Samouczek: tworzenie modułu HSM płatności przy użyciu portu hosta i zarządzania w różnych sieciach wirtualnych przy użyciu szablonu usługi ARM

  • Artykuł

Moduł HSM płatności platformy Azure to usługa "BareMetal" dostarczana przy użyciu sprzętowych modułów zabezpieczeń (HSM) payShield 10K firmy Thales w celu zapewnienia operacji kluczy kryptograficznych na potrzeby transakcji płatności w czasie rzeczywistym w chmurze platformy Azure. Moduł HSM płatności platformy Azure został zaprojektowany specjalnie, aby pomóc dostawcy usług i indywidualnej instytucji finansowej przyspieszyć strategię transformacji cyfrowej systemu płatności i wdrożyć chmurę publiczną. Aby uzyskać więcej informacji, zobacz Moduł HSM płatności platformy Azure: omówienie.

W tym samouczku opisano sposób tworzenia modułu HSM płatności przy użyciu hosta i portu zarządzania w różnych sieciach wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Zamiast tego możesz:

Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. W szablonie używana jest składnia deklaratywna. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.

Wymagania wstępne

Ważne

Moduł HSM płatności platformy Azure to wyspecjalizowana usługa. Aby kwalifikować się do dołączania i korzystania z modułu HSM płatności platformy Azure, klienci muszą mieć przypisanego menedżera kont Microsoft i mieć architekta usług w chmurze (CSA).

Aby dowiedzieć się więcej o usłudze, uruchom proces kwalifikacji i przygotuj wymagania wstępne przed rozpoczęciem dołączania, poproś menedżera konta Microsoft i CSA o wysłanie żądania pocztą e-mail.

  • Należy zarejestrować dostawców zasobów "Microsoft.HardwareSecurityModules" i "Microsoft.Network", a także funkcje modułu HSM płatności platformy Azure. Kroki w tym celu znajdują się w temacie Rejestrowanie dostawcy zasobów modułu HSM usługi Azure Payment i funkcji dostawcy zasobów.

    Aby szybko sprawdzić, czy dostawcy zasobów i funkcje są już zarejestrowane, użyj polecenia az provider show interfejsu wiersza polecenia platformy Azure. (Dane wyjściowe tego polecenia są bardziej czytelne w przypadku wyświetlania w formacie tabeli).

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table

    Możesz kontynuować pracę z tym przewodnikiem Szybki start, jeśli wszystkie cztery z tych poleceń zwracają wartość "Zarejestrowano".

  • Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, możesz utworzyć bezpłatne konto .

Tworzenie grupy zasobów

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.

az group create --name "myResourceGroup" --location "EastUS"

Tworzenie sieci wirtualnych i podsieci

Przed utworzeniem modułu HSM płatności należy najpierw utworzyć sieć wirtualną/podsieć dla hosta oraz inną sieć wirtualną/podsieć dla portu zarządzania.

Najpierw użyj polecenia az network vnet create interfejsu wiersza polecenia platformy Azure, aby utworzyć sieć wirtualną dla hosta:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Następnie użyj polecenia az network vnet subnet update interfejsu wiersza polecenia platformy Azure, aby zaktualizować podsieć i nadać mu delegowanie polecenia "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Aby sprawdzić, czy sieć wirtualna i podsieć zostały utworzone poprawnie, użyj polecenia az network vnet subnet show interfejsu wiersza polecenia platformy Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Zanotuj identyfikator podsieci hosta, który jest używany podczas tworzenia modułu HSM płatności. Identyfikator podsieci kończy się nazwą podsieci:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Teraz utwórz kolejną sieć wirtualną i podsieć dla portu zarządzania:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Ponownie użyj polecenia az network vnet subnet update interfejsu wiersza polecenia platformy Azure, aby zaktualizować podsieć i nadać mu delegowanie polecenia "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Aby sprawdzić, czy sieć wirtualna i podsieć zarządzania zostały poprawnie utworzone, użyj polecenia az network vnet subnet show interfejsu wiersza polecenia platformy Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Identyfikator podsieci zarządzania jest również potrzebny podczas tworzenia modułu HSM płatności.

Tworzenie modułu HSM płatności

Tworzenie za pomocą hostów dynamicznych

Aby utworzyć moduł HSM płatności za pomocą hostów dynamicznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w eastus regionie, myResourceGroup grupie zasobów i określonej subskrypcji, sieci wirtualnej i podsieci:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:

az network nic list -g myResourceGroup -o table

W danych wyjściowych wymieniono host 1 i host 2, a także interfejs zarządzania:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Dane wyjściowe zawierają następujący wiersz:

  "privateIPAllocationMethod": "Dynamic",

Tworzenie za pomocą hostów statycznych

Aby utworzyć moduł HSM płatności przy użyciu hostów statycznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w eastus regionie, myResourceGroup grupie zasobów i określonej subskrypcji, sieci wirtualnej i podsieci:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Jeśli chcesz również określić statyczny adres IP hosta zarządzania, możesz dodać:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:

az network nic list -g myResourceGroup -o table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Aby wyświetlić właściwości interfejsu sieciowego, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Dane wyjściowe zawierają następujący wiersz:

  "privateIPAllocationMethod": "Static",

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak wyświetlić moduł HSM płatności.

Wyświetlanie modułów HSM płatności

Dodatkowe informacje: