AI 助理
备案控制台
文档
输入文档关键字查找
首页 密钥管理服务 加密服务HSM 操作指南 中国内地密码机 使用密码机实例集群

使用密码机实例集群

更新时间:
产品详情
相关技术圈
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

加密服务为您提供密码机实例集群功能,实现将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来,进行统一管理,为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。本文介绍如何使用密码机实例集群。

说明

如果您需要创建KMS硬件密钥管理实例的密码机集群,请参见配置KMS硬件密钥管理实例的密码机集群

适用场景

  • 应用程序可以通过集群内的任何一个密码机实例使用同一个密钥。

  • 应用程序用于生产环境,从而要求加密服务提供业务连续性。

前提条件

  • 已购买并启用密码机实例。具体操作,请参见购买并启用密码机实例

    警告

    为了保证密码机实例数据的安全,请不要在实际生产环境中使用测试密钥。

  • 已购买Windows系统的ECS实例,且ECS实例需要和密码机实例在同一VPC。具体操作,请参见Windows系统实例快速入门

    说明

    该ECS实例用于安装密码机管理工具,而非用于业务服务器。

创建并激活集群

一个集群中包括一个主密码机实例与若干个非主密码机实例。集群内一个可用区的密码机实例使用同一子网。您可以通过同步集群的操作,将主密码机实例的数据、状态同步到其他非主密码机实例,包括但不限于密钥、应用许可。

  1. 实例列表页面,定位到主密码机实例,单击操作列的创建集群

  2. 创建并激活集群面板,创建集群信息。

    配置项

    说明

    集群名称

    自定义集群的名称。名称不能重复且长度不允许超过24个字符。

    设置集群访问白名单

    允许访问集群的IP地址。如果未设置白名单,则所有IP地址都能访问集群,如果设置了白名单,则不在白名单内的访问请求将被拒绝。

    您可以输入单个IP地址或网段地址,每行输入1条数据,最多可以输入10条数据。

    重要

    • 集群的白名单优先级高于集群中密码机实例的白名单。例如,您设置的集群中密码机实例的白名单为10.10.10.10,集群的白名单为172.16.0.1,则您只能通过172.16.0.1访问集群中的密码机实例。

    • 不支持配置为0.0.0.0/0(放行所有来源IP)。

      基于安全考虑,不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP,不配置白名单即可。

    指定另外一个可用区的交换机

    根据业务需要选择可用区的交换机。

    在密码机实例集群中,您必须要配置2个交换机才能成功创建并激活集群。

  3. 初始化密码机实例,然后单击下一步

    只有已选主密码机:状态为已初始化时才能激活集群。初始化主密码机的具体操作如下:

    初始化方式

    操作步骤

    在加密服务控制台一键初始化

    重要

    使用一键初始化,您的密码机必须是通用密码机GVSM且您没有使用UKEY的需求。

    1. 创建并激活集群面板的最下方,单击一键初始化主密码机实例

    2. 初始化实例对话框,单击确定

    初始化预计需要1~5分钟时间,请耐心等待。初始化完成后,单击已选主密码机:后的update图标,状态会显示已初始化,该状态下请勿重复初始化。

    使用密码机实例管理工具初始化

    重要

    密码机客户端管理工具只支持在Windows系统运行。

    创建并激活集群面板的最下方,单击下载密码机实例管理工具

    解压获取密码机软件包,参考密码机软件包中的用户管理手册的《原始初始化》章节,完成初始化操作。

  4. 根据页面提示,添加子密码机到集群,然后单击完成

    如果需要更多的密码机实例,您需要购买密码机实例,并添加密码机实例到集群。

同步集群

主密码机数据变更后,您需要同步集群的数据到子密码机,实现实例数据的高可用性。当您第一次创建并激活集群后,您需要将集群的主密码机数据手动同步到集群的子密码机实例。当您扩展集群时,集群数据会自动同步到新添加的密码机实例。

警告

同步集群预计需要5分钟,请在业务空闲期进行同步,以免影响业务运行。

  1. 实例列表页面,找到目标主密码机实例,在操作列单击同步集群

  2. 在弹出的对话框,再次单击同步集群

扩展集群

您可以将处于不同可用区的密码机实例加入到同一集群进行统一管理,提高加密服务的高可用性。添加到集群的密码机实例需符合以下要求:

  • 密码机实例未初始化。

  • 密码机实例为已启用未启用状态。

  • 密码机实例与主密码机为同一类型密码机。

  • 密码机实例未配置交换机或与主密码机属于同一交换机。

重要

如果密码机实例已配置了密码机实例白名单,加入集群后该密码机实例的访问白名单将继承集群的访问白名单,原密码机实例白名单将被清空。

  1. 实例列表页面,定位到目标主密码机实例,单击操作列的扩展集群

  2. 通过以下方式添加密码机实例到集群。

    • 还未购买密码机实例时,在添加密码机实例到集群 对话框,单击订购密码机,新购密码机实例。

      购买的密码机实例会自动添加到集群,同时加密服务会自动为该密码机实例分配IP地址,并完成集群内数据的同步。

    • 已购买密码机实例时,在添加密码机实例到集群 对话框,选择需要添加的密码机实例,单击添加,然后单击确定

更多操作

操作类型

操作步骤

将子密码机切换为主密码机

您可以手动将子密码机切换为集群中的主密码机。

  1. 实例列表页面,找到目标子密码机实例,单击操作列的切换主机

  2. 在弹出的对话框,单击切换

移出集群

移出集群中的密码机实例时,您需要先移出子密码机实例,最后移出主密码机实例。当集群中只有主密码机实例时,主密码机实例可以直接被移出。在主密码机实例被移出之后,集群会自动删除。

  1. 停用密码机。您需要先停用密码机后,才可以将密码机移出集群。

    1. 实例列表页面,找到目标密码机实例,单击操作列的停用

    2. 在弹出的对话框,再次单击停用

  2. 实例列表页面,找到目标子密码机实例,单击操作列的移出集群

  3. 在弹出的对话框,再次单击移出集群

修改集群名称和访问白名单

  1. 实例列表页面,找到目标主密码机实例,在实例ID右侧单击更多图标。

  2. 在弹出的对话框,单击编辑图标,编辑集群名称和访问白名单。

    您可以输入单个IP地址或网段地址,每行输入1条数据,最多可以输入10条数据。

上一篇:使用密码机实例下一篇:数据备份恢复
文档推荐