Azure Key Vault: Verfügbarkeit und Redundanz

Die Funktionen von Azure Key Vault bieten mehrere Redundanzebenen, um sicherzustellen, dass Ihre Schlüssel bzw. die geheimen Schlüssel Ihrer Anwendung auch dann zur Verfügung stehen, wenn einzelne Zonen des Dienstes ausfallen sollten.

Hinweis

Diese Anleitung gilt für Tresore. Die Pools von Verwaltetes HSM verwenden ein anderes Hochverfügbarkeits- und Notfallwiederherstellungsmodell. Weitere Informationen finden Sie in Verwaltetes HSM: Leitfaden zur Notfallwiederherstellung.

Datenreplikation

Die Art und Weise, wie Key Vault Ihre Daten repliziert, hängt von der Region ab, in der sich Ihr Vault befindet.

Für die meisten Azure-Regionen, die mit einer anderen Region gekoppelt sind, werden die Inhalte Ihres Key Vaults sowohl innerhalb der Region als auch in der gekoppelten Region repliziert. Die gekoppelte Region ist in der Regel mindestens 150 Meilen entfernt, liegt aber innerhalb derselben Geografie. Dieser Ansatz gewährleistet eine hohe Dauerhaftigkeit Ihrer Schlüssel und Geheimnisse. Weitere Informationen zu Azure-Regionspaaren finden Sie unter Gekoppelte Azure-Regionen. Zwei Ausnahmen sind die Region „Brasilien, Süden“, die mit einer Region in einer anderen Geografie gekoppelt ist, und der Region „USA, Westen 3“. Wenn Sie Key Vaults in den Regionen „Brasilien, Süden“ oder „USA, Westen 3“ erstellen, werden diese nicht in allen Regionen repliziert.

Für nicht gekoppelte Azure-Regionen und für die Regionen „Brasilien, Süden“ und „USA, Westen 3“ verwendet Azure Key Vault einen zonenredundanten Speicher (ZRS), um Ihre Daten dreimal innerhalb der Region in unabhängigen Verfügbarkeitszonen zu replizieren. Bei Azure Key Vault Premium werden zwei der drei Zonen verwendet, um die HSM-Schlüssel (Hardware Security Module) zu replizieren.

Sie können auch die Funktion Sichern und Wiederherstellen verwenden, um den Inhalt Ihres Vaults in eine andere Region Ihrer Wahl zu replizieren.

Failover innerhalb einer Region

Wenn einzelne Komponenten innerhalb des Key Vault-Diensts ausfallen, springen andere Komponenten in der Region ein, um Ihre Anforderung zu erfüllen, sodass die Funktionalität nicht beeinträchtigt wird. Sie müssen keine Maßnahmen ergreifen. Der Prozess wird automatisch initiiert und ist für Sie transparent.

Ähnlich verhält es sich in einer Region, in der Ihr Vault über Verfügbarkeitszonen hinweg repliziert wird. Wenn eine Verfügbarkeitszone nicht verfügbar ist, leitet Azure Key Vault Ihre Anfragen automatisch an eine andere Verfügbarkeitszone weiter, um eine hohe Verfügbarkeit sicherzustellen.

Regionsübergreifendes Failover

Wenn Sie sich in einer Region befinden, die Ihren Key Vault automatisch in eine sekundäre Region repliziert, werden in dem seltenen Fall, dass eine gesamte Azure-Region nicht verfügbar ist, die Anforderungen, die Sie von Azure Key Vault in dieser Region initiieren, automatisch an eine sekundäre Region weitergeleitet (Failover). Wenn die primäre Region wieder verfügbar ist, werden Anforderungen wieder zurück an die primäre Region geleitet (was als Failback bezeichnet wird). Sie müssen wiederum keine Maßnahmen ergreifen, da diese Schritte automatisch erfolgen.

Wichtig

Das regionsübergreifende Failover wird in den folgenden Regionen nicht unterstützt:

In allen anderen Regionen wird ein georedundanter Speicher (RA-GRS) mit Lesezugriff verwendet, um die Daten zwischen gekoppelten Regionen zu replizieren. Weitere Informationen finden Sie unter Azure Storage-Redundanz: Redundanz in einer sekundären Region.

In den Regionen, die die automatische Replikation in eine sekundäre Region nicht unterstützen, müssen Sie die Wiederherstellung Ihrer Azure Key Vaults in einem Regionsausfallszenario planen. Führen Sie die unter Sicherung in Azure Key Vault erläuterten Schritte aus, um Ihren Azure-Schlüsseltresor in einer Region Ihrer Wahl zu sichern und wiederherzustellen.

Durch diesen Entwurf für Hochverfügbarkeit erfordert Azure Key Vault keine Ausfallzeiten für Wartungsarbeiten.

Beachten Sie folgende Einschränkungen:

  • Beim Failover einer Region kann es einige Minuten dauern, bis das Failover des Diensts erfolgt. Anforderungen, die während dieser Zeit vor dem Failover gestellt werden, können fehlschlagen.

  • Wenn Sie die Verbindung mit dem Key Vault über einen privaten Link herstellen, kann es im Falle eines Regionsfailovers bis zu 20 Minuten dauern, bis die Verbindung wiederhergestellt wird.

  • Während eines Failovers befindet sich der Schlüsseltresor im schreibgeschützten Modus. Die folgenden Vorgänge werden im schreibgeschützten Modus unterstützt:

    • Auflisten von Zertifikaten
    • Abrufen von Zertifikaten
    • Auflisten geheimer Schlüssel
    • Abrufen geheimer Schlüssel
    • Auflisten von Schlüsseln
    • Abrufen (von Eigenschaften) von Schlüsseltresoren
    • Verschlüsseln
    • Entschlüsseln
    • Umschließen
    • Aufheben der Umschließung
    • Überprüfen
    • Signieren
    • Backup

Während des Failovers können Sie keine Änderungen an den Key Vault-Eigenschaften vornehmen. Sie können Konfigurationen und Einstellungen für Zugriffsrichtlinien oder Firewalls nicht ändern.

Sobald auf ein Failover ein Failback erfolgt ist, stehen alle Anforderungstypen (einschließlich Lese- und Schreibanforderungen) wieder zur Verfügung.

Nächste Schritte