Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met replicatie voor meerdere regio's kunt u een beheerde HSM-pool uitbreiden van één Azure regio (de primaire regio genoemd) naar één extra Azure regio (een uitgebreide regio genoemd). Extensie wordt alleen ondersteund in één extra regio. Zodra beide regio's zijn geconfigureerd, kunnen aanvragen worden verwerkt en, met geautomatiseerde replicatie, hetzelfde belangrijke materiaal, rollen en machtigingen delen. De dichtstbijzijnde beschikbare regio voor de toepassing ontvangt en voldoet aan de aanvraag, waardoor de leesdoorvoer en latentie worden gemaximaliseerd. Hoewel regionale storingen zeldzaam zijn, verbetert replicatie in meerdere regio's de beschikbaarheid van bedrijfskritische cryptografische sleutels als er één regio niet beschikbaar is. Wanneer replicatie in meerdere regio's is ingeschakeld, neemt de SLA voor de primaire en extensiegroepen samen toe tot 99,99. Ga naar SLA voor Azure Key Vault Beheerde HSM voor meer informatie over SLA.
Architectuur
Wanneer replicatie met meerdere regio's is ingeschakeld op een beheerde HSM, wordt er een tweede beheerde HSM-pool met drie HSM-partities met gelijke taakverdeling gemaakt in een uitgebreide regio. Wanneer aanvragen worden uitgegeven aan het globale DNS-eindpunt <hsm-name>.managedhsm.azure.netvan Traffic Manager, ontvangt en voldoet de dichtstbijzijnde beschikbare regio aan de aanvraag. Hoewel elke regio afzonderlijk regionale hoge beschikbaarheid onderhoudt vanwege de distributie van HSM's in de regio, zorgt de Traffic Manager ervoor dat zelfs als alle partities van een beheerde HSM in één regio niet beschikbaar zijn vanwege een ramp, aanvragen nog steeds worden verwerkt door de beheerde HSM-pool in de uitgebreide regio.
Replicatielatentie
Elke schrijfbewerking naar de beheerde HSM, zoals het maken of bijwerken van een sleutel, het maken of bijwerken van een roldefinitie, of het maken of bijwerken van een roltoewijzing, kan tot 6 minuten duren voordat beide regio's volledig worden gerepliceerd. Binnen dit venster is het niet gegarandeerd dat de geschreven inhoud tussen de regio's is gerepliceerd. Daarom kunt u het beste zes minuten wachten tussen het maken of bijwerken van de sleutel en het gebruik van de sleutel om ervoor te zorgen dat het sleutelmateriaal volledig is gerepliceerd tussen regio's. Hetzelfde geldt voor roltoewijzingen en roldefinities.
Opmerking
Wanneer u een beheerde HSM in eerste instantie uitbreidt naar een andere regio, kan het tot 30 minuten duren voordat de extensieregio live is.
Gedrag bij failover
Failover treedt op wanneer een van de regio's in een beheerde HSM met meerdere regio's niet meer beschikbaar is vanwege een storing en de andere regio begint alle aanvragen te verwerken. De storing kan mogelijk alleen uw HSM-pool, de gehele beheerde HSM-service of de gehele Azure-regio beïnvloeden. Tijdens de failover ziet u mogelijk een wijziging in gedrag, afhankelijk van de betreffende regio.
| Getroffen regio | Toegestaan lezen | Schrijven toegestaan |
|---|---|---|
| Uitgebreide regio | Ja | Ja |
| Primaire regio | Ja | Ja |
Als een primaire of uitgebreide regio uitvalt, kunt u nog steeds zowel lees- als schrijfbewerkingen uitvoeren.
- Leesbewerkingen: sleutel ophalen, sleutels weergeven, cryptografische bewerkingen uitvoeren en roltoewijzingen weergeven.
- Schrijfbewerkingen: sleutels, roltoewijzingen en roldefinities maken of bijwerken.
Tijd tot overschakeling
DNS-omzetting verwerkt de omleiding van aanvragen naar de primaire of uitgebreide regio's.
Als beide regio's actief zijn, worden binnenkomende aanvragen door Traffic Manager omgezet naar de locatie met de dichtstbijzijnde geografische nabijheid of de laagste netwerklatentie naar de oorsprong van de aanvraag. DNS-records worden geconfigureerd met een standaard-TTL van 5 seconden.
Als een regio een ongezonde status rapporteert aan de Traffic Manager, worden toekomstige aanvragen, indien beschikbaar, naar de andere regio omgeleid. Clients die DNS-zoekopdrachten opslaan in de cache, kunnen langere failovertijd ervaren. Maar zodra caches aan de clientzijde verlopen, moeten toekomstige aanvragen worden doorgestuurd naar de beschikbare regio.
ondersteuning voor Azure regio's
Alle Azure beheerde HSM-regio's worden ondersteund als primaire regio's (regio's waaruit u een beheerde HSM-pool kunt repliceren).
Opmerking
VS - oost, Canada - oost, Europa - west, Qatar - centraal, Polen - centraal en India - west kunnen momenteel niet worden uitgebreid. Andere regio's zijn mogelijk niet beschikbaar voor uitbreiding vanwege capaciteitsbeperkingen in de regio.
Facturatie
Replicatie van meerdere regio's naar een uitgebreide regio zorgt voor extra facturering (x2), omdat een nieuwe HSM-pool wordt gebruikt in een uitgebreide regio. Zie Azure Prijzen voor beheerde HSM voor meer informatie.
Gedrag bij voorlopig verwijderen
Met de functie Voor voorlopig verwijderen van beheerde HSM's kunt u verwijderde HSM's en sleutels herstellen. In een scenario met replicatie met meerdere regio's zijn er subtiele verschillen waarbij de secundaire HSM moet worden verwijderd voordat voorlopig verwijderen kan worden uitgevoerd op de primaire HSM. Wanneer een uitgebreid gebied wordt verwijderd uit de primaire HSM, wordt de HSM in het verwijderde gebied gezuiverd in plaats van in een status van voorlopig verwijderen te gaan, en de facturering voor de gezuiverde HSM eindigt onmiddellijk. U kunt indien nodig altijd uitbreiden naar een nieuwe regio vanuit de primaire regio.
Gedrag van privékoppelingen met replicatie in meerdere regio's
Met de functie Azure Private Link hebt u toegang tot de beheerde HSM-service via een privé-eindpunt in uw virtuele netwerk. U configureert een privé-eindpunt op de beheerde HSM in de primaire regio, net zoals wanneer u de replicatiefunctie voor meerdere regio's niet gebruikt. Voor de beheerde HSM in een uitgebreide regio is het raadzaam om een ander privé-eindpunt en een privé-DNS-zone te maken zodra de beheerde HSM in de primaire regio wordt gerepliceerd naar de beheerde HSM in een uitgebreide regio, die clientaanvragen omleidt naar de beheerde HSM die het dichtst bij de clientlocatie ligt.
Hier volgen enkele scenario's met voorbeelden: Beheerde HSM in een primaire regio (VK - zuid) en een andere beheerde HSM in een uitgebreide regio (US - west-centraal).
Wanneer zowel beheerde HSM's in de primaire als secundaire regio's operationeel zijn met een privé-eindpunt, worden clientaanvragen omgeleid naar de beheerde HSM die zich het dichtst bij de clientlocatie bevindt. Clientaanvragen gaan naar het privé-eindpunt van de dichtstbijzijnde regio en worden vervolgens doorgestuurd naar de beheerde HSM van dezelfde regio door traffic manager.
Wanneer een van de beheerde HSM's (VK - zuid, bijvoorbeeld) in een gerepliceerd scenario met meerdere regio's niet beschikbaar is met privé-eindpunten ingeschakeld, worden clientaanvragen omgeleid naar de beschikbare beheerde HSM (US - west-centraal). Clientaanvragen uit VK-zuid gaan eerst naar het privé-eindpunt van VK-zuid en worden vervolgens door de traffic manager doorgestuurd naar de VS-west-centraal Managed HSM.
Beheerde HSM's in primaire en uitgebreide regio's, maar slechts één privé-eindpunt dat is geconfigureerd in de primaire of uitgebreide regio. Voor een client van een ander virtueel netwerk (VNET1) om verbinding te maken met een beheerde HSM via een privé-eindpunt in een ander virtueel netwerk (VNET2), is peering van virtuele netwerken tussen de twee VNET's vereist. U kunt een virtuele netwerkkoppeling toevoegen voor de privé-DNS-zone die wordt gemaakt tijdens het maken van het privé-eindpunt.
In dit diagram wordt het privé-eindpunt alleen gemaakt in de regio VK Zuid, terwijl er twee beheerde HSM's actief zijn: één in VK Zuid en de andere in VS West Centraal. Aanvragen van beide clients gaan naar de in VK Zuid beheerde HSM, omdat aanvragen worden gerouteerd via het privé-eindpunt en de locatie van het privé-eindpunt in dit geval in VK Zuid is.
In dit diagram wordt het privé-eindpunt alleen gemaakt in de regio Zuid-Verenigd Koninkrijk, is de beheerde HSM in Centraal-West Verenigde Staten de enige die beschikbaar is en is de beheerde HSM in Zuid-Verenigd Koninkrijk niet beschikbaar. In dit geval worden aanvragen omgeleid naar de Managed HSM in VS West Centraal via het privé-eindpunt in VK Zuid, omdat Traffic Manager detecteert dat de Managed HSM in VK Zuid niet beschikbaar is.
Replicatie voor meerdere regio's beheren
Een primaire HSM uitbreiden naar een uitgebreid gebied
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer in het linkermenu onder Instellingen de optie Replicatie voor meerdere regio's.
Selecteer Regio toevoegen, kies de doelregio en bevestig dit.
Schermafbeelding van het onderdeel voor replicatie over meerdere regio's in de Azure-portal, waarin de regiokaart en de optie Regio toevoegen worden weergegeven.
Belangrijk
Voer na het initiëren van de extensie naar een nieuwe regio geen bewerkingen uit op de primaire HSM totdat de pool van de extensieregio volledig is ingericht. Controleer of de uitgebreide regio's inrichtingsstatusGeslaagd toont voordat u doorgaat.
Een uitgebreide regio verwijderen uit de primaire HSM
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer in het linkermenu onder Instellingen de optie Replicatie voor meerdere regio's.
Selecteer de uitgebreide regio die u wilt verwijderen en bevestig de verwijdering.
Alle regio's weergeven
Navigeer naar uw beheerde HSM-resource in de Azure-portal en selecteer Multiregioreplicatie in het linkermenu om alle regio's en de inrichtingsstatus ervan weer te geven.