DRの設計 Key Protect

ディザスタリカバリ・ソリューションによる IBM® Key Protect for IBM Cloud® リソースの保護は、さまざまな方法で実現できる。 しかし、計画を立てる際には、地域横断的なソリューションとして、以下の設計オプションのいずれかから始めることを検討してください。 その後、特定の災害復旧目標を達成するためにオプションを変更し、テストすることができます。 Key Protect のディザスターリカバリーソリューションは、他の IBM Cloud サービスとは若干異なり、 Key Protect は、レプリケーションまたは複数のキーのデプロイメントによる地域横断的な回復力を提供する。

オプション1:クロスリージョン・レジリエンシー(レプリケーション)

レプリケーションを使用する Key Protect 用のクロスリージョン・レジリエンシー・ソリューションが必要な場合は、クロスリージョン・レジリエンシーがサポートされているリージョン(us-southjp-tokeu-de )のいずれかに Key Protect インスタンスをプロビジョニングする必要があります。 また、クロスリージョン・レジリエンシーを含む料金プランを選択する必要があります。 これらのオプションを選択しない場合、自動化されたクロスリージョンの回復力は利用できず、インスタンスはデフォルトでリージョン内の回復力になります。これは、リージョン( Key Protect )で障害が発生した場合、リージョンが復旧するまで暗号化キーにアクセスできないことを意味します。

クロスリージョン・レジリエンシーで運用する場合、サービスは自動的にフェイルオーバーをサポートしているリージョンにデータをレプリケートする。

クロスリージョン・レジリエンシーが設定されている場合、 Key Protect は自動的にフェイルオーバー・リージョンにデータをレプリケートする。 そして、地域全体の災害が発生し、 Key Protect が停止した場合、すべてのリクエストは対応するフェイルオーバー地域に自動的にルーティングされる。 フェイルオーバー・リージョンが read-only モードの場合、影響を受けるインスタンスでキーを作成、更新、または削除することはできません。 しかし、停電が6時間以上続くと、書き込み操作は自動的に有効になる。

アーキテクチャーを理解する

以下の図は、 Key Protect が地域横断的なレジリエンスを実現するために使用している基本的なアーキテクチャを示している。 3つの地域がこのアーキテクチャーを採用し、以下のように対になっている:

  • us-south -> us-east
  • jp-tok -> jp-osa
  • eu-de-> パリ

KPの基本的なクロスリージョンアーキテクチャを示す図
Key Protect クロスリージョンレジリエンスアーキテクチャの基本的な見方を示す図

復興の実現

クロス・リージョン・レジリエンシーを有効にすれば、 お客様リカバリーを実施する必要はない。 サービスのスタンバイ・インスタンスへのリクエストの切り替えは自動的に行われる。

フェイルバック

地域的な障害が発生した場合、 IBM Cloud は Key Protect インスタンスを、その構成やその他のデータを含めて回復します。 Key Protect へのリクエストはリカバリされたインスタンスにルーティングされ、スタンバイ・インスタンスへのレプリケーションが再開される。

オプション2:複数のキーの配置

レプリケーションに代わる方法として、 Key Protect インスタンスを2つ目のリージョンに追加展開する方法がある。 次に、セカンダリーリージョンで、プライマリーリージョンのルートキーの作成に使用したのと同じキーマテリアルを使用して、新しいルートキーを作成する。 ルート鍵は同一であるため、どちらのルート鍵で作成されたデータ暗号化鍵もアンラップできる。 暗号鍵は各地域で複製することができるが、その際、鍵とサービスIDが異なることに留意すること。 そうすれば、プライマリ・キーや Key Protect のインスタンスとのやりとりに失敗しても、セカンダリ・キーを試すことができるようにアプリをコーディングすることができる。

ルート・キーが回転すると、新しい素材がキーに追加され、キーの新しいバージョンが作られることに注意することが重要である。 セカンダリーリージョンで合鍵を回転させるときは、必ず更新された合鍵のマテリアルを使用してください。

このオプションは、レプリケーション・オプションが利用できないような状況、たとえば場所の制約があるような場合に特に有効である。

復興の実現

アプリケーションが両方の鍵に対応するように設定されている場合、このオプショ ンでお客様リカバリーを行う必要はない。

フェイルバック

地域的な障害が発生した場合、 IBM Cloud は Key Protect インスタンスを、その構成やその他のデータを含めて回復します。 Key Protect へのリクエストは回復したインスタンスにルーティングされる。

その他の考慮事項を理解する

Key Protect、以下の点にご留意ください。

地域横断的なレジリエンスの必要性を考える

Key Protect、クロスリージョン・レジリエンシーを可能にするには、毎月の追加出費が必要となる。 地域障害発生時の Key Protect の復旧時間目標(RTO)は9時間未満である。 クロスリージョン・レジリエンスを使用するかどうかを決定する際には、ワークロードが許容できる停電の長さを考慮する。

立地条件の把握

地域横断的な弾力性は、一部の地域でしか利用できない。 ワークロードはどのリージョンからでも Key Protect インスタンスにアクセスできますが、より高速で信頼性の高い接続を実現するには、ワークロードに近いリージョンで Key Protect をプロビジョニングすることをお勧めします。 特定の規制要件は、展開地域の選択に影響を与えたり、制限したりすることもある。 全体として、 IBM Cloud、あなたの使用ケースに最適なリージョンを選択することをお勧めします。これは、前述の回復オプションの選択にも影響するかもしれません。

追加の資料

Key Protect の高可用性とDRに関する追加情報については、以下のドキュメントページを参照してください: