HSM-Drosselung - AWS CloudHSM
Auflösung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

HSM-Drosselung

Wenn Ihre Workload die HSM-Kapazität Ihres Clusters überschreitet, erhalten Sie Fehlermeldungen, die darauf hinweisen, dass HSMs ausgelastet oder gedrosselt sind. In diesem Fall kann es zu einem verringerten Durchsatz oder zu einer erhöhten Anzahl von Ablehnungsanfragen von HSMs kommen. Darüber hinaus senden HSMs möglicherweise die folgenden Busy-Fehler.

  • In PKCS11 werden Busy-Fehler CKR_FUNCTION_FAILED zugeordnet. Dieser Fehler kann aus mehreren Gründen auftreten. Wenn dieser Fehler jedoch durch HSM-Drosselung verursacht wird, werden die folgenden Protokollzeilen in Ihrem Protokoll angezeigt:

    • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

    • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

  • In JCE werden Busy-Fehler com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing. zugeordnet.

  • Bei Auslastungsfehlern anderer SDKs wird die folgende Meldung ausgegeben: Received error response code from Server. Response Code: 187.

  • In PKCS11 werden Busy-Fehler CKR_OPERATION_ACTIVEFehlern zugeordnet.

  • In JCE werden Busy-Fehler CFM2Exception mit dem Status 0xBB (187) zugeordnet. Anwendungen können die getStatus()-Funktion auf CFM2Exception verwenden, um zu überprüfen, welcher Status vom HSM zurückgegeben wird.

  • Bei Auslastungsfehlern anderer SDKs wird die folgende Meldung ausgegeben: HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

Auflösung

Sie können diese Probleme beheben, indem Sie mindestens eine der folgenden Maßnahmen ergreifen:

  • Fügen Sie Wiederholungsbefehle für abgelehnte HSM-Operationen in Ihrer Anwendungsebene hinzu. Stellen Sie vor der Aktivierung von Wiederholungsbefehlen sicher, dass Ihr Cluster ausreichend dimensioniert ist, um Spitzenlasten zu bewältigen.

    Anmerkung

    Für Client-SDK 5.8.0 und höher sind Wiederholungsbefehle standardmäßig aktiviert. Einzelheiten zur Konfiguration der Wiederholungsbefehle der einzelnen SDKs finden Sie unter Erweiterte Konfigurationen für das Client-SDK-5-Configure-Tool.

  • Fügen Sie Ihrem Cluster weitere HSMs hinzu, indem Sie den Anweisungen unter Hinzufügen oder Entfernen von HSMs in einem Cluster AWS CloudHSM folgen.

    Wichtig

    Wir empfehlen, Ihren Cluster einem Belastungstest zu unterziehen, um die zu erwartende Spitzenlast zu ermitteln, und dann ein weiteres HSM hinzuzufügen, um eine hohe Verfügbarkeit zu gewährleisten.