AWS CloudHSM 集群架构

在创建集群时，您可以指定 AWS 账户中的一个 Amazon 虚拟私有云（VPC），并指定该 VPC 中的一个或多个子网。建议您在所选 AWS 区域的每个可用区 (AZ) 中创建一个子网。创建 VPC 时，您可创建私有子网。要了解更多信息，请参阅为 AWS CloudHSM 中创建虚拟私有云（VPC）。

每当创建 HSM 时，您需要为该 HSM 指定群集和可用区。通过将 HSM 放入不同的可用区中，您可以实现冗余和高可用性，以防某个可用区不可用。

在创建 HSM 时，AWS CloudHSM 会将弹性网络接口 (ENI) 放入您的 AWS 账户的指定子网。该弹性网络接口是用于与 HSM 进行交互的接口。HSM 驻留在 AWS 拥有的 AWS CloudHSM 账户中的单独 VPC 中。HSM 及其相应的网络接口位于同一可用区中。

要与群集中的 HSM 交互，您需要 AWS CloudHSM 客户端软件。通常情况下，您应该在与 HSM ENI 位于同一 VPC 中的 Amazon EC2 实例（称为客户端实例）上安装该客户端，如下图所示。但从技术上讲，此操作不是必需的；您可以在任何可以连接到 HSM ENI 的兼容计算机上安装该客户端。该客户端通过其 ENI 与您的群集中的各个 HSM 进行通信。

下图表示一个包含 3 个 HSM 的 AWS CloudHSM 群集，每个 HSM 位于 VPC 中的不同可用区中。