Redundância e disponibilidade de Cofre de Chaves do Azure

  • Artigo

O Azure Key Vault apresenta várias camadas de redundância, a fim de garantir que seus segredos e chaves permaneçam disponíveis para seu aplicativo até mesmo se os componentes individuais do serviço falharem ou se as regiões do Azure ou zonas de disponibilidade estiverem indisponíveis.

Observação

Este guia se aplica aos cofres. Os pools de HSM gerenciado usam um diferente modelo de alta disponibilidade e recuperação de desastre. Para obter mais informações, confira o Guia de Recuperação de Desastre do HSM Gerenciado.

Replicação de dados

A maneira como o Key Vault replica seus dados depende da região específica em que o cofre está.

Para a maioria das regiões do Azure emparelhadas com outra região, o conteúdo do cofre de chaves é replicado tanto na região quanto na região emparelhada. Geralmente, a região emparelhada fica a pelo menos 150 milhas de distância, mas dentro da mesma geografia. Essa abordagem garante a alta durabilidade de seus segredos e chaves. Para obter mais informações sobre pares de regiões do Azure, consulte Regiões emparelhadas do Azure. Duas exceções são a região Sul do Brasil, que é emparelhada com uma região em outra geografia, e a região Oeste dos EUA 3. Quando você cria cofres de chaves no Sul do Brasil ou Oeste dos EUA 3, eles não são replicados entre regiões.

Para regiões do Azure não emparelhadas e as regiões Sul e Oeste dos EUA 3 do Brasil, o Azure Key Vault utiliza o ZRS (armazenamento redundante de zona) para replicar os seus dados três vezes dentro da região, através de zonas de disponibilidade independentes. Para o Azure Key Vault Premium, duas das três zonas são usadas para replicar as chaves HSM (módulo de segurança de hardware).

Você também pode usar o recurso de backup e restauração para replicar o conteúdo do cofre para outra região de sua escolha.

Failover dentro de uma região

Se os componentes individuais dentro do serviço de cofre de chaves falharem, os componentes alternativos dentro da região serão acionados para atender à solicitação, de modo a garantir que não haja degradação da funcionalidade. Você não precisa realizar nenhuma ação: o processo ocorre automaticamente e será transparente para você.

Da mesma forma, em uma região em que seu cofre é replicado entre zonas de disponibilidade, se uma zona de disponibilidade não estiver disponível, o Azure Key Vault redirecionará automaticamente suas solicitações para outra zona de disponibilidade para garantir a alta disponibilidade.

Failover entre regiões

Se você estiver em uma região que replica automaticamente seu cofre de chaves para uma região secundária, no improvável caso de uma região inteira do Azure ficar indisponível, as solicitações que você faz do Azure Key Vault nessa região serão roteadas automaticamente (failover) para uma região secundária. Quando a região primária estiver disponível novamente, as solicitações serão roteadas de volta (failback) para a região primária. Novamente, não é necessário executar nenhuma ação, pois isso acontecerá de modo automático.

Importante

Não há suporte para failover entre regiões nas seguintes regiões:

Todas as outras regiões usam RA-GRS (armazenamento com redundância geográfica com acesso de leitura) para replicar dados entre regiões emparelhadas. Para saber mais, confira Redundância do Armazenamento do Azure: redundância em uma região secundária.

Nas regiões que não dão suporte à replicação automática para uma região secundária, você deve planejar a recuperação dos cofres de chaves do Azure em um cenário de falha de região. Para fazer backup e restaurar o Azure Key Vault para uma região de sua escolha, conclua as etapas detalhadas no backup do Azure Key Vault.

Com esse design de alta disponibilidade, o Azure Key Vault não requer nenhum tempo de inatividade para atividades de manutenção.

Há algumas advertências que você deve conhecer:

  • No caso de um failover de região, pode levar alguns minutos para o serviço executar failover. As solicitações feitas durante esse período antes do failover podem falhar.

  • Se você estiver usando o link privado para se conectar ao cofre de chaves, poderá levar até 20 minutos para a conexão ser restabelecida no caso de um failover de região.

  • Durante o failover, o cofre de chaves estará no modo somente leitura. Há suporte para as seguintes operações no modo somente leitura:

    • Listar certificados
    • Obter certificados
    • Listar segredos
    • Obter segredos
    • Listar chaves
    • Obter (propriedades das) chaves
    • Encrypt
    • Descriptografar
    • Encapsular
    • Desencapsular
    • Verificar
    • Assinar
    • Backup

Durante o failover, você não poderá fazer alterações nas propriedades do cofre de chaves. Não será possível alterar a política de acesso ou as configurações e definições de firewall.

Após o failback de um failover, todos os tipos de solicitação (ou seja, solicitações de leitura e de gravação) são disponibilizados.

Próximas etapas