應用場景

• 您在不支持KMS的地域有使用KMS的需求，可以在支持的地域購買KMS實例，然后配置應用跨地域去訪問KMS實例。KMS支持的地域，請參見地域和接入地址。

• 應用部署在多個地域的VPC（屬于同賬號或不同賬號）內，出于降低IT服務采購費用、密鑰管理工作量等方面的因素，僅希望在少數地域開通KMS服務。

限制條件

跨地域訪問KMS實例僅用于用戶自建應用集成KMS的使用場景，不適用云產品服務端加密集成KMS的使用場景。

背景信息

PrivateZone，是基于阿里云專有網絡VPC（Virtual Private Cloud）環境的私有DNS服務，支持您在自定義的一個或多個VPC中將私有域名映射到IP地址。更多信息，請參見什么是PrivateZone。

配置跨地域訪問KMS實例時，首先需要設置跨地域的多個VPC連通，然后通過PrivateZone配置KMS實例域名解析并關聯VPC，從而使您的KMS實例可被部署在其他地域的應用集成。在使用該方案前，您需要評估VPC間連接的成本、PrivateZone服務的成本、服務等級協議、帶寬能力、生效時間等限制條件，并制定在多個地域部署應用的系統架構、網絡架構、運維管理方案、應急預案。

注意事項

如果您的KMS實例的VPC或私網IP變更，您通過本方案建立的KMS實例服務訪問通道處于不可用狀態，需要重新設置PrivateZone的解析。導致KMS實例的VPC或私網IP變更的操作為：您使用的是KMS硬件密鑰管理實例，并進行了斷開再連接的操作。

前提條件

已購買和啟用KMS實例。具體操作，請參見購買和啟用KMS實例。

步驟一：查詢KMS實例的VPC和私網IP

查詢KMS實例所在的VPC和私網IP，在后續通過PrivateZone配置KMS實例域名解析時會用到這些信息。

查詢KMS實例所在的VPC

1. 登錄密鑰管理服務控制臺，在頂部菜單欄選擇地域后，在左側導航欄單擊資源 > 實例管理。

2. 定位到目標實例，單擊操作列的管理。

3. 在詳情頁面下方的多VPC頁簽，查看實例所屬的VPC。

查詢KMS實例的私網IP

步驟二：配置VPC間網絡互通

VPC之間默認是不互通的，您需要將KMS實例所在VPC和其他地域的VPC之間建立連接。

步驟三：通過PrivateZone配置域名解析并關聯VPC

通過PrivateZone在一個或多個VPC中配置KMS實例私有域名映射到IP地址，可以使得您部署到其他地域的應用訪問該KMS實例。

1. 登錄云解析DNS控制臺。

2. 添加Zone。

   1. 單擊PrivateZone，在內網DNS解析 (PrivateZone)頁面下方的用戶域名頁簽，單擊添加域名（Zone）。

   2. 輸入內置權威域名 (Zone)，域名生效范圍選中需要關聯的VPC，然后單擊確定。

      您可以將Zone名稱命名為KMS實例的主域名cryptoservice.kms.aliyuncs.com。

3. 為Zone設置PrivateZone解析記錄。

   1. 在域名列表中找到目標Zone，單擊操作列的解析記錄。

   2. 在解析記錄頁簽，單擊添加記錄，輸入配置項后單擊確定。

      • 記錄類型：選擇A。

      • 主機記錄：填寫KMS實例ID。

      • 記錄值：填寫KMS實例的私網IP。

      • TTL值：緩存時間，數值越小，修改記錄各地址生效時間越快，默認為1分鐘。您可以根據實際需求修改。

步驟四：驗證上述配置是否成功

在步驟三：通過PrivateZone配置域名解析并關聯VPC中新關聯VPC的一臺ECS上執行ping命令，如果解析出的私網IP地址與步驟一：查詢KMS實例的VPC和私網IP中查詢到的私網IP地址相同，則表示配置成功。