Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault offre più livelli di ridondanza, per garantire che le chiavi e i segreti rimangano disponibili per l'applicazione anche quando si verificano errori di singoli componenti del servizio o quando le aree o le zone di disponibilità di Azure non sono disponibili.
Nota
Le informazioni della guida si applicano agli insiemi di credenziali. I pool HSM gestiti usano un modello di disponibilità elevata e ripristino di emergenza diverso. Per altre informazioni, vedere Guida al ripristino di emergenza del modulo HSM gestito.
Replica dei dati
Il modo in cui Key Vault replica i tuoi dati dipende dalla regione specifica in cui si trova il tuo Key Vault.
Per la maggior parte delle regioni di Azure associate a un'altra regione, i contenuti del Key Vault vengono replicati sia all'interno della regione sia nella regione associata. L'area associata dista in genere almeno 240 km, ma è all'interno della stessa area geografica. Questo approccio garantisce un'elevata durabilità delle chiavi e dei segreti. Per altre informazioni sulle coppie di aree di Azure, vedere Aree di Azure associate. Due eccezioni sono l'area Brasile meridionale, associata a un'area in un'altra area geografica e l'area Stati Uniti occidentali 3. Quando si creano insiemi di credenziali delle chiavi nell'area Brasile meridionale o Stati Uniti occidentali 3, questi non vengono replicati tra aree.
Per le aree di Azure con zone di disponibilità, Azure Key Vault usa l'archiviazione con ridondanza della zona per replicare i dati all'interno dell'area, tra zone di disponibilità indipendenti.
È anche possibile usare la funzionalità di backup e ripristino per replicare il contenuto dell'insieme di credenziali in un'altra area di propria scelta.
Failover all'interno di un'area
Se si verificano errori di singoli componenti del servizio del key vault, per gestire la richiesta subentrano componenti alternativi all'interno dell'area in modo che non si verifichi alcun degrado delle funzionalità. Non è necessario intraprendere alcuna azione: il processo si verifica automaticamente ed è trasparente per l'utente.
Analogamente, in un'area in cui la cassaforte è replicata tra zone di disponibilità, se una zona di disponibilità non è accessibile, Azure Key Vault reindirizza automaticamente le richieste a un'altra zona per garantire un'elevata disponibilità.
Failover tra aree
Se ti trovi in una zona che replica automaticamente il tuo Key Vault in un'area secondaria, nella rara eventualità in cui un'intera regione di Azure non sia disponibile, le richieste che fai ad Azure Key Vault in quella zona vengono instradate automaticamente (failover) a un'area secondaria. Quando l'area primaria diventa di nuovo disponibile, le richieste vengono reindirizzate a tale area (failback). Anche in questo caso non è richiesta alcuna azione perché questa operazione viene eseguita in modo automatico.
Importante
Il failover tra aree non è supportato nelle aree seguenti:
- Qualsiasi area che non dispone di un'area associata
- Brasile meridionale
- Brasile meridionale
- Stati Uniti occidentali 3
Tutte le altre aree replicano i dati tra aree abbinate.
Nelle regioni che non supportano la replica automatica in una regione secondaria, è necessario pianificare il ripristino dei key vault di Azure in uno scenario di guasto regionale. Per eseguire il backup e il ripristino dell'insieme di credenziali delle chiavi di Azure in un'area di propria scelta, completare i passaggi descritti in dettaglio in Backup di Azure Key Vault.
Grazie a questa progettazione a disponibilità elevata, Azure Key Vault non richiede alcun tempo di inattività per le attività di manutenzione.
Esistono alcune limitazioni che è necessario tenere presenti:
Nel caso del failover di un'area, il failover del servizio può richiedere alcuni minuti. Le richieste effettuate durante questo periodo prima del failover potrebbero non riuscire.
Se si usa un collegamento privato per connettersi al Key Vault, potrebbero essere necessari fino a 20 minuti per ristabilire la connessione in caso di failover della regione.
Dopo il failover, l'insieme di credenziali delle chiavi è in modalità di sola lettura. Le operazioni seguenti sono supportate in modalità di sola lettura:
- List certificates
- Ottieni certificati
- Elenco dei segreti
- Ottieni segreti
- List keys
- Get (properties of) keys
- Encrypt
- Decriptare
- Wrap
- Unwrap
- Verifica
- Segno
- Copia di sicurezza
Durante il failover, non sarà possibile apportare modifiche alle proprietà del Key Vault. Non sarà possibile modificare le impostazioni e le configurazioni del firewall o dei criteri di accesso.
Dopo il failback di un failover, tutti i tipi di richiesta, ad esempio le richieste di lettura e scrittura, risultano disponibili.
Passaggi successivi
- Backup di Azure Key Vault
- Azure Storage redundancy (Ridondanza di Archiviazione di Azure)
- Aree abbinate di Azure