使用密碼機(jī)實(shí)例集群
本文中含有需要您注意的重要提示信息,忽略該信息可能對(duì)您的業(yè)務(wù)造成影響,請(qǐng)務(wù)必仔細(xì)閱讀。
加密服務(wù)為您提供密碼機(jī)實(shí)例集群功能,實(shí)現(xiàn)將處于同一地域不同可用區(qū)、用于相同業(yè)務(wù)的一組密碼機(jī)實(shí)例關(guān)聯(lián)起來(lái),進(jìn)行統(tǒng)一管理,為業(yè)務(wù)應(yīng)用提供密碼計(jì)算的高可用性、負(fù)載均衡以及橫向擴(kuò)展的能力。本文介紹如何使用密碼機(jī)實(shí)例集群。
如果您需要?jiǎng)?chuàng)建KMS硬件密鑰管理實(shí)例的密碼機(jī)集群,請(qǐng)參見(jiàn)配置KMS硬件密鑰管理實(shí)例的密碼機(jī)集群。
適用場(chǎng)景
應(yīng)用程序可以通過(guò)集群內(nèi)的任何一個(gè)密碼機(jī)實(shí)例使用同一個(gè)密鑰。
應(yīng)用程序用于生產(chǎn)環(huán)境,從而要求加密服務(wù)提供業(yè)務(wù)連續(xù)性。
前提條件
已購(gòu)買并啟用密碼機(jī)實(shí)例。具體操作,請(qǐng)參見(jiàn)購(gòu)買并啟用密碼機(jī)實(shí)例。
警告為了保證密碼機(jī)實(shí)例數(shù)據(jù)的安全,請(qǐng)不要在實(shí)際生產(chǎn)環(huán)境中使用測(cè)試密鑰。
已購(gòu)買Windows系統(tǒng)的ECS實(shí)例,且ECS實(shí)例需要和密碼機(jī)實(shí)例在同一VPC。具體操作,請(qǐng)參見(jiàn)Windows系統(tǒng)實(shí)例快速入門。
說(shuō)明該ECS實(shí)例用于安裝密碼機(jī)管理工具,而非用于業(yè)務(wù)服務(wù)器。
創(chuàng)建并激活集群
一個(gè)集群中包括一個(gè)主密碼機(jī)實(shí)例與若干個(gè)非主密碼機(jī)實(shí)例。集群內(nèi)一個(gè)可用區(qū)的密碼機(jī)實(shí)例使用同一子網(wǎng)。您可以通過(guò)同步集群的操作,將主密碼機(jī)實(shí)例的數(shù)據(jù)、狀態(tài)同步到其他非主密碼機(jī)實(shí)例,包括但不限于密鑰、應(yīng)用許可。
在實(shí)例列表頁(yè)面,定位到主密碼機(jī)實(shí)例,單擊操作列的創(chuàng)建集群。
在創(chuàng)建并激活集群面板,創(chuàng)建集群信息。
配置項(xiàng)
說(shuō)明
集群名稱
自定義集群的名稱。名稱不能重復(fù)且長(zhǎng)度不允許超過(guò)24個(gè)字符。
設(shè)置集群訪問(wèn)白名單
允許訪問(wèn)集群的IP地址。如果未設(shè)置白名單,則所有IP地址都能訪問(wèn)集群,如果設(shè)置了白名單,則不在白名單內(nèi)的訪問(wèn)請(qǐng)求將被拒絕。
您可以輸入單個(gè)IP地址或網(wǎng)段地址,每行輸入1條數(shù)據(jù),最多可以輸入10條數(shù)據(jù)。
重要集群的白名單優(yōu)先級(jí)高于集群中密碼機(jī)實(shí)例的白名單。例如,您設(shè)置的集群中密碼機(jī)實(shí)例的白名單為10.10.10.10,集群的白名單為172.16.0.1,則您只能通過(guò)172.16.0.1訪問(wèn)集群中的密碼機(jī)實(shí)例。
不支持配置為0.0.0.0/0(放行所有來(lái)源IP)。
基于安全考慮,不推薦您放行所有來(lái)源IP。如果因臨時(shí)測(cè)試等原因確實(shí)需要放行所有來(lái)源IP,不配置白名單即可。
指定另外一個(gè)可用區(qū)的交換機(jī)
根據(jù)業(yè)務(wù)需要選擇可用區(qū)的交換機(jī)。
在密碼機(jī)實(shí)例集群中,您必須要配置2個(gè)交換機(jī)才能成功創(chuàng)建并激活集群。
初始化密碼機(jī)實(shí)例,然后單擊下一步。
只有已選主密碼機(jī):狀態(tài)為已初始化時(shí)才能激活集群。初始化主密碼機(jī)的具體操作如下:
初始化方式
操作步驟
在加密服務(wù)控制臺(tái)一鍵初始化
重要使用一鍵初始化,您的密碼機(jī)必須是通用密碼機(jī)GVSM且您沒(méi)有使用UKEY的需求。
在創(chuàng)建并激活集群面板的最下方,單擊一鍵初始化主密碼機(jī)實(shí)例。
在初始化實(shí)例對(duì)話框,單擊確定。
初始化預(yù)計(jì)需要1~5分鐘時(shí)間,請(qǐng)耐心等待。初始化完成后,單擊已選主密碼機(jī):后的
圖標(biāo),狀態(tài)會(huì)顯示已初始化,該狀態(tài)下請(qǐng)勿重復(fù)初始化。使用密碼機(jī)實(shí)例管理工具初始化
重要密碼機(jī)客戶端管理工具只支持在Windows系統(tǒng)運(yùn)行。
在創(chuàng)建并激活集群面板的最下方,單擊下載密碼機(jī)實(shí)例管理工具。
解壓獲取密碼機(jī)軟件包,參考密碼機(jī)軟件包中的用戶管理手冊(cè)的《原始初始化》章節(jié),完成初始化操作。
根據(jù)頁(yè)面提示,添加子密碼機(jī)到集群,然后單擊完成。
如果需要更多的密碼機(jī)實(shí)例,您需要購(gòu)買密碼機(jī)實(shí)例,并添加密碼機(jī)實(shí)例到集群。
同步集群
主密碼機(jī)數(shù)據(jù)變更后,您需要同步集群的數(shù)據(jù)到子密碼機(jī),實(shí)現(xiàn)實(shí)例數(shù)據(jù)的高可用性。當(dāng)您第一次創(chuàng)建并激活集群后,您需要將集群的主密碼機(jī)數(shù)據(jù)手動(dòng)同步到集群的子密碼機(jī)實(shí)例。當(dāng)您擴(kuò)展集群時(shí),集群數(shù)據(jù)會(huì)自動(dòng)同步到新添加的密碼機(jī)實(shí)例。
同步集群預(yù)計(jì)需要5分鐘,請(qǐng)?jiān)跇I(yè)務(wù)空閑期進(jìn)行同步,以免影響業(yè)務(wù)運(yùn)行。
在實(shí)例列表頁(yè)面,找到目標(biāo)主密碼機(jī)實(shí)例,在操作列單擊同步集群。
在彈出的對(duì)話框,再次單擊同步集群。
擴(kuò)展集群
您可以將處于不同可用區(qū)的密碼機(jī)實(shí)例加入到同一集群進(jìn)行統(tǒng)一管理,提高加密服務(wù)的高可用性。添加到集群的密碼機(jī)實(shí)例需符合以下要求:
密碼機(jī)實(shí)例未初始化。
密碼機(jī)實(shí)例為已啟用或未啟用狀態(tài)。
密碼機(jī)實(shí)例與主密碼機(jī)為同一類型密碼機(jī)。
密碼機(jī)實(shí)例未配置交換機(jī)或與主密碼機(jī)屬于同一交換機(jī)。
如果密碼機(jī)實(shí)例已配置了密碼機(jī)實(shí)例白名單,加入集群后該密碼機(jī)實(shí)例的訪問(wèn)白名單將繼承集群的訪問(wèn)白名單,原密碼機(jī)實(shí)例白名單將被清空。
在實(shí)例列表頁(yè)面,定位到目標(biāo)主密碼機(jī)實(shí)例,單擊操作列的擴(kuò)展集群。
通過(guò)以下方式添加密碼機(jī)實(shí)例到集群。
還未購(gòu)買密碼機(jī)實(shí)例時(shí),在添加密碼機(jī)實(shí)例到集群 對(duì)話框,單擊訂購(gòu)密碼機(jī),新購(gòu)密碼機(jī)實(shí)例。
購(gòu)買的密碼機(jī)實(shí)例會(huì)自動(dòng)添加到集群,同時(shí)加密服務(wù)會(huì)自動(dòng)為該密碼機(jī)實(shí)例分配IP地址,并完成集群內(nèi)數(shù)據(jù)的同步。
已購(gòu)買密碼機(jī)實(shí)例時(shí),在添加密碼機(jī)實(shí)例到集群 對(duì)話框,選擇需要添加的密碼機(jī)實(shí)例,單擊
,然后單擊確定。
更多操作
操作類型 | 操作步驟 |
將子密碼機(jī)切換為主密碼機(jī) | 您可以手動(dòng)將子密碼機(jī)切換為集群中的主密碼機(jī)。
|
移出集群 | 移出集群中的密碼機(jī)實(shí)例時(shí),您需要先移出子密碼機(jī)實(shí)例,最后移出主密碼機(jī)實(shí)例。當(dāng)集群中只有主密碼機(jī)實(shí)例時(shí),主密碼機(jī)實(shí)例可以直接被移出。在主密碼機(jī)實(shí)例被移出之后,集群會(huì)自動(dòng)刪除。
|
修改集群名稱和訪問(wèn)白名單 |
|
圖標(biāo)。
圖標(biāo),編輯集群名稱和訪問(wèn)白名單。