Включение реплика нескольких регионов в управляемом HSM Azure

  • Статья

Многорегионное реплика tion позволяет расширить управляемый пул HSM из одного региона Azure (который называется первичным) в другой регион Azure (называемый вторичным). После настройки оба региона активны, могут обслуживать запросы и автоматически реплика tion, совместно использовать один и тот же ключевой материал, роли и разрешения. Ближайший доступный регион приложению получает и выполняет запрос, тем самым максимизируя пропускную способность чтения и задержку. В то время как региональные сбои редки, многорегиональная реплика tion повышает доступность критически важных криптографических ключей миссии, если один регион станет недоступным. Дополнительные сведения об уровне обслуживания см . в разделе об уровне обслуживания для управляемого HSM Azure Key Vault.

Архитектура

Схема архитектуры управляемой репликации HSM с несколькими регионами.

Если в управляемом HSM включено многорегионное реплика tion, второй управляемый пул HSM с тремя секциями HSM с балансировкой нагрузки, создается в дополнительном регионе. Когда запросы отправляются в Диспетчер трафика глобальную конечную точку <hsm-name>.managedhsm.azure.netDNS, ближайший доступный регион получает и выполняет запрос. Хотя каждый регион по отдельности поддерживает региональную высокую доступность из-за распределения HSM в регионе, диспетчер трафика гарантирует, что даже если все разделы управляемого HSM в одном регионе недоступны из-за катастрофы, запросы по-прежнему могут обслуживаться вторичным управляемым пулом HSM.

Задержка репликации

Любая операция записи в управляемый модуль HSM, например создание или обновление ключа, создание или обновление определения роли или создание или обновление назначения ролей, может занять до 6 минут, прежде чем оба региона полностью реплика. В этом окне не гарантируется, что письменный материал реплика между регионами. Поэтому рекомендуется ждать шесть минут между созданием или обновлением ключа и использованием ключа, чтобы убедиться, что материал ключа полностью реплика между регионами. Это же относится к назначениям ролей и определениям ролей.

Поведение отработки отказа

Отработка отказа возникает, когда один из регионов в управляемом HSM в нескольких регионах становится недоступным из-за сбоя, а другой регион начинает обслуживать все запросы. Сбой может быть ограничен только пулом HSM, всей управляемой службой HSM или всей областью Azure. Во время отработки отказа вы можете заметить изменение поведения в зависимости от затронутого региона.

Затронутый регион Разрешено чтение Разрешено запись
Вторичные Да Да
Основной Да Возможно

Если дополнительный регион становится недоступным, операции чтения (получение ключа, ключи списка, все операции шифрования, назначения ролей списка) доступны, если основной регион жив. Операции записи (создание и обновление ключей, создание и обновление назначений ролей, создание и обновление определений ролей) также доступны.

Если основной регион недоступен, операции чтения доступны, но операции записи могут не выполняться в зависимости от область сбоя.

Время отработки отказа

В области разрешения DNS выполняется перенаправление запросов в основной или вторичный регион.

Если оба региона активны, Диспетчер трафика разрешает входящие запросы в расположение, которое имеет ближайшее географическое расположение или наименьшую задержку сети к источнику запроса. Записи DNS настраиваются с использованием TTL по умолчанию 5 секунд.

Если регион сообщает о неработоспособном состоянии в Диспетчер трафика, при наличии будущие запросы разрешаются в другой регион. При кэшировании подстановок DNS клиенты могут столкнуться с расширенным временем отработки отказа. Но после истечения срока действия кэша на стороне клиента будущие запросы должны направляться в доступный регион.

Поддерживаемый регион Azure

Следующие регионы поддерживаются в качестве основных регионов (регионы, из которых можно реплика использовать управляемый пул HSM).

  • Восточная часть США
  • Восточная часть США 2
  • Север США
  • Западная Европа
  • Западная часть США
  • Восточная Канада
  • Центральный Катар
  • Восточная Азия
  • Азия SouthEast
  • южная часть Соединенного Королевства
  • Центральная часть США
  • Восточная Япония
  • Северная Швейцария
  • Южная Бразилия
  • Центральная Австралия
  • Центральная Индия
  • Западная часть США 3
  • Центральная Канада
  • Восточная Австралия
  • Южная Индия
  • Центральная Швеция
  • Северная часть ЮАР
  • Республика Корея, центральный регион
  • Северная Европа
  • Центральная Франция
  • Западная Япония
  • Центрально-южная часть США
  • Центральная Польша
  • Западная Швейцария
  • Юго-Восточная часть Австралии
  • Западная Индия
  • Центральная часть ОАЭ
  • Северная часть ОАЭ;
  • Западная часть США 2
  • Центрально-западная часть США

Примечание.

Центральная часть США, восточная часть США, южная часть США, западная часть США 2, Северная Швейцария, Центральная Европа, Центральная Индия, Центральная Канада, Восточная Канада, Западная Япония, Центральная Часть Катара, Центральная Польша и Центрально-Западная часть США в настоящее время не могут быть расширены в качестве дополнительного региона. Другие регионы могут быть недоступны для расширения из-за ограничений емкости в регионе.

