Azure Key Vault'un başka bir bölgeye taşınmasını sağlama

  • Makale

Azure Key Vault, anahtar kasasının başka bir bölgeye taşınmasını desteklemez.

Yeniden konumlandırmak yerine şunları yapmanız gerekir:

  • İlişkili Azure hizmetlerinin yeniden yerleştirilmesiyle yeni bir anahtar kasası oluşturun.
  • Gerekli anahtarları, gizli dizileri veya sertifikaları yeniden oluşturun. Bazı durumlarda, mevcut anahtar kasanızdaki gizli dizileri veya sertifikaları yeniden konumlandırılmış anahtar kasasına aktarmanız gerekebilir.

Azure Key Vault yeniden konumlandırma düzenini gösteren diyagram

Önkoşullar

  • Azure aboneliğinizin hedef bölgede anahtar kasaları oluşturmanıza izin verdiğinden emin olun.

  • Key Vault tarafından kullanılan tüm Azure hizmetleriyle bir bağımlılık eşlemesi oluşturun. Yeniden konumlandırma kapsamındaki hizmetler için uygun yeniden konumlandırma stratejisini seçmeniz gerekir.

  • Key Vault tasarımınıza bağlı olarak, hedef bölgede Sanal Ağ dağıtmanız ve yapılandırmanız gerekebilir.

  • Hedef bölgedeki Key Vault'ta yeniden yapılandırmayı belgeleyin ve planlayın:

    • Erişim İlkeleri ve Ağ yapılandırma ayarları.
    • Geçici silme ve temizleme koruması.
    • Otomatik döndürme ayarları.

Kesinti süresi

Olası kapalı kalma sürelerini anlamak için bkz. Azure için Bulut Benimseme Çerçevesi: Yeniden konumlandırma yöntemi seçme.

Hizmet Uç Noktaları için Dikkat Edilmesi Gerekenler

Azure Key Vault için sanal ağ hizmet uç noktaları, belirtilen bir sanal ağa erişimi kısıtlar. Uç noktalar ayrıca IPv4 (internet protokolü sürüm 4) adres aralıkları listesine erişimi kısıtlayabilir. Key Vault'a bu kaynakların dışından bağlanan tüm kullanıcıların erişimi reddedilir. Hizmet uç noktaları Key Vault kaynağının kaynak bölgesinde yapılandırıldıysa, hedef bölgede de aynı işlem yapılması gerekir.

Key Vault'un hedef bölgeye başarıyla yeniden oluşturulması için VNet ve Alt Ağ önceden oluşturulmalıdır. Bu iki kaynağın taşınması Azure Kaynak Taşıyıcı aracıyla gerçekleştiriliyorsa, hizmet uç noktaları otomatik olarak yapılandırılmaz. Bu nedenle bunların el ile yapılandırılması gerekir. Bu yapılandırma Azure portalı, Azure CLI veya Azure PowerShell üzerinden yapılabilir.

Özel Uç Nokta için Dikkat Edilmesi Gerekenler

Azure Özel Bağlantı sanal ağdan Hizmet olarak Azure platformu (PaaS), müşteriye ait veya Microsoft iş ortağı hizmetleri. Özel Bağlantı ağ mimarisini basitleştirir ve verilerin genel İnternet'e açık olmasını ortadan kaldırarak Azure'daki uç noktalar arasındaki bağlantıyı güvence altına alır.

Key Vault'un hedef bölgede başarılı bir şekilde yeniden oluşturulması için, gerçek rekreasyon gerçekleşmeden önce VNet ve Alt Ağ oluşturulmalıdır.

Azure Özel Uç Nokta DNS Tümleştirmesi için Dikkat Edilmesi Gerekenler

Özel uç nokta IP adresini bağlantı dizesi tam etki alanı adına (FQDN) çözümlemek için DNS ayarlarınızı doğru şekilde yapılandırmanız önemlidir.

Mevcut Microsoft Azure hizmetleri genel uç nokta için zaten bir DNS yapılandırmasına sahip olabilir. Özel uç noktanızı kullanarak bağlanmak için bu yapılandırma geçersiz kılınmalıdır.

Özel uç noktayla ilişkilendirilmiş ağ arabirimi, DNS'nizi yapılandırma bilgilerini içerir. Ağ arabirimi bilgileri, özel bağlantı kaynağınız için FQDN ve özel IP adreslerini içerir.

Özel uç noktalar için DNS ayarlarınızı yapılandırmak için aşağıdaki seçenekleri kullanabilirsiniz:

  • Ana bilgisayar dosyasını kullanın (yalnızca test için önerilir). DNS’i geçersiz kılmak için sanal makinedeki ana bilgisayar dosyasını kullanabilirsiniz.
  • Özel DNS bölgesi kullanın. Özel uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanabilirsiniz. Bir özel DNS bölgesi belirli etki alanlarını çözümlemek için sanal ağınıza bağlanabilir.
  • DNS ileticinizi kullanın (isteğe bağlı). Özel uç noktanın DNS çözümlemesini geçersiz kılmak için DNS ileticinizi kullanabilirsiniz. Sanal ağda barındırılan DNS sunucunuzda özel bir DNS bölgesi kullanmak için bir DNS iletme kuralı oluşturun.

Hazırlama

Şablonu Azure portalını kullanarak dışarı aktarmak için:

  1. Azure Portal’ında oturum açın.

  2. Tüm kaynaklar'ı ve ardından anahtar kasanızı seçin.

  3. Otomasyon>Dışarı Aktarma şablonu'mu seçin.>

  4. Şablonu dışarı aktar dikey penceresinde İndir'i seçin.

  5. Portaldan indirdiğiniz .zip dosyasını bulun ve bu dosyanın sıkıştırmasını istediğiniz bir klasöre açın.

    Bu zip dosyası, şablonu dağıtmak için şablonu ve betikleri oluşturan .json dosyalarını içerir.

Aşağıdaki kavramları aklınızda bulundurun:

  • Anahtar kasası adları genel olarak benzersizdir. Kasa adını yeniden kullanamazsınız.
  • Yeni anahtar kasasında erişim ilkelerinizi ve ağ yapılandırma ayarlarınızı yeniden yapılandırmanız gerekir.
  • Yeni anahtar kasasında geçici silme ve temizleme korumasını yeniden yapılandırmanız gerekir.
  • Yedekleme ve geri yükleme işlemi otomatik döndürme ayarlarınızı korumaz. Ayarları yeniden yapılandırmanız gerekebilir.

Şablonu değiştirme

Anahtar kasası adını ve bölgesini değiştirerek şablonu değiştirin.

Şablonu Azure portalını kullanarak dağıtmak için:

  1. Azure portalda Kaynak oluştur’u seçin.

  2. Market içinde ara alanına şablon dağıtımı yazın ve ENTER tuşuna basın.

  3. Şablon dağıtımı'nı seçin.

  4. Oluştur'u belirleyin.

  5. Düzenleyicide kendi şablonunuzu oluşturun'u seçin.

  6. Dosya yükle'yi seçin ve ardından yönergeleri izleyerek son bölümde indirdiğiniz template.json dosyasını yükleyin.

  7. template.json dosyasında anahtar kasası adının varsayılan değerini ayarlayarak anahtar kasasını adlandırın. Bu örnek, anahtar kasası adının varsayılan değerini olarak mytargetaccountayarlar.

    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
    "vaults_name": {
        "defaultValue": "key-vault-name",
        "type": "String"
    }
},

  8. template.json dosyasındaki konum özelliğini hedef bölgede düzenleyin. Bu örnek hedef bölgeyi olarak centralusayarlar.

    "resources": [
    {
        "type": "Microsoft.KeyVault/vaults",
        "apiVersion": "2023-07-01",
        "name": "[parameters('vaults_name')]",
        "location": "centralus",
        ...
    },
    ...
]

    Bölge konum kodlarını almak için bkz . Azure Konumları. Bir bölgenin kodu, orta ABD = merkezi olan ve boşluk içermeyen bölge adıdır.

  9. Şablonda yazım özel uç noktasının kaynaklarını kaldırın.

    {
"type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
...
}

  10. Anahtar kasanızda bir hizmet uç noktası yapılandırmış olmanız durumunda, networkAcl bölümünde virtualNetworkRules altına hedef alt ağ için kuralı ekleyin. Hizmet uç noktasının hedef bölgede yapılandırılmaması durumunda IaC'nin Key Vault'un dağıtamaması için ignoreMissingVnetServiceEndpoint bayrağının False olarak ayarlandığından emin olun.

    parameter.json

    {
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "target_vnet_externalid": {
      "value": "virtualnetwork-externalid"
    },
    "target_subnet_name": {
      "value": "subnet-name"
    }
  }
}

    _template.json

        "networkAcls": {
        "bypass": "AzureServices",
        "defaultAction": "Deny",
        "ipRules": [],
        "virtualNetworkRules": [
            {
                "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
                "ignoreMissingVnetServiceEndpoint": false
            }
        ]
    }

Yeniden dağıtım

Hedef bölgede yeni bir anahtar kasası oluşturmak için şablonu dağıtın.

  1. template.json dosyasını kaydedin.

  2. Özellik değerlerini yazın veya seçin:

    • Abonelik: Bir Azure aboneliği seçin.

    • Kaynak grubu: Yeni Oluştur'u seçin ve kaynak grubuna bir ad verin.

    • Konum: Bir Azure konumu seçin.

  3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum'a ve ardından Satın Al'ı Seçin'e tıklayın.

  4. Erişim İlkeleri ve Ağ yapılandırma ayarlarının (özel uç noktalar) yeni Key Vault'ta yeniden yapılandırılması gerekir. Geçici silme ve temizleme korumasının yeni anahtar kasasında ve Otomatik Döndürme ayarlarında yeniden yapılandırılması gerekir.

İpucu

Belirtilen XML'nin söz dizimsel olarak geçerli olmadığını belirten bir hata alırsanız, şablonunuzdaki JSON dosyasını Azure Resource Manager belgelerinde açıklanan şemalarla karşılaştırın.

Veri geçişi ile yeniden dağıtma

Önemli

Key Vault'ı bölgeler arasında ancak aynı coğrafyada taşımayı planlıyorsanız gizli diziler, anahtarlar ve sertifikalar için yedekleme ve geri yükleme yapmanız önerilir.

  1. Yeniden dağıtma yaklaşımında açıklanan adımları izleyin.
  2. Gizli diziler için:
    1. Gizli dizi değerini kopyalayın ve kaynak anahtar kasasına kaydedin.
    2. Hedef anahtar kasasında gizli diziyi yeniden oluşturun ve değeri kaydedilmiş gizli dizi olarak ayarlayın.
  3. Sertifikalar için:
    1. Sertifikayı bir PFX dosyasına aktarın.
    2. PFX dosyasını hedef anahtar kasasına aktarın. Özel anahtarı dışarı aktaramıyorsanız (exportable ayarlanmadı) yeni bir sertifika oluşturup hedef anahtar kasasına aktarmanız gerekir.
  4. İlişkili Azure hizmetinin yeniden yerleştirilmesiyle anahtarlar yeniden oluşturulur.
  5. anahtarların ilişkili hizmet için oluşturulduğunu onaylayın.

Doğrulama

Eski anahtar kasanızı silmeden önce, ilişkili Azure hizmetlerinin yeniden yerleştirilmesinden sonra yeni kasanın tüm gerekli anahtarları, gizli dizileri ve sertifikaları içerdiğini doğrulayın.