Sdílet prostřednictvím


Kurz: Vytvoření platebního HSM s hostitelským portem a portem pro správu v různých virtuálních sítích pomocí šablony ARM

HsM pro platby Azure je služba "BareMetal", která se dodává pomocí modulů hardwarového zabezpečení hardwarového zabezpečení (HSM) thales payShield 10K, která poskytuje kryptografické operace s klíči pro klíčové transakce v reálném čase v cloudu Azure. Modul HSM pro platby Azure je navržený speciálně tak, aby pomohl poskytovateli služeb a individuální finanční instituci urychlit strategii digitální transformace platebního systému a přijmout veřejný cloud. Další informace najdete v tématu HsM pro platby Azure: Přehled.

Tento kurz popisuje, jak vytvořit platební HSM s hostitelským portem a portem pro správu v různých virtuálních sítích pomocí Azure CLI nebo Azure PowerShellu. Místo toho můžete:

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

Požadavky

Důležité

Hsm plateb Azure je specializovaná služba. Pokud chcete získat nárok na onboarding a používání HSM pro platby Azure, musí mít zákazníci přiřazeného správce účtů Microsoftu a mají architekta cloudových služeb (CSA).

Pokud chcete požádat o službu, spusťte proces kvalifikace a připravte požadavky před on-boardingem, požádejte svého správce účtů Microsoft a CSA, aby odeslaly žádost e-mailem.

  • Musíte zaregistrovat poskytovatele prostředků Microsoft.HardwareSecurityModules a Microsoft.Network a také funkce HSM pro platby Azure. Postup najdete v registraci poskytovatele prostředků HSM a funkcí poskytovatele prostředků Azure Payment HSM.

    Pokud chcete rychle zjistit, jestli už jsou poskytovatelé prostředků a funkce zaregistrovaní, použijte příkaz az provider az provider show v Azure CLI. (Výstup tohoto příkazu je čitelnější při zobrazení ve formátu tabulky.)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
    
    az provider show --namespace "Microsoft.Network" -o table
    
    az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
    
    az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
    

    Pokud všechny čtyři tyto příkazy vrátí "Registrováno", můžete pokračovat v tomto rychlém startu.

  • Mít předplatné Azure. Pokud ho nemáte, můžete si vytvořit bezplatný účet .


Vytvoření skupiny zdrojů

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v umístění eastus.

az group create --name "myResourceGroup" --location "EastUS"

Vytvoření virtuálních sítí a podsítí

Před vytvořením platebního HSM musíte nejprve vytvořit virtuální síť nebo podsíť pro hostitele a jinou virtuální síť nebo podsíť pro port pro správu.

Nejprve pomocí příkazu azure CLI az network vnet create vytvořte virtuální síť pro hostitele:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Potom pomocí příkazu azure CLI az network vnet subnet update aktualizujte podsíť a dejte mu delegování Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

K ověření správného vytvoření virtuální sítě a podsítě použijte příkaz Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Poznamenejte si ID podsítě hostitele, které se používá při vytváření platebního HSM. ID podsítě končí názvem podsítě:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Teď vytvořte další virtuální síť a podsíť pro port pro správu:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Znovu použijte příkaz azure CLI az network vnet subnet update k aktualizaci podsítě a přidělte mu delegování Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

K ověření správného vytvoření virtuální sítě pro správu a podsítě použijte příkaz Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Při vytváření platebního HSM potřebujete také ID podsítě správy.

Vytvoření platebního HSM

Vytváření pomocí dynamických hostitelů

Pokud chcete vytvořit platební HSM s dynamickými hostiteli, použijte příkaz az dedicated-hsm create . Následující příklad vytvoří hsM plateb pojmenovaný myPaymentHSM v eastus oblasti, myResourceGroup skupině prostředků a zadaném předplatném, virtuální síti a podsíti:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic list a zadejte skupinu prostředků:

az network nic list -g myResourceGroup -o table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic show a zadejte skupinu prostředků a název síťového rozhraní:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Výstup obsahuje tento řádek:

  "privateIPAllocationMethod": "Dynamic",

Vytvoření se statickými hostiteli

Pokud chcete vytvořit platební HSM se statickými hostiteli, použijte příkaz az dedicated-hsm create . Následující příklad vytvoří hsM plateb pojmenovaný myPaymentHSM v eastus oblasti, myResourceGroup skupině prostředků a zadaném předplatném, virtuální síti a podsíti:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Pokud chcete také zadat statickou IP adresu hostitele pro správu, můžete přidat:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic list a zadejte skupinu prostředků:

az network nic list -g myResourceGroup -o table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pokud chcete zobrazit vlastnosti síťového rozhraní, použijte příkaz az network nic show a zadejte skupinu prostředků a název síťového rozhraní:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Výstup obsahuje tento řádek:

  "privateIPAllocationMethod": "Static",

Další kroky

V dalším článku se dozvíte, jak zobrazit platební HSM.

Další informace: