Jika Anda menerapkan aplikasi di beberapa wilayah untuk penyebaran utama/sekunder atau redundansi geo aktif, disarankan menggunakan fitur sinkronisasi sumber daya lintas wilayah dari Key Management Service (KMS) untuk menjaga kontinuitas bisnis. Untuk ini, Anda harus membeli instance KMS, termasuk satu instance utama di wilayah utama dan instance replika di wilayah sekunder, serta melakukan sinkronisasi sumber daya antar instance. Topik ini menjelaskan cara menyinkronkan sumber daya dari instance utama.
Jika pesan If you want to use advanced features such as bring your own key (BYOK), cross-region synchronization, and monitoring, submit a ticket to confirm the time when your instance image is upgraded to the latest version. ditampilkan di konsol KMS, hubungi kami. Untuk informasi lebih lanjut, lihat Hubungi Kami.
Mekanisme kerja
Instance KMS mendukung fitur sinkronisasi sumber daya lintas wilayah, yang memungkinkan sinkronisasi sumber daya dalam hitungan menit. Jika Anda mengaktifkan fitur sinkronisasi sumber daya lintas wilayah untuk instance KMS, aplikasi yang menggunakan kunci di instance KMS untuk enkripsi dapat mencapai redundansi geo aktif. Aplikasi di wilayah utama mengakses instance KMS utama untuk operasi kriptografi. Dalam skenario pemulihan bencana, aplikasi di wilayah sekunder mengakses instance KMS replika untuk operasi kriptografi. Gambar berikut menunjukkan detailnya.
KMS mendukung sinkronisasi kunci antara instance utama dan instance replika. KMS tidak mendukung sinkronisasi data bisnis, sehingga perencanaan dan penanganan terpisah diperlukan.
Batasan
Tipe Instance yang Didukung: Hanya instance KMS tipe manajemen kunci perangkat lunak dengan metode penagihan berlangganan yang mendukung fitur sinkronisasi sumber daya lintas wilayah.
Batasan pada Instance Replika:
Jumlah: Anda dapat mengaitkan instance utama dengan hingga tiga instance replika.
Wilayah: Instance utama dan semua instance replika tidak dapat berada di wilayah yang sama.
Sumber Daya: Tidak ada kunci atau rahasia yang ada di instance replika. Jika ada kunci atau rahasia di instance replika, Anda tidak dapat mengaitkan instance replika dengan instance utama.
Kuota: Kuota pada kunci dan kuota pada rahasia di instance replika harus lebih besar dari atau sama dengan kuota tersebut di instance utama.
Batasan Lintas Batas: Sinkronisasi lintas batas tidak didukung. Jika instance utama berada di wilayah daratan Tiongkok, instance replika juga harus berada di wilayah daratan Tiongkok.
Deskripsi sinkronisasi sumber daya
Sumber Daya yang Didukung: Anda hanya dapat menyinkronkan kunci. Anda tidak dapat menyinkronkan rahasia.
ID kunci, versi kunci, materi kunci, status kunci, dan status perlindungan penghapusan disinkronkan. Kebijakan kunci, alias kunci, dan tag kunci tidak disinkronkan.
PentingJika Anda mengaktifkan fitur sinkronisasi sumber daya lintas wilayah untuk instance KMS dan merotasikan kunci instance KMS, KMS akan menyinkronkan versi kunci yang dibuat ke instance replika terkait dan mengonfigurasinya sebagai versi kunci utama pada instance utama dan replika. Proses ini memastikan bahwa semua data terenkripsi dapat didekripsi selama rotasi kunci otomatis.
Kebijakan kunci tidak disinkronkan saat KMS menyinkronkan kunci. Saat menggunakan Alibaba Cloud SDK untuk operasi kriptografi, Anda harus melihat kebijakan kunci di instance utama. Jika kebijakan kustom dikonfigurasikan, Anda harus mengonfigurasikan kebijakan kustom yang sama di instance replika terkait. Ini mencegah masalah bahwa aplikasi tidak memiliki izin untuk mengakses kunci di instance replika. Untuk informasi lebih lanjut, lihat Lihat Kebijakan Kunci dan Konfigurasikan Kebijakan Kunci.
Siklus Sinkronisasi: Setelah Anda mengaitkan instance replika dengan instance utama, sinkronisasi dilakukan dan memerlukan waktu 3 hingga 5 menit untuk selesai. Sinkronisasi berikutnya dilakukan setiap menit.
Kebijakan Sinkronisasi: Selama sinkronisasi, jika instance replika berisi kunci dengan ID yang sama dengan kunci di instance utama, KMS melewati kunci tersebut dan melanjutkan untuk menyinkronkan kunci yang tersisa. Anda dapat memeriksa apakah sinkronisasi berhasil di hasil sinkronisasi.
Prosedur
Beli instance replika. Untuk informasi lebih lanjut, lihat Beli Instance KMS.
Aktifkan instance utama dan instance replika. Untuk informasi lebih lanjut, lihat Aktifkan Instance KMS.
Kaitkan instance replika dengan instance utama.
Di halaman Cross-region Synchronization, klik Add Replica Instance.
Pilih instance utama dan instance replika lalu klik Next.
Pilih tipe sinkronisasi sumber daya dan klik Next.
Tipe Sinkronisasi
Deskripsi
1. Sinkronisasi Penuh
Hanya kunci yang ada di instance utama yang disinkronkan. Kunci yang dibuat setelah sinkronisasi tidak disinkronkan.
Sebagai contoh, jika instance utama memiliki 10 kunci, hanya 10 kunci tersebut yang disinkronkan. Perubahan berikutnya pada kunci juga disinkronkan.
2. Sinkronisasi Kunci Inkremental
Kunci yang ada di instance utama tidak disinkronkan. Kunci yang dibuat setelah sinkronisasi disinkronkan.
3. Sinkronisasi Sumber Daya Terpilih
Hanya kunci yang Anda pilih yang disinkronkan. Perubahan berikutnya pada kunci juga disinkronkan.
Anda dapat memilih 1 dan 2 atau 2 dan 3 secara bersamaan, tetapi tidak dapat memilih 1 dan 3 secara bersamaan.
Konfirmasikan konfigurasi, lalu klik OK.
Tunggu sekitar 3 hingga 5 menit. Setelah sinkronisasi selesai, status instance utama adalah Synchronized 100%. Sinkronisasi berikutnya dilakukan setiap menit.
Langkah selanjutnya
Buat kredensial akses. Kemudian, aplikasi di wilayah utama dan wilayah sekunder dapat menggunakan kunci di instance utama dan instance replika untuk operasi kriptografi. Untuk informasi lebih lanjut, lihat Referensi SDK.
Jika Anda menggunakan Alibaba Cloud SDK, Anda hanya perlu membuat satu kredensial akses. Kredensial akses hanya mendukung peran Resource Access Management (RAM) yang entitas tepercayanya adalah layanan Alibaba Cloud.
Jika Anda menggunakan KMS Instance SDK, Anda harus membuat kredensial akses untuk instance utama dan setiap instance replika. Kredensial akses hanya mendukung kunci klien dari titik akses aplikasi (AAP). Untuk informasi lebih lanjut, lihat Buat AAP.