如何解决 CloudHSM 客户端与 CloudHSM 集群之间的连接问题？

解决方案

确认 CloudHSM 客户端软件包已经安装

必须安装 CloudHSM 客户端软件才能与 HSM 通信。要确认 CloudHSM 软件包已安装，请运行以下命令之一：

Red Hat Enterprise Linux (RHEL) 和 Amazon Linux：

rpm -qa | grep cloudhsm

Ubuntu：

dpkg --list | grep cloudhsm

Windows PowerShell：

Get-Service -Name AWSCloudHSMClient

如果未安装 CloudHSM 客户端软件，请参阅 Install and configure the AWS CloudHSM client (Linux) 和 Install and configure the AWS CloudHSM client (Windows)。

确认 CloudHSM 安全组与 CloudHSM 客户端实例相关联

在创建集群时，CloudHSM 会自动创建一个名为 ** cloudhsm-cluster-clusterID-sg** 的安全组，然后将这些组与该集群关联起来。要访问 HSM，必须将客户端实例与集群安全组关联起来。

完成以下步骤：

1. 打开 CloudHSM 控制台，然后选择集群。
2. 选择您的集群 ID。
3. 在安全组下的常规配置中，记下 cloudhsm-cluster-clusterID-sg 安全组 ID。
4. 打开 Amazon EC2 控制台，然后选择实例。
5. 选择您的实例 ID，然后选择描述选项卡。
6. 检查与该实例相关的安全组。
7. 如果 cloudhsm-cluster-clusterID-sg 安全组 ID 与 EC2 实例无关，则将 Amazon EC2 实例连接到 AWS CloudHSM 集群。

确认 CloudHSM 客户端进程守护程序正在运行

如果 CloudHSM 客户端进程守护程序没有运行，则应用程序主机无法连接到 HSM。要确认 CloudHSM 客户端进程守护程序是否运行，请运行以下命令之一：

Amazon Linux 2, CentOS 7, RHEL 7, 和 Ubuntu 16.04 LTS：

sudo systemctl is-active cloudhsm-client

CentOS 6, Amazon Linux, 和 RHEL 6：

sudo status cloudhsm-client

Windows PowerShell：

Get-Service -Name AWSCloudHSMClient | Format-Table DisplayName,Status -AutoSize

如果输出显示 CloudHSM 客户端进程守护程序状态为已停止，则启动 CloudHSM 客户端。

更新 CloudHSM 客户端弹性网络接口 IP 地址的配置文件

**注意：**如果在运行 AWS 命令行界面（AWS CLI）命令时收到错误，请参阅 排查 AWS CLI 错误。此外，应确保您使用的是最新版本的 AWS CLI。

完成以下步骤：

1. 打开 CloudHSM 控制台，然后选择集群。
2. 选择您的集群 ID。
3. 选择 HSM 选项卡，然后记下网络接口 IP 地址。
   **注意：**您还可以使用 AWS 命令行界面（AWS CLI）describe-clusters 命令。
4. 要使用网络接口 IP 地址更新客户端的配置文件，请参阅 Lost connection to the cluster。

有关更多信息，请参阅排查 AWS CLI 错误。

相关信息

哪些 CloudHSM 证书用于客户端-服务器端到端加密连接？