Activer la réplication multi-région sur Azure HSM managé
La réplication multirégion vous permet d’étendre un pool HSM managé d’une région Azure (appelée région principale) à une autre région Azure (appelée région étendue). Une fois configurées, les deux régions sont actives, capables de traiter les requêtes et, avec la réplication automatisée, de partager les mêmes éléments clés, rôles et autorisations. La région disponible la plus proche de l’application reçoit et répond à la requête, optimisant le débit de lecture et la latence. Bien que les pannes régionales soient rares, la réplication multi-région améliore la disponibilité des clés de chiffrement stratégiques en cas d’indisponibilité d’une région. Pour plus d’informations sur le SLA, consultez SLA pour Azure Key Vault HSM managé.
Architecture
Lorsque la réplication multirégion est activée sur un HSM managé, un deuxième pool HSM managé, avec trois partitions HSM à charge équilibrée, est créé dans la région étendue. Lorsque des requêtes sont émises vers le point de terminaison DNS global Traffic Manager <hsm-name>.managedhsm.azure.net
, la région disponible la plus proche reçoit et exécute la requête. Bien que chaque région conserve individuellement la haute disponibilité régionale grâce à la distribution des HSM dans la région, le manager du trafic garantit que si toutes les partitions d’un HSM managé d’une région sont indisponibles en raison d’une catastrophe, les requêtes peuvent toujours être traitées par le pool HSM managé de la région étendue.
Latence de réplication
Toute opération d’écriture dans le HSM managé, telle que la création ou la mise à jour d’une clé, d’une définition de rôle, ou d’une attribution de rôle, peut prendre jusqu’à 6 minutes avant que les deux régions ne soient entièrement répliquées. Dans cette fenêtre, la reproduction du matériel écrit d'une région à l'autre n'est pas garantie. Par conséquent, il est préférable d’attendre six minutes entre la création ou la mise à jour de la clé et l’utilisation de la clé pour vous assurer de la réplication complète du matériel de la clé entre les régions. Il en est de même pour les attributions et définitions de rôle.
Comportement du basculement
Le basculement se produit en cas d'indisponibilité de l'une des régions d'un HSM multi-régional managé en raison d'une panne et de la prise en charge de toutes les demandes par l'autre région. La panne peut être limitée à votre pool HSM uniquement, à l’ensemble du service HSM managé ou à l’ensemble de la région Azure. Durant le basculement, vous pouvez noter un changement de comportement en fonction de la région affectée.
Régions affectées | Lectures autorisées | Écritures autorisées |
---|---|---|
Région étendue | Oui | Oui |
Région primaire | Oui | Peut-être |
Si la région étendue devient indisponible, les opérations de lecture (obtenir la clé, lister les clés, toutes les opérations de chiffrement, les attributions de rôles de liste) sont disponibles si la région principale est active. Les opérations d’écriture (créer et mettre à jour des clés, des attributions de rôles, des définitions de rôle) sont également disponibles.
Si la région primaire n’est pas disponible, les opérations de lecture sont disponibles, mais les opérations d’écriture peuvent ne pas l’être, selon l’étendue de la panne.
Délai de basculement
Sous le capot, la résolution DNS gère la redirection des requêtes vers la région principale ou les régions étendues.
Si les deux régions sont actives, Azure Traffic Manager résout les requêtes entrantes vers l’emplacement présentant la plus grande proximité géographique ou la plus faible latence du réseau par rapport à l’origine de la requête. Les enregistrements DNS sont configurés avec une durée de vie par défaut de 5 secondes.
Si une région signale à Traffic Manager un statut non sain, les requêtes ultérieures sont résolues par l’autre région si disponible. Les clients mettant en cache des recherches DNS peuvent subir un temps de basculement étendu. Toutefois, une fois les caches côté client expirés, les requêtes futures doivent être acheminées vers la région disponible.
Prise en charge des régions Azure
Les régions suivantes sont prises en charge en tant que régions primaires (régions à partir de lesquelles vous pouvez répliquer un pool HSM managé)
- USA Est
- USA Est 2
- Nord du Royaume-Uni
- Europe occidentale
- USA Ouest
- Est du Canada
- Qatar Central
- Asie de l’Est
- Asie du Sud-Est
- Sud du Royaume-Uni
- USA Centre
- Japon Est
- Suisse Nord
- Brésil Sud
- Centre de l’Australie
- Inde Centre
- USA Ouest 3
- Centre du Canada
- Australie Est
- Sud de l’Inde
- Suède Centre
- Afrique du Sud Nord
- Centre de la Corée
- Europe septentrionale
- France Centre
- OuJapon Est
- USA Centre Sud
- Pologne Centre
- Suisse Ouest
- Australie Sud-Est
- Inde Ouest
- Émirats arabes unis Centre
- Émirats arabes unis Nord
- USA Ouest 2
- USA Centre-Ouest
Remarque
Les régions USA Centre, USA Est, USA Centre Sud, USA Ouest 2, Suisse Nord, Europe Ouest, Inde Centre, Canada Centre, Canada Est, Japon Ouest, Qatar Central, Pologne Centre et USA Centre-Ouest ne peuvent pas être étendues à l’heure actuelle. D’autres régions peuvent être indisponibles pour l’extension en raison de limitations de capacité dans la région.
