我想對 AWS CloudHSM 叢集與 CloudHSM 用戶端之間的連線問題進行疑難排解並加以解決。
解決方法
確認已安裝 CloudHSM 用戶端套件
您必須安裝 CloudHSM 用戶端軟體,才能與 HSM 通訊。若要確認已安裝 CloudHSM 套件,請執行下列其中一個命令:
Red Hat Enterprise Linux (RHEL) 和 Amazon Linux:
rpm -qa | grep cloudhsm
Ubuntu:
dpkg --list | grep cloudhsm
Windows PowerShell:
Get-Service -Name AWSCloudHSMClient
如果未安裝 CloudHSM 用戶端軟體,請參閱安裝和設定 AWS CloudHSM 用戶端 (Linux) 以及安裝和設定 AWS CloudHSM 用戶端 (Windows)。
確認 CloudHSM 安全群組已與 CloudHSM 用戶端執行個體關聯
建立叢集時,CloudHSM 會自動建立名為 cloudhsm-cluster-clusterID-sg 的安全群組,然後將群組與叢集關聯。若要存取 HSM,您必須將用戶端執行個體與叢集安全群組關聯。
請完成下列步驟:
- 開啟 CloudHSM 主控台,然後選擇叢集。
- 選取您的叢集 ID。
- 在安全群組下的一般組態中,記下 cloudhsm-cluster-clusterID-sg 安全群組 ID。
- 開啟 Amazon EC2 主控台,然後選擇執行個體。
- 選取您的執行個體 ID,然後選擇描述標籤。
- 檢查與執行個體關聯的安全群組。
- 如果 cloudhsm-cluster-clusterID-sg 安全群組 ID 與 EC2 執行個體沒有關聯,請將 Amazon EC2 執行個體連線到 AWS CloudHSM 叢集。
確認 CloudHSM 用戶端常駐程式正在執行
如果 CloudHSM 用戶端常駐程式未執行,則應用程式主機無法連線到 HSM。若要確認 CloudHSM 用戶端常駐程式正在執行,請執行下列其中一個命令:
Amazon Linux 2、CentOS 7、RHEL 7 和 Ubuntu 16.04 LTS:
sudo systemctl is-active cloudhsm-client
CentOS 6、Amazon Linux 和 RHEL 6:
sudo status cloudhsm-client
Windows PowerShell:
Get-Service -Name AWSCloudHSMClient | Format-Table DisplayName,Status -AutoSize
如果輸出顯示 CloudHSM 用戶端常駐程式狀態為已停止,請啟動 CloudHSM 用戶端。
更新 CloudHSM 用戶端彈性網路介面 IP 位址的組態檔案
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
請完成下列步驟:
- 開啟 CloudHSM 主控台,然後選擇叢集。
- 選取您的叢集 ID。
- 選擇 HSM 標籤,然後記下網路介面 IP 位址。
**注意:**您也可以使用 AWS Command Line Interface (AWS CLI) describe-clusters 命令。
- 若要使用網路介面 IP 位址更新用戶端的組態檔案,請參閱叢集的連線中斷。
如需詳細資訊,請參閱對 AWS CloudHSM 進行疑難排解。
相關資訊
哪些 CloudHSM 憑證用於用戶端伺服器端對端加密連線?