Povolení replikace ve více oblastech ve službě Azure Managed HSM
Replikace ve více oblastech umožňuje rozšířit spravovaný fond HSM z jedné oblasti Azure (označované jako primární) do jiné oblasti Azure (označované jako sekundární). Po nakonfigurování jsou obě oblasti aktivní, schopné obsluhovat požadavky a s automatizovanou replikací sdílet stejný klíčový materiál, role a oprávnění. Nejbližší dostupná oblast aplikace přijímá a splňuje požadavek, čímž maximalizuje propustnost a latenci čtení. I když jsou regionální výpadky vzácné, replikace ve více oblastech zvyšuje dostupnost klíčových kryptografických klíčů v případě, že jedna oblast nebude dostupná. Další informace o sla najdete ve sla pro spravovaný HSM služby Azure Key Vault.
Architektura
Pokud je ve spravovaném HSM povolená replikace ve více oblastech, vytvoří se v sekundární oblasti druhý spravovaný fond HSM se třemi oddíly HSM s vyrovnáváním zatížení. Při vystavení požadavků globálnímu koncovému bodu <hsm-name>.managedhsm.azure.netDNS traffic Manageru obdrží a splní požadavek nejbližší dostupná oblast. I když každá oblast samostatně udržuje regionální vysokou dostupnost kvůli distribuci modulů hardwarového zabezpečení v celé oblasti, traffic manager zajistí, že i když všechny oddíly spravovaného HSM v jedné oblasti nejsou dostupné kvůli katastrofě, žádosti můžou dál obsluhovat sekundární spravovaný fond HSM.
Latence replikace
Jakákoli operace zápisu do spravovaného HSM, jako je vytvoření nebo aktualizace klíče, vytvoření nebo aktualizace definice role nebo vytvoření nebo aktualizace přiřazení role, může trvat až 6 minut, než se obě oblasti plně replikují. V tomto okně není zaručeno, že se zapsaný materiál replikoval mezi oblastmi. Proto je nejlepší počkat šest minut mezi vytvořením nebo aktualizací klíče a použitím klíče, aby se zajistilo, že se materiál klíče plně replikuje mezi oblastmi. Totéž platí pro přiřazení rolí a definice rolí.
Chování převzetí služeb při selhání
Převzetí služeb při selhání nastane, když jedna z oblastí ve spravovaném HSM s více oblastmi přestane být dostupná kvůli výpadku a druhá oblast začne obsluhovat všechny požadavky. Výpadek může být omezený jenom na fond HSM, celou službu Managed HSM nebo celou oblast Azure. Během převzetí služeb při selhání si můžete všimnout změny chování v závislosti na ovlivněné oblasti.
| Ovlivněná oblast | Povolená čtení | Povolené zápisy |
|---|---|---|
| Sekundární | Ano | Yes |
| Primární | Ano | Možná |
Pokud sekundární oblast přestane být dostupná, operace čtení (získání klíče, seznam klíčů, všechny kryptografické operace, přiřazení rolí seznamu) jsou k dispozici, pokud je primární oblast aktivní. K dispozici jsou také operace zápisu (vytváření a aktualizace klíčů, vytváření a aktualizace přiřazení rolí, vytváření a aktualizace definic rolí).
Pokud primární oblast není dostupná, operace čtení jsou k dispozici, ale operace zápisu nemusí v závislosti na rozsahu výpadku.
Čas na převzetí služeb při selhání
Překlad DNS pod kapotou zpracovává přesměrování požadavků do primární nebo sekundární oblasti.
Pokud jsou obě oblasti aktivní, Traffic Manager přeloží příchozí požadavky do umístění, které má nejbližší geografickou blízkost nebo nejnižší latenci sítě k původu požadavku. Záznamy DNS se konfigurují s výchozí hodnotou TTL 5 sekund.
Pokud oblast hlásí stav služby Traffic Manager, budoucí žádosti se v případě dostupnosti přeloží na jinou oblast. U klientů, kteří ukládají vyhledávání DNS do mezipaměti, může docházet k prodloužení doby převzetí služeb při selhání. Jakmile však vyprší platnost mezipaměti na straně klienta, budoucí požadavky by se měly směrovat do dostupné oblasti.
Podpora oblastí Azure
Následující oblasti jsou podporované jako primární oblasti (oblasti, ze kterých můžete replikovat spravovaný fond HSM).
- Východ USA
- USA – východ 2
- USA – sever
- Evropa – západ
- USA – západ
- Kanada – východ
- Střední Katar
- Východní Asie
- Asie – jih
- Velká Británie – jih
- USA – střed
- Japonsko – východ
- Švýcarsko – sever
- Brazílie – jih
- Austrálie – střed
- Střední Indie
- USA – západ 3
- Střední Kanada
- Austrálie – východ
- Jižní Indie
- Švédsko – střed
- Jižní Afrika – sever
- Jižní Korea – střed
- Evropa – sever
- Francie – střed
- Japonsko – západ
- USA (střed) – jih
- Střední Polsko
- Švýcarsko – západ
- Austrálie – jihovýchod
- Indie – západ
- Spojené arabské emiráty – střed
- Spojené arabské emiráty – sever
- USA – západ 2
- USA – středozápad
Poznámka:
USA – střed, USA – východ, USA – jih, USA – západ 2, Švýcarsko – sever, Západní Evropa, Indie – střed, Kanada – střed, Kanada – východ, Japonsko – západ, Katar – střed, Polsko – střed a USA – středozápad nejde v tuto chvíli rozšířit jako sekundární oblast. Kvůli omezením kapacity v dané oblasti nemusí být pro rozšíření k dispozici jiné oblasti.
