本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在中创建集群 AWS CloudHSM
<a name="create-cluster"></a>

集群是各个硬件安全模块 (HSMs) 的集合。 AWS CloudHSM 同步每个群集 HSMs 中的，以便它们充当逻辑单元。 AWS CloudHSM *提供两种类型 HSMs：*hsm1.medium 和 hsm2m.med* ium。*创建集群时，您可以选择将两者中的哪一个加入到您的集群中。有关每种 HSM 类型和集群模式之间的差异的详细信息，请参阅 [AWS CloudHSM 集群模式](cluster-hsm-types.md)。

创建集群时， AWS CloudHSM 会代表您为该集群创建一个安全组。此安全组控制对集群 HSMs 中的的网络访问。它仅允许来自安全组中的亚马逊弹性计算云 (Amazon EC2) 实例的入站连接。默认情况下，安全组不包含任何实例。稍后，您可以[启动客户端实例](launch-client-instance.md)和[配置集群的安全组](configure-sg.md)以允许与 HSM 的通信和连接。

**注意事项**
+ 以下是在 AWS CloudHSM中创建集群时的一些注意事项：
  + 创建集群时， AWS CloudHSM 会创建一个名为 AWSService RoleForCloud HSM 的[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。如果 AWS CloudHSM 无法创建角色或角色尚不存在，则可能无法创建集群。有关更多信息，请参阅 [解决 AWS CloudHSM 集群创建失败的问题](troubleshooting-create-cluster.md)。有关服务相关角色的更多信息，请参阅[的服务相关角色 AWS CloudHSM](service-linked-roles.md)。
  +  如果您使用的是[AWS CloudHSM 双堆栈终端节点](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)（即 cloudhsmv2. *<region>*.api.aws)，请确保更新您的 IAM 政策以进行处理。 IPv6有关更多信息，请参阅 “[安全性” 下的 “将 IAM 策略升级为IPv6 ” 部分](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html)。

可以通过 [AWS CloudHSM 控制台](https://console.aws.amazon.com/cloudhsm/)、[AWS Command Line Interface （AWS CLI）](https://aws.amazon.com/cli/)或 AWS CloudHSM API 创建集群。

有关集群参数和的详细信息 APIs，请参阅《 AWS CLI 命令参考》[https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)中的。

------
#### [ Console ]

**创建集群 (控制台)**

1. 在家中打开[https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/home)机。

1. 在导航栏上，使用区域选择器选择 AWS CloudHSM 当前支持的 [AWS 区域之一](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region)。

1. 选择**创建集群**。

1. 在**集群配置**部分中，执行以下操作：

   1. 对于 **VPC**，选择您在 [为创建虚拟私有云 (VPC) AWS CloudHSM](create-vpc.md) 中创建的 VPC。

   1. 对于**可用区**，在可用区旁边选择您创建的私有子网。
**注意**  
即使给定可用区 AWS CloudHSM 不支持，性能也不应受到影响，因为集群 HSMs 中的所有可用区 AWS CloudHSM 会自动进行负载平衡。要查看可用区支持的内容 *AWS 一般参考*，请参阅中的[AWS CloudHSM 区域和终端节点](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) AWS CloudHSM。

   1. 对于 **HSM 类型**，选择可以在集群中创建的 HSM 类型以及所需的集群模式。要查看每个区域所支持的 HSM 类型，请参阅 [AWS CloudHSM 定价计算器](https://aws.amazon.com/cloudhsm/pricing/)。
**重要**  
集群创建后，无法更改集群模式。有关适合您的使用案例的类型和模式的信息，请参阅 [AWS CloudHSM 集群模式](cluster-hsm-types.md)。

   1. 在 “**网络类型**” 中，选择用于访问您的 IP 地址协议 HSMs。 IPv4 将您的应用程序之间的通信限制 HSMs 为 “ IPv4 仅限”。这是默认选项。双栈同时支持 IPv4 和 IPv6通信。要使用双堆栈，请将 IPv4 和 IPv6 CIDRs添加到您的 VPC 和子网配置中。初始设置后很难更改网络类型。要对其进行修改，请创建现有集群的备份，然后使用所需的网络类型还原一个新集群。有关更多信息，请参阅[通过备份创建 AWS CloudHSM 集群](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) 

   1. 对于**集群源**，指定您是要创建新集群还是从现有备份中还原一个集群。
      + 处于非 FIPS 模式的集群备份只能用于还原处于非 FIPS 模式的集群。
      + 处于 FIPS 模式的集群备份只能用于还原处于 FIPS 模式的集群。

1. 选择**下一步**。

1. 指定服务的备份保留期。

   1. 接受 90 天的默认保留期或键入一个介于 7 到 379 天之间的新值。该服务将自动删除此集群中早于您在此处所指定的值的备份。您以后可以更改此值。有关更多信息，请参阅 [配置备份保留](manage-backup-retention.md)。

1. 选择**下一步**。

1. （可选）键入标签键和一个可选标签值。要向集群添加多个标签，请选择 **添加标签**。

1. 选择**审核**。

1. 检查您的集群配置，然后选择 **创建集群**。

如果您尝试创建集群失败，则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助，请参阅[解决 AWS CloudHSM 集群创建失败的问题](troubleshooting-create-cluster.md)。

------
#### [ AWS CLI ]

**创建集群 ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ 在命令提示符下，运行 **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)** 命令。指定 HSM 实例类型、备份保留期以及您计划在其中创建 IDs 的子网的子网。 HSMs使用您创建 IDs 的私有子网的子网。每个可用区仅指定一个子网。

  ```
  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                      --backup-retention-policy Type=DAYS,Value=<number of days> \
                      --subnet-ids <subnet ID> \
                      --mode <FIPS> \
                      --network-type <IPV4>
  
  {
      "Cluster": {
          "BackupPolicy": "DEFAULT",
          "BackupRetentionPolicy": {
              "Type": "DAYS",
              "Value": 90
           },
          "VpcId": "vpc-50ae0636",
          "SubnetMapping": {
              "us-west-2b": "subnet-49a1bc00",
              "us-west-2c": "subnet-6f950334",
              "us-west-2a": "subnet-fd54af9b"
          },
          "SecurityGroup": "sg-6cb2c216",
          "HsmType": "hsm2m.medium",
          "NetworkType": "IPV4",
          "Certificates": {},
          "State": "CREATE_IN_PROGRESS",
          "Hsms": [],
          "ClusterId": "cluster-igklspoyj5v",
          "ClusterMode": "FIPS",
          "CreateTimestamp": 1502423370.069
      }
  }
  ```
**注意**  
`ClusterMode` 是除 hsm1.medium.`--mode` 之外的所有 hsm 类型的必需参数：  

  ```
  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
    				--backup-retention-policy Type=DAYS,Value=<number of days> \
    				--subnet-ids <subnet ID> \
  				--mode NON_FIPS
  ```

如果您尝试创建集群失败，则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助，请参阅[解决 AWS CloudHSM 集群创建失败的问题](troubleshooting-create-cluster.md)。

------
#### [ AWS CloudHSM API ]

**创建集群 (AWS CloudHSM API)**
+ 发送 [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html) 请求。指定 HSM 实例类型、备份保留策略以及您计划在其中创建 IDs 的子网的子网。 HSMs使用您创建 IDs 的私有子网的子网。每个可用区仅指定一个子网。

如果您尝试创建集群失败，则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助，请参阅[解决 AWS CloudHSM 集群创建失败的问题](troubleshooting-create-cluster.md)。

------