当业务应用在多地域进行主备或多活容灾部署时,为了保证容灾场景下的业务连续性,推荐您使用KMS的跨地域同步功能,即在多个地域分别购买KMS实例(其中1个作为主实例、其他为副本实例)并进行资源同步。本文介绍如何同步主实例中的资源。
如果控制台提示“如果您需要使用软件密钥导入(BYOK)、跨地域同步、监控等高级功能,请通过提交工单确认实例镜像升级至最新版本的时间。”,请您联系我们。
原理介绍
KMS实例支持跨地域同步资源,可在分钟级完成资源同步。您在配置KMS实例跨地域同步资源后,使用KMS密钥进行加密的业务应用可更轻松地实现异地多活容灾。主地域下业务应用访问KMS主实例,完成密码运算操作。容灾场景下,副本地域下的业务应用访问KMS副本实例,完成密码运算操作。具体请参见下图。
KMS专注于实现主实例与副本实例间的资源同步,对于您的业务数据层面的同步需求,超出了KMS产品的服务范畴,请您对此类业务数据同步问题作另行规划与处理。
限制条件
支持的实例类型:仅预付费模式中的软件密钥管理实例,支持跨地域同步。
副本实例限制:
个数限制:每个主实例可以绑定3个副本实例。
地域限制:主实例、所有副本实例的地域均不能相同。
资源限制:副本实例下不允许有任何密钥、凭据资源,副本实例下有资源时,不支持绑定该副本实例。
配额限制:副本实例的密钥数量、凭据数量配额,需要大于等于主实例。
跨境限制:不支持跨境同步实例。即主实例在中国内地地域时,副本实例也必须是中国内地地域。
资源同步说明
支持同步的资源:仅支持同步密钥,不支持同步凭据。
同步密钥的密钥ID、密钥版本、密钥材料、密钥状态、删除保护,不同步密钥策略、密钥别名、密钥标签。
同步周期:绑定副本实例后会同步一次,耗时约3~5分钟,后续每分钟同步一次。
同步策略:同步时如果副本实例中有相同ID的密钥,会跳过该密钥,继续同步其他密钥。您可以在同步结果中查询是否同步成功。
操作步骤
购买副本实例。具体操作,请参见购买KMS实例。
启用主实例、副本实例。具体操作,请参见启用KMS实例。
为主实例绑定副本实例。
在跨地域同步页面,单击添加副本实例。
选择主实例、备份实例,然后单击下一步。
选择资源同步类型,然后单击下一步。
同步类型
说明
①主实例全量同步
仅同步主实例中当前已创建的密钥,后续新增的密钥不会同步。
例如,当前主实例中有10个密钥,仅同步这10个密钥,这些密钥后续发生变更也会同步。
②增量密钥同步
主实例中当前已创建的密钥不会同步,仅同步后续新增的密钥。
③手动选择同步资源
仅同步您选择的指定密钥,这些密钥后续发生变更也会同步。
支持您同时选择①②,或者②③,但不支持同时选择①③。
确认配置无误后,单击确定。
约等待3~5分钟,同步完成后,主实例的状态会显示已同步100%。后续每分钟会自动同步一次。
后续操作
请您创建访问凭证,主地域、副本地域中的业务应用,分别使用主实例、副本实例中的密钥进行密码运算操作。详细信息,请参见SDK参考。
如果您使用阿里云SDK:仅需要创建一个访问凭证,且访问凭证仅支持可信实体为阿里云服务的RAM角色。
如果您使用KMS实例SDK:需要在主实例、副本实例分别创建访问凭证,且访问凭证仅支持应用接入点AAP中的ClientKey。具体操作,请参见创建应用接入点。