnosti:

  • Použijte soubor hostitele (doporučuje se jenom pro testování). Soubor hostitele na virtuálním počítači můžete použít k přepsání DNS.
  • Použijte zónu privátního DNS. Pomocí zón privátního DNS můžete přepsat překlad názvů DNS pro privátní koncový bod. S virtuální sítí je možné propojit zónu privátního DNS za účelem překladu konkrétních domén.
  • Použijte modul pro předávání DNS (volitelné). Modul pro předávání DNS můžete použít k přepsání překladu DNS pro prostředek privátního propojení. Vytvořte pravidlo předávání DNS, které bude používat privátní zónu DNS na serveru DNS hostovaném ve virtuální síti.

Příprava

Export šablony pomocí webu Azure Portal:

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny prostředky a pak vyberte trezor klíčů.

  3. Vyberte >šablonu exportu služby Automation>.

  4. V okně Exportovat šablonu zvolte Stáhnout.

  5. Vyhledejte .zip soubor, který jste stáhli z portálu, a rozbalte ho do libovolné složky.

    Tento soubor ZIP obsahuje soubory .json, které tvoří šablonu a skripty pro nasazení šablony.

Mějte na paměti následující koncepty:

  • Názvy trezorů klíčů jsou globálně jedinečné. Nemůžete znovu použít název trezoru.
  • V novém trezoru klíčů je potřeba překonfigurovat zásady přístupu a nastavení konfigurace sítě.
  • V novém trezoru klíčů je potřeba překonfigurovat ochranu obnovitelného odstranění a vyprázdnění.
  • Operace zálohování a obnovení nezachová nastavení automatického zápisu. Možná budete muset překonfigurovat nastavení.

Úprava šablony

Upravte šablonu změnou názvu trezoru klíčů a oblasti.

Nasazení šablony pomocí webu Azure Portal:

  1. Na webu Azure Portal vyberte Vytvořit prostředek.

  2. Do pole Hledat na Marketplace zadejte template deployment a stiskněte ENTER.

  3. Vyberte Template deployment.

  4. Vyberte Vytvořit.

  5. Vyberte Vytvořit vlastní šablonu v editoru.

  6. Vyberte Načíst soubor a pak podle pokynů načtěte template.json soubor, který jste stáhli v poslední části.

  7. V souboru template.json pojmenujte trezor klíčů nastavením výchozí hodnoty názvu trezoru klíčů. Tento příklad nastaví výchozí hodnotu názvu trezoru klíčů na mytargetaccount.

    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
    "vaults_name": {
        "defaultValue": "key-vault-name",
        "type": "String"
    }
},

  8. Upravte vlastnost umístění v souboru template.json do cílové oblasti. Tento příklad nastaví cílovou oblast na centralus.

    "resources": [
    {
        "type": "Microsoft.KeyVault/vaults",
        "apiVersion": "2023-07-01",
        "name": "[parameters('vaults_name')]",
        "location": "centralus",
        ...
    },
    ...
]

    Informace o získání kódů umístění oblastí najdete v tématu Umístění Azure. Kód oblasti je název oblasti bez mezer, centrální oblasti USA = – střed.

  9. Odeberte prostředky typu privátní koncový bod v šabloně.

    {
"type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
...
}

  10. Pokud jste v trezoru klíčů nakonfigurovali koncový bod služby, přidejte v části NetworkAcl v části VirtualNetworkRules pravidlo pro cílovou podsíť. Ujistěte se, že je příznak ignoreMissingVnetServiceEndpoint nastavený na False, aby se IaC nepodařilo nasadit službu Key Vault v případě, že koncový bod služby není nakonfigurovaný v cílové oblasti.

    parameter.json

    {
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "target_vnet_externalid": {
      "value": "virtualnetwork-externalid"
    },
    "target_subnet_name": {
      "value": "subnet-name"
    }
  }
}

    _template.json

        "networkAcls": {
        "bypass": "AzureServices",
        "defaultAction": "Deny",
        "ipRules": [],
        "virtualNetworkRules": [
            {
                "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
                "ignoreMissingVnetServiceEndpoint": false
            }
        ]
    }

Opětovné nasazení

Nasaďte šablonu pro vytvoření nového trezoru klíčů v cílové oblasti.

  1. Uložte soubor template.json.

  2. Zadejte nebo vyberte hodnoty těchto vlastností:

    • Předplatné: Vyberte předplatné Azure.

    • Skupina prostředků: Vyberte Vytvořit novou a zadejte název nové skupiny prostředků.

    • Umístění: Vyberte umístění Azure.

  3. Vyberte Souhlasím s podmínkami a ujednáními uvedenými výše a pak vyberte Vybrat nákup.

  4. Zásady přístupu a nastavení konfigurace sítě (privátní koncové body) je potřeba v nové službě Key Vault znovu nakonfigurovat. Obnovitelné odstranění a ochrana před vymazáním je potřeba znovu nakonfigurovat v novém trezoru klíčů a v nastavení automatického odstranění.

Tip

Pokud se zobrazí chyba oznamující, že zadaný kód XML není syntakticky platný, porovnejte JSON v šabloně se schématy popsanými v dokumentaci k Azure Resource Manageru.

Opětovné nasazení s migrací dat

Důležité

Pokud plánujete přesunout službu Key Vault mezi oblastmi, ale ve stejné geografické oblasti, doporučuje se provést zálohování a obnovení tajných kódů, klíčů a certifikátů .

  1. Postupujte podle kroků popsaných v postupu opětovného nasazení.
  2. Tajné kódy:
    1. Zkopírujte a uložte hodnotu tajného kódu do zdrojového trezoru klíčů.
    2. Znovu vytvořte tajný klíč v cílovém trezoru klíčů a nastavte hodnotu na uložený tajný klíč.
  3. Pro certifikáty:
    1. Exportujte certifikát do souboru PFX.
    2. Importujte soubor PFX do cílového trezoru klíčů. Pokud privátní klíč nemůžete exportovat (exportable není nastavený), musíte vygenerovat nový certifikát a importovat ho do cílového trezoru klíčů.
  4. Při přemístění přidružené služby Azure se klíče znovu vygenerují.
  5. Ověřte, že se klíče vygenerovaly pro přidruženou službu.

Ověření

Před odstraněním starého trezoru klíčů ověřte, že nový trezor obsahuje všechny požadované klíče, tajné kódy a certifikáty po přemístění přidružených služeb Azure.