Samouczek: tworzenie modułu HSM płatności

Moduł HSM płatności platformy Azure to usługa "BareMetal" dostarczana przy użyciu sprzętowych modułów zabezpieczeń (HSM) payShield 10K firmy Thales w celu zapewnienia operacji kluczy kryptograficznych na potrzeby transakcji płatności w czasie rzeczywistym w chmurze platformy Azure. Moduł HSM płatności platformy Azure został zaprojektowany specjalnie, aby pomóc dostawcy usług i indywidualnej instytucji finansowej przyspieszyć strategię transformacji cyfrowej systemu płatności i wdrożyć chmurę publiczną. Aby uzyskać więcej informacji, zobacz Moduł HSM płatności platformy Azure: omówienie.

W tym samouczku opisano sposób tworzenia modułu HSM usługi Azure Payment z hostem i portem zarządzania w tej samej sieci wirtualnej. Zamiast tego możesz:

• Tworzenie modułu HSM płatności przy użyciu hosta i portu zarządzania w tej samej sieci wirtualnej przy użyciu szablonu usługi ARM
• Tworzenie modułu HSM płatności przy użyciu hosta i portu zarządzania w różnych sieciach wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell
• Tworzenie modułu HSM płatności przy użyciu hosta i portu zarządzania w różnych sieciach wirtualnych przy użyciu szablonu usługi ARM
• Tworzenie zasobu HSM z hostem i portem zarządzania przy użyciu adresów IP w różnych sieciach wirtualnych przy użyciu szablonu usługi ARM

Uwaga

Jeśli chcesz ponownie użyć istniejącej sieci wirtualnej, sprawdź, czy zostały spełnione wszystkie wymagania wstępne , a następnie zapoznaj się z tematem Jak ponownie użyć istniejącej sieci wirtualnej.

Wymagania wstępne

Ważne

Moduł HSM płatności platformy Azure to wyspecjalizowana usługa. Aby kwalifikować się do dołączania i korzystania z modułu HSM płatności platformy Azure, klienci muszą mieć przypisanego menedżera kont Microsoft i mieć architekta usług w chmurze (CSA).

Aby dowiedzieć się więcej o usłudze, uruchom proces kwalifikacji i przygotuj wymagania wstępne przed rozpoczęciem dołączania, poproś menedżera konta Microsoft i CSA o wysłanie żądania pocztą e-mail.

Interfejs wiersza polecenia platformy Azure

• Należy zarejestrować dostawców zasobów "Microsoft.HardwareSecurityModules" i "Microsoft.Network", a także funkcje modułu HSM płatności platformy Azure. Kroki w tym celu znajdują się w temacie Rejestrowanie dostawcy zasobów modułu HSM usługi Azure Payment i funkcji dostawcy zasobów.

  Ostrzeżenie

  Należy zastosować flagę funkcji "FastPathEnabled" do każdego identyfikatora subskrypcji i dodać tag "fastpathenabled" do każdej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Fastpathenabled.

  Aby szybko sprawdzić, czy dostawcy zasobów i funkcje są już zarejestrowane, użyj polecenia az provider show interfejsu wiersza polecenia platformy Azure. (Dane wyjściowe tego polecenia są bardziej czytelne w przypadku wyświetlania w formacie tabeli).

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Możesz kontynuować pracę z tym przewodnikiem Szybki start, jeśli wszystkie cztery z tych poleceń zwracają wartość "Zarejestrowano".

• Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, możesz utworzyć bezpłatne konto .

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

Azure PowerShell

• Należy zarejestrować dostawców zasobów "Microsoft.HardwareSecurityModules" i "Microsoft.Network", a także funkcje modułu HSM płatności platformy Azure. Kroki w tym celu znajdują się w temacie Rejestrowanie dostawcy zasobów modułu HSM usługi Azure Payment i funkcji dostawcy zasobów.

  Ostrzeżenie

  Należy zastosować flagę funkcji "FastPathEnabled" do każdego identyfikatora subskrypcji i dodać tag "fastpathenabled" do każdej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Fastpathenabled.

  Aby szybko sprawdzić, czy dostawcy zasobów i funkcje są już zarejestrowani, użyj polecenia cmdlet Get-AzProviderFeature programu Azure PowerShell:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Możesz kontynuować pracę z tym przewodnikiem Szybki start, jeśli wartość "RegistrationState" obu poleceń zwraca wartość "Zarejestrowano".

• Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, możesz utworzyć bezpłatne konto .

* Jeśli zdecydujesz się używać programu Azure PowerShell lokalnie: * Zainstaluj najnowszą wersję modułu Az programu PowerShell. * Połącz się z kontem platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount . * Jeśli zdecydujesz się używać usługi Azure Cloud Shell: * Zobacz Omówienie usługi Azure Cloud Shell , aby uzyskać więcej informacji.\

• Należy zainstalować moduł Az.DedicatedHsm programu PowerShell:

  Install-Module -Name Az.DedicatedHsm
  

Tworzenie grupy zasobów

Interfejs wiersza polecenia platformy Azure

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet New-AzResourceGroup programu Azure PowerShell, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Tworzenie sieci wirtualnej i podsieci

Interfejs wiersza polecenia platformy Azure

Przed utworzeniem modułu HSM płatności należy najpierw utworzyć sieć wirtualną i podsieć. Aby to zrobić, użyj polecenia az network vnet create interfejsu wiersza polecenia platformy Azure:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Następnie użyj polecenia az network vnet subnet update interfejsu wiersza polecenia platformy Azure, aby zaktualizować podsieć i nadać mu delegowanie polecenia "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Aby sprawdzić, czy sieć wirtualna i podsieć zostały utworzone poprawnie, użyj polecenia az network vnet subnet show interfejsu wiersza polecenia platformy Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Zanotuj identyfikator podsieci, ponieważ jest potrzebny do następnego kroku. Identyfikator podsieci kończy się nazwą podsieci:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Przed utworzeniem modułu HSM płatności należy najpierw utworzyć sieć wirtualną i podsieć.

Najpierw ustaw zmienne do użycia w kolejnych operacjach:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Użyj polecenia cmdlet New-AzDelegation programu Azure PowerShell, aby utworzyć delegowanie usługi do dodania do podsieci i zapisać dane wyjściowe w zmiennej$myDelegation:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Użyj polecenia cmdlet New-AzVirtualNetworkSubnetConfig programu Azure PowerShell, aby utworzyć konfigurację podsieci sieci wirtualnej i zapisać dane wyjściowe w zmiennej$myPHSMSubnet:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Uwaga

Polecenie cmdlet New-AzVirtualNetworkSubnetConfig wygeneruje ostrzeżenie, które można bezpiecznie zignorować.

Aby utworzyć sieć wirtualną platformy Azure, użyj polecenia cmdlet New-AzVirtualNetwork programu Azure PowerShell:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Aby sprawdzić, czy sieć wirtualna została utworzona poprawnie, użyj polecenia cmdlet Get-AzVirtualNetwork programu Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Zanotuj identyfikator podsieci, który jest używany w następnym kroku. Identyfikator podsieci kończy się nazwą podsieci:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Tworzenie modułu HSM płatności

Ważne

Jeśli tworzysz dwa moduły HSM płatności w tym samym regionie, musisz przydzielić jeden do "stamp1" i drugi do "stamp2". Aby uzyskać więcej informacji, zobacz Scenariusze wdrażania: wdrożenie o wysokiej dostępności.

Tworzenie za pomocą hostów dynamicznych

Interfejs wiersza polecenia platformy Azure

Aby utworzyć moduł HSM płatności za pomocą hostów dynamicznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w eastus regionie, myResourceGroup grupie zasobów i określonej subskrypcji, sieci wirtualnej i podsieci:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:

az network nic list -g myResourceGroup -o table

W danych wyjściowych wymieniono host 1 i host 2, a także interfejs zarządzania:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Aby wyświetlić szczegóły nowo utworzonego interfejsu sieciowego, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Dane wyjściowe zawierają następujący wiersz:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Aby utworzyć moduł HSM płatności z hostami dynamicznymi, użyj polecenia cmdlet New-AzDedicatedHsm i identyfikatora sieci wirtualnej z poprzedniego kroku:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

Dane wyjściowe tworzenia modułu HSM płatności wyglądają następująco:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia cmdlet Get-AzNetworkInterface , podając grupę zasobów:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

W witrynie Azure Portal "Metoda alokacji prywatnego adresu IP" to "Dynamiczny":

Tworzenie za pomocą hostów statycznych

Interfejs wiersza polecenia platformy Azure

Aby utworzyć moduł HSM płatności przy użyciu hostów statycznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w eastus regionie, myResourceGroup grupie zasobów i określonej subskrypcji, sieci wirtualnej i podsieci:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Jeśli chcesz również określić statyczny adres IP hosta zarządzania, możesz dodać:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:

az network nic list -g myResourceGroup -o table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Aby wyświetlić właściwości interfejsu sieciowego, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Dane wyjściowe zawierają następujący wiersz:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Aby utworzyć moduł HSM płatności za pomocą hostów statycznych, użyj polecenia cmdlet New-AzDedicatedHsm i identyfikatora sieci wirtualnej z poprzedniego kroku:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Jeśli chcesz również określić statyczny adres IP hosta zarządzania, możesz dodać:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

Dane wyjściowe tworzenia modułu HSM płatności wyglądają następująco:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia cmdlet Get-AzNetworkInterface , podając grupę zasobów:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

W witrynie Azure Portal jest wyświetlana "Metoda alokacji prywatnego adresu IP" jako "Dynamiczna":

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak wyświetlić moduł HSM płatności.

Wyświetlanie modułów HSM płatności

Dodatkowe informacje:

• Przeczytaj omówienie modułu HSM płatności
• Dowiedz się, jak rozpocząć pracę z modułem HSM płatności platformy Azure
• Zobacz niektóre typowe scenariusze wdrażania
• Dowiedz się więcej o certyfikacji i zgodności
• Przeczytaj często zadawane pytania