如何解决 CloudHSM 客户端和 CloudHSM 集群之间的连接问题?

上次更新时间:2019 年 11 月 8 日

我想排查并解决 AWS CloudHSM 集群和 HSM客户端之间的连接问题。

解决方法

验证是否安装了 CloudHSM 客户端程序包

CloudHSM 客户端必须安装了 CloudHSM 客户端软件才能与 HSM 进行通信。使用以下任何一个命令验证 CloudHSM 客户端程序包安装:

Red Hat Enterprise Linux (RHEL) 和 Amazon Linux:

rpm -qa | grep cloudhsm

Ubuntu:

dpkg --list | grep cloudhsm

Windows PowerShell:

Get-Service -Name AWSCloudHSMClient

如果未安装 CloudHSM 客户端软件,请按照说明安装它。有关 Linux 发行版的更多信息,请参阅安装和配置 AWS CloudHSM 客户端 (Linux)。对于 Windows,请参阅安装和配置 AWS CloudHSM 客户端 (Windows)

验证 CloudHSM 安全组是否已经与 CloudHSM 客户端关联

在创建集群时,CloudHSM 会自动创建一个名为 cloudhsm-cluster-clusterID-sg 的安全组,然后将其关联到集群。客户端实例必须与此集群安全组关联才能访问 HSM。

1.    打开 CloudHSM 控制台,然后选择集群

2.    选择集群 ID

3.    在安全组下的一般配置中,记下 cloudhsm-cluster-clusterID-sg 安全组 ID。

4.    打开 Amazon EC2 控制台,然后选择实例

5.    选择您的实例 ID,然后选择描述选项卡。

6.    检查与实例关联的安全组

7.    如果 cloudhsm-cluster-clusterID-sg 安全组 ID 未关联到该 EC2 实例,则遵循将 Amazon EC2 实例连接到 AWS CloudHSM 集群的说明。

验证 CloudHSM 客户端守护程序是否正在运行

如果 CloudHSM 客户端守护程序未运行,则应用程序主机无法连接到 HSM。使用以下任意一个命令验证 CloudHSM 客户端守护程序是否正在运行:

Amazon Linux 2、CentOS 7、RHEL 7 和 Ubuntu 16.04 LTS:

sudo systemctl is-active cloudhsm-client

CentOS 6、Amazon Linux 和 RHEL 6:

sudo status cloudhsm-client

Windows PowerShell:

Get-Service -Name AWSCloudHSMClient | Format-Table DisplayName,Status -AutoSize

如果输出显示 CloudHSM 客户端守护程序的状态为“已停止”,则应遵循启动 AWS CloudHSM 客户端的说明操作。

更新 CloudHSM 客户端配置文件中的 ENI IP 地址

1.    打开 CloudHSM 控制台,然后选择集群

2.    选择集群 ID

3.    选择 HSM 选项卡,然后记下 ENI IP 地址
注意:您也可以使用 AWS 命令行界面 (AWS CLI) 的 describe-clusters 命令。

4.    有关使用第 3 步中的 ENI IP 地址来更新客户端配置文件的说明,请参阅丢失集群连接

有关更多信息,请参阅 AWS CloudHSM 问题排查


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助吗?