从其他区域复原数据
如果发生影响所有可用区域的区域灾难,那么将通过 IBM Cloud 状态 Web 页面和电子邮件通知您。 在这种情况下,根据 定价套餐,是否启用故障转移加密单元以及恢复时间的要求,可以使用不同的选项来复原数据。
使用故障转移加密单元复原数据
如果您正在使用标准套餐,并在达拉斯 (us-south
) 或华盛顿 (us-east
) 创建实例,并启用故障转移加密单元,那么将自动复原数据以减少停机时间和数据丢失。 在这种情况下,您可以切换为使用另一区域中的故障转移加密单元来管理密钥和执行加密操作。 故障转移加密单元包含操作加密单元中所有加密密钥和其他资源的备份。
同时,IBM 会修复原始区域中的服务实例。 如果需要新的操作加密单元才能完成修复,那么 IBM 将通知您,并且您需要通过 使用恢复加密单元或主密钥部件 将主密钥装入到新的操作加密单元。 恢复原始服务实例后,IBM 会自动将流量重定向回原始区域。
要使用故障转移加密单元来复原区域灾难中的数据,请确保在发生灾难之前初始化并配置与操作加密单元相同的所有故障转移加密单元。 有关初始化方法的更多信息,请参阅 服务实例初始化方法简介。
通过开具 IBM 支持凭单来复原数据
如果未启用故障转移加密单元,或者正在将 Hyper Protect Crypto Services 与 Unified Key Orchestrator配合使用,那么需要开具 IBM 支持凭单以复原数据。 然后,IBM 可以使用相同的实例标识在另一个区域中为您供应新的服务实例,并从备份中复原所有密钥资源。 然后,您需要将 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. 装入到新区域中的新服务实例。
在此过程中,您是唯一拥有主密钥的人员。 IBM 管理员或任何第三方用户都无法访问备份或复原的服务实例中的数据或密钥。
要将备份复原到现有服务实例,请执行以下步骤:
-
在 UI 中,单击 UI 菜单栏中的 帮助 图标
> 支持中心 以进入支持中心。 在“最近的支持案例”面板中单击 查看全部,然后单击 创建新案例。 或者,您可以直接转至“ 管理案例”页面,然后单击 创建新案例。
-
在显示的“创建案例”页面上,选择产品 Hyper Protect Crypto Services,然后指定以下值:
表 1. 描述创建案例所需的字段 字段名称 操作 主题 输入 灾难恢复。 描述 输入 服务实例标识 以及服务实例所在的区域。 所选资源 可选。 选择 Hyper Protect Crypto Services 服务实例。 -
选中 向我发送有关此问题的更新的电子邮件 框,然后单击 继续查看> 创建案例。
成功完成复原后,您将收到电子邮件通知,其中包含服务实例所在的新区域信息。 或者,您可以通过单击 支持来检查状态。 有关 IBM 支持的更多信息,请参阅 支持中心。
-
打开凭单后,IBM 将使用相同的实例标识在另一个区域中为您供应新的加密单元,并从备份中复原所有密钥资源。 然后,您需要将主密钥装入到新区域中的新服务实例。 根据存储主密钥部件的方式,可以遵循 使用 IBM Cloud TKE CLI 插件初始化服务实例 或 使用智能卡和管理实用程序初始化服务实例 中的指示信息。
确保将同一主密钥装入到新区域中的服务实例,以便仍可访问密钥资源。
下一步
- 转至实例仪表板的 管理 选项卡以 管理根密钥和标准密钥。 要了解有关以编程方式管理密钥的更多信息,请查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档。
- 要了解有关使用 Hyper Protect Crypto Services的云 HSM 功能对数据进行加密的更多信息,请查看 PKCS #11 API 参考 和 GREP11 API 参考文档。
- 使用 Hyper Protect Crypto Services 作为其他 IBM Cloud 服务的根密钥提供程序。 有关集成 Hyper Protect Crypto Services 的更多信息,请查看集成服务。