Oktatóanyag: Fizetési HSM létrehozása gazdagéppel és felügyeleti porttal különböző virtuális hálózatokban ARM-sablon használatával
Az Azure Payment HSM egy "BareMetal" szolgáltatás, amely a Thales payShield 10K fizetési hardveres biztonsági moduljaival (HSM) érhető el, hogy titkosítási kulcsműveleteket biztosítson valós idejű, kritikus fontosságú fizetési tranzakciókhoz az Azure-felhőben. Az Azure Payment HSM-et kifejezetten arra tervezték, hogy segítsen egy szolgáltatónak és egy egyéni pénzügyi intézménynek felgyorsítani a fizetési rendszer digitális átalakítási stratégiáját, és bevezetni a nyilvános felhőt. További információ: Azure Payment HSM: Áttekintés.
Ez az oktatóanyag bemutatja, hogyan hozhat létre fizetési HSM-et a gazdagép és a felügyeleti port használatával különböző virtuális hálózatokon az Azure CLI vagy az Azure PowerShell használatával. Ehelyett a következőt teheti:
- Fizetési HSM létrehozása ugyanabban a virtuális hálózatban lévő gazdagéppel és felügyeleti porttal az Azure CLI vagy a PowerShell használatával
- Fizetési HSM létrehozása ugyanazon a virtuális hálózaton lévő gazdagéppel és felügyeleti porttal ARM-sablon használatával
- Fizetési HSM létrehozása különböző virtuális hálózatok gazdagépével és felügyeleti portjával ARM-sablon használatával
- HSM-erőforrás létrehozása gazdagép- és felügyeleti porttal, ip-címekkel a különböző virtuális hálózatokban ARM-sablon használatával
Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.
Előfeltételek
Fontos
Az Azure Payment HSM egy speciális szolgáltatás. Az Azure Payment HSM előkészítésére és használatára való jogosultsághoz az ügyfeleknek rendelkezniük kell egy hozzárendelt Microsoft Account Managerrel, és rendelkezniük kell egy Felhőszolgáltatás-tervezővel (CSA).
Ha érdeklődni szeretne a szolgáltatásról, indítsa el a minősítési folyamatot, és készítse elő az előfeltételeket a beszállás előtt, kérje meg a Microsoft-fiókkezelőt és a CSA-t, hogy küldjön egy kérést e-mailben.
Regisztrálnia kell a "Microsoft.HardwareSecurityModules" és a "Microsoft.Network" erőforrás-szolgáltatókat, valamint az Azure Payment HSM funkcióit. Ennek lépései az Azure Payment HSM erőforrás-szolgáltatójának és erőforrás-szolgáltatói funkcióinak regisztrálása.
Ha gyorsan meg szeretné állapítani, hogy az erőforrás-szolgáltatók és szolgáltatások már regisztrálva vannak-e, használja az Azure CLI az provider show parancsot. (A parancs kimenete olvashatóbb, ha táblaformátumban jelenik meg.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table
Folytathatja ezt a gyorsindítást, ha mind a négy parancs "Regisztrált" értéket ad vissza.
Rendelkeznie kell egy Azure-előfizetéssel. Ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.
Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
Erőforráscsoport létrehozása
Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az az group create paranccsal hozzon létre egy myResourceGroup nevű erőforráscsoportot az eastus helyen.
az group create --name "myResourceGroup" --location "EastUS"
Virtuális hálózatok és alhálózatok létrehozása
A fizetési HSM létrehozása előtt először létre kell hoznia egy virtuális hálózatot / alhálózatot a gazdagép számára, és egy másik virtuális hálózatot / alhálózatot a felügyeleti porthoz.
Először használja az Azure CLI az network vnet create parancsot a gazdagép virtuális hálózatának létrehozásához:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Ezt követően az Azure CLI az network vnet subnet update paranccsal frissítse az alhálózatot, és adja meg neki a "Microsoft.HardwareSecurityModules/dedicatedHSMs" delegálását:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Annak ellenőrzéséhez, hogy a virtuális hálózat és az alhálózat megfelelően lett-e létrehozva, használja az Azure CLI az network vnet subnet show parancsot:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Jegyezze fel a gazdagép alhálózati azonosítóját, amelyet a fizetési HSM létrehozásakor használnak. Az alhálózat azonosítója az alhálózat nevével végződik:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Most hozzon létre egy másik virtuális hálózatot és alhálózatot a felügyeleti porthoz:
az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"
Ismét használja az Azure CLI az network vnet subnet update parancsot az alhálózat frissítéséhez, és adja meg neki a "Microsoft.HardwareSecurityModules/dedicatedHSMs" delegálását:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Annak ellenőrzéséhez, hogy a felügyeleti virtuális hálózat és az alhálózat megfelelően lett-e létrehozva, használja az Azure CLI az network vnet subnet show parancsot:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"
A fizetési HSM létrehozásakor szükség van a felügyelet alhálózat-azonosítójára is.
Fizetési HSM létrehozása
Létrehozás dinamikus gazdagépekkel
Ha dinamikus gazdagépekkel szeretne fizetési HSM-et létrehozni, használja az az dedicated-hsm create parancsot. Az alábbi példa létrehoz egy fizetési HSM-et myPaymentHSM
a régióban, myResourceGroup
az erőforráscsoportban és a eastus
megadott előfizetésben, virtuális hálózaton és alhálózatban:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<host-subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
Az újonnan létrehozott hálózati adapterek megtekintéséhez használja az az network nic list parancsot, és adja meg az erőforráscsoportot:
az network nic list -g myResourceGroup -o table
A kimenetben megjelenik az 1. és a 2. gazdagép, valamint egy felügyeleti felület:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Az újonnan létrehozott hálózati adapterek megtekintéséhez használja az az network nic show parancsot, amely megadja az erőforráscsoportot és a hálózati adapter nevét:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A kimenet a következő sort tartalmazza:
"privateIPAllocationMethod": "Dynamic",
Létrehozás statikus gazdagépekkel
Ha statikus gazdagépekkel szeretne fizetési HSM-et létrehozni, használja az az dedicated-hsm create parancsot. Az alábbi példa létrehoz egy fizetési HSM-et myPaymentHSM
a régióban, myResourceGroup
az erőforráscsoportban és a eastus
megadott előfizetésben, virtuális hálózaton és alhálózatban:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Ha statikus IP-címet is meg szeretne adni a felügyeleti gazdagéphez, hozzáadhatja a következőt:
--mgmt-network-interfaces private-ip-address="10.0.0.7"
Az újonnan létrehozott hálózati adapterek megtekintéséhez használja az az network nic list parancsot, és adja meg az erőforráscsoportot:
az network nic list -g myResourceGroup -o table
A kimenetben megjelenik az 1. és a 2. gazdagép, valamint a felügyeleti felület:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
A hálózati adapter tulajdonságainak megtekintéséhez használja az az network nic show parancsot, és adja meg a hálózati adapter erőforráscsoportját és nevét:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A kimenet a következő sort tartalmazza:
"privateIPAllocationMethod": "Static",
Következő lépések
A következő cikkből megtudhatja, hogyan tekintheti meg a fizetési HSM-et.
További információ:
- A fizetési HSM áttekintése
- Az Azure Payment HSM használatának első lépései
- Néhány gyakori üzembehelyezési forgatókönyv megtekintése
- Tudnivalók a minősítésről és a megfelelőségről
- Olvassa el a gyakori kérdéseket