应用跨地域访问KMS实例

应用场景

• 您在不支持KMS的地域有使用KMS的需求，可以在支持的地域购买KMS实例，然后配置应用跨地域去访问KMS实例。KMS支持的地域，请参见地域和接入地址。

• 应用部署在多个地域的VPC（属于同账号或不同账号）内，出于降低IT服务采购费用、密钥管理工作量等方面的因素，仅希望在少数地域开通KMS服务。

限制条件

跨地域访问KMS实例仅用于用户自建应用集成KMS的使用场景，不适用云产品服务端加密集成KMS的使用场景。

背景信息

PrivateZone，是基于阿里云专有网络VPC（Virtual Private Cloud）环境的私有DNS服务，支持您在自定义的一个或多个VPC中将私有域名映射到IP地址。更多信息，请参见什么是PrivateZone。

配置跨地域访问KMS实例时，首先需要设置跨地域的多个VPC连通，然后通过PrivateZone配置KMS实例域名解析并关联VPC，从而使您的KMS实例可被部署在其他地域的应用集成。在使用该方案前，您需要评估VPC间连接的成本、PrivateZone服务的成本、服务等级协议、带宽能力、生效时间等限制条件，并制定在多个地域部署应用的系统架构、网络架构、运维管理方案、应急预案。

注意事项

如果您的KMS实例的VPC或私网IP变更，您通过本方案建立的KMS实例服务访问通道处于不可用状态，需要重新设置PrivateZone的解析。导致KMS实例的VPC或私网IP变更的操作为：您使用的是KMS硬件密钥管理实例，并进行了断开再连接的操作。

前提条件

已购买和启用KMS实例。具体操作，请参见购买和启用KMS实例。

步骤一：查询KMS实例的VPC和私网IP

查询KMS实例所在的VPC和私网IP，在后续通过PrivateZone配置KMS实例域名解析时会用到这些信息。

查询KMS实例所在的VPC

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击资源 > 实例管理。

2. 定位到目标实例，单击操作列的管理。

3. 在详情页面下方的多VPC页签，查看实例所属的VPC。

查询KMS实例的私网IP

步骤二：配置VPC间网络互通

VPC之间默认是不互通的，您需要将KMS实例所在VPC和其他地域的VPC之间建立连接。

步骤三：通过PrivateZone配置域名解析并关联VPC

通过PrivateZone在一个或多个VPC中配置KMS实例私有域名映射到IP地址，可以使得您部署到其他地域的应用访问该KMS实例。

1. 登录云解析DNS控制台。

2. 添加Zone。

   1. 单击PrivateZone，在内网DNS解析 (PrivateZone)页面下方的用户域名页签，单击添加域名（Zone）。

   2. 输入内置权威域名 (Zone)，域名生效范围选中需要关联的VPC，然后单击确定。

      您可以将Zone名称命名为KMS实例的主域名cryptoservice.kms.aliyuncs.com。

3. 为Zone设置PrivateZone解析记录。

   1. 在域名列表中找到目标Zone，单击操作列的解析记录。

   2. 在解析记录页签，单击添加记录，输入配置项后单击确定。

      • 记录类型：选择A。

      • 主机记录：填写KMS实例ID。

      • 记录值：填写KMS实例的私网IP。

      • TTL值：缓存时间，数值越小，修改记录各地址生效时间越快，默认为1分钟。您可以根据实际需求修改。

步骤四：验证上述配置是否成功

在步骤三：通过PrivateZone配置域名解析并关联VPC中新关联VPC的一台ECS上执行ping命令，如果解析出的私网IP地址与步骤一：查询KMS实例的VPC和私网IP中查询到的私网IP地址相同，则表示配置成功。