IBM Cloud Docs
了解高可用性和灾难恢复 Key Protect

了解高可用性和灾难恢复 Key Protect

IBM® Key Protect for IBM Cloud® 是高可用性区域服务,具有可帮助使应用程序保持安全和正常运作的自动功能。

Key Protect 的高可用性以及数据的灾难恢复由 IBM Cloud 和 Key Protect保证。 请注意,“灾难恢复”不包括从用户发起的意外删除中恢复的能力。

跨区域灾难恢复仅适用于包含跨区域支持 的价格计划 下的实例。 如果在区域性灾难事件发生之前,您没有将实例配置为跨区域计划,则关键操作可能会暂停。

位置、租户和可用性

Key Protect 是多租户区域服务。

您可以在受支持的 {{ {{site.data.keyword.keymanagementserviceshort}}区域之一中创建 { IBM Cloud 资源,这些区域代表处理和处理您的 Key Protect 请求的地理区域。 每个 IBM Cloud 区域都包含 多个可用性区域,以满足该区域的本地访问、低延迟和安全要求。

us-south (位于美国德克萨斯州达拉斯)、jp-tok (位于日本东京)和 eu-de (位于德国法兰克福)这三个区域提供 Key Protect 故障切换支持,如果您选择 跨区域弹性定价计划,数据将被复制到备用基础设施中。 us-south 区域的数据复制到 us-east 区域(位于美国华盛顿特区),jp-tok 区域的数据复制到 jp-osa 区域(位于日本大阪),eu-de 区域的数据复制到巴黎区域的一个数据中心。 这意味着,如果 us-southjp-tokeu-de 的服务中断,这些地区发送到 Key Protect 的请求将路由到数据已复制的区域。

请注意,该地区具有故障转移支持的备用基础设施与该地区提供的 Key Protect 服务是完全分开的,并且故障转移仅在一个方向上以主动-被动的方式进行,即当主区域关闭时,跨区域的服务器才会处理请求。 例如,您的数据 us-east 目前没有复制到 us-south

Key Protect 的恢复点目标(RPO)和恢复时间目标(RTO)分别为不到一小时和不到九小时(针对区域故障)。

由于您的请求是自动路由的,因此您可以继续调用原始端点。 最初,只读操作将全部可用。 但是,如果有理由相信中断将持续较长时间,那么将尽快启用写操作。 否则,在启用写入操作之前,最多只能进行六小时的只读操作。

当您使用 IBM Cloud 规划加密策略时,请记住,在离您最近的区域配置 Key Protect 更有可能在您与 Key Protect API 交互时实现更快、更可靠的连接。 此外,法规要求可能会影响要使用的区域。 请注意,Key Protect 不会限制跨区域和地理位置使用密钥。 例如,用户可以使用 us-south 中的密钥对法兰克福的存储器进行加密。 选择最适合您整体用例的区域

应用程序级别高可用性

如果将根密钥导入到 Key Protect中,那么建议您维护密钥资料的安全备份,以便在意外删除根密钥并且已经过 30 天宽限期以复原已删除的密钥 时可以复原根密钥。 换言之,在 30 天内,Key Protect 允许客户复原已删除的密钥,而不必使用备份。

由于使用同一密钥材料创建的两个密钥实际上完全相同 (这两个密钥都可以解包由任一根密钥创建的任何数据加密密钥 (DEK)),因此可以通过为实例中的每个导入的根密钥创建重复密钥来安全地备份根密钥。 应该在不同于原始密钥的 Key Protect 区域中创建每个重复密钥,这意味着密钥的 key_id 和服务实例标识将不同。 因此,只要应用程序知道这两个密钥的相关标识和端点,就可以使用任一密钥。

请注意,每次旋转根密钥时,都会将新密钥材料添加到密钥中,这将创建新版本的密钥。 因此,在旋转重复的密钥时,请确保使用此更新的密钥资料。

通过网络进行通信的应用程序会发生瞬态故障。 您应该设计应用程序以与 Key Protect 进行交互,方法是使用现代弹性技术,例如,以指数级回退,在每个请求之间以指数级增加延迟的方式重试请求。

示例算法

有许多方法可以使用指数级回退逻辑来实现重试。 您的方法将取决于您的特定用例以及围绕应用程序的网络条件。 以下是增量重试延迟的示例实现。

const maxRetries = 3
attempt := 1
delay := time.Second * 1
var ok bool
for !ok && attempt <= maxRetries {
    ok = makeRequest()
    if !ok {
        time.Sleep(delay)
        delay = delay * 2
        attempt += 1
    }
}

一旦达到最大重试次数,并且您确认应用程序迂到的错误是由于 Key Protect,打开 支持凭单,其中包含有关请求的详细信息。

灾难恢复

Key Protect 遵循 规划和从灾难事件中恢复的 IBM Cloud 需求。

灾难恢复和业务连续性操作 期间,可能需要手动更新专用端点设置,尤其是 Internet Protocol (IP) 地址。

要了解有关您和 IBM 共享的密钥和工作负载维护职责的更多信息,请参阅 了解使用 Key Protect 的职责。