Выставление счетов

Использование нескольких регионов реплика в дополнительном регионе вызывает дополнительные выставления счетов (x2), так как новый пул HSM используется в дополнительном регионе. Дополнительные сведения см. в статье о ценах на управляемый HSM в Azure.

Поведение обратимого удаления

Функция обратимого удаления управляемого устройства HSM позволяет восстановить удаленные устройства HSM и ключи, однако в сценарии с поддержкой многорегионного реплика, существуют тонкие различия, в которых вторичный HSM необходимо удалить, прежде чем обратимое удаление можно выполнить на основном HSM. Кроме того, при удалении вторичного объекта она очищается немедленно и не переходит в состояние обратимого удаления, которое останавливает все выставление счетов для вторичного. При необходимости вы всегда можете расширить новый регион в качестве дополнительного из основного.

Функция Приватный канал Azure позволяет получить доступ к управляемой службе HSM через частную конечную точку в виртуальной сети. Вы настроите частную конечную точку на управляемом HSM в основном регионе так же, как и при использовании функции реплика нескольких регионов. Для управляемого HSM в дополнительном регионе рекомендуется создать другую частную конечную точку после того, как управляемый HSM в основном регионе реплика управляемому HSM в дополнительном регионе. Это приведет к перенаправлению клиентских запросов в управляемое устройство HSM, ближайшее к расположению клиента.

Некоторые сценарии ниже приведены в примерах: Управляемый HSM в основном регионе (южная часть Великобритании) и другой управляемый HSM в дополнительном регионе (центрально-западная часть США).

  • Когда управляемые HSM в основных и вторичных регионах работают с включенной частной конечной точкой, клиентские запросы перенаправляются в управляемое устройство HSM, ближайшее к расположению клиента. Клиентские запросы отправляются в частную конечную точку ближайшего региона, а затем направляются в управляемый HSM того же региона диспетчером трафика.

    Схема, демонстрирующая первый управляемый сценарий HSM с несколькими регионами.

  • Если один из управляемых виртуальных машин (южная часть Великобритании, например) в многорегионном реплика развернутом сценарии недоступен с включенными частными конечными точками, то клиентские запросы перенаправляются на доступную управляемое устройство HSM (центрально-западная часть США). Клиентские запросы из Южной Великобритании будут отправляться в частную конечную точку юга Великобритании, а затем направляется на западную часть США Центральной управляемой HSM диспетчером трафика.

    Схема, иллюстрирующая второй управляемый сценарий HSM с несколькими регионами.

  • Управляемые виртуальные машины HSM в первичных и вторичных регионах, но только одна частная конечная точка, настроенная в первичной или вторичной. Для подключения клиента из другой виртуальной сети (VNET1) к управляемому HSM через частную конечную точку в другой виртуальной сети (VNET2) требуется пиринг между двумя виртуальными сетями. Вы можете добавить ссылку виртуальной сети для частной зоны DNS, созданной во время создания частной конечной точки.

    Схема, иллюстрирующая третий управляемый сценарий HSM с несколькими регионами.

На приведенной ниже схеме частная конечная точка создается только в южном регионе Великобритании, в то время как два управляемых HSM работают и работают один в южной части Великобритании и другой в западной части США. Запросы от обоих клиентов отправляются в управляемый HSM в Великобритании, так как запросы направляются через частную конечную точку и расположение частной конечной точки в этом случае находится на юге Великобритании.

Схема, демонстрирующая четвертый управляемый сценарий HSM с несколькими регионами.

На приведенной ниже схеме частная конечная точка создается только в южном регионе Великобритании, доступно только управляемое устройство HSM в западной части США, и управляемый HSM на юге Великобритании недоступен. В этом случае запросы будут перенаправлены на управляемый HSM центрально-западной части США через частную конечную точку на юге Великобритании, так как диспетчер трафика обнаруживает, что SSM на юге Великобритании недоступен.

Схема, иллюстрирующая пятый управляемый сценарий HSM с несколькими регионами.

Команды Azure CLI

Если вы создаете новый управляемый пул HSM, а затем расширяется на дополнительный, ознакомьтесь с этими инструкциями до расширения. Если расширение из уже существующего управляемого пула HSM, выполните следующие инструкции, чтобы создать дополнительный HSM в другом регионе.

Примечание.

Для этих команд требуется Azure CLI версии 2.48.1 или более поздней. Чтобы установить последнюю версию, см. инструкции по установке Azure CLI.

Добавление дополнительного устройства HSM в другой регион

Чтобы расширить управляемый пул HSM в другой регион, выполните следующую команду, которая автоматически создаст второй HSM.

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

Примечание.

ContosoMHSM в этом примере является основным именем пула HSM; "australiaeast" является вторичным регионом, в который вы расширяете его.

Удаление вторичного HSM в другом регионе

После удаления вторичного HSM секции HSM в другом регионе будут удалены. Все вторичные файлы необходимо удалить, прежде чем первичный управляемый модуль HSM может быть обратимо удален или удален. С помощью этой команды можно удалить только вторичные файлы. Основное можно удалить только с помощью команд обратимого удаления и очистки

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

Вывод списка всех регионов

az keyvault region list --hsm-name ContosoMHSM

Следующие шаги