Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault ist ein Clouddienst, der einen sicheren Speicher für geheime Schlüssel bereitstellt, z. B. Schlüssel, Kennwörter, Zertifikate und andere vertrauliche Informationen. Key Vault bietet eine Reihe integrierter Zuverlässigkeitsfeatures, um sicherzustellen, dass Ihre geheimen Schlüssel verfügbar bleiben.
Wenn Sie Azure verwenden, ist Zuverlässigkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.
In diesem Artikel wird beschrieben, dass Key Vault widerstandsfähig für eine Vielzahl potenzieller Ausfälle und Probleme ist, einschließlich vorübergehender Fehler, Ausfall der Verfügbarkeitszone und Regionsausfälle. Außerdem wird beschrieben, wie Sie Sicherungskopien verwenden können, um sich von verschiedenen Arten von Problemen zu erholen und wie Wiederherstellungsfunktionen versehentliches Löschen verhindern. Zudem werden einige wichtige Informationen zum Service Level Agreement (SLA) von Key Vault hervorgehoben.
Empfehlungen für die Produktionsimplementierung für Zuverlässigkeit
Für Produktionsarbeitslasten empfehlen wir Folgendes:
- Verwenden Sie Standard- oder Premium-Schlüsseltresor.
- Aktivieren Sie den Schutz vor vorläufigem Löschen und Löschen, um versehentliche oder böswillige Löschungen zu verhindern.
- Bei kritischen Workloads sollten Sie strategien für mehrere Regionen implementieren, die in diesem Handbuch beschrieben werden.
Übersicht über die Zuverlässigkeitsarchitektur
Um eine hohe Haltbarkeit und Verfügbarkeit Ihrer Schlüssel, Geheimschlüssel und Zertifikate sicherzustellen, wenn ein Hardwareausfall oder Netzwerkausfall auftritt, bietet Key Vault mehrere Redundanzebenen, um die Verfügbarkeit während der folgenden Ereignisse aufrechtzuerhalten:
- Hardwarefehler
- Netzwerkausfälle
- Lokalisierte Katastrophen
- Wartungsaktivitäten
Standardmäßig erreicht der Schlüsseltresor Redundanz, indem der Schlüsseltresor und dessen Inhalt innerhalb der Region repliziert werden.
Wenn die Region über eine gekoppelte Region verfügt und sich diese gekoppelte Region in derselben Geografie wie die primäre Region befindet, werden die Inhalte auch in die gekoppelte Region repliziert. Dieser Ansatz stellt eine hohe Haltbarkeit Ihrer Schlüssel und geheimen Schlüssel sicher, die vor Hardwarefehlern, Netzwerkausfällen oder lokalisierten Katastrophen schützt.
Resilienz für vorübergehende Fehler
Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können. Dies geschieht in der Regel durch Wiederholen betroffener Anforderungen.
Alle in der Cloud gehosteten Anwendungen sollten die Anleitung zur vorübergehenden Fehlerbehandlung von Azure befolgen, wenn sie mit cloudgehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zur Behandlung vorübergehender Fehler.
Um vorübergehende Fehler zu behandeln, die auftreten können, sollten Ihre Clientanwendungen Wiederholungslogik implementieren, wenn sie mit Key Vault interagieren. Berücksichtigen Sie die folgenden bewährten Methoden:
Verwenden Sie die Azure-SDKs, die in der Regel integrierte Wiederholungsmechanismen enthalten.
Implementieren Sie exponentielle Backoff-Wiederholungsrichtlinien, wenn Ihre Clients eine direkte Verbindung mit dem Schlüsseltresor herstellen.
Speichern Sie geheime Schlüssel im Arbeitsspeicher, wenn möglich, um direkte Anforderungen an Key Vault zu reduzieren.
Überwachen sie auf Drosselungsfehler, da die Überschreitung von Schlüsseltresor-Dienstgrenzwerten zu Drosselung führt.