Billing
La réplication multirégion dans une région étendue entraîne une facturation supplémentaire (x2), puisque un nouveau pool HSM est consommé dans la région étendue. Pour plus d’informations, consultez Tarification d’Azure HSM managé.
Comportement de la suppression réversible
La fonctionnalité de suppression progressive du HSM managé permet la récupération des clés et HSM supprimés. Toutefois dans un scénario de réplication multi-régionale, il existe des différences subtiles où le HSM secondaire doit être éliminé avant la suppression réversible exécutée sur le HSM principal. En outre, lorsqu’une région étendue est supprimée du HSM principal, le HSM de la région supprimée est vidé au lieu de basculer dans un état de suppression réversible, et la facturation du HSM purgé cesse immédiatement. Vous pouvez toujours étendre vers une nouvelle région étendue à partir de la région principale si nécessaire.
Comportement des liaisons privées avec la réplication multi-régionale
La fonctionnalité Azure Private Link vous permet d’accéder au service HSM managé via un point de terminaison privé dans votre réseau virtuel. Vous devez configurer le point de terminaison privé sur le HSM managé dans la région primaire, comme dans le cas où vous n’utilisez pas la fonction de réplication multi-régionale. Quant au HSM managé dans une région étendue, il est recommandé de créer un autre point de terminaison privé et une autre zone DNS privée après la réplication du HSM managé de la région principale vers le HSM managé de la région étendue. Ceci redirige les demandes clientes vers le HSM managé le plus proche de l’emplacement du client.
Voici quelques scénarios avec des exemples : HSM managé dans une région principale (Royaume-Uni Sud) et un autre HSM managé dans une région étendue (USA Centre-Ouest).
Une fois les HSM managés dans les régions principale et étendues en cours d’exécution avec un point de terminaison privé activé, les requêtes des clients sont redirigées vers le HSM managé le plus proche de l’emplacement du client. Les requêtes du client sont envoyées au point de terminaison privé de la région la plus proche, puis dirigées vers le HSM managé de la même région par le gestionnaire de trafic.
Quand l’un des HSM managés (Royaume-Uni du Sud, par exemple) dans un scénario répliqué multi-régional est indisponible avec des points de terminaison privés activés, les requêtes des clients sont redirigées vers le HSM managé (USA Centre-Ouest) disponible. Les requêtes du client en provenance du Royaume-Uni du sud sont tout d’abord envoyées au point de terminaison privé du royaume-uni sud, puis dirigées vers le HSM managé USA centre-ouest par le manager du trafic.
HSM managés dans les régions principale et étendues, mais un seul point de terminaison privé configuré dans la région principale ou étendue. Pour connecter un client d’un autre réseau virtuel (VNET1) à un HSM managé via un point de terminaison privé dans un autre réseau virtuel (VNET2), un appairage de réseaux virtuels entre les deux réseaux virtuels est nécessaire. Vous pouvez ajouter un lien de réseau virtuel pour la zone DNS privée créée lors de la création du point de terminaison privé.
Dans le diagramme ci-dessous, le point de terminaison privé est créé uniquement dans la région Royaume-Uni du sud, tandis qu’il existe deux HSM managés en cours d’exécution, l’un dans le Royaume-Uni Sud et l’autre dans la région USA Centre-Ouest. Les requêtes des deux clients sont envoyées au HSM managé du Royaume-Uni sud puisque les demandes sont acheminées par le point de terminaison privé qui, dans ce cas, se trouve dans le Royaume-Uni sud.
Dans le diagramme ci-dessous, le point de terminaison privé est créé uniquement dans la région Royaume-Uni du sud, seul le HSM managé dans la région USA Centre-Ouest est disponible et le HSM managé dans la région Royaume-Uni Sud est indisponible. Dans ce cas, les requêtes sont redirigées vers le HSM managé USA Centre-Ouest par le biais du point de terminaison privé dans le Royaume-Uni sud, puisque le manager du trafic détecte l’indisponibilité du HSM managé dans le Royaume-Uni sud.
Commandes Azure CLI
Si vous créez un pool HSM managé et que vous l’étendez ensuite vers une région étendue, consultez ces instructions avant de procéder à l’extension. Si vous étendez à partir d’un pool HSM managé existant, utilisez les instructions suivantes pour étendre le pool HSM dans une région étendue.
Remarque
Ces commandes nécessitent Azure CLI version 2.48.1 ou ultérieure. Pour installer la dernière version, découvrez de quelle manière installer Azure CLI.
Étendre un HSM principal dans une région étendue
Pour étendre un pool HSM managé vers une autre région, exécutez la commande suivante, qui créera automatiquement un HSM dans une région étendue.
az keyvault region add --hsm-name "ContosoMHSM" --region "australiaeast"
Remarque
« ContosoMHSM » dans cet exemple représente le nom du pool HSM principal ; « australiaeast » correspond à la région étendue dans laquelle vous l’étendez.
Supprimer une région étendue du HSM principal
Une fois un HSM étendu supprimé, les partitions HSM de l’autre région sont vidées. Tous les fichiers secondaires doivent être supprimés avant la suppression réversible ou vidé d’un HSM managé principal. Seuls les fichiers secondaires peuvent être supprimés à l’aide de cette commande. Le serveur principal peut être supprimé uniquement à l’aide des commandes de suppression réversible et de vidage
az keyvault region remove --hsm-name ContosoMHSM --region australiaeast
Répertorier toutes les régions
az keyvault region list --hsm-name ContosoMHSM