Fakturace
Replikace mezi více oblastmi do sekundární oblasti způsobuje další fakturaci (x2), protože v sekundární oblasti se spotřebovává nový fond HSM. Další informace najdete v tématu o cenách spravovaného HSM Azure.
Chování obnovitelného odstranění
Funkce obnovitelného odstranění spravovaného HSM umožňuje obnovení odstraněných modulů HSM a klíčů, ale ve scénáři s povolenou replikací ve více oblastech existují drobné rozdíly, kdy je potřeba sekundární HSM odstranit, aby bylo možné provést obnovitelné odstranění v primárním HSM. Když dojde k odstranění sekundárního objektu, okamžitě se vyprázdní a nepřejde do stavu obnovitelného odstranění, který zastaví veškerou fakturaci pro sekundární. V případě potřeby můžete kdykoli rozšířit na novou oblast jako sekundární z primární oblasti.
Chování privátního propojení s replikací více oblastí
Funkce Azure Private Link umožňuje přístup ke službě Managed HSM přes privátní koncový bod ve vaší virtuální síti. Privátní koncový bod byste na spravovaném HSM v primární oblasti nakonfigurovali stejně jako při použití funkce replikace ve více oblastech. Pro spravovaný HSM v sekundární oblasti se doporučuje vytvořit další privátní koncový bod, jakmile se spravovaný HSM v primární oblasti replikuje do spravovaného HSM v sekundární oblasti. Tím se požadavky klientů přesměruje do spravovaného HSM nejblíže k umístění klienta.
Některé následující scénáře s příklady: Spravovaný HSM v primární oblasti (Velká Británie – jih) a jiný spravovaný HSM v sekundární oblasti (USA – středozápad).
Když jsou spravované HSM v primární i sekundární oblasti spuštěné s povoleným privátním koncovým bodem, požadavky klientů se přesměrují do spravovaného HSM nejblíže k umístění klienta. Požadavky klientů se přesunou do nejbližšího privátního koncového bodu oblasti a pak se přesměrují do spravovaného HSM stejné oblasti správcem provozu.
Pokud některý ze spravovaných modulů HSM (Velká Británie – jih, jako příklad) v replikovaném scénáři s více oblastmi není dostupný s povolenými privátními koncovými body, pak se požadavky klientů přesměrují do dostupného spravovaného HSM (USA – středozápad). Žádosti klientů z oblasti Velká Británie – jih nejprve přejdou do privátního koncového bodu uk – jih a pak se přesměrují do modulu HSM spravovaného středem USA – středozápad pomocí traffic manageru.
Spravované HSM v primárních a sekundárních oblastech, ale pouze jeden privátní koncový bod nakonfigurovaný v primární nebo sekundární. Aby se klient z jiné virtuální sítě (VNET1) připojil ke spravovanému HSM prostřednictvím privátního koncového bodu v jiné virtuální síti (VNET2), vyžaduje partnerský vztah virtuálních sítí mezi těmito dvěma virtuálními sítěmi. Můžete přidat propojení virtuální sítě pro privátní zónu DNS, která se vytvoří během vytváření privátního koncového bodu.
V následujícím diagramu se privátní koncový bod vytvoří jenom v oblasti Velká Británie – jih, zatímco v oblasti USA – středozápad jsou spuštěné dva spravované moduly HSM, přičemž každý je spuštěný v oblasti Velká Británie – jih a druhý v oblasti USA – středozápad. Požadavky z obou klientů přejdou do HSM spravovaného ve Velké Británii – jih, protože požadavky se směrují přes privátní koncový bod a umístění privátního koncového bodu v tomto případě je ve Velké Británii na jih.
V následujícím diagramu se privátní koncový bod vytvoří jenom v oblasti Velká Británie – jih, k dispozici je pouze spravovaný HSM v oblasti USA – západ a spravovaný HSM v oblasti Velká Británie – jih je nedostupný. V takovém případě se požadavky přesměrují na HSM spravovaném středem USA – středozápad prostřednictvím privátního koncového bodu ve Velké Británii – jih, protože Traffic Manager zjistí, že HSM spravované podle oblasti Velká Británie – jih není k dispozici.
Příkazy Azure CLI
Pokud vytváříte nový fond spravovaných HSM a pak se rozšíříte na sekundární, před rozšířením si přečtěte tyto pokyny . Pokud se rozšiřuje z již existujícího spravovaného fondu HSM, pomocí následujících pokynů vytvořte sekundární HSM do jiné oblasti.
Poznámka:
Tyto příkazy vyžadují Azure CLI verze 2.48.1 nebo vyšší. Pokud chcete nainstalovat nejnovější verzi, přečtěte si, jak nainstalovat Azure CLI.
Přidání sekundárního HSM v jiné oblasti
Pokud chcete rozšířit spravovaný fond HSM do jiné oblasti, spusťte následující příkaz, který automaticky vytvoří druhý HSM.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Poznámka:
"ContosoMHSM" v tomto příkladu je primární název fondu HSM; "australiaeast" je sekundární oblast, do které ji rozšiřujete.
Odebrání sekundárního HSM v jiné oblasti
Po odebrání sekundárního HSM se oddíly HSM v jiné oblasti vyprázdní. Před obnovením nebo vymazáním primárního spravovaného HSM je nutné odstranit všechny sekundární moduly. Pomocí tohoto příkazu je možné odstranit pouze sekundární soubory. Primární je možné odstranit pouze pomocí příkazů obnovitelného odstranění a vyprázdnění .
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Výpis všech oblastí
az keyvault region list --hsm-name ContosoMHSM