AWS CloudHSM 集群架构

创建集群时，您可以在账户中指定亚马逊虚拟私有云 (VPC)，并在该 V AWS PC 中指定一个或多个子网。我们建议您在所选 AWS 区域的每个可用区 (AZ) 中创建一个子网。创建 VPC 时，您可创建私有子网。要了解更多信息，请参阅为创建虚拟私有云 (VPC) AWS CloudHSM。

每当创建 HSM 时，您需要为该 HSM 指定群集和可用区。通过将 HSM 放入不同的可用区中，您可以实现冗余和高可用性，以防某个可用区不可用。

创建 HSM 时，在您 AWS 账户的指定子网中 AWS CloudHSM 放置一个弹性网络接口 (ENI)。该弹性网络接口是用于与 HSM 进行交互的接口。HSM 驻留在独立 VPC 中的一个 AWS 账户中，该账户归其 AWS CloudHSM所有。HSM 及其相应的网络接口位于同一可用区中。

要与集群中的 HSM 进行交互，您需要 AWS CloudHSM 客户端软件。通常情况下，您应该在与 HSM ENI 位于同一 VPC 中的 Amazon EC2 实例（称为客户端实例）上安装该客户端，如下图所示。但从技术上讲，此操作不是必需的；您可以在任何可以连接到 HSM ENI 的兼容计算机上安装该客户端。该客户端通过其 ENI 与您的群集中的各个 HSM 进行通信。

下图显示了一个包含三个 HSM 的 AWS CloudHSM 集群，每个 HSM 位于 VPC 的不同可用区。