Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Репликация с несколькими регионами позволяет расширить управляемый пул HSM из одного региона Azure (называемого основным регионом) в другой регион Azure (называемый расширенным регионом). После настройки оба региона активны, могут обслуживать запросы и автоматически выполнять репликацию, совместно использовать один и тот же ключевой материал, роли и разрешения. Ближайший доступный регион приложению получает и выполняет запрос, максимизируя пропускную способность чтения и задержку. Хотя региональные сбои редки, репликация в нескольких регионах повышает доступность критически важных криптографических ключей, если один регион станет недоступным. Если включена репликация в нескольких регионах, соглашение об уровне обслуживания для основных и дополнительных пулов в сочетании увеличивается до 99,99. Дополнительные сведения об уровне обслуживания можно найти в разделе SLA для управляемого HSM Azure Key Vault.
Архитектура
Когда активирована репликация управляемого HSM для нескольких регионов, в расширенной области создается второй управляемый пул HSM, состоящий из трех секций HSM с балансировочной нагрузкой. Когда запросы отправляются в Диспетчер трафика глобальную конечную точку <hsm-name>.managedhsm.azure.netDNS, ближайший доступный регион получает и выполняет запрос. Хотя каждый регион по отдельности поддерживает региональную высокий уровень доступности из-за распределения виртуальных машин HSM в регионе, диспетчер трафика гарантирует, что даже если все разделы управляемого HSM в одном регионе недоступны из-за катастрофы, запросы по-прежнему обслуживаются управляемым пулом HSM в расширенном регионе.
Задержка репликации
Любая операция записи в управляемый модуль HSM, например создание или обновление ключа, создание или обновление определения роли или создание или обновление назначения роли, может занять до 6 минут, прежде чем оба региона полностью реплицируются. В этом окне не гарантируется, что документация реплицировалась между регионами. Поэтому рекомендуется ждать шесть минут между созданием или обновлением ключа и использованием ключа, чтобы убедиться, что материал ключа полностью реплицирован между регионами. Это же относится к назначениям ролей и определениям ролей.
Поведение отработки отказа
Отказоустойчивость возникает, когда один из регионов в управляемой HSM в многорегиональной конфигурации становится недоступным из-за сбоя, и другой регион начинает обслуживать все запросы. Сбой может быть ограничен только пулом HSM, всей управляемой службой HSM или всей областью Azure. Во время переключения на резервный сервер вы можете заметить изменение в поведении в зависимости от затронутого региона.
| Затронутый регион | Разрешено чтение | Разрешена запись |
|---|---|---|
| Расширенный регион | Да | Да |
| Основной регион | Да | Возможно |
Если расширенный регион становится недоступным, операции чтения (получение ключа, перечисление ключей, все криптографические операции, перечисление назначений ролей) доступны, если основной регион доступен. Операции записи (создание и обновление ключей, создание и обновление назначений ролей, создание и обновление определений ролей) также доступны.
Если основной регион недоступен, операции чтения доступны, но операции записи могут не выполняться в зависимости от области сбоя.
Время переключения на резервный ресурс
Под капотом, процесс разрешения DNS управляет перенаправлением запросов в основные или дополнительные регионы.
Если оба региона активны, Диспетчер трафика разрешает входящие запросы в расположение, которое имеет ближайшее географическое расположение или наименьшую задержку сети к источнику запроса. Записи DNS настраиваются с использованием TTL по умолчанию 5 секунд.
Если регион сообщает о неработоспособном состоянии в Диспетчере трафика, если это возможно, будущие запросы будут направлены в другой регион. При кэшировании запросов DNS клиенты могут столкнуться с увеличенным временем переключения на резервный сервер. Но после истечения срока действия кэша на стороне клиента будущие запросы должны направляться в доступный регион.
Поддержка регионов Azure
Все управляемые регионы HSM Azure поддерживаются в качестве основных регионов (регионы, из которых можно реплицировать управляемый пул HSM).
Примечание.
Восток США, Юг-Центр США, Запад США 2, Северная Швейцария, Западная Европа, Центральная Индия, Центральная Канада, Восточная Канада, Запад Японии, Центральный Катар, Центральная Польша и Центр-Запад США в настоящее время не могут быть расширены регионами. Другие регионы могут быть недоступны для расширения из-за ограничений емкости в регионе.
Выставление счетов
Многорегиональная репликация в расширенную область влечет дополнительные расходы (в 2 раза больше), так как новый пул HSM потребляется в расширенной области. Дополнительные сведения см. в статье о ценах на управляемый HSM в Azure.
Поведение обратимого удаления
Функция мягкого удаления управляемого HSM позволяет восстановить удаленные модули HSM и ключи, однако в сценарии репликации с несколькими регионами существуют тонкие различия, в которых необходимо сначала удалить вторичный HSM, прежде чем можно будет выполнить мягкое удаление на первичном HSM. Кроме того, когда расширенный регион удаляется из основного HSM, HSM в удаленном регионе очищается вместо того чтобы переходить в состояние обратимого удаления, и выставление счетов за HSM завершается немедленно. При необходимости вы всегда можете расширить его до нового расширенного региона из основного.
Функционирование частной связи с мульти-региональной репликацией
Функция Приватный канал Azure позволяет получить доступ к управляемой службе HSM через частную конечную точку в виртуальной сети. Вы бы настроили частную конечную точку на управляемом HSM в основном регионе так же, как если бы вы не использовали функцию репликации с несколькими регионами. Для управляемого устройства HSM в расширенном регионе рекомендуется создать другую частную конечную точку и частную зону DNS после того, как будет выполнена репликация управляемого устройства HSM из основного региона в расширенный. Это перенаправляет клиентские запросы в ближайшее к местоположению клиента управляемое устройство HSM.
Ниже приведены некоторые сценарии с примерами: Управляемый HSM в основном регионе (южная часть Великобритании) и другой управляемый HSM в расширенном регионе (западная часть США).
Если управляемые HSM в основных и расширенных регионах работают с включенной частной конечной точкой, то клиентские запросы перенаправляются на тот управляемый HSM, который находится ближе всего к местоположению клиента. Клиентские запросы отправляются в частную конечную точку ближайшего региона, а затем направляются в управляемый HSM того же региона диспетчером трафика.
Если один из управляемых HSM (регион Юг Великобритании, как пример) в многорегионном сценарии недоступен с включенными частными конечными точками, то клиентские запросы перенаправляются в доступный управляемый HSM (регион Центрально-Запад США). Клиентские запросы из юга Великобритании будут сначала направляться в частную конечную точку юга Великобритании, а затем диспетчер трафика перенаправляет их на управляемую HSM в центральную часть западного региона США.
Управляемые виртуальные машины HSM в основных и расширенных регионах, но только одна частная конечная точка, настроенная в основном или расширенном регионе. Для подключения клиента из другой виртуальной сети (VNET1) к управляемому HSM через частную конечную точку в другой виртуальной сети (VNET2) требуется пиринг между двумя виртуальными сетями. Вы можете добавить ссылку виртуальной сети для частной зоны DNS, которая создается во время создания частной конечной точки.
На этой схеме частная конечная точка создается только в регионе Южной Великобритании, в то время как два управляемых HSM запущены и работают: один в регионе Южной Великобритании, а другой — в Западно-Центральном регионе США. Запросы от обоих клиентов отправляются в UK South Managed HSM, поскольку запросы направляются через частную конечную точку, которая в этом случае находится в южной части Великобритании.
На этой схеме частная конечная точка создается только в южном регионе Великобритании, управляемый HSM в западной части США является единственным доступным, и управляемый HSM в Южной Части Великобритании недоступен. В этом случае запросы будут перенаправлены на управляемый HSM центрально-западной части США через частную конечную точку на юге Великобритании, так как диспетчер трафика обнаруживает, что SSM на юге Великобритании недоступен.
Команды Azure CLI
Если вы создаете новый пул управляемого модуля HSM и планируете расшириться на дополнительные регионы, ознакомьтесь с этими инструкциями перед расширением. Если вы расширяете уже существующий пул управляемых HSM, выполните следующие инструкции, чтобы расширить этот пул HSM на новый регион.
Примечание.
Для этих команд требуется Azure CLI версии 2.48.1 или более поздней. Чтобы установить последнюю версию, см. инструкции по установке Azure CLI.
Расширение основного модуля HSM на расширенный регион
Чтобы расширить управляемый пул HSM в другой регион, выполните следующую команду, которая автоматически создаст новый модуль HSM в расширенном регионе.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Примечание.
ContosoMHSM в этом примере является основным именем пула HSM; "australiaeast" — это расширенный регион, в который вы расширяете его.
Удаление расширенного региона из основного HSM
После удаления расширенного HSM секции HSM в другом регионе будут удалены. Все вторичные экземпляры необходимо удалить, прежде чем управляемый модуль HSM может быть мягко удален или окончательно удален. С помощью этой команды можно удалить только вторичные файлы. Удаление основного объекта возможно только с помощью команд мягкого удаления и очистки.
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Перечислить все регионы
az keyvault region list --hsm-name ContosoMHSM