Oktatóanyag: Fizetési HSM létrehozása

Az Azure Payment HSM egy "BareMetal" szolgáltatás, amely a Thales payShield 10K fizetési hardveres biztonsági moduljaival (HSM) érhető el, hogy titkosítási kulcsműveleteket biztosítson valós idejű, kritikus fontosságú fizetési tranzakciókhoz az Azure-felhőben. Az Azure Payment HSM-et kifejezetten arra tervezték, hogy segítsen egy szolgáltatónak és egy egyéni pénzügyi intézménynek felgyorsítani a fizetési rendszer digitális átalakítási stratégiáját, és bevezetni a nyilvános felhőt. További információ: Azure Payment HSM: Áttekintés.

Ez az oktatóanyag bemutatja, hogyan hozhat létre Azure Payment HSM-et ugyanazon a virtuális hálózaton található gazdagép- és felügyeleti porttal. Ehelyett a következőt teheti:

• Fizetési HSM létrehozása ugyanazon a virtuális hálózaton lévő gazdagéppel és felügyeleti porttal ARM-sablon használatával
• Fizetési HSM létrehozása különböző virtuális hálózatok gazdagépével és felügyeleti portjával az Azure CLI vagy a PowerShell használatával
• Fizetési HSM létrehozása különböző virtuális hálózatok gazdagépével és felügyeleti portjával ARM-sablon használatával
• HSM-erőforrás létrehozása gazdagép- és felügyeleti porttal, ip-címekkel a különböző virtuális hálózatokban ARM-sablon használatával

Feljegyzés

Ha egy meglévő virtuális hálózatot szeretne újra felhasználni, ellenőrizze, hogy teljesítette-e az összes előfeltételt, majd olvassa el a Meglévő virtuális hálózat újrafelhasználása című cikket.

Előfeltételek

Fontos

Az Azure Payment HSM egy speciális szolgáltatás. Az Azure Payment HSM előkészítésére és használatára való jogosultsághoz az ügyfeleknek rendelkezniük kell egy hozzárendelt Microsoft Account Managerrel, és rendelkezniük kell egy Felhőszolgáltatás-tervezővel (CSA).

Ha érdeklődni szeretne a szolgáltatásról, indítsa el a minősítési folyamatot, és készítse elő az előfeltételeket a beszállás előtt, kérje meg a Microsoft-fiókkezelőt és a CSA-t, hogy küldjön egy kérést e-mailben.

Azure CLI

• Regisztrálnia kell a "Microsoft.HardwareSecurityModules" és a "Microsoft.Network" erőforrás-szolgáltatókat, valamint az Azure Payment HSM funkcióit. Ennek lépései az Azure Payment HSM erőforrás-szolgáltatójának és erőforrás-szolgáltatói funkcióinak regisztrálása.

  Figyelmeztetés

  A "FastPathEnabled" funkciójelzőt minden előfizetés-azonosítóra alkalmaznia kell, és hozzá kell adnia a "fastpathenabled" címkét minden virtuális hálózathoz. További információ: Fastpathenabled.

  Ha gyorsan meg szeretné állapítani, hogy az erőforrás-szolgáltatók és szolgáltatások már regisztrálva vannak-e, használja az Azure CLI az provider show parancsot. (A parancs kimenete olvashatóbb, ha táblaformátumban jelenik meg.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Folytathatja ezt a gyorsindítást, ha mind a négy parancs "Regisztrált" értéket ad vissza.

• Rendelkeznie kell egy Azure-előfizetéssel. Ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Azure PowerShell

• Regisztrálnia kell a "Microsoft.HardwareSecurityModules" és a "Microsoft.Network" erőforrás-szolgáltatókat, valamint az Azure Payment HSM funkcióit. Ennek lépései az Azure Payment HSM erőforrás-szolgáltatójának és erőforrás-szolgáltatói funkcióinak regisztrálása.

  Figyelmeztetés

  A "FastPathEnabled" funkciójelzőt minden előfizetés-azonosítóra alkalmaznia kell, és hozzá kell adnia a "fastpathenabled" címkét minden virtuális hálózathoz. További információ: Fastpathenabled.

  Az azure PowerShell Get-AzProviderFeature parancsmaggal gyorsan megállapíthatja, hogy az erőforrás-szolgáltatók és szolgáltatások már regisztrálva vannak-e:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Ezt a rövid útmutatót akkor folytathatja, ha mindkét parancs "RegistrationState" eredménye "Registered" (Regisztrálva) értéket ad vissza.

• Rendelkeznie kell egy Azure-előfizetéssel. Ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.

* Ha az Azure PowerShell helyi használatát választja: * Telepítse az Az PowerShell modul legújabb verzióját. * Csatlakozzon az Azure-fiókjához a Connect-AzAccount parancsmag használatával. * Ha az Azure Cloud Shell használata mellett dönt: * További információkért tekintse meg az Azure Cloud Shell áttekintését.\n

• Telepítenie kell az Az.DedicatedHsm PowerShell-modult:

  Install-Module -Name Az.DedicatedHsm
  

Erőforráscsoport létrehozása

Azure CLI

Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az az group create paranccsal hozzon létre egy myResourceGroup nevű erőforráscsoportot az eastus helyen.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az Azure PowerShell New-AzResourceGroup parancsmaggal hozzon létre egy myResourceGroup nevű erőforráscsoportot az Eastus-helyen.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Virtuális hálózat és alhálózat létrehozása

Azure CLI

A fizetési HSM létrehozása előtt először létre kell hoznia egy virtuális hálózatot és egy alhálózatot. Ehhez használja az Azure CLI az network vnet create parancsot:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Ezt követően az Azure CLI az network vnet subnet update paranccsal frissítse az alhálózatot, és adja meg neki a "Microsoft.HardwareSecurityModules/dedicatedHSMs" delegálását:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Annak ellenőrzéséhez, hogy a virtuális hálózat és az alhálózat megfelelően lett-e létrehozva, használja az Azure CLI az network vnet subnet show parancsot:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Jegyezze fel az alhálózat azonosítóját, ahogy a következő lépéshez szüksége lesz rá. Az alhálózat azonosítója az alhálózat nevével végződik:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

A fizetési HSM létrehozása előtt először létre kell hoznia egy virtuális hálózatot és egy alhálózatot.

Először állítson be néhány változót a következő műveletekhez:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Az Azure PowerShell New-AzDelegation parancsmaggal hozzon létre egy szolgáltatásdelegálást, amelyet hozzá szeretne adni az alhálózathoz, és mentse a kimenetet a $myDelegation változóba:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Az Azure PowerShell New-AzVirtualNetworkSubnetConfig parancsmaggal hozzon létre egy virtuális hálózati alhálózat-konfigurációt, és mentse a kimenetet a $myPHSMSubnet változóba:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Feljegyzés

A New-AzVirtualNetworkSubnetConfig parancsmag figyelmeztetést generál, amelyet nyugodtan figyelmen kívül hagyhat.

Azure-beli virtuális hálózat létrehozásához használja az Azure PowerShell New-AzVirtualNetwork parancsmagot:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

A virtuális hálózat helyes létrehozásának ellenőrzéséhez használja az Azure PowerShell Get-AzVirtualNetwork parancsmagot:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Jegyezze fel az alhálózat azonosítóját, amelyet a következő lépésben használunk. Az alhálózat azonosítója az alhálózat nevével végződik:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Fizetési HSM létrehozása

Fontos

Ha két fizetési HSM-et hoz létre ugyanabban a régióban, az egyiket az "1. bélyeghez", a másikat pedig a "2. bélyeghez" kell lefoglalnia. További információ: Üzembe helyezési forgatókönyvek: Magas rendelkezésre állású üzembe helyezés.

Létrehozás dinamikus gazdagépekkel

Azure CLI

Ha dinamikus gazdagépekkel szeretne fizetési HSM-et létrehozni, használja az az dedicated-hsm create parancsot. Az alábbi példa létrehoz egy fizetési HSM-et myPaymentHSM a régióban, myResourceGroup az erőforráscsoportban és a eastus megadott előfizetésben, virtuális hálózaton és alhálózatban:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Az újonnan létrehozott hálózati adapterek megtekintéséhez használja az az network nic list parancsot, és adja meg az erőforráscsoportot:

az network nic list -g myResourceGroup -o table

A kimenetben megjelenik az 1. és a 2. gazdagép, valamint egy felügyeleti felület:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Az újonnan létrehozott hálózati adapter részleteinek megtekintéséhez használja az az network nic show parancsot, és adja meg az erőforráscsoportot és a hálózati adapter nevét:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

A kimenet a következő sort tartalmazza:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Ha dinamikus gazdagépekkel szeretne fizetési HSM-et létrehozni, használja a New-AzDedicatedHsm parancsmagot és a virtuális hálózat azonosítóját az előző lépésben:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

A fizetési HSM-létrehozás kimenete így néz ki:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Az újonnan létrehozott hálózati adapterek megtekintéséhez használja a Get-AzNetworkInterface parancsmagot, és adja meg az erőforráscsoportot:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

A kimenetben megjelenik az 1. és a 2. gazdagép, valamint a felügyeleti felület:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Az Azure Portalon a "Privát IP-kiosztási módszer" a "Dinamikus":

Létrehozás statikus gazdagépekkel

Azure CLI

Ha statikus gazdagépekkel szeretne fizetési HSM-et létrehozni, használja az az dedicated-hsm create parancsot. Az alábbi példa létrehoz egy fizetési HSM-et myPaymentHSM a régióban, myResourceGroup az erőforráscsoportban és a eastus megadott előfizetésben, virtuális hálózaton és alhálózatban:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Ha statikus IP-címet is meg szeretne adni a felügyeleti gazdagéphez, hozzáadhatja a következőt:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Az újonnan létrehozott hálózati adapterek megtekintéséhez használja az az network nic list parancsot, és adja meg az erőforráscsoportot:

az network nic list -g myResourceGroup -o table

A kimenetben megjelenik az 1. és a 2. gazdagép, valamint a felügyeleti felület:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

A hálózati adapter tulajdonságainak megtekintéséhez használja az az network nic show parancsot, és adja meg a hálózati adapter erőforráscsoportját és nevét:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

A kimenet a következő sort tartalmazza:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Ha statikus gazdagépekkel szeretne fizetési HSM-et létrehozni, használja a New-AzDedicatedHsm parancsmagot és a VNet-azonosítót az előző lépésben:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Ha statikus IP-címet is meg szeretne adni a felügyeleti gazdagéphez, hozzáadhatja a következőt:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

A fizetési HSM-létrehozás kimenete így néz ki:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Az újonnan létrehozott hálózati adapterek megtekintéséhez használja a Get-AzNetworkInterface parancsmagot, és adja meg az erőforráscsoportot:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

A kimenetben megjelenik az 1. és a 2. gazdagép, valamint a felügyeleti felület:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Az Azure Portalon a "Privát IP-kiosztási módszer" "Dynamic" (Dinamikus) néven jelenik meg:

Következő lépések

A következő cikkből megtudhatja, hogyan tekintheti meg a fizetési HSM-et.

Fizetési HSM-ek megtekintése

További információ:

• A fizetési HSM áttekintése
• Az Azure Payment HSM használatának első lépései
• Néhány gyakori üzembehelyezési forgatókönyv megtekintése
• Tudnivalók a minősítésről és a megfelelőségről
• Olvassa el a gyakori kérdéseket