本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# PKCS \$111 库的高级配置 AWS CloudHSM
P AWS CloudHSM KCS \$111 提供程序包括以下高级配置,这不是大多数客户使用的常规配置的一部分。这些配置还提供了其他功能。
+ [连接至多个 PKCS\$111 插槽](pkcs11-library-configs-multi-slot.md)
+ [PKCS \$111 重试配置](pkcs11-library-configs-retry.md)
# 使用 PKCS \$111 库进行多插槽配置 AWS CloudHSM
客户端软件开发工具包 5 PKCS \$111 库内的单个插槽表示单独连接至 AWS CloudHSM中的集群。使用客户端 SDK 5,您可以将 PKCS11 库配置为允许多个插槽将用户从单个 PKCS \$111 应用程序连接到多个 CloudHSM 集群。
按照本主题中的说明,让您的应用程序使用多插槽功能连接多个集群。
**Topics**
+ [PKCS \$111 库的多插槽先决条件 AWS CloudHSM](#pkcs11-multi-slot-prereqs)
+ [配置 PKCS \$111 库以实现多插槽功能 AWS CloudHSM](pkcs11-multi-slot-config-run.md)
+ [添加具有多插槽功能的集群 AWS CloudHSM](pkcs11-multi-slot-add-cluster.md)
+ [移除具有多插槽功能的集群 AWS CloudHSM](pkcs11-multi-slot-remove-cluster.md)
## PKCS \$111 库的多插槽先决条件 AWS CloudHSM
在为的 PKCS \$111 库配置多个插槽之前 AWS CloudHSM,请完成以下先决条件。
+ 您要连接的两个或更多 AWS CloudHSM 集群及其集群证书。
+ 已正确配置安全组的 EC2 实例,可连接至上述所有集群。有关如何设置集群和客户端实例的更多信息,请参阅[入门 AWS CloudHSM](getting-started.md)。
+ 若要设置多插槽功能,您必须已经下载并安装了 PKCS \$111 库。如果您尚未执行此操作,请参阅 [为 AWS CloudHSM 客户端 SDK 5 安装 PKCS \$111 库](pkcs11-library-install.md) 中的说明。
# 配置 PKCS \$111 库以实现多插槽功能 AWS CloudHSM
要配置 PKCS \$111 库以实现的多插槽功能 AWS CloudHSM,请执行以下步骤:
1. 确定要通过多插槽功能连接的集群。
1. 按照 [添加具有多插槽功能的集群 AWS CloudHSM](pkcs11-multi-slot-add-cluster.md) 中的说明,将这些集群添加至 PKCS \$111 配置
1. 下次运行 PKCS \$111 应用程序时,它将包含多插槽功能。
# 添加具有多插槽功能的集群 AWS CloudHSM
使用 [PKCS \$111 for 连接到多个插槽](pkcs11-library-configs-multi-slot.md)时 AWS CloudHSM,使用**configure-pkcs11 add-cluster**命令将集群添加到您的配置中。
## 语法
```
configure-pkcs11 add-cluster [OPTIONS]
--cluster-id
[--region ]
[--endpoint ]
[--hsm-ca-cert ]
[--client-cert-hsm-tls-file ]
[--client-key-hsm-tls-file ]
[-h, --help]
```
## 示例
### 使用 `cluster-id` 参数添加集群
**Example**
使用 **configure-pkcs11 add-cluster** 和 `cluster-id` 参数,将集群添加至 (ID 为 `cluster-1234567`) 您的配置。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" add-cluster --cluster-id
```
**提示**
如果使用 `cluster-id` 参数和 **configure-pkcs11 add-cluster** 无法添加集群,请参见以下示例,以获取也需要通过 `--region` 和 `--endpoint` 参数识别待添加集群的、更长版本的命令。例如,如果集群的区域与配置默认 AWS CLI 配置区域不同,则应使用 `--region` 参数使用正确区域。此外,您还可以指定用于调用的 AWS CloudHSM API 终端节点,这可能是各种网络设置所必需的,例如使用不使用默认 DNS 主机名的 VPC 接口终端节点。 AWS CloudHSM
### 使用 `cluster-id`、`endpoint` 和 `region` 参数添加集群
**Example**
使用 **configure-pkcs11 add-cluster**、`cluster-id`、`endpoint` 和 `region` 参数,将集群 (ID 为 `cluster-1234567`) 添加至您的配置。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id --region --endpoint
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" add-cluster --cluster-id --region --endpoint
```
有关 `--cluster-id`、`--region` 和 `--endpoint` 参数的更多信息,请参阅 [AWS CloudHSM 客户端 SDK 5 配置参数](configure-tool-params5.md)。
## 参数
**--cluster-id ****
进行 `DescribeClusters` 调用以查找集群中与集群 ID 关联的所有 HSM 弹性网络接口(ENI)IP 地址。系统将 ENI IP 地址添加到 AWS CloudHSM 配置文件中。
如果您在无法访问公共互联网的 VPC 中使用来自 EC2 实例的`--cluster-id`参数,则必须创建要连接的接口 VPC 终端节点 AWS CloudHSM。有关 VPC 端点的更多信息,请参阅 [AWS CloudHSM 和 VPC 终端节点](cloudhsm-vpc-endpoint.md)。
是否必需:是
**--端点 ****
指定用于进行`DescribeClusters`呼叫的 AWS CloudHSM API 端点。设置此选项时,您必须与 `--cluster-id` 结合。
必需:否
**--hsm-ca-cert ****
指定 HSM CA 证书的文件路径。
必需:否
**--区域 ****
指定集群所在区域。设置此选项时,您必须与 `--cluster-id` 结合。
如果您不提供 `--region` 参数,则系统会通过尝试读取 `AWS_DEFAULT_REGION` 或 `AWS_REGION` 环境变量选择区域。如果未设置这些变量,则系统会在 AWS Config 文件中检查与您的配置文件关联的区域(通常 `~/.aws/config`),除非您在 `AWS_CONFIG_FILE` 环境变量中指定了其他文件。如果以上均未设置,则系统默认为 `us-east-1` 区域。
必需:否
**-client-cert-hsm-tls-文件 ****
用于 TLS 客户端-服务器双向身份验证的客户端证书的路径。
仅当您已使用 CloudHSM CLI 在 HSM 上注册了至少一个信任锚时,才使用此选项。设置此选项时,您必须与 `--client-key-hsm-tls-file` 结合。
必需:否
**-client-key-hsm-tls-文件 ****
用于 TLS 客户端-HSM 双向身份验证的客户端密钥的路径。
仅当您已使用 CloudHSM CLI 在 HSM 上注册了至少一个信任锚时,才使用此选项。设置此选项时,您必须与 `--client-cert-hsm-tls-file` 结合。
必需:否
# 移除具有多插槽功能的集群 AWS CloudHSM
当[连接至多个 PKCS \$111 插槽](pkcs11-library-configs-multi-slot.md)时,使用 **configure-pkcs11 remove-cluster** 命令将集群从可用的 PKCS \$111 插槽中移除。
## 语法
```
configure-pkcs11 remove-cluster [OPTIONS]
--cluster-id
[-h, --help]
```
## 示例
### 使用 `cluster-id` 参数移除集群
**Example**
使用 **configure-pkcs11 remove-cluster** 和 `cluster-id` 参数,从您的配置中移除集群 (ID 为 `cluster-1234567`)。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 remove-cluster --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" remove-cluster --cluster-id
```
有关 `--cluster-id` 参数的更多信息,请参阅 [AWS CloudHSM 客户端 SDK 5 配置参数](configure-tool-params5.md)。
## 参数
**--cluster-id ****
要从配置中删除的集群 ID
是否必需:是
# PKCS \$111 库的重试命令 AWS CloudHSM
AWS CloudHSM 客户端 SDK 5.8.0 及更高版本具有内置的自动重试策略,该策略将从客户端重试 HSM 限制的操作。当 HSM 因忙于执行之前的操作而无法接受更多请求而限制操作时,客户端 SDKs 将尝试重试受限制的操作最多 3 次,同时呈指数级退缩。这种自动重试策略可设置为以下两种模式之一:**关闭**和**标准**。
+ **关闭**:客户端软件开发工具包 不会对 HSM 的任何节流操作执行任何重试策略。
+ **标准**:这是客户端软件开发工具包版本 5.8.0 及更高版本的默认模式。在此模式下,客户端 SDKs 将通过指数级退出自动重试受限制的操作。
有关更多信息,请参阅 [HSM 节流](troubleshoot-hsm-throttling.md)。
## 将重试命令设置为关闭模式
------
#### [ Linux ]
**在 Linux 上将客户端软件开发工具包 5 的重试命令设置为 **off****
+ 您可以使用以下命令将重试配置设置为 **off** 模式:
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --default-retry-mode off
```
------
#### [ Windows ]
**在 Windows 上将客户端软件开发工具包 5 的重试命令设置为 **off****
+ 您可以使用以下命令将重试配置设置为 **off** 模式:
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --default-retry-mode off
```
------