你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 专用 HSM 支持能力

Azure 专用 HSM 服务为唯一客户提供物理设备,并承担完整的管理控制和管理责任。 该设备是 Thales Luna 7 HSM 型号 A790。 配置设备后,Microsoft没有管理访问权限,只能通过物理串行端口连接进行监控。 如果没有访问权限,Microsoft没有正在进行的软件级维护或系统管理责任。 因此,客户负责典型的操作活动。 客户完全负责使用 HSM 的应用程序,应与 Thales 合作以获取支持或基于咨询的帮助。 由于客户对运营卫生的所有权程度,Microsoft无法为此服务提供任何类型的高可用性保证。 客户有责任确保其应用程序正确配置为实现高可用性。 Microsoft监视和维护设备运行状况和网络连接。

获取支持

专用 HSM 的客户支持是 Microsoft 和 Thales 之间的共同努力。 Microsoft解决任何硬件问题或网络路径问题。 Thales 解决了与实际 HSM 相关的所有事务,例如配置、软件、固件和应用程序开发。 此支持模型可确保最快速的路由到最有效的支持。 如果对特定问题表示怀疑,请向Microsoft提出支持请求,并相应地指导你。 Microsoft始终参与所有支持方案,并努力为你提供最佳支持体验。

Thales 支持

根据 Thales 的 Plus 支持计划,使用专用 HSM 服务的客户有资格获得 Thales 的支持。 此支持计划只需通过 Thales 支持门户进行注册。 作为与 Microsoft 初步接触以访问专用 HSM 服务的一部分,提供了客户 ID 和说明。 通过 Thales 的客户支持门户获取支持。 一个关键要点是,Thales 通过客户支持门户下载提供使用 HSM(例如客户端访问软件和 SDK)所需的所有软件和文档。

软件组件

在 HSM 设备配置中使用各种软件组件:

  • 客户端软件
  • SDK
  • 工具

Guidance

Thales 通过 Thales 客户支持门户提供管理和配置指南。 使用有效的客户 ID 登录后,可以下载这些文档。 Thales 还提供一系列集成指南,帮助客户实现不同的方案和软件集成。 有关详细信息,请参阅 Thales 的微软合作伙伴网站

支持

解决与将 HSM 作为专用 HSM 服务的一部分直接用于 Thales 支持相关的任何软件级问题或疑问。 Thales 解决了前面列出的所有软件组件,以及预配后的所有自定义 HSM 配置。 有关详细信息,请参阅 Thales 客户支持门户

咨询服务

有关使用 HSM 的自定义应用程序的设计、开发和部署方面的帮助,请联系 Thales 帐户代表。

Microsoft 支持部门

Microsoft确保物理 HSM 设备可以通过网络访问,并且处于可操作状态,供单个客户独占使用。 客户负责设备的配置、管理和管理。 Microsoft责任包括:

  • 确保设备具有电源和冷却
  • 维护 HSM 的运行状态(例如中断/修复情况)
  • 确保设备可通过网络访问。

向Microsoft报告以下问题:

  • 组件故障
  • 完全设备故障
  • 网络访问问题
  • 配置和解除配置过程中出现问题。

Microsoft 通过启用基本健康遥测的监视角色(即非管理角色)对设备进行物理串行端口访问。 此访问允许Microsoft向客户提供问题的主动通知,除非客户选择限制此权限。

预配和退役

注册并批准专用 HSM 服务后,可以创建 HSM 资源(当前通过 PowerShell 或命令行接口而不是 Azure 门户)。 资源通过分配过程,将指定区域中的物理设备映射到客户的预定义虚拟网络(VNet)。 在 VNet 上可见后,可以根据要求访问设备并对其进行进一步配置。 使用 Thales 客户端软件和工具访问专用 HSM。 Microsoft支持资源创建过程。 Thales 支持自定义配置过程及更高版本(请参阅上述 Thales 支持)。 使用完 HSM 后,必须重置 HSM(或将 HSM 归零),以确保不会暂留数据。 重置设备的过程会删除所有自定义配置和数据。 Microsoft 解除分配设备,并将其以原始状态返回到池中。 此过程可确保当设备返回池中时,没有以前客户活动的证据。

硬件问题

HSM 设备具有冗余且可更换的电源和风扇单元。 但是,风扇单元删除仍会导致篡改事件。 发生组件故障时,Microsoft使用最合适的过程来解决组件级问题,从而最大程度地减少服务可用性中断和最低风险。

电源事件

HSM 使用双 PSU 冗余。 数据中心维护期间出现的暂时性单个电源单元(PSU)日志消息是正常的,不需要采取措施或提交支持请求。 有关详细信息,请参阅 电源冗余

设备出现更严重的故障时,将用备用池中的新设备替换该设备。 若要同步并恢复到完整的操作状态,请在现有 HA 对中添加新设备。 故障设备的数据承载设备在数据中心现场被移除并粉碎。

网络问题

如果遇到 HSM 设备的网络访问问题,请联系Microsoft支持人员。 网络访问的简单测试是使用 SSH 连接到 HSM 设备。 如果此测试失败,请联系Microsoft支持部门。

对支持服务级别的期望

有关Microsoft支持服务级别,请参阅 Azure 支持计划。 有关 Thales 支持服务级别,请参阅 Thales 支持概要

后续步骤

在设备预配和应用程序设计或部署之前,请确保了解关键概念,例如高可用性和安全性。

  • Last updated on