Kurz: Vytvoření platebního HSM s hostitelským portem a portem pro správu v různých virtuálních sítích pomocí šablony ARM

Článek
02/06/2024

HsM pro platby Azure je služba "BareMetal", která se dodává pomocí modulů hardwarového zabezpečení hardwarového zabezpečení (HSM) thales payShield 10K, která poskytuje kryptografické operace s klíči pro klíčové transakce v reálném čase v cloudu Azure. Modul HSM pro platby Azure je navržený speciálně tak, aby pomohl poskytovateli služeb a individuální finanční instituci urychlit strategii digitální transformace platebního systému a přijmout veřejný cloud. Další informace najdete v tématu HsM pro platby Azure: Přehled.

Tento kurz popisuje, jak vytvořit platební HSM s hostitelským portem a portem pro správu v různých virtuálních sítích pomocí Azure CLI nebo Azure PowerShellu. Místo toho můžete:

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

Požadavky

Důležité

Hsm plateb Azure je specializovaná služba. Pokud chcete získat nárok na onboarding a používání HSM pro platby Azure, musí mít zákazníci přiřazeného správce účtů Microsoftu a mají architekta cloudových služeb (CSA).

Pokud chcete požádat o službu, spusťte proces kvalifikace a připravte požadavky před on-boardingem, požádejte svého správce účtů Microsoft a CSA, aby odeslaly žádost e-mailem.

Musíte zaregistrovat poskytovatele prostředků Microsoft.HardwareSecurityModules a Microsoft.Network a také funkce HSM pro platby Azure. Postup najdete v registraci poskytovatele prostředků HSM a funkcí poskytovatele prostředků Azure Payment HSM.

Pokud chcete rychle zjistit, jestli už jsou poskytovatelé prostředků a funkce zaregistrovaní, použijte příkaz az provider az provider show v Azure CLI. (Výstup tohoto příkazu je čitelnější při zobrazení ve formátu tabulky.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Pokud všechny čtyři tyto příkazy vrátí "Registrováno", můžete pokračovat v tomto rychlém startu.
Mít předplatné Azure. Pokud ho nemáte, můžete si vytvořit bezplatný účet .

Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
- Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
- Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
- Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v umístění eastus.

az group create --name "myResourceGroup" --location "EastUS"

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí rutiny Azure PowerShell New-AzResourceGroup vytvořte skupinu prostředků myResourceGroup v umístění eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Vytvoření virtuálních sítí a podsítí

Před vytvořením platebního HSM musíte nejprve vytvořit virtuální síť nebo podsíť pro hostitele a jinou virtuální síť nebo podsíť pro port pro správu.

Azure CLI
Azure PowerShell

Nejprve pomocí příkazu azure CLI az network vnet create vytvořte virtuální síť pro hostitele:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Potom pomocí příkazu azure CLI az network vnet subnet update aktualizujte podsíť a dejte mu delegování Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

K ověření správného vytvoření virtuální sítě a podsítě použijte příkaz Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Poznamenejte si ID podsítě hostitele, které se používá při vytváření platebního HSM. ID podsítě končí názvem podsítě:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Teď vytvořte další virtuální síť a podsíť pro port pro správu:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Znovu použijte příkaz azure CLI az network vnet subnet update k aktualizaci podsítě a přidělte mu delegování Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

K ověření správného vytvoření virtuální sítě pro správu a podsítě použijte příkaz Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Při vytváření platebního HSM potřebujete také ID podsítě správy.

Nejprve nastavte některé proměnné pro použití při vytváření virtuální sítě hostitele nebo podsítě:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Pomocí rutiny Azure PowerShell New-AzDelegation vytvořte delegování služby, které se přidá do podsítě hostitele, a uložte výstup do $myDelegation proměnné:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Pomocí rutiny Azure PowerShell New-AzVirtualNetworkSubnetConfig vytvořte konfiguraci podsítě virtuální sítě a uložte výstup do $myPHSMSubnet proměnné:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Poznámka:

Rutina New-AzVirtualNetworkSubnetConfig vygeneruje upozornění, které můžete bezpečně ignorovat.

K vytvoření virtuální sítě Azure použijte rutinu Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

K ověření správného vytvoření virtuální sítě použijte rutinu Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Poznamenejte si ID podsítě, které se používá v dalším kroku. ID podsítě končí názvem podsítě:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Teď vytvořte další virtuální síť a podsíť pro port pro správu. Nejprve nastavte nové proměnné:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

K vytvoření virtuální sítě a podsítě pro správu použijte rutinu Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

K ověření správného vytvoření virtuální sítě použijte rutinu Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

Při vytváření platebního HSM potřebujete také ID podsítě správy.

Vytvoření platebního HSM

Vytváření pomocí dynamických hostitelů

Azure CLI
Azure PowerShell

Pokud chcete vytvořit platební HSM s dynamickými hostiteli, použijte příkaz az dedicated-hsm create . Následující příklad vytvoří hsM plateb pojmenovaný myPaymentHSM v eastus oblasti, myResourceGroup skupině prostředků a zadaném předplatném, virtuální síti a podsíti:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic list a zadejte skupinu prostředků:

az network nic list -g myResourceGroup -o table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic show a zadejte skupinu prostředků a název síťového rozhraní:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Výstup obsahuje tento řádek:

  "privateIPAllocationMethod": "Dynamic",

Pokud chcete vytvořit platební HSM s dynamickými hostiteli, použijte rutinu New-AzDedicatedHsm a ID virtuální sítě z předchozího kroku:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

Výstup vytvoření platebního HSM vypadá takto:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte rutinu Get-AzNetworkInterface a zadejte skupinu prostředků:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Na webu Azure Portal se zobrazuje metoda přidělování privátníCH IP adres jako Dynamická:

Vytvoření se statickými hostiteli

Azure CLI
Azure PowerShell

Pokud chcete vytvořit platební HSM se statickými hostiteli, použijte příkaz az dedicated-hsm create . Následující příklad vytvoří hsM plateb pojmenovaný myPaymentHSM v eastus oblasti, myResourceGroup skupině prostředků a zadaném předplatném, virtuální síti a podsíti:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Pokud chcete také zadat statickou IP adresu hostitele pro správu, můžete přidat:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic list a zadejte skupinu prostředků:

az network nic list -g myResourceGroup -o table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pokud chcete zobrazit vlastnosti síťového rozhraní, použijte příkaz az network nic show a zadejte skupinu prostředků a název síťového rozhraní:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Výstup obsahuje tento řádek:

  "privateIPAllocationMethod": "Static",

Pokud chcete vytvořit platební HSM se statickými hostiteli, použijte rutinu New-AzDedicatedHsm a ID virtuální sítě z předchozího kroku:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

Výstup vytvoření platebního HSM vypadá takto:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte rutinu Get-AzNetworkInterface a zadejte skupinu prostředků:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Na webu Azure Portal se zobrazuje metoda přidělování privátníCH IP adres jako Statická: