AWS CloudHSM 中克隆的集群 - AWS CloudHSM
获取 HSM 的 IP 地址相关 主题

AWS CloudHSM 中克隆的集群

使用 AWS CloudHSM 管理实用程序(CMU)同步远程区域中的集群,前提是该区域的集群最初是从另一个区域集群的备份中创建的。假设您将一个集群复制到另一个区域(目标),之后您想同步原始集群(源)的更改。在这样的场景中,您可以使用 CMU 来同步集群。具体方法是创建一个新的 CMU 配置文件,在新文件中指定两个集群的硬件安全模块 (HSM, hardware security modules),然后使用 CMU 通过该文件连接到集群。

跨克隆集群使用 CMU

  1. 创建当前配置文件的副本,然后将副本的名称更改为其他名称。

    例如,使用以下文件位置查找并创建当前配置文件的副本,然后将副本的名称从 cloudhsm_mgmt_config.cfg 更改为 syncConfig.cfg

    • Linux:/opt/cloudhsm/etc/cloudhsm_mgmt_config.cfg

    • Windows:C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_config.cfg

  2. 在重命名的副本中,添加目标 HSM(需要同步的国外区域的 HSM)的弹性网络接口(ENI)IP。我们建议您在源 HSM 下方添加目标 HSM。

    {
    ...
    "servers": [
        {
            ...
            "hostname": "<ENI Source IP>",
            ...
        },
        {
            ...
            "hostname": "<ENI Destination IP>",
            ...
        }
    ]
}

    有关如何获取 IP 地址的更多信息,请参阅 获取 HSM 的 IP 地址

  3. 使用新的配置文件初始化 CMU:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/userSync.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\userSync.cfg

  4. 检查返回的状态消息,以确保 CMU 连接到所有所需的 HSM,并确定返回的 ENI IP 中哪个 IP 与每个集群相对应。使用 syncUser 和 syncKey 手动同步用户和密钥。有关更多信息,请参阅 syncUsersyncKey

获取 HSM 的 IP 地址

使用此节获取 HSM 的 IP 地址。

获取 HSM 的 IP 地址(控制台)

  1. 打开位于 https://console.aws.amazon.com/cloudhsm/home 的 AWS CloudHSM 控制台。

  2. 要更改 Amazon Web Services Region,请使用页面右上角的区域选择器(Region selector)。

  3. 要打开该集群的详细信息页面,请在集群表中选择集群 ID。

  4. 要获取 IP 地址,请在 HSM 选项卡上,选择 ENI IP 地址下列出的 IP 地址之一。

获取 HSM 的 IP 地址(AWS CLI)

  • 使用 AWS CLI 中的 describe-clusters 命令获取 HSM 的 IP 地址。在该命令的输出中,HSM 的 IP 地址为 EniIp 的值。

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...