當業務應用在多地區進行主備或多活容災部署時,為了保證容災情境下的商務持續性,推薦您使用KMS的跨地區同步功能,即在多個地區分別購買KMS執行個體(其中1個作為主執行個體、其他為副本執行個體)並進行資源同步。本文介紹如何同步主執行個體中的資源。
如果控制台提示“如果您需要使用软件密钥导入(BYOK)、跨地域同步、监控等高级功能,请通过提交工单确认实例镜像升级至最新版本的时间。”,請您聯絡我們。
原理介紹
KMS執行個體支援跨地區同步資源,可在分鐘級完成資源同步。您在配置KMS執行個體跨地區同步資源後,使用KMS密鑰進行加密的業務應用可更輕鬆地實現異地多活容災。主地區下業務應用訪問KMS主執行個體,完成密碼運算操作。容災情境下,副本地區下的業務應用訪問KMS副本執行個體,完成密碼運算操作。具體請參見下圖。
KMS專註於實現主執行個體與副本執行個體間的資源同步,對於您的業務資料層面的同步需求,超出了KMS產品的服務範疇,請您對此類業務資料同步問題作另行規劃與處理。
限制條件
支援的執行個體類型:僅預付費模式中的軟體密鑰管理執行個體,支援跨地區同步。
副本執行個體限制:
個數限制:每個主執行個體可以綁定3個副本執行個體。
地區限制:主執行個體、所有副本執行個體的地區均不能相同。
資源限制:副本執行個體下不允許有任何密鑰、憑據資源,副本執行個體下有資源時,不支援綁定該副本執行個體。
配額限制:副本執行個體的密鑰數量、憑據數量配額,需要大於等於主執行個體。
跨境限制:不支援跨境同步執行個體。即主執行個體在中國內地地區時,副本執行個體也必須是中國內地地區。
資源同步說明
支援同步的資源:僅支援同步密鑰,不支援同步憑據。
同步密鑰的密鑰ID、密鑰版本、密鑰材料、密鑰狀態、刪除保護,不同步密鑰策略、密鑰別名、密鑰標籤。
同步周期:綁定副本執行個體後會同步一次,耗時約3~5分鐘,後續每分鐘同步一次。
同步策略:同步時如果副本執行個體中有相同ID的密鑰,會跳過該密鑰,繼續同步其他密鑰。您可以在同步結果中查詢是否同步成功。
操作步驟
購買副本執行個體。具體操作,請參見購買KMS執行個體。
啟用主執行個體、副本執行個體。具體操作,請參見啟用KMS執行個體。
為主執行個體綁定副本執行個體。
在跨地域同步頁面,單擊添加副本实例。
選擇主執行個體、備份執行個體,然後單擊下一步。
選擇資源同步類型,然後單擊下一步。
同步類型
說明
①主執行個體全量同步
僅同步主執行個體中當前已建立的密鑰,後續新增的密鑰不會同步。
例如,當前主執行個體中有10個密鑰,僅同步這10個密鑰,這些密鑰後續發生變更也會同步。
②增量密鑰同步
主執行個體中當前已建立的密鑰不會同步,僅同步後續新增的密鑰。
③手動選擇同步資源
僅同步您選擇的指定密鑰,這些密鑰後續發生變更也會同步。
支援您同時選擇①②,或者②③,但不支援同時選擇①③。
確認配置無誤後,單擊確定。
約等待3~5分鐘,同步完成後,主執行個體的狀態會顯示已同步100%。後續每分鐘會自動同步一次。
後續操作
請您建立訪問憑證,主地區、副本地區中的業務應用,分別使用主執行個體、副本執行個體中的密鑰進行密碼運算操作。詳細資料,請參見SDK參考。
如果您使用阿里雲SDK:僅需要建立一個訪問憑證,且訪問憑證僅支援可信實體為阿里雲服務的RAM角色。
如果您使用KMS執行個體SDK:需要在主執行個體、副本執行個體分別建立訪問憑證,且訪問憑證僅支援應用存取點AAP中的ClientKey。具體操作,請參見建立應用存取點。