Azure Key Vault kullanılabilirliği ve yedekliliği
Azure Key Vault, hizmetin tek tek bileşenleri başarısız olsa veya Azure bölgeleri veya kullanılabilirlik alanları kullanılamıyor olsa bile anahtarlarınızın ve gizli dizilerinizin uygulamanızda kullanılabilir durumda kalmasını sağlamak için birden fazla yedeklilik katmanı sunar.
Dekont
Bu kılavuz kasalar için geçerlidir. Yönetilen HSM havuzları farklı bir yüksek kullanılabilirlik ve olağanüstü durum kurtarma modeli kullanır; daha fazla bilgi için bkz . Yönetilen HSM Olağanüstü Durum Kurtarma Kılavuzu.
Veri çoğaltma
Key Vault'un verilerinizi çoğaltma şekli, kasanızın bulunduğu bölgeye bağlıdır.
Başka bir bölgeyle eşleştirilen çoğu Azure bölgesi için anahtar kasanızın içeriği hem bölge içinde hem de eşleştirilmiş bölgeye çoğaltılır. Eşleştirilmiş bölge genellikle en az 150 mil uzaklıktadır, ancak aynı coğrafya içindedir. Bu yaklaşım, anahtarlarınızın ve gizli dizilerinizin yüksek dayanıklılığını sağlar. Azure bölge çiftleri hakkında daha fazla bilgi için bkz . Azure eşleştirilmiş bölgeleri. İki istisna, başka bir coğrafyadaki bir bölgeyle eşleştirilen Brezilya Güney bölgesi ve Batı ABD 3 bölgesidir. Güney Brezilya veya Batı ABD 3'te anahtar kasaları oluşturduğunuzda, bunlar bölgeler arasında çoğaltılamaz.
Çifti olmayan Azure bölgelerinin yanı sıra Brezilya Güney ve Batı ABD 3 bölgeleri için Azure Key Vault, verilerinizi bölge içinde bağımsız kullanılabilirlik alanları arasında üç kez çoğaltmak için alanlar arası yedekli depolama (ZRS) kullanır. Azure Key Vault Premium için üç bölgeden ikisi donanım güvenlik modülü (HSM) anahtarlarını çoğaltmak için kullanılır. Kasanızın içeriğini istediğiniz başka bir bölgeye çoğaltmak için yedekleme ve geri yükleme özelliğini de kullanabilirsiniz.
Bir bölge içinde yük devretme
Anahtar kasası hizmetindeki tek tek bileşenler başarısız olursa, bölge içindeki alternatif bileşenler işlev düşüşü olmadığından emin olmak için isteğinize hizmet vermek üzere adımlarını atabilir. Herhangi bir işlem yapmanız gerekmez; işlem otomatik olarak gerçekleşir ve sizin için saydam olur.
Benzer şekilde, kasanızın kullanılabilirlik alanları arasında çoğaltıldığı bir bölgede, kullanılabilirlik alanı kullanılamıyorsa Azure Key Vault yüksek kullanılabilirlik sağlamak için isteklerinizi otomatik olarak başka bir kullanılabilirlik alanına yönlendirir.
Bölgeler arasında yük devretme
Anahtar kasanızı otomatik olarak ikincil bir bölgeye çoğaltan bir bölgedeyseniz, bir Azure bölgesinin tamamının kullanılamadığı nadir durumlarda, bu bölgedeki Azure Key Vault'ta yaptığınız istekler otomatik olarak ikincil bir bölgeye yönlendirilir (yük devredilir). Birincil bölge yeniden kullanılabilir olduğunda, istekler birincil bölgeye geri yönlendirilir (yeniden başarısız olur). Bu durum otomatik olarak gerçekleştiği için herhangi bir işlem yapmanız gerekmez.
Önemli
Bölgeler arası yük devretme aşağıdaki bölgelerde desteklenmez:
- Eşleştirilmiş bölgesi olmayan tüm bölgeler
- Güney Brezilya
- Güneydoğu Brezilya
- Batı ABD 3
Diğer tüm bölgeler, eşleştirilmiş bölgeler arasında verileri çoğaltmak için okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) kullanır. Daha fazla bilgi için bkz. Azure Depolama yedeklilik: İkincil bölgede yedeklilik.
İkincil bölgeye otomatik çoğaltmayı desteklemeyen bölgelerde, azure anahtar kasalarınızın bir bölge hata senaryosunda kurtarılmasını planlamanız gerekir. Azure anahtar kasanızı seçtiğiniz bir bölgeye yedeklemek ve geri yüklemek için Azure Key Vault yedeklemesi bölümünde ayrıntılı olarak açıklanan adımları tamamlayın.
Bu yüksek kullanılabilirlik tasarımı sayesinde Azure Key Vault, bakım etkinlikleri için kapalı kalma süresi gerektirmez.
Dikkat etmeniz gereken birkaç uyarı vardır:
Bölge yük devretmesi durumunda hizmetin yük devretmesi birkaç dakika sürebilir. Yük devretme başarısız olmadan önce bu süre boyunca yapılan istekler.
Anahtar kasanıza bağlanmak için özel bağlantı kullanıyorsanız, bir bölge yük devretmesi durumunda bağlantının yeniden kurulması 20 dakika kadar sürebilir.
Yük devretme sırasında anahtar kasanız salt okunur moddadır. Aşağıdaki işlemler salt okunur modda desteklenir:
- Sertifikaları listeleme
- Sertifikaları alma
- Gizli dizileri listeleme
- Gizli dizileri alma
- Liste anahtarları
- Anahtarları alma (özellikleri)
- Şifreleme
- Şifre Çözme
- Kaydır
- Unwrap
- Doğrulama
- Oturum aç
- Backup
Yük devretme sırasında anahtar kasası özelliklerinde değişiklik yapamazsınız. Erişim ilkesini veya güvenlik duvarı yapılandırmalarını ve ayarlarını değiştiremezsiniz.
Yük devretme yeniden başarısız olduktan sonra, tüm istek türleri (okuma ve yazma istekleri dahil) kullanılabilir.