Samouczek: tworzenie modułu HSM płatności
Moduł HSM płatności platformy Azure to usługa "BareMetal" dostarczana przy użyciu sprzętowych modułów zabezpieczeń (HSM) payShield 10K firmy Thales w celu zapewnienia operacji kluczy kryptograficznych na potrzeby transakcji płatności w czasie rzeczywistym w chmurze platformy Azure. Moduł HSM płatności platformy Azure został zaprojektowany specjalnie, aby pomóc dostawcy usług i indywidualnej instytucji finansowej przyspieszyć strategię transformacji cyfrowej systemu płatności i wdrożyć chmurę publiczną. Aby uzyskać więcej informacji, zobacz Moduł HSM płatności platformy Azure: omówienie.
W tym samouczku opisano sposób tworzenia modułu HSM usługi Azure Payment z hostem i portem zarządzania w tej samej sieci wirtualnej. Zamiast tego możesz:
- Tworzenie modułu HSM płatności przy użyciu hosta i portu zarządzania w tej samej sieci wirtualnej przy użyciu szablonu usługi ARM
- Tworzenie modułu HSM płatności przy użyciu hosta i portu zarządzania w różnych sieciach wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell
- Tworzenie modułu HSM płatności przy użyciu hosta i portu zarządzania w różnych sieciach wirtualnych przy użyciu szablonu usługi ARM
- Tworzenie zasobu HSM z hostem i portem zarządzania przy użyciu adresów IP w różnych sieciach wirtualnych przy użyciu szablonu usługi ARM
Uwaga
Jeśli chcesz ponownie użyć istniejącej sieci wirtualnej, sprawdź, czy zostały spełnione wszystkie wymagania wstępne , a następnie zapoznaj się z tematem Jak ponownie użyć istniejącej sieci wirtualnej.
Wymagania wstępne
Ważne
Moduł HSM płatności platformy Azure to wyspecjalizowana usługa. Aby kwalifikować się do dołączania i korzystania z modułu HSM płatności platformy Azure, klienci muszą mieć przypisanego menedżera kont Microsoft i mieć architekta usług w chmurze (CSA).
Aby dowiedzieć się więcej o usłudze, uruchom proces kwalifikacji i przygotuj wymagania wstępne przed rozpoczęciem dołączania, poproś menedżera konta Microsoft i CSA o wysłanie żądania pocztą e-mail.
Należy zarejestrować dostawców zasobów "Microsoft.HardwareSecurityModules" i "Microsoft.Network", a także funkcje modułu HSM płatności platformy Azure. Kroki w tym celu znajdują się w temacie Rejestrowanie dostawcy zasobów modułu HSM usługi Azure Payment i funkcji dostawcy zasobów.
Ostrzeżenie
Należy zastosować flagę funkcji "FastPathEnabled" do każdego identyfikatora subskrypcji i dodać tag "fastpathenabled" do każdej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Fastpathenabled.
Aby szybko sprawdzić, czy dostawcy zasobów i funkcje są już zarejestrowane, użyj polecenia az provider show interfejsu wiersza polecenia platformy Azure. (Dane wyjściowe tego polecenia są bardziej czytelne w przypadku wyświetlania w formacie tabeli).
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableMożesz kontynuować pracę z tym przewodnikiem Szybki start, jeśli wszystkie cztery z tych poleceń zwracają wartość "Zarejestrowano".
Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, możesz utworzyć bezpłatne konto .
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.
az group create --name "myResourceGroup" --location "EastUS"
Tworzenie sieci wirtualnej i podsieci
Przed utworzeniem modułu HSM płatności należy najpierw utworzyć sieć wirtualną i podsieć. Aby to zrobić, użyj polecenia az network vnet create interfejsu wiersza polecenia platformy Azure:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Następnie użyj polecenia az network vnet subnet update interfejsu wiersza polecenia platformy Azure, aby zaktualizować podsieć i nadać mu delegowanie polecenia "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Aby sprawdzić, czy sieć wirtualna i podsieć zostały utworzone poprawnie, użyj polecenia az network vnet subnet show interfejsu wiersza polecenia platformy Azure:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Zanotuj identyfikator podsieci, ponieważ jest potrzebny do następnego kroku. Identyfikator podsieci kończy się nazwą podsieci:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Tworzenie modułu HSM płatności
Ważne
Jeśli tworzysz dwa moduły HSM płatności w tym samym regionie, musisz przydzielić jeden do "stamp1" i drugi do "stamp2". Aby uzyskać więcej informacji, zobacz Scenariusze wdrażania: wdrożenie o wysokiej dostępności.
Tworzenie za pomocą hostów dynamicznych
Aby utworzyć moduł HSM płatności za pomocą hostów dynamicznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w eastus regionie, myResourceGroup grupie zasobów i określonej subskrypcji, sieci wirtualnej i podsieci:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:
az network nic list -g myResourceGroup -o table
W danych wyjściowych wymieniono host 1 i host 2, a także interfejs zarządzania:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Aby wyświetlić szczegóły nowo utworzonego interfejsu sieciowego, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
Dane wyjściowe zawierają następujący wiersz:
"privateIPAllocationMethod": "Dynamic