应用跨地域访问KMS实例

应用场景

• 如果您在不支持专属KMS的地域有使用专属KMS的需求，可以通过在支持的地域购买专属KMS实例，然后配置应用跨地域去访问专属KMS实例。专属KMS支持的地域，请参见支持的地域（基础版）和支持的地域（标准版）。
• 您的应用部署在多个地域的VPC（属于同账号或不同账号）内，出于降低IT服务采购费用、密钥管理工作量等方面的因素，仅希望在少数地域开通专属KMS服务。

限制条件

跨地域访问专属KMS实例仅用于用户自建应用集成专属KMS的使用场景，不适用云产品服务端加密集成KMS的使用场景。

背景信息

PrivateZone，是基于阿里云专有网络VPC（VirtualPrivate Cloud）环境的私有DNS服务，支持您在自定义的一个或多个VPC中将私有域名映射到IP地址。更多信息，请参见什么是PrivateZone。

配置跨地域访问专属KMS实例时，首先需要设置跨地域的多个VPC连通，然后通过PrivateZone配置专属KMS实例域名解析并关联VPC，从而使您的专属KMS实例可被部署在其他地域的应用集成。在使用该方案前，您需要评估VPC间连接的成本、PrivateZone服务的成本、服务等级协议、带宽能力、生效时间等限制条件，并制定在多个地域部署应用的系统架构、网络架构、运维管理方案、应急预案。

配置完成后，系统架构图如下：

注意事项

如果您的专属KMS实例的VPC或私网IP变更，您通过本方案建立的专属KMS实例服务访问通道处于不可用状态，需要重新设置PrivateZone的解析。

导致专属KMS实例的VPC或私网IP变更的操作为：您使用的是专属KMS标准版实例，并进行了断开再连接的操作。

操作流程

前提条件

步骤一：查询专属KMS实例的VPC和私网IP

查询专属KMS实例所在的VPC和私网IP，在后续通过PrivateZone配置专属KMS实例域名解析时会用到这些信息。

查询专属KMS实例所在的VPC

1. 登录密钥管理服务控制台。
2. 在页面左上角的地域下拉列表，选择专属KMS实例所在的地域。
3. 在左侧导航栏，单击专属KMS。
4. 单击目标实例操作列的详情。
5. 在专属KMS实例详情面板，单击配置专有网络，查看并记录已关联专有网络。
   

查询专属KMS实例的私网IP

步骤二：配置VPC间网络互通

VPC之间默认是不互通的，您需要将专属KMS实例所在VPC和其他地域的VPC之间建立连接。

步骤三：通过PrivateZone配置域名解析并关联VPC

通过PrivateZone在一个或多个VPC中配置专属KMS实例私有域名映射到IP地址，可以使得您部署到其他地域的应用访问该专属KMS实例。

1. 登录云解析DNS控制台。
2. 按照控制台指引开通PrivateZone。如果您已开通过，请跳过本步骤。
   1. 在左侧导航栏单击PriviteZone，并单击立即开通。
   2. 在服务开通页面，仔细阅读并勾选服务协议，单击立即开通。
3. 添加Zone。
   1. 在PriviteZone页面的权威Zone页签，单击添加Zone。
   2. 在添加 PrivateZone对话框中，输入Zone名称后单击确定。
      例如，您可以将Zone名称命名为专属KMS实例的主域名cryptoservice.kms.aliyuncs.com。
4. 为Zone设置PrivateZone解析记录。
   1. 在权威Zone页签，找到目标Zone，单击操作列的解析设置。
   2. 在解析设置页签，单击添加记录，输入配置项后单击确定。
      • 记录类型：选择A。
      • 主机记录：填写专属KMS实例ID。
      • 记录值：填写专属KMS实例的私网IP。
      • TTL值：缓存时间，数值越小，修改记录各地址生效时间越快，默认为1分钟。您可以根据实际需求修改。
5. 将PrivateZone解析记录关联至VPC。
   1. 返回到权威Zone页签，找到目标Zone，单击操作列的关联VPC。
   2. 在关联VPC页签，选中需要关联的VPC，单击确定。
      • 选择账号：默认为本账号，如果您要关联的是其他阿里云账号下的VPC，请单击添加账户。
      • 选择VPC：选择您要关联的VPC。

步骤四：验证上述配置是否成功

在步骤三：通过PrivateZone配置域名解析并关联VPC中新关联VPC的一台ECS上执行ping命令，如果解析出的私网IP地址与步骤一：查询专属KMS实例的VPC和私网IP中查询到的私网IP地址相同，则表示配置成功。