IBM Cloud Docs
在供应服务实例后启用或添加故障转移加密单元

在供应服务实例后启用或添加故障转移加密单元

故障转移加密单元在另一个区域中备份可操作的加密单元和密钥库。 如果发生区域灾难,您可以使用故障转移加密单元来自动复原数据,这可以减少停机时间和数据丢失。 您可以在 供应服务实例时 或供应服务实例后启用故障转移加密单元。 本主题指导您在供应服务实例后启用或添加故障转移加密单元。

如果在 us-southus-east 区域中有服务实例,那么可以使用 IBM Cloud Trusted Key Entry (TKE) CLI 插件或管理实用程序为实例启用故障转移加密单元。 如果已将故障转移加密单元分配给服务实例,那么仍可以添加额外的单元。 添加故障转移加密单元后,请确保提交支持凭单以修复实例并启用故障转移单元。

可以指定等于或小于操作加密单元数的故障转移加密单元总数。 但是,要满足高可用性,需要至少分配两个故障转移加密单元。 故障转移加密单元也收费。 有关详细定价信息,请参阅 常见问题解答: 定价

步骤 1: 添加故障转移加密单元

您可以使用 IBM Cloud CLI 或管理实用程序来启用或添加故障转移加密单元。

使用 IBM Cloud CLI

要使用 IBM Cloud CLI 启用或添加故障转移加密单元,请执行以下步骤:

  1. 使用以下命令检查并确保安装 IBM Cloud CLI 和最新的 TKE CLI 插件:

    ibmcloud plugin install tke
    

    如果已安装 TKE CLI 插件,请确保使用以下命令将插件更新到最新版本:

    ibmcloud plugin update tke
    
  2. 使用 CLI 登录到 IBM Cloud。

    如果您有多个帐户,请选择创建服务实例所使用的帐户。 确保您已使用以下命令登录到服务实例所在的正确区域和资源组:

    ibmcloud target -r <region> -g <resource_group>
    
  3. 要启用或添加故障转移加密单元,请运行以下命令:

    ibmcloud tke failover-enable
    

    在可以运行此命令之前,请确保使用 ibmcloud tke cryptounit-add 命令为目标实例选择所有加密单元。

    此命令将指导您完成启用或添加故障转移加密单元的过程。 按照提示完成以下步骤:

    1. 输入要分配给服务实例的故障转移加密单元总数。

      对于具有 3 操作加密单元的服务实例,请指定 2 或 3 故障转移加密单元。 对于具有 2 操作加密单元的服务实例,请指定 2 故障转移加密单元。

      以下输出是样本显示:

      You currently have 0 failover crypto unit(s) for the selected instance 00000a09-0563-4e00-b259-06a4edfc4cba
      Since you have 2 operational crypto units for this instance, you can have up to 2 failover crypto units
      Enter the total number of failover crypto units you would like (max 2):
      > 2
      
      You will now have 2 failover crypto units. This will affect your billing. For more information, see https://cloud.ibm.com/docs/hs-crypto?topic=hs-crypto-faq-pricing
      
      Would you like to continue? [y/n]:
      > y
      

      如果您的实例已分配了一定数量的故障转移加密单元,那么您还可以使用此命令并遵循相同的过程来添加更多故障转移加密单元。

    2. 输入 y 以确认操作。 在目标故障转移区域中分配故障转移加密单元。

      现在,us-southus-east 中提供了故障转移加密单元。 这两个区域是彼此的目标故障转移区域。 例如,如果实例位于 us-south 中,那么实例的故障转移区域为 us-east

      以下输出是样本显示:

      Instance 00000a09-0563-4e00-b259-06a4edfc4cba targetting backup region us-south
      2 failover crypto units have been assigned.
      Getting cryptounit info... this may take a moment
      
      API endpoint:    https://cloud.ibm.com
      Region:          us-south
      User:            user@ibm.com
      Account:         user-account (8230.....a255)
      Resource group:  Default
      
      SERVICE INSTANCE: 00000a09-0563-4e00-b259-06a4edfc4cba
      CRYPTO UNIT NUM   SELECTED   TYPE           LOCATION
      1                 true       OPERATIONAL    [us-east].[AZ3-CS3].[02].[03]
      2                 true       OPERATIONAL    [us-east].[AZ2-CS2].[02].[03]
      3                 true       RECOVERY       [us-east].[AZ2-CS4].[03].[06]
      4                 true       RECOVERY       [us-south].[AZ3-CS2].[03].[20]
      5                 false      FAILOVER       [us-south].[AZ2-CS2].[03].[04]
      6                 false      FAILOVER       [us-south].[AZ3-CS3].[01].[07]
      
      Note: all operational crypto units in a service instance must be configured the same.
      Use 'ibmcloud tke cryptounit-compare' to check how crypto units are configured.
      You should initialize your failover crypto units now to be prepared for a failover event.
      
  4. 通过使用用于操作加密单元初始化的相同主密钥和相同的初始化方法来初始化故障转移加密单元:

    要使用恢复加密单元来初始化服务实例,需要安装管理员,设置签名阈值并装入当前主密钥寄存器。 选择要初始化的故障转移加密单元,并使用以下 TKE 插件命令:

    • 添加管理员: ibmcloud tke cryptounit-admin-add
    • 设置签名阈值: ibmcloud tke cryptounit-thrhld-set
    • 将恢复加密单元中的主密钥值传输到故障转移加密单元: ibmcloud tke auto-mk-recover

    您需要先初始化故障转移加密单元,然后才能将其用于区域灾难恢复。 建议您在为服务实例启用故障转移加密单元之后立即对其进行初始化。

使用管理实用程序

要使用“管理实用程序”来启用或添加故障转移加密单元,请执行以下步骤:

  1. 检查并确保完成先决条件:

    1. 设置管理实用程序,并将两个智能卡读卡器插入到工作站的 USB 端口中。

    2. 使用以下命令安装 IBM Cloud CLI 和最新的 TKE CLI 插件:

      ibmcloud plugin install tke
      

      如果已安装 TKE CLI 插件,请确保使用以下命令将插件更新到最新版本:

      ibmcloud plugin update tke
      
    3. 使用 CLI 登录到 IBM Cloud。

      如果您有多个帐户,请选择创建服务实例所使用的帐户。 确保您已使用以下命令登录到服务实例所在的正确区域和资源组:

      ibmcloud target -r <region> -g <resource_group>
      
  2. 通过切换到安装“管理实用程序”应用程序的子目录并运行以下命令来启动“可信密钥输入”应用程序:

    ./tke
    

    启动“可信密钥输入”应用程序时,将显示您在登录 IBM Cloud 时选择的帐户和资源组。

  3. 要启用或添加故障转移加密单元,请在 加密单元 选项卡上执行以下步骤:

    1. 单击 添加加密单元。 在显示的对话框中,输入服务实例中由空格分隔的所有加密单元的编号。

    2. 单击 故障转移启用,然后单击 以继续。

    3. 如果服务实例具有三个操作加密单元,那么系统会根据您的需要提示您输入故障转移加密单元数。 支持 23 故障转移加密单元。

      对于只有两个操作加密单元的服务实例,将自动分配两个故障转移加密单元。 在这种情况下,您不需要执行任何操作。

    4. 单击以确认操作。 在目标故障转移区域中分配故障转移加密单元。

      现在,us-southus-east 中提供了故障转移加密单元。 这两个区域是彼此的目标故障转移区域。 例如,如果实例位于 us-south 中,那么实例的故障转移区域为 us-east

  4. 通过使用用于操作加密单元初始化的相同主密钥和相同的初始化方法来初始化故障转移加密单元:

    您需要先初始化故障转移加密单元,然后才能将其用于区域灾难恢复。 建议您在为服务实例启用故障转移加密单元之后立即对其进行初始化。

步骤 2: 提交支持凭单

添加故障转移加密单元后,需要通过提交支持凭单让 IBM 支持人员了解此更改,以便他们可以为您启用添加的故障转移加密单元。

  1. 在 IBM Cloud 仪表板中,单击 UI 菜单栏中的 帮助 图标 帮助图标 > 支持中心 以进入支持中心。 在“最近的支持案例”面板中单击 查看全部,然后单击 创建新案例。 或者,您可以直接转至“ 管理案例”页面,然后单击 创建新案例

  2. 在显示的“创建案例”页面上,选择产品 Hyper Protect Crypto Services,然后指定以下值:

    表 1. 描述启用故障转移加密单元所需的字段
    字段名称 操作
    主题 输入 启用故障转移加密单元
    描述 输入 服务实例标识,服务实例所在的区域以及您添加的故障转移加密单元数。
    所选资源 选择 Hyper Protect Crypto Services 服务实例。
  3. 选中 向我发送有关此问题的更新的电子邮件 框,然后单击 继续查看> 创建案例

    操作成功完成后,您将收到电子邮件通知。 您还可以通过单击 UI 菜单栏中的 帮助 图标 "帮助" 图标 > 支持中心 来检查支持中心中的状态。

下一步

如果发生区域灾难,那么可以使用故障转移加密单元进行自动数据复原。 有关更多信息,请参阅 跨区域灾难恢复从其他区域复原数据