Verbindung zu mehreren Clustern mit CloudHSM CLI herstellen

Mit Client SDK 5 können Sie die CloudHSM-CLI so konfigurieren, dass Verbindungen zu mehreren CloudHSM-Clustern von einer einzigen CLI-Instanz aus möglich sind.

Verwenden Sie die Anweisungen in diesem Thema, um die CloudHSM-CLI mithilfe der Multi-Cluster-Funktionalität zu verwenden, um eine Verbindung mit mehreren Clustern herzustellen.

Voraussetzungen für mehrere Cluster

• Zwei oder mehr AWS CloudHSM Cluster, zu denen Sie eine Verbindung herstellen möchten, zusammen mit ihren Cluster-Zertifikaten.

• Eine EC2-Instance mit Sicherheitsgruppen, die korrekt konfiguriert sind, um eine Verbindung zu allen oben genannten Clustern herzustellen. Weitere Informationen zum Einrichten eines Clusters und der Client-Instanz finden Sie unter Erste Schritte mit AWS CloudHSM.

• Um die Multi-Cluster-Funktionalität einzurichten, müssen Sie die CloudHSM-CLI bereits heruntergeladen und installiert haben. Wenn Sie dies noch nicht getan haben, lesen Sie die Anweisungen unter Erste Schritte mit der CloudHSM-Befehlszeilenschnittstelle (CLI).

• Sie können nicht auf einen Cluster zugreifen, der mit konfiguriert ist, ./configure-cli[.exe] -a da er nicht mit einem verknüpft ist. cluster-id Sie können ihn neu konfigurieren, indem Sie config-cli add-cluster wie in diesem Handbuch beschrieben vorgehen.

Konfigurieren Sie die CloudHSM-CLI für Multi-Cluster-Funktionalität

Gehen Sie folgendermaßen vor, um Ihre CloudHSM-CLI für Multi-Cluster-Funktionalität zu konfigurieren:

1. Identifizieren Sie die Cluster, mit denen Sie eine Verbindung herstellen möchten.

2. Fügen Sie diese Cluster mithilfe des add-cluster Unterbefehls configure-cli wie unten beschrieben zu Ihrer CloudHSM CLI-Konfiguration hinzu.

3. Starten Sie alle CloudHSM CLI-Prozesse neu, damit die neue Konfiguration wirksam wird.

configure-cli — Cluster hinzufügen

Wenn Sie eine Verbindung zu mehreren Clustern herstellen, verwenden Sie den configure-cli add-cluster Befehl, um Ihrer Konfiguration einen Cluster hinzuzufügen.

Syntax

configure-cli add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--server-client-cert-file <CLIENT CERTIFICATE FILE>]
        [--server-client-key-file <CLIENT KEY FILE>]
        [-h, --help]

Beispiele

Fügen Sie mithilfe des cluster-id-Parameters einen Cluster hinzu

Verwenden Sie den configure-cli add-cluster zusammen mit dem cluster-id-Parameter, um Ihrer Konfiguration einen Cluster (mit der ID von cluster-1234567) hinzuzufügen.

Linux

$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-cli.exe add-cluster --cluster-id cluster-1234567

Tipp

Wenn die Verwendung von configure-cli add-cluster mit dem cluster-id-Parameter nicht dazu führt, dass der Cluster hinzugefügt wird, finden Sie im folgenden Beispiel eine längere Version dieses Befehls, die auch die Parameter --region und --endpoint zur Identifizierung des hinzugefügten Clusters erfordert. Wenn zum Beispiel die Region des Clusters eine andere ist als die, die als Standard für Ihre AWS CLI konfiguriert ist, sollten Sie den --region-Parameter verwenden, um die richtige Region zu verwenden. Darüber hinaus haben Sie die Möglichkeit, den AWS CloudHSM API-Endpunkt anzugeben, der für den Anruf verwendet werden soll. Dies kann für verschiedene Netzwerkkonfigurationen erforderlich sein, z. B. für die Verwendung von VPC-Schnittstellenendpunkten, für die nicht den Standard-DNS-Hostnamen verwendet wird. AWS CloudHSM

Fügen Sie einen Cluster mit den Parametern cluster-id, endpoint, und region hinzu

Verwenden Sie configure-cli add-cluster zusammen mit den Parametern cluster-id, endpoint und region, um Ihrer Konfiguration einen Cluster (mit der ID von cluster-1234567) hinzuzufügen.

Linux

$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-cli.exe add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Weitere Hinweise zu den Parametern --cluster-id, --region und --endpoint finden Sie unter Parameter.

Parameter

--cluster-id <Cluster ID>

Führt einen DescribeClusters-Aufruf aus, um alle IP-Adressen der HSM-Elastic-Network-Schnittstelle (ENI) im Cluster mit der Cluster-ID zu finden. Das System fügt die ENI-IP-Adressen zu den Konfigurationsdateien hinzu. AWS CloudHSM

Anmerkung

Wenn Sie den --cluster-id Parameter von einer EC2-Instance innerhalb einer VPC verwenden, die keinen Zugriff auf das öffentliche Internet hat, müssen Sie einen VPC-Schnittstellen-Endpunkt erstellen, mit dem Sie eine Verbindung herstellen können. AWS CloudHSM Weitere Informationen über VPC-Endpunkte finden Sie unter AWS CloudHSM und VPC-Endpunkte.

Erforderlich: Ja

--endpoint <Endpoint>

Geben Sie den AWS CloudHSM API-Endpunkt an, der für den Aufruf verwendet wird. DescribeClusters Sie müssen diese Option in Kombination mit --cluster-id festlegen.

Erforderlich: Nein

-- hsm-ca-cert <HsmCA Certificate Filepath>

Gibt den Dateipfad zum HSM-CA-Zertifikat an.

Erforderlich: Nein

--region <Region>

Geben Sie die Region Ihres Clusters an. Sie müssen diese Option in Kombination mit --cluster-id festlegen.

Wenn Sie den --region-Parameter nicht angeben, wählt das System die Region aus, indem es versucht, die Umgebungsvariablen AWS_DEFAULT_REGION oder AWS_REGION zu lesen. Wenn diese Variablen nicht festgelegt sind, überprüft das System die Region, die Ihrem Profil in Ihrer AWS-Config-Datei zugeordnet ist (normalerweise ~/.aws/config), sofern Sie in der AWS_CONFIG_FILE-Umgebungsvariable keine andere Datei angegeben haben. Wenn keine der oben genannten Optionen festgelegt ist, verwendet das System standardmäßig die us-east-1-Region.

Erforderlich: Nein

-- server-client-cert-file <Client Certificate Filepath>

Pfad zum Client-Zertifikat, das für die gegenseitige TLS-Client-Server-Authentifizierung verwendet wird.

Verwenden Sie diese Option nur, wenn Sie nicht den Standardschlüssel und das SSL/TLS-Zertifikat verwenden möchten, die im Client-SDK 5 enthalten sind. Sie müssen diese Option in Kombination mit --server-client-key-file festlegen.

Erforderlich: Nein

-- server-client-key-file <Client Key Filepath>

Pfad zum Client-Schlüssel, der für die gegenseitige TLS-Client-Server-Authentifizierung verwendet wird.

Verwenden Sie diese Option nur, wenn Sie nicht den Standardschlüssel und das SSL/TLS-Zertifikat verwenden möchten, die im Client-SDK 5 enthalten sind. Sie müssen diese Option in Kombination mit --server-client-cert-file festlegen.

Erforderlich: Nein

configure-cli remove-cluster

Wenn Sie mit der CloudHSM-CLI eine Verbindung zu mehreren Clustern herstellen, verwenden Sie den configure-cli remove-cluster Befehl, um einen Cluster aus Ihrer Konfiguration zu entfernen.

Syntax

configure-cli remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]

Beispiele

Entfernen Sie mithilfe des cluster-id-Parameters einen Cluster

Verwenden Sie den configure-cli remove-cluster zusammen mit dem cluster-id-Parameter, um aus Ihrer Konfiguration einen Cluster (mit der ID von cluster-1234567) zu entfernen.

Linux

$ sudo /opt/cloudhsm/bin/configure-cli remove-cluster --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-cli.exe remove-cluster --cluster-id cluster-1234567

Weitere Informationen zum Parameter --cluster-id erhalten Sie unter Parameter.

Parameter

--cluster-id <Cluster ID>

Die ID des Clusters, der aus der Konfiguration entfernt werden soll.

Erforderlich: Ja

Verwenden mehrerer Cluster

Nachdem Sie mehrere Cluster mit der CloudHSM-CLI konfiguriert haben, verwenden Sie den cloudhsm-cli Befehl, um mit ihnen zu interagieren.

Beispiele

cluster-idBei Verwendung des interaktiven Modus einen Standard festlegen

Verwenden Sie den interaktiver Modus zusammen mit dem cluster-id Parameter, um einen Standardcluster (mit der ID voncluster-1234567) aus Ihrer Konfiguration festzulegen.

Linux

$ cloudhsm-cli interactive --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\cloudhsm-cli.exe interactive --cluster-id cluster-1234567

Einstellung voncluster-id, wenn ein einzelner Befehl ausgeführt wird

Verwenden Sie den cluster-id Parameter, um den Cluster (mit der ID voncluster-1234567) festzulegen, von cluster hsm-info dem aus Sie abrufen möchten.

Linux

$ cloudhsm-cli cluster hsm-info --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\cloudhsm-cli.exe cluster hsm-info --cluster-id cluster-1234567