Wenn Sie den Schlüsseltresor in Szenarien mit hohem Durchsatz verwenden, sollten Sie Ihre Vorgänge über mehrere Schlüsseltresor verteilen, um Einschränkungsgrenzwerte zu vermeiden. Berücksichtigen Sie die Key Vault-spezifischen Richtlinien für die folgenden Szenarien:
Ein Szenario mit hohem Durchsatz ist ein Szenario, das die Dienstgrenzwerte für Key Vault-Vorgänge angibt oder überschreitet, z. B. 200 Vorgänge pro Sekunde für softwaregeschützte Schlüssel.
Für Workloads mit hohem Durchsatz teilen Sie Ihren Key Vault-Datenverkehr zwischen mehreren Tresoren und verschiedenen Regionen auf.
Ein abonnementweites Limit für alle Transaktionstypen beträgt das Fünffache des Limits eines einzelnen Key Vaults.
Verwenden Sie einen separaten Tresor für jede Sicherheits- oder Verfügbarkeitsdomäne. Wenn Sie zum Beispiel fünf Apps in zwei Regionen haben, sollten Sie 10 Tresore verwenden.
Führen Sie Vorgänge für öffentliche Schlüssel wie Verschlüsselung, Umhüllung und Überprüfung lokal aus, durch Zwischenspeichern des öffentlichen Schlüssels.
Weitere Informationen finden Sie unter Schlüsseltresor-Einschränkungsanleitungen.
Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen
Verfügbarkeitszonen sind physisch getrennte Gruppen von Rechenzentren innerhalb einer Azure-Region. Wenn eine Zone ausfällt, erfolgt ein Failover der Dienste zu einer der verbleibenden Zonen.
Key Vault stellt automatisch Zonenredundanz in Regionen bereit, die Verfügbarkeitszonen unterstützen. Diese Redundanz bietet hohe Verfügbarkeit innerhalb einer Region, ohne dass eine bestimmte Konfiguration erforderlich ist.
Wenn eine Verfügbarkeitszone nicht verfügbar ist, leitet Key Vault Ihre Anforderungen automatisch an andere fehlerfreie Verfügbarkeitszonen weiter, um eine hohe Verfügbarkeit sicherzustellen.
Regionsunterstützung
Key Vault ermöglicht standardmäßig Zonenredundanz in allen Azure-Regionen, die Verfügbarkeitszonen unterstützen.
Anforderungen
Alle Key Vault-SKUs, Standard und Premium unterstützen die gleiche Verfügbarkeit und Resilienz. Es gibt keine tierspezifischen Anforderungen, um die Zonenresilienz zu erreichen.
Kosten
Es gibt keine zusätzlichen Kosten für Zonenredundanz im Key Vault. Die Preise basieren auf der SKU, entweder Standard oder Premium, und der Anzahl der ausgeführten Vorgänge.
Verhalten, wenn alle Zonen fehlerfrei sind
In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn sich Schlüsseltresor in einer Region befinden, in der Verfügbarkeitszonen vorhanden sind und alle Verfügbarkeitszonen betriebsbereit sind:
Datenverkehrsrouting zwischen Zonen: Key Vault verwaltet automatisch das Datenverkehrsrouting zwischen Verfügbarkeitszonen. Während des normalen Betriebs werden Anforderungen transparent über Zonen verteilt.
Datenreplikation zwischen Zonen: Key Vault-Daten werden synchron in Verfügbarkeitszonen in Regionen repliziert, die Zonen unterstützen. Diese Replikation stellt sicher, dass Ihre Schlüssel, geheimen Schlüssel und Zertifikate konsistent und verfügbar bleiben, auch wenn eine Zone nicht verfügbar ist.
Verhalten bei einem Zoneausfall
Im folgenden Abschnitt wird beschrieben, was zu erwarten ist, wenn sich die Schlüsseltresore in einer Region befinden, in der Verfügbarkeitszonen vorhanden sind und mindestens eine Verfügbarkeitszone nicht verfügbar ist.
- Erkennung und Reaktion: Der Key Vault-Dienst ist dafür verantwortlich, Zonenfehler zu erkennen und automatisch darauf zu reagieren. Während eines Zonenfehlers müssen Sie keine Maßnahmen ergreifen.
- Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Resource Health verwenden, um den Status einer einzelnen Ressource zu überwachen, und Sie können Ressourcenintegritätswarnungen einrichten, um Sie über Probleme zu informieren. Sie können auch Azure Service Health verwenden, um die allgemeine Integrität des Diensts zu verstehen, einschließlich jeglicher Zonenfehler, und Sie können Dienststatuswarnungen einrichten, um Sie über Probleme zu informieren.
Aktive Anforderungen: Während eines Zonenfehlers kann die betroffene Zone möglicherweise keine In-Flight-Anforderungen verarbeiten, was erfordert, dass Clientanwendungen sie erneut versuchen. Clientanwendungen sollten vorübergehende Fehlerbehandlungsmethoden befolgen, um sicherzustellen, dass sie Anforderungen wiederholen können, wenn ein Zonenfehler auftritt.
Erwarteter Datenverlust: Aufgrund der synchronen Replikation zwischen Zonen wird kein Datenverlust während eines Zonenfehlers erwartet.
Erwartete Ausfallzeiten: Bei Lesevorgängen sollte es während eines Zonenausfalls minimal bis gar keine Ausfallzeiten geben. Schreibvorgänge können vorübergehend nicht verfügbar sein, während sich der Dienst an den Zonenfehler anpasst. Lesevorgänge werden voraussichtlich während Zonenausfällen verfügbar bleiben.
Datenverkehrsumleitung: Key Vault umgeleitet den Datenverkehr automatisch von der betroffenen Zone zu fehlerfreien Zonen, ohne dass ein Kundeneingriff erforderlich ist.
Zonenwiederherstellung
Wenn die betroffene Verfügbarkeitszone wiederhergestellt wird, stellt Key Vault Vorgänge automatisch in dieser Zone wieder her. Die Azure-Plattform verwaltet diesen Prozess vollständig und erfordert keine Kundeneingriffe.
Widerstandsfähigkeit bei regionalen Ausfällen
Key Vault-Ressourcen werden in einer einzigen Azure-Region bereitgestellt. Wenn die Region nicht verfügbar ist, ist Ihr Schlüsseltresor ebenfalls nicht verfügbar. Es gibt jedoch Ansätze, die Sie verwenden können, um die Ausfallsicherheit bei regionalen Ausfällen sicherzustellen. Diese Ansätze hängen davon ab, ob sich der Schlüsseltresor in einer gekoppelten oder nicht gekoppelten Region befindet und von Ihren spezifischen Anforderungen und Konfigurationen.
Von Microsoft verwaltetes Failover auf eine gekoppelte Region
Der Schlüsseltresor unterstützt die von Microsoft verwaltete Replikation und das Failover für Schlüsseltresors in den meisten gekoppelten Regionen. Der Inhalt Ihres Schlüsseltresors wird automatisch sowohl innerhalb der Region als auch asynchron in die gepaarte Region repliziert. Dieser Ansatz gewährleistet eine hohe Dauerhaftigkeit Ihrer Schlüssel und Geheimnisse. Im unwahrscheinlichen Fall eines längeren Regionsausfalls kann Microsoft ein regionales Failover Ihres Schlüsseltresors initiieren.
Die folgenden Regionen unterstützen keine von Microsoft verwaltete Replikation oder Failover zwischen Regionen:
- Brasilien Süd
- Brasilien, Südosten
- Westliches USA 3
- Jede Region, die nicht über einen gekoppelten Bereich verfügt
Von Bedeutung
Microsoft löst von Microsoft verwaltetes Failover aus. Es ist wahrscheinlich, dass es nach einer erheblichen Verzögerung geschieht und mit größtmöglichem Einsatz durchgeführt wird. Es gibt auch einige Ausnahmen für diesen Prozess. Das Failover von Schlüsseltresoren kann zu einem Zeitpunkt auftreten, der sich von der Failover-Zeit anderer Azure-Dienste unterscheidet.
Wenn Sie ausfallsicher gegenüber Regionenausfällen sein müssen, sollten Sie eine der benutzerdefinierten Multi-Region-Lösungen zur Resilienz verwenden.
Sie können auch die Funktion Sichern und Wiederherstellen verwenden, um den Inhalt Ihres Vaults in eine andere Region Ihrer Wahl zu replizieren.
Überlegungen
Downtime: Während das Failover im Gange ist, ist Ihr Schlüsseltresor möglicherweise vorübergehend einige Minuten nicht verfügbar.
Schreibgeschützt nach Failover: Nach dem Failover wird der Schlüsseltresor schreibgeschützt und unterstützt nur eingeschränkte Aktionen. Sie können die Schlüsseltresoreigenschaften während des Betriebs in der sekundären Region nicht ändern, und Zugriffsrichtlinien und Firewallkonfigurationen können nicht geändert werden, während Sie in der sekundären Region arbeiten.
Wenn sich Ihr Schlüsseltresor im schreibgeschützten Modus befindet, werden nur die folgenden Vorgänge unterstützt:
- Auflisten von Zertifikaten
- Abrufen von Zertifikaten
- Auflisten geheimer Schlüssel
- Abrufen geheimer Schlüssel
- Auflisten von Schlüsseln
- Abrufen (von Eigenschaften) von Schlüsseltresoren
- Verschlüsseln
- Entschlüsseln
- Umschließen
- Aufheben der Umschließung
- Überprüfen
- Signieren
- Datensicherung
Kosten
Es gibt keine zusätzlichen Kosten für die integrierten Multi-Region-Replikationsfunktionen von Key Vault.
Verhalten, wenn alle Regionen funktionsfähig sind
Der folgende Abschnitt beschreibt, was Sie erwarten können, wenn sich ein Schlüsseltresor in einer Region befindet, die Microsoft-verwaltete Replikation und Failover unterstützt, und die primäre Region betriebsbereit ist.
Datenverkehrsrouting zwischen Regionen: Während des normalen Betriebs werden alle Anfragen an die primäre Region weitergeleitet, in der Ihr Key Vault bereitgestellt ist.
Datenreplikation zwischen Regionen: Key Vault repliziert Daten asynchron in den gekoppelten Bereich. Wenn Sie Änderungen an Ihren Schlüsseltresorinhalten vornehmen, werden diese Änderungen zuerst in der primären Region gespeichert und dann in die sekundäre Region repliziert.
Verhalten während eines Regionenausfalls
Im folgenden Abschnitt wird beschrieben, was Sie erwarten müssen, wenn sich ein Schlüsseltresor in einer Region befindet, die von Microsoft verwaltete Replikation und Failover unterstützt, und es gibt einen Ausfall in der primären Region:
- Erkennung und Reaktion: Microsoft kann sich entscheiden, ein Failover durchzuführen, wenn die primäre Region verloren geht. Dieser Vorgang kann mehrere Stunden nach dem Verlust der primären Region oder länger in einigen Szenarien dauern. Das Failover von Schlüsseltresoren erfolgt möglicherweise nicht zur gleichen Zeit wie bei anderen Azure-Diensten.
- Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Resource Health verwenden, um den Status einer einzelnen Ressource zu überwachen, und Sie können Ressourcenintegritätswarnungen einrichten, um Sie über Probleme zu informieren. Sie können auch Azure Service Health verwenden, um die allgemeine Integrität des Diensts zu verstehen, einschließlich jeglicher Zonenfehler, und Sie können Dienststatuswarnungen einrichten, um Sie über Probleme zu informieren.
Aktive Anforderungen: Während eines Regionsfailovers können aktive Anforderungen fehlschlagen, und Clientanwendungen müssen sie nach Abschluss des Failovers wiederholen.
Erwarteter Datenverlust: Möglicherweise gibt es einen Datenverlust, wenn Änderungen nicht in die sekundäre Region repliziert werden, bevor der primäre Bereich fehlschlägt.
Erwartete Ausfallzeiten: Während eines großen Ausfalls der primären Region ist Ihr Schlüsseltresor möglicherweise mehrere Stunden lang nicht verfügbar oder bis Microsoft ein Failover in die sekundäre Region initiiert.
Wenn Sie Private Link verwenden, um eine Verbindung mit Ihrem Schlüsseltresor herzustellen, kann es bis zu 20 Minuten dauern, bis die Verbindung nach dem Regionsfailover erneut hergestellt wird.
Datenverkehrsumleitung: Nach Abschluss eines Regionsfailovers werden Anforderungen automatisch an die gekoppelte Region weitergeleitet, ohne dass ein Kundeneingriff erforderlich ist.
Benutzerdefinierte Lösungen mit mehreren Regionen für Resilienz
Es gibt Szenarien, in denen die von Microsoft verwalteten regionsübergreifenden Failoverfunktionen von Key Vault nicht geeignet sind:
Ihr Schlüsseltresor befindet sich in einer nicht zugeordneten Region.
Ihr Schlüsseltresor befindet sich in einer gekoppelten Region, die die von Microsoft verwaltete Replikation und Failover zwischen Regionen in Brasilien Süden, Brasilien Südosten und West-USA 3 nicht unterstützt.
Ihre Geschäftsbetriebsziele sind nicht mit der Wiederherstellungszeit oder dem Datenverlust zufrieden, den von Microsoft verwaltetes regionsübergreifendes Failover bereitstellt.
Sie müssen ein Failover zu einer Region ausführen, die nicht das Paar Ihrer primären Region ist.
Sie können eine benutzerdefinierte regionsübergreifende Failoverlösung entwerfen, indem Sie die folgenden Schritte ausführen:
Erstellen Sie separate Schlüsseltresore in verschiedenen Regionen.
Verwenden Sie die Sicherungs- und Wiederherstellungsfunktionen, um konsistente geheime Schlüssel in allen Regionen aufrechtzuerhalten.
Implementieren Sie eine Logik auf Anwendungsebene, um zwischen Schlüsseltresoren bei einem Ausfall umzuschalten.
Sichern und Wiederherstellen
Key Vault kann einzelne geheime Schlüssel, Schlüssel und Zertifikate sichern und wiederherstellen. Sicherungen sollen Ihnen eine Offlinekopie Ihrer geheimen Schlüssel im unwahrscheinlichen Fall bereitstellen, dass Sie den Zugriff auf Ihren Schlüsseltresor verlieren.
Berücksichtigen Sie die folgenden wichtigen Faktoren in Bezug auf die Sicherungsfunktionalität:
Sicherungen erstellen verschlüsselte Blobs, die nicht außerhalb von Azure entschlüsselt werden können.
Sicherungen können nur in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und derselben Azure-Geografie wiederhergestellt werden.
Es gibt eine Einschränkung der Sicherung von nicht mehr als 500 früheren Versionen eines Schlüssels, eines geheimen Schlüssels oder eines Zertifikatobjekts.
Sicherungen sind Point-in-Time-Momentaufnahmen und werden nicht automatisch aktualisiert, wenn geheime Schlüssel geändert werden.
Für die meisten Lösungen sollten Sie sich nicht ausschließlich auf Sicherungen verlassen. Verwenden Sie stattdessen die in diesem Handbuch beschriebenen anderen Funktionen, um Ihre Resilienzanforderungen zu unterstützen. Sicherungen schützen jedoch vor einigen Risiken, die andere Ansätze nicht haben, z. B. versehentliches Löschen bestimmter Geheimnisse. Weitere Informationen finden Sie unter Key Vault-Sicherung.
Wiederherstellungsfunktionen
Key Vault bietet zwei wichtige Wiederherstellungsfeatures, um versehentliche oder böswillige Löschungen zu verhindern:
Soft Delete: Wenn aktiviert, können Sie mit Soft Delete gelöschte Tresore und Objekte während eines konfigurierbaren Aufbewahrungszeitraums wiederherstellen. Dieser Zeitraum ist eine Standardeinstellung von 90 Tagen. Stellen Sie sich die Soft-Löschung wie einen Papierkorb für die Ressourcen Ihres Schlüsseltresors vor.
Löschschutz: Wenn diese Option aktiviert ist, verhindert der Löschschutz das dauerhafte Löschen des Schlüsseltresors und seiner Objekte, bis der Aufbewahrungszeitraum abgelaufen ist. Dieser Schutz verhindert, dass böswillige Akteure Ihre Geheimnisse dauerhaft zerstören.
Wir empfehlen dringend beide Features für Produktionsumgebungen. Weitere Informationen finden Sie unter "Soft-Delete und Löschschutz" in der Dokumentation zur Verwaltung der Key Vault-Wiederherstellung.
Service-Level-Vereinbarung
Der Service level agreement (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit jedes Diensts und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter SLAs für Onlinedienste.