本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
规划适应能力 AWS Private CA
AWS 全球基础设施是围绕 AWS 区域和可用区构建的。 AWS 区域提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域和可用区的更多信息,请参阅AWS 全球基础设施
冗余和灾难恢复
在规划 CA 层次结构时,请考虑冗余和灾难恢复。 AWS 私有 CA 在多个区域中可用,这允许您在多个区域CAs中创建冗余。该 AWS 私有 CA 服务按照可用性为 99.9% 的服务级别协议
-
您可以在两个不同的 AWS 区域CAs中创建两个根以实现冗余和灾难恢复。使用此配置,每个根 CA 可以在一个 AWS 区域中独立运行,从而在发生单区域灾难时为您提供保护。但是,创建冗余根CAs确实会增加操作的复杂性:您需要将根 CA 证书分发到环境中浏览器和操作系统的信任存储区。
-
您还可以创建冗余的从属服务器CAs以部署在每个 AWS 区域,并将它们链接到单个 AWS 区域中同一个唯一的根 CA。此方法的好处是,您只需要将单个根 CA 证书分发给环境中的信任存储。限制在于,如果发生影响您的根 CA 所在 AWS 区域的灾难,则您没有冗余的根 CA。
