𝓓𝓻-𝓛𝓲𝓷𝓾𝔁𝓮𝓻 𝓑𝓵𝓸𝓰

Understanding AWS CloudHSM Architecture & Implementation

Aung Aung Myo Myint's photo
Aung Aung Myo Myint
·

3 min read

AWS CloudHSM cluster architecture

Introduction of CloudHSM Cluster

CloudHSM cluster ကို implement လုပ်သောအခါ၊ သင်သည် cluster တစ်ခုကို ဖန်တီးရန် စတင်ရပါမည်။ ဤ cluster သည် HSM များကို အုပ်စုဖွဲ့ထားသော အုပ်စုတစ်ခုဖြစ်ပြီး၊ configure လုပ်ပြီး deploy လုပ်သောအခါ တစ်ခုတည်းသော ယူနစ်အဖြစ် လုပ်ဆောင်ပါမည်။ HSM များ များစွာ ရှိခြင်းက high availability ကို ပေးသည်။ သင့် VPC တွင် လုပ်ဆောင်နေသော availability zone တစ်ခုစီမှ subnet များ များစွာကို ရွေးချယ်၍ HSM တစ်ခုကို deploy လုပ်နိုင်သည်။

သင့် CloudHSM cluster သို့ မည်သည့် request မဆို cluster အတွင်းရှိ HSM များအကြား အလိုအလျောက် load-balanced လုပ်ပြီး၊ HSM တစ်ခု မအောင်မြင်ပါက AWS သည် သင့် cluster အတွင်း HSM တစ်ခုကို အလိုအလျောက် deploy လုပ်ပါမည်။ ထို့ကြောင့် VPC တစ်ခုကို လုပ်ဆောင်ရန် cluster ကို implement လုပ်ခြင်းအတွက် မဖြစ်မနေလိုအပ်ပါသည်။

HSM များကို deploy လုပ်သောအခါ၊ သင့် VPC ၏ subnet တစ်ခုကို ရွေးချယ်သော Elastic Network Interface (ENI) တစ်ခုကို ထည့်သွင်းပါသည်။ HSM ကို AWS ပိုင်သော VPC တစ်ခုတွင် တည်ရှိပြီး၊ deploy လုပ်သောအခါ ရွေးချယ်သော AZ တည်နေရာတွင် တည်ရှိသည်။ ထို့ကြောင့် ENI သည် သင့် VPC တွင် deploy လုပ်ပြီး၊ သင့် network နှင့် AWS ပိုင်သော VPC တွင် တည်ရှိသော HSM အကြား interface အဖြစ် လုပ်ဆောင်သည်။

Cluster ကို ဖန်တီးသောအခါ၊ CloudHSM သည် အရာနှစ်ခုကို လုပ်ဆောင်ပါမည်-

  1. Service-Linked Role Creation: ပထမဆုံး 'AWSServiceRoleForCloudHSM' ဟူသော service-linked role အသစ်တစ်ခုကို ဖန်တီးပါမည်၊ ဤ role သည် CloudHSM ကို CloudWatch Logs log groups နှင့် log streams သို့ log data များကို ပေးပို့ရန် ခွင့်ပြုသည်။

  2. Security Group Creation: CloudHSM သည် cluster အတွက် security group အသစ်တစ်ခု (cloudhsm-cluster-clusterID-sg) ကို ဖန်တီးပါမည်။ ဤ security group သည် HSM များနှင့် ဆက်သွယ်နိုင်သော resources များကို ထိန်းချုပ်သည်။ Security group သည် TCP ports 2223-2225 အတွင်း inbound နှင့် outbound connectivity ကို ခွင့်ပြုသဖြင့် cluster အတွင်းရှိ HSM များသည် တစ်ခုနှင့်တစ်ခု ဆက်သွယ်နိုင်စေရန် ဖြစ်သည်။

သင်ရွေးချယ်ထားသော subnet များနှင့် availability zones များတွင် cluster ကို သတ်မှတ်ပြီး ဖန်တီးပြီးပါက၊ ‘uninitialized state’ ဖြင့် provision လုပ်ထားမည်ဖြစ်သည်။ ဤအချိန်မှစ၍ သင်ရွေးချယ်ထားသော availability zone တစ်ခုစီတွင် HSM များကို ဖန်တီးပြီး cluster ကို ‘initialize’ လုပ်နိုင်ပါသည်။

Cluster ကို initialize လုပ်ပြီးပါက၊ cluster HSM network interfaces နှင့် ဆက်သွယ်နိုင်သည်၊ သင့် VPC အတွင်း provision လုပ်ထားသော EC2 instance မှတစ်ဆင့် လုပ်ဆောင်နိုင်သည်။ သင့် EC2 instances များသည် HSM များနှင့် ဆက်သွယ်ရန် အဆင့်နှစ်ခုကို လုပ်ဆောင်ရမည်။

  1. Security Group Configuration: သင့် instance ကို cloudhsm-cluster-clusterID-sg security group ထဲသို့ ထည့်ရမည်။ EC2 instances များသည် CloudHSM များနှင့် ဆက်သွယ်နိုင်ရန်သတ်မှတ်ရန်လည်း အသုံးပြုသည်။

  2. Client Software Installation: AWS CloudHSM client software ကို သင့် instance တွင် ထည့်သွင်းရမည်။

Instance Configuration

  • Windows EC2 instance ကို CloudHSM နှင့် ဆက်သွယ်လိုပါက RDP ကို port 3389 ဖြင့် အသုံးပြု၍ security group rule တစ်ခု ထည့်သွင်းရမည်။

  • Linux instance ကို အသုံးပြုပါက SSH ကို port 22 ဖြင့် ရွေးချယ်ရမည်။

Client Configuration

Linux instance ကို အသုံးပြုပါက OS အပေါ်မူတည်၍ command များကို run လုပ်ရမည်။ AWS resource တွင် ဆက်စပ်သော command များကို ရှုပါ။

Client နှင့် tools ကို ထည့်သွင်းပြီးပါက cluster နှင့် ဆက်သွယ်ရန် client configuration ကို ပြင်ဆင်ရမည်။

  1. Issuing Certificate Setup: Cluster ကို initialize လုပ်သောအခါ ဖန်တီးထားသော issuing certificate ကို /opt/cloudhsm/etc/customerCA.crt သို့ ကူးထားရမည်။

  2. Network Configuration Command:

     sudo /opt/cloudhsm/bin/configure -a <HSM IP address>

  3. Windows instance ကို အသုံးပြုပါက၊ AWS CloudHSM client software installation ကို AWS CloudHSM Client Download မှ download ရယူရမည်။

    1. MSI ဖိုင်ကို Run လုပ်ပါ:

      • MSI ဖိုင်ကို double-click လုပ်၍ CloudHSM client software installation wizard ကို start လုပ်ပါ။ Prompt တွေကို နောက်လိုက်ပြီး installation ကို ပြီးစီးပါ။

    2. Self-Signed Issuing Certificate ကို ကူးထည့်ပါ:

      • Cluster initialization ပြုလုပ်ပြီးလျင် ဖန်တီးထားသော self-signed issuing certificate (customerCA.crt) ကို အောက်ပါနေရာသို့ ကူးထည့်ပါ။

          C:\Program Files\Amazon\CloudHSM\customerCA.crt

    3. Client Software ကို Configure လုပ်ပါ:

      • Command Prompt ကို Administrator အနေဖြင့် open လုပ်ပါ။

      • အောက်ပါ command ကို run လုပ်ပြီး၊ <HSM IP address> ကို သင့် HSM cluster အတွက် actual IP address ဖြင့် replace လုပ်ပါ:

          C:\Program Files\Amazon\CloudHSM\configure.exe -a <HSM IP address>

ဒီလိုဖြင့် Windows instance မှ CloudHSM cluster နှင့် securely connect လုပ်နိုင်ပြီး၊ CloudHSM client software သုံး၍ HSM requests တွေကို အလိုအလျောက် load balance လုပ်ပေးပါမည်။

Logical View of Infrastructure

Customer VPC ကို availability zones နှင့် subnets သုံးခုအထိ ခွဲထားပြီး၊ EC2 client တစ်ခုစီတွင် HSM client software နှင့် HSM ENI ပါဝင်သည်။ EC2 client တစ်ခုစီသည် cloudhsm-cluster security group ကို အသုံးပြု၍ cluster အတွင်း subnet များအကြားရှိ HSM ENI များနှင့် ဆက်သွယ်နိုင်သည်။ ဤ ENI များသည် AWS ပိုင်သော VPC တွင် တည်ရှိသော HSM များနှင့် ဆက်သွယ်သည်။

HSM သည် log data များကို CloudWatch Logs log groups နှင့် log streams သို့ ပေးပို့ရန် ခွင့်ပြုသော IAM role ကို ဖန်တီးထားသည်။ Infrastructure ကို တည်ဆောက်ပြီး CloudHSM connectivity ကို configure လုပ်ပြီးပါက HSM cluster ကို activate လုပ်ရမည်ဖြစ်သည်။

AWS