本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudHSM 叢集管理最佳實務
<a name="bp-cluster-management"></a>

建立、存取和管理 AWS CloudHSM 叢集時，請遵循本節中的最佳實務。

## 擴展叢集以處理尖峰流量
<a name="bp-cluster-performance"></a>

有幾個因素會影響叢集可處理的最大輸送量，包括用戶端執行個體大小、叢集大小、網路拓撲，以及使用案例所需的密碼編譯操作。

做為起點，請參閱 主題[AWS CloudHSM 效能資訊](performance.md)，以取得常見叢集大小和組態的效能預估。建議您使用預期的峰值負載來測試叢集，以判斷目前的架構是否具有彈性且規模正確。

## 架構您的叢集以獲得高可用性
<a name="bp-high-availability"></a>

**將備援新增至維護帳戶**： AWS 可取代您的 HSM 進行排定的維護，或如果偵測到問題。一般而言，您的叢集大小應至少具有 \$11 備援。例如，如果您需要兩個 HSMs 讓您的服務在尖峰時間運作，則理想的叢集大小將是三個。如果您遵循與可用性相關的最佳實務，這些 HSM 替換不應影響您的服務。不過，取代的 HSM 上的進行中操作可能會失敗，必須重試。

**將您的 HSMs 分散到多個可用區域**：考慮您的服務如何在可用區域中斷期間運作。 AWS 建議您將 HSMs 分散到盡可能多的可用區域。對於具有三個 HSMs叢集，您應該將 HSMs分散到三個可用區域。根據您的系統，您可能需要額外的備援。

## 至少具有三個 HSMs以確保新產生的金鑰的耐用性
<a name="bp-new-key-durability"></a>

對於需要新產生的金鑰耐久性的應用程式，我們建議至少三個 HSMs分佈在一個區域中的不同可用區域。

## 安全存取您的叢集
<a name="bp-secure-access"></a>

**使用私有子網路來限制對執行個體的存取**：在 VPC 的私有子網路中啟動 HSMs 和用戶端執行個體。這會限制從外部世界存取您的 HSMs。

**使用 VPC 端點存取 APIs**： AWS CloudHSM 資料平面設計用於操作，而不需要存取網際網路或 AWS APIs。如果您的用戶端執行個體需要存取 AWS CloudHSM API，您可以使用 VPC 端點來存取 API，而不需要用戶端執行個體上的網際網路存取。如需詳細資訊，請參閱[AWS CloudHSM 和 VPC 端點](cloudhsm-vpc-endpoint.md)。

## 根據您的需求擴展以降低成本
<a name="bp-reduce-cost"></a>

無需預付費用即可使用 AWS CloudHSM。您需要為啟動的每個 HSM 支付每小時費用，直到您終止 HSM 為止。如果您的服務不需要持續使用 AWS CloudHSM，您可以在不需要 HSM 時將 HSMs 縮減 （刪除） 為零，以降低成本。當再次需要 HSMs時，您可以從備份還原 HSMs。例如，如果您有一個工作負載需要您每月簽署一次程式碼，特別是在當月的最後一天，您可以在之前擴展叢集，在工作完成後刪除 HSMs 將其縮減，然後在下個月結束時還原叢集以再次執行簽署操作。

AWS CloudHSM 會自動定期備份叢集中的 HSMs。在稍後日期新增新的 HSM 時， AWS CloudHSM 會將最新的備份還原到新的 HSM，以便您可以從您離開的相同位置恢復使用。若要計算 AWS CloudHSM 架構成本，請參閱 [AWS CloudHSM 定價](https://aws.amazon.com/cloudhsm/pricing/)。

相關資源：
+ [備份的一般概觀](backups.md)
+ [備份保留政策](manage-backup-retention.md)
+ [跨 AWS 區域複製 AWS CloudHSM 叢集備份](copy-backup-to-region.md)