当自建应用部署在同一地域但分布在多个VPC时,您可以在其中一个VPC内购买KMS实例,并将其他VPC绑定到该KMS实例,实现多个VPC的应用使用同一个KMS实例。本文介绍如何配置同地域下多个VPC内的应用访问KMS实例。
功能介绍
配置完成后,VPC中的应用即可通过KMS实例Endpoint,使用该KMS实例中的密钥或凭据。具体请参见下图。
注意事项
要绑定的VPC和KMS实例必须在同一个地域。
要绑定的VPC和KMS实例可以属于同一个阿里云账号,也可以属于不同阿里云账号。
如果属于不同的阿里云账号,您需要先配置资源共享,将VPC内的任一交换机资源共享给KMS实例所属的阿里云账号,实现VPC间网络互通。
绑定VPC时需要选择一个交换机,请确保交换机下至少有一个可用IP。
在该VPC,KMS实例Endpoint的域名将被解析至该IP地址。
KMS实例每绑定一个VPC,就消耗一个访问管理总量配额。如何提升配额,请参见升级KMS实例。
说明访问管理总量包含实例关联的VPC数量以及共享KMS时资源使用者的数量。例如,您的KMS实例需要关联3个VPC,并共享给2个资源使用者,那么访问管理数量配额最少为5才能满足业务需求。
前提条件
已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
如果要绑定的VPC与KMS实例属于不同阿里云账号,请将VPC内的任一交换机资源,共享给KMS实例所属的阿里云账号。具体操作,请参见开启VPC共享。
操作步骤
通过控制台配置
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
在实例管理页面,单击对应的实例页签。
定位到目标KMS实例,单击操作列的详情,在页面最下方单击多VPC页签。
单击配置VPC,在配置专有网络面板,选中待选专有网络中的VPC,单击图标。
在请选择需要绑定VPC的交换机对话框中,为每个VPC选择一个交换机,单击确定。
重要可以选择任一交换机,不限制是否为您的应用绑定的交换机,但请确保该交换机下至少有一个可用IP。
在配置专有网络页面,单击确定。
通过OpenAPI配置
通过Terraform配置
具体操作,请参见购买并启用软件密钥管理实例。