本文介绍如何购买并启用密码机实例。
前提条件
由于密码机实例仅支持通过同VPC下的ECS实例访问,因此购买密码机实例前请完成如下操作:
已创建专有网络VPC(Virtual Private Cloud),并且已在VPC下创建交换机。具体操作,请参见搭建IPv4专有网络。
已创建ECS实例。具体操作,请参见自定义购买实例。
说明使用中国内地密码机(通用服务器密码机GVSM、金融数据密码机EVSM、签名验证服务器SVSM)时,ECS实例需要为Windows系统。
使用非中国内地密码机(通用服务器密码机GVSM(NIST FIPS))时,ECS实例需要为Linux系统。
购买密码机实例
登录加密服务管理控制台,在顶部菜单栏,选择目标地域。
在实例列表页面,单击创建密码机实例。
在加密服务购买页面,参考下表配置信息,单击立即购买并完成支付。
配置项
说明
区域
密码机实例的地域。支持的地域,请参见支持的地域和可用区。
说明密码机只能在VPC中使用,且地域必须与您的ECS及VPC的地域相同。
密码服务类型
密码机类型。关于各类型密码机的介绍,请参见密码机类型。
说明如果您选择密码数据备份,该备份可以备份一个密码机数据。关于备份恢复的详细介绍,请参见数据备份恢复。
部署模式
双可用区:指最少配置2台密码机位于不同可用区,实现跨可用区容灾,方便创建集群。具体可用区由加密服务指定,您无需设置。
单可用区:指密码机位于一个可用区。
建议您将密码机部署在不同的可用区,保障您的业务不会因可用区内某一机房发生事故而受影响。
说明只有处于同一地域的可用区之间才能实现网络互通。
加密服务和ECS实例可以在不同的可用区。
购买数量
选择需要购买的密码机实例数量。
为了保证加密服务的高可用性,建议您至少购买2个密码机实例。当选择双可用区时,默认会购买2个密码机实例。
购买时长
选择购买的有效服务时间。
为了防止加密服务到期未及时续费而导致的密钥永久性丢失,建议您购买时选择到期自动续费。当您选择到期自动续费后,阿里云会在服务到期前9个自然日从您购买密码机时使用的支付账户自动扣款,为了防止扣费失败,请确保您的支付账户余额充足。
购买成功后,您可以在实例列表页面查看密码机实例,状态为未启用。
启用密码机实例
注意事项
创建密码机集群:您需要启用主密码机实例,无需启用子密码机实例。
通过镜像创建密码机:无需启用该密码机实例。详细内容,请参见数据备份恢复。
操作步骤
在实例列表页面,定位到已创建的密码机实例,单击操作列的启用。
在密码机实例配置对话框,配置密码机实例,然后单击确定。
配置项
说明
所属的VPC网络ID
选择密码机实例需要绑定的VPC。
重要需要与您的ECS实例绑定的VPC是同一个。
所属的VPC子网
选择密码机实例所属的VPC子网网段。
分配私网IP地址
为密码机实例分配一个私网IP地址。
重要私网IP地址必须是所属的VPC子网网段中的IP地址,否则配置将会失败。
末位为253、254、255的IP地址为系统保留地址,请勿使用。
设置密码机实例白名单
设置访问该密码机实例的白名单。您可以输入单个IP地址或网段地址,每行输入1条数据,最多可以输入10条数据。
未设置白名单:所有IP地址都能访问密码机实例。
设置了白名单:仅支持白名单内的访问请求,不在白名单内的访问请求将被拒绝。
重要如果您创建了集群并设置了集群的白名单,那么集群的白名单优先级高于集群中密码机实例的白名单。
例如,集群中密码机实例的白名单为10.10.10.10,集群的白名单为172.16.0.1,则您只能通过172.16.0.1访问集群中的密码机实例。
不支持配置为0.0.0.0/0(放行所有来源IP)。
基于安全考虑,不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP,不配置白名单即可。
配置成功后,密码机实例的状态变为已启用。
相关文档
如果您购买密钥管理服务KMS的硬件密钥管理实例关联的密码机,如何购买及配置,请参见配置KMS硬件密钥管理实例的密码机集群。