Dostupnost a redundance služby Azure Key Vault
Azure Key Vault nabízí několik vrstev redundance, aby se zajistilo, že vaše klíče a tajné kódy zůstanou pro vaši aplikaci dostupné i v případě selhání jednotlivých komponent služby nebo v případě, že oblasti Nebo zóny dostupnosti Azure nejsou k dispozici.
Poznámka:
Tento průvodce platí pro trezory. Spravované fondy HSM používají jiný model vysoké dostupnosti a zotavení po havárii; Další informace najdete v průvodci zotavením po havárii spravovaného HSM.
Replikace dat
Způsob, jakým Služba Key Vault replikuje vaše data, závisí na konkrétní oblasti, ve které je váš trezor.
U většiny oblastí Azure, které jsou spárované s jinou oblastí, se obsah vašeho trezoru klíčů replikuje jak v rámci oblasti, tak do spárované oblasti. Spárovaná oblast je obvykle alespoň 150 mil daleko, ale ve stejné zeměpisné oblasti. Tento přístup zajišťuje vysokou odolnost vašich klíčů a tajných kódů. Další informace o párech oblastí Azure najdete v tématu Spárované oblasti Azure. Dvě výjimky jsou oblast Brazílie – jih, která je spárovaná s oblastí v jiné geografické oblasti a oblastí USA – západ 3. Když vytváříte trezory klíčů v oblasti Brazílie – jih nebo USA – západ 3, nereplikují se napříč oblastmi.
Pro oblasti Azure, které nemají dvojici, a oblasti Usa – jih a usa – západ 3 používá Azure Key Vault k třikrát replikaci dat v rámci oblasti mezi nezávislé zóny dostupnosti zónově redundantní úložiště (ZRS). Pro Azure Key Vault Premium se k replikaci klíčů modulu hardwarového zabezpečení (HSM) používají dvě ze tří zón. Pomocí funkce zálohování a obnovení můžete také replikovat obsah trezoru do jiné oblasti podle vašeho výběru.
Převzetí služeb při selhání v rámci oblasti
Pokud jednotlivé komponenty ve službě trezoru klíčů selžou, alternativní komponenty v kroku oblasti, aby se zajistilo, že nedojde ke snížení funkčnosti. Nemusíte provádět žádnou akci – proces se provede automaticky a bude pro vás transparentní.
Podobně v oblasti, ve které se váš trezor replikuje napříč zónami dostupnosti, azure Key Vault automaticky přesměruje vaše požadavky do jiné zóny dostupnosti, aby se zajistila vysoká dostupnost.
Převzetí služeb při selhání napříč oblastmi
Pokud jste v oblasti, která automaticky replikuje váš trezor klíčů do sekundární oblasti, ve výjimečných případech, kdy je nedostupná celá oblast Azure, se žádosti, které ze služby Azure Key Vault v této oblasti provedete, automaticky směrují (převzetí služeb při selhání) do sekundární oblasti. Jakmile je primární oblast opět dostupná, požadavky se směrují zpět (navrácení služeb po obnovení) do primární oblasti. Znovu, nemusíte provádět žádnou akci, protože k tomu dojde automaticky.
Důležité
Převzetí služeb při selhání mezi oblastmi se nepodporuje v následujících oblastech:
- Libovolná oblast, která nemá spárovanou oblast
- Brazílie – jih
- Brazílie – jihovýchod
- USA – západ 3
Všechny ostatní oblasti používají geograficky redundantní úložiště jen pro čtení (RA-GRS) k replikaci dat mezi spárovanými oblastmi. Další informace najdete v tématu Redundance služby Azure Storage: Redundance v sekundární oblasti.
V oblastech, které nepodporují automatickou replikaci do sekundární oblasti, musíte naplánovat obnovení trezorů klíčů Azure ve scénáři selhání oblasti. Pokud chcete zálohovat a obnovit trezor klíčů Azure do oblasti podle vašeho výběru, proveďte kroky podrobně popsané v tématu Zálohování služby Azure Key Vault.
Díky tomuto návrhu vysoké dostupnosti nevyžaduje Azure Key Vault žádné výpadky pro aktivity údržby.
Existuje několik upozornění, o které byste měli vědět:
V případě převzetí služeb při selhání oblasti může převzetí služeb při selhání služby trvat několik minut. Požadavky provedené během této doby před převzetím služeb při selhání mohou selhat.
Pokud pro připojení k trezoru klíčů používáte privátní propojení, může trvat až 20 minut, než se připojení znovu naváže v případě převzetí služeb při selhání oblasti.
Během převzetí služeb při selhání je trezor klíčů v režimu jen pro čtení. V režimu jen pro čtení se podporují následující operace:
- Výpis certifikátů
- Získání certifikátů
- Výpis tajných kódů
- Získání tajných kódů
- Výpis klíčů
- Získání (vlastností) klíčů
- Šifrování
- Dešifrování
- Zalomení
- Rozbalit
- Ověření
- Podepsat
- Záloha
Během převzetí služeb při selhání nebudete moct provádět změny vlastností trezoru klíčů. Nebudete moct změnit zásady přístupu ani konfigurace a nastavení brány firewall.
Po navrácení služeb při selhání jsou k dispozici všechny typy žádostí (včetně žádostí o čtení a zápis).