Limitazione (della larghezza di banda della rete) HSM - AWS CloudHSM
Risoluzione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazione (della larghezza di banda della rete) HSM

Quando il carico di lavoro supera la capacità HSM del cluster, riceverai messaggi di errore che indicano che gli HSM sono congestionati o limitati. In questo caso, la velocità di trasmissione effettiva potrebbe essere ridotta oppure potrebbe verificarsi un aumento del tasso di richieste di rifiuto da parte degli HSM. Inoltre, gli HSM possono inviare i seguenti errori di congestione.

  • In PKCS11, gli errori di congestione sono mappati in CKR_FUNCTION_FAILED. Questo errore può verificarsi per diversi motivi, ma se è la limitazione (della larghezza di banda della rete) HSM a causare questo errore, nel log verranno visualizzate le seguenti righe di log:

    • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

    • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

  • In JCE, gli errori di congestione sono mappati in com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.

  • Altri errori di congestione degli SDK riportano il seguente messaggio: Received error response code from Server. Response Code: 187.

  • In PKCS11, gli errori di congestione sono mappati in errori CKR_OPERATION_ACTIVE.

  • In JCE, gli errori di congestione sono mappati in CFM2Exception con lo stato 0xBB (187). Le applicazioni possono utilizzare la funzione getStatus() su CFM2Exception per verificare quale stato restituisce l'HSM.

  • Altri errori di congestione degli SDK riportano il seguente messaggio: HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

Risoluzione

È possibile risolvere questi problemi eseguendo una o più delle azioni a seguire:

  • Aggiungi i comandi di ripetizione dei tentativi per le operazioni HSM rifiutate a livello dell'applicazione. Prima di abilitare i comandi di ripetizione dei tentativi, assicurati che il cluster sia di dimensioni adeguate per soddisfare i picchi di carico.

    Nota

    Per Client SDK 5.8.0 e versioni successive, i comandi di ripetizione dei tentativi sono attivati per impostazione predefinita. Per i dettagli sulla configurazione del comando di ripetizione dei tentativi di ciascun SDK, consulta la pagina Configurazioni avanzate per lo strumento di configurazione del Client SDK 5.

  • Aggiungi altri HSM al cluster seguendo le istruzioni riportate in Aggiunta o rimozione di moduli HSM in un cluster AWS CloudHSM.

    Importante

    Si consiglia di testare il carico di carico del cluster per determinare il carico massimo da prevedere e quindi di aggiungere un altro HSM per garantire un'elevata disponibilità.