Tutorial: Membuat HSM pembayaran dengan host dan port manajemen di jaringan virtual yang berbeda menggunakan templat ARM

Azure Payment HSM adalah layanan "BareMetal" yang dikirimkan menggunakan modul keamanan perangkat keras pembayaran (HSM) Thales payShield 10K untuk menyediakan operasi kunci kriptografi untuk transaksi pembayaran kriptografi real time dan penting di cloud Azure. Azure Payment HSM dirancang khusus untuk membantu penyedia layanan dan lembaga keuangan individu mempercepat strategi transformasi digital sistem pembayaran mereka dan mengadopsi cloud publik. Untuk informasi selengkapnya, lihat Azure Payment HSM: Gambaran Umum.

Tutorial ini menjelaskan cara membuat HSM pembayaran dengan host dan port manajemen di jaringan virtual yang berbeda, menggunakan Azure CLI atau Azure PowerShell. Sebagai gantinya, Anda dapat:

• Membuat HSM pembayaran dengan host dan port manajemen di jaringan virtual yang sama menggunakan Azure CLI atau PowerShell
• Membuat HSM pembayaran dengan host dan port manajemen di jaringan virtual yang sama menggunakan templat ARM
• Membuat HSM pembayaran dengan host dan port manajemen di jaringan virtual yang berbeda menggunakan templat ARM
• Membuat sumber daya HSM dengan port host dan manajemen dengan alamat IP di jaringan virtual yang berbeda menggunakan templat ARM

Templat Azure Resource Manager adalah file JavaScript Object Notation (JSON) yang menentukan infrastruktur dan konfigurasi untuk proyek Anda. Template tersebut menggunakan sintaksis deklaratif. Anda menjelaskan penyebaran yang Dimaksudkan tanpa menulis urutan perintah pemrograman untuk membuat penyebaran.

Prasyarat

Penting

Azure Payment HSM adalah layanan khusus. Agar memenuhi syarat untuk onboarding dan penggunaan Azure Payment HSM, pelanggan harus memiliki Manajer Akun Microsoft yang ditetapkan dan memiliki Cloud Service Architect (CSA).

Untuk menanyakan tentang layanan, mulai proses kualifikasi, dan siapkan prasyarat sebelum on-boarding, minta manajer akun Microsoft dan CSA Anda untuk mengirim permintaan melalui email.

• Anda harus mendaftarkan penyedia sumber daya "Microsoft.HardwareSecurityModules" dan "Microsoft.Network", serta fitur Azure Payment HSM. Langkah-langkah untuk melakukannya ada di Daftarkan fitur penyedia sumber daya dan penyedia sumber daya Azure Payment HSM.

  Untuk dengan cepat memastikan apakah penyedia sumber daya dan fitur sudah terdaftar, gunakan perintah tampilkan penyedia az Azure CLI. (Output perintah ini lebih mudah dibaca saat ditampilkan dalam format tabel.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Anda dapat melanjutkan dengan mulai cepat ini jika keempat perintah ini mengembalikan "Terdaftar".

• Anda harus memiliki langganan Azure yang aktif. Anda dapat membuat akun gratis jika Anda tidak memilikinya.

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

---

Buat grup sumber daya

Azure CLI

Grup sumber daya adalah kontainer logis yang disebarkan dan dikelola oleh sumber daya Azure. Gunakan perintah az group create untuk membuat grup sumber daya bernama myResourceGroup di lokasi eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Grup sumber daya adalah kontainer logis yang disebarkan dan dikelola oleh sumber daya Azure. Gunakan cmdlet Azure PowerShell New-AzResourceGroup untuk membuat grup sumber daya bernama myResourceGroup di lokasi eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Membuat jaringan virtual dan subnet

Sebelum membuat HSM pembayaran, Anda harus terlebih dahulu membuat jaringan virtual / subnet untuk host, dan jaringan virtual / subnet yang berbeda untuk port manajemen.

Azure CLI

Pertama, gunakan perintah buat vnet jaringan az Azure CLI untuk membuat jaringan virtual untuk host:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Setelah itu, gunakan perintah pembaruan subnet vnet jaringan az Azure CLI untuk memperbarui subnet dan memberinya delegasi "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Untuk memverifikasi bahwa VNet dan subnet dibuat dengan benar, gunakan perintah az network vnet subnet show Azure CLI:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Catat ID subnet host, yang digunakan saat membuat HSM pembayaran. ID subnet berakhir dengan nama subnet:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Sekarang buat jaringan virtual dan subnet lain untuk port manajemen:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Sekali lagi, gunakan perintah pembaruan subnet vnet jaringan az Azure CLI untuk memperbarui subnet dan memberinya delegasi "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Untuk memverifikasi bahwa VNet manajemen dan subnet dibuat dengan benar, gunakan perintah az network vnet subnet show Azure CLI:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Anda juga memerlukan ID subnet manajemen saat membuat HSM pembayaran.

Azure PowerShell

Pertama, atur beberapa variabel untuk digunakan dalam membuat VNet host / subnet:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Gunakan cmdlet Azure PowerShell New-AzDelegation untuk membuat delegasi layanan yang akan ditambahkan ke subnet host Anda, dan simpan output ke $myDelegation variabel:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Gunakan cmdlet Azure PowerShell New-AzVirtualNetworkSubnetConfig untuk membuat konfigurasi subnet jaringan virtual, dan simpan output ke $myPHSMSubnet variabel:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Catatan

Cmdlet New-AzVirtualNetworkSubnetConfig akan menghasilkan peringatan, yang dapat Anda abaikan dengan aman.

Untuk membuat Azure Virtual Network, gunakan cmdlet Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Untuk memverifikasi bahwa VNet dibuat dengan benar, gunakan cmdlet Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Catat ID subnet, yang digunakan pada langkah berikutnya. ID subnet berakhir dengan nama subnet:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Sekarang buat jaringan virtual dan subnet lain untuk port manajemen. Pertama, atur variabel baru:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Gunakan cmdlet Azure PowerShell New-AzVirtualNetwork untuk membuat jaringan virtual manajemen dan subnet:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Untuk memverifikasi bahwa VNet dibuat dengan benar, gunakan cmdlet Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

Anda juga memerlukan ID subnet manajemen saat membuat HSM pembayaran.

Membuat HSM pembayaran

Membuat dengan host dinamis

Azure CLI

Untuk membuat HSM pembayaran dengan host dinamis, gunakan perintah az dedicated-hsm create . Contoh berikut membuat HSM pembayaran bernama myPaymentHSM di eastus wilayah, myResourceGroup grup sumber daya, dan langganan, jaringan virtual, dan subnet yang ditentukan:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Untuk melihat antarmuka jaringan yang baru dibuat, gunakan perintah az network nic list , menyediakan grup sumber daya:

az network nic list -g myResourceGroup -o table

Dalam output, host 1 dan host 2 tercantum, serta antarmuka manajemen:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Untuk melihat antarmuka jaringan yang baru dibuat, gunakan perintah az network nic show , yang menyediakan grup sumber daya dan nama antarmuka jaringan:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Output berisi baris ini:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Untuk membuat HSM pembayaran dengan host dinamis, gunakan cmdlet New-AzDedicatedHsm dan ID VNet dari langkah sebelumnya:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

Output dari pembuatan HSM pembayaran terlihat seperti ini:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Untuk melihat antarmuka jaringan yang baru dibuat, gunakan cmdlet Get-AzNetworkInterface , yang menyediakan grup sumber daya:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Dalam output, host 1 dan host 2 tercantum, serta antarmuka manajemen:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

portal Azure menunjukkan "Metode alokasi IP privat" sebagai "Dinamis":

Membuat dengan host statis

Azure CLI

Untuk membuat HSM pembayaran dengan host statis, gunakan perintah az dedicated-hsm create . Contoh berikut membuat HSM pembayaran bernama myPaymentHSM di eastus wilayah, myResourceGroup grup sumber daya, dan langganan, jaringan virtual, dan subnet yang ditentukan:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Jika Anda ingin juga menentukan IP statis untuk host manajemen, Anda dapat menambahkan:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Untuk melihat antarmuka jaringan yang baru dibuat, gunakan perintah az network nic list , menyediakan grup sumber daya:

az network nic list -g myResourceGroup -o table

Dalam output, host 1 dan host 2 tercantum, serta antarmuka manajemen:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Untuk melihat properti antarmuka jaringan, gunakan perintah az network nic show , yang menyediakan grup sumber daya dan nama antarmuka jaringan:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Output berisi baris ini:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Untuk membuat HSM pembayaran dengan host statis, gunakan cmdlet New-AzDedicatedHsm dan ID VNet dari langkah sebelumnya:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

Output dari pembuatan HSM pembayaran terlihat seperti ini:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Untuk melihat antarmuka jaringan yang baru dibuat, gunakan cmdlet Get-AzNetworkInterface , yang menyediakan grup sumber daya:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Dalam output, host 1 dan host 2 tercantum, serta antarmuka manajemen:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

portal Azure menunjukkan "Metode alokasi IP Privat" sebagai "Statis":

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk mempelajari cara melihat HSM pembayaran Anda.

Lihat HSM pembayaran Anda

Informasi Tambahan:

• Membaca Gambaran Umum Pembayaran HSM
• Cari tahu cara memulai Azure Payment HSM
• Lihat beberapa skenario penyebaran umum
• Pelajari tentang Sertifikasi dan kepatuhan
• Membaca pertanyaan yang sering diajukan