Share via

在 Azure 受控 HSM 上啟用多重區域複寫

  • 發行項

多重區域複寫可讓您將受控 HSM 集區從一個 Azure 區域 (稱為主要區域) 延伸至另一個 Azure 區域 (稱為次要區域)。 設定好之後,這兩個區域都處於作用中狀態,能夠處理要求,而且透過自動化複寫,共用相同的密鑰資料、角色和許可權。 應用程式最接近的可用區域會接收並滿足要求,從而將讀取輸送量和延遲最大化。 雖然區域中斷很少見,但多重區域複寫會增強當某個區域無法使用時,任務關鍵密碼編譯密鑰的可用性。 如需 SLA 的詳細資訊,請瀏覽 Azure Key Vault 受控 HSM 的 SLA

架構

受控 HSM 多重區域複寫的架構圖表。

在受控 HSM 上啟用多重區域複寫時,會在次要區域中建立具有三個負載平衡 HSM 分割區的第二個受控 HSM 集區。 當向流量管理員全域 DNS 端點 <hsm-name>.managedhsm.azure.net 發出要求時,最接近的可用區域會收到並滿足要求。 雖然每個區域因為 HSM 分佈在整個區域而能單獨保持區域高可用性,但流量管理器可確保即使一個區域中受控 HSM 的所有分區由於災難而不可用,輔助區域仍可以為請求提供服務受控 HSM 集區。

複寫延遲

受控 HSM 的任何寫入操作,例如建立或更新金鑰、建立或更新角色定義,或建立或更新角色指派,可能需要最多 6 分鐘的時間,才能完整複寫這兩個區域。 在此視窗中,不保證寫入的資料已在區域之間複寫。 因此,最好在建立或更新密鑰與使用金鑰之間等候六分鐘,以確保密鑰資料已在區域之間完整複寫。 同樣適用於角色指派和角色定義。

容錯移轉行為

當多區域受控 HSM 中的其中一個區域因為中斷而無法使用,而其他區域開始服務所有要求時,就會發生容錯移轉。 中斷可能僅限於您的 HSM 集區、整個受控 HSM 服務或整個 Azure 區域。 在容錯移轉期間,您可能會注意到行為變更,視受影響的區域而定。

受影響的區域 允許讀取 允許寫入
次要 Yes Yes
主要 Yes 可能

如果次要區域變成無法使用,則主要區域為運作時,可以使用讀取作業 (取得密鑰、清單金鑰、所有密碼編譯作業、列出角色指派)。 您也可以使用寫入作業 (建立和更新金鑰、建立和更新角色定義)。

如果主要區域無法使用,則讀取作業可用,但寫入作業可能不行,視中斷範圍而定。

容錯移轉時間

在幕後,DNS 解析會處理要求重新導向至主要或次要區域。

如果這兩個區域都處於作用中狀態,流量管理員會將連入要求解析為地理位置最接近或最低網路等待時間的位置。 DNS 記錄會設定為預設 TTL 5 秒。

如果區域向流量管理員回報狀況不良狀態,未來要求會視情況解析為其他區域。 快取 DNS 查閱的用戶端可能會遇到延長的容錯移轉時間。 但是,一旦任何用戶端快取過期,未來的要求應該路由傳送至可用的區域。

Azure 區域支援

支援下列區域作為主要區域 (您可以從中複寫受控 HSM 集區的區域)

  • 美國東部
  • 美國東部 2
  • 英國北部
  • 西歐
  • 美國西部
  • 加拿大東部
  • 卡達中部
  • 東亞
  • 東南亞
  • 英國南部
  • 美國中部
  • 日本東部
  • 瑞士北部
  • 巴西南部
  • 澳大利亞中部
  • 印度中部
  • 美國西部 3
  • 加拿大中部
  • 澳大利亞東部
  • 印度南部
  • 瑞典中部
  • 南非北部
  • 南韓中部
  • 北歐
  • 法國中部
  • 日本西部
  • 美國中南部
  • 波蘭中部
  • 瑞士西部
  • 澳大利亞南東部
  • 印度西部
  • 阿拉伯聯合大公國中部
  • 阿拉伯聯合大公國北部
  • 美國西部 2
  • 美國中西部

注意

美國中部、美國東部、美國中南部、美國西部 2、瑞士北部、西歐、印度中部、加拿大中部、加拿大東部、日本西部、卡達中部、波蘭中部和美國中西部目前無法擴充為次要區域。 由於區域中的容量限制,其他區域可能無法使用擴充功能。

計費

將多區域複寫到次要區域會產生額外的計費 (x2),因為次要區域中會取用新的 HSM 集區。 如需詳細資訊,請參閱 Azure 受控 HSM 定價

虛刪除行為

受控 HSM 虛刪除功能允許復原已刪除的 HSM 和金鑰,但在啟用多重區域複寫的情況下,存在細微差別,即必須先刪除次要 HSM,然後才能在主 HSM 上執行虛刪除。 此外,當刪除次要複寫時,它會立即清除,且不會進入停止所有次要複寫計費的虛刪除狀態。 您可以視需要從主要區域擴充至新的區域作為次要區域。

Azure Private Link 功能可讓您透過虛擬網路中的私人端點存取受控 HSM 服務。 您會在主要區域中的受控 HSM 上設定私人端點,就像不使用多重區域複寫功能一樣。 針對次要區域中的受控 HSM,建議在主要區域中的受控 HSM 複寫至次要區域中的受控 HSM 之後,建立另一個私人端點。 這會將用戶端要求重新導向至最接近用戶端位置的受控 HSM。

以下的一些案例有範例:主要區域 (英國南部) 的受控 HSM,以及次要區域的另一個受控 HSM (美國中西部)。

  • 當主要和次要區域中的受控 HSM 都啟動並執行時,啟用私人端點時,用戶端要求會重新導向至最接近用戶端位置的受控 HSM。 用戶端要求會移至最接近區域的私人端點,然後由流量管理員導向至相同區域的受控 HSM。

    說明第一個受控 HSM 多重區域案例的圖表。

  • 當多重區域複寫案例中的其中一個受控 HSM (例如英國南部) 無法使用已啟用私人端點時,用戶端要求會重新導向至可用的受控 HSM (美國中西部)。 來自英國南部的用戶端要求會先前往英國南部的私人端點,然後由流量管理員導向美國中西部受控 HSM。

    說明第二個受控 HSM 多重區域案例的圖表。

  • 主要和次要區域中的受控 HSM,但在主要或次要區域中只設定一個私人端點。 若要讓來自不同 VNET (VNET1) 的用戶端透過不同 VNET (VNET2) 中的私人端點連線到受控 HSM,它需要兩個 VNET 之間的 VNET 對等互連。 您可以新增私人 DNS 區域在私人端點建立期間所建立的 VNET 連結。

    說明第三個受控 HSM 多區域案例的圖表。

在下圖中,私人端點只會在英國南部區域建立,而英國南部有兩個受控 HSM 啟動並執行,另一個則位於美國中西部。 來自這兩個用戶端的要求都會移至英國南方受控 HSM,因為要求會透過私人端點路由傳送,而此案例中的私人端點位置位於英國南部。

說明第四個受控 HSM 多重區域案例的圖表。

在下圖中,私人端點只會在英國南部區域建立,只有美國中西部的受控 HSM 可供使用,而英國南部的受控 HSM 無法使用。 在此情況下,系統會透過英國南部的私人端點將要求重新導向至美國中西部受控 HSM,因為流量管理員偵測到英國南部受控 HSM 無法使用。

說明第五個受控 HSM 多區域案例的圖表。

Azure CLI 命令

如果建立新的受控 HSM 集區,然後擴充至次要集區,請在擴充之前參考這些指示。 如果從現有的受控 HSM 集區擴充,請使用下列指示,將次要 HSM 建立到另一個區域。

注意

這些命令需要 Azure CLI 2.48.1 版或更高版本。 如要安裝最新版本,請參閱如何安裝 Azure CLI

在另一個區域中新增次要 HSM

若要將受控 HSM 集區延伸至另一個區域,請執行下列命令,以自動建立第二個 HSM。

az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"

注意

本範例中的「ContosoMHSM」是主要 HSM 集區名稱;「australiaeast」是您要將其擴展到的次要區域。

拿掉另一個區域中的次要 HSM

移除次要 HSM 之後,其他區域中的 HSM 分割區將會被清除。 必須先刪除所有次要複本,才能虛刪除或清除主要受控 HSM。 只能使用此命令刪除次要複本。 主要複本只能使用虛刪除清除命令來刪除

az keyvault region remove --hsm-name ContosoMHSM --region australiaeast

列出所有區域

az keyvault region list --hsm-name ContosoMHSM

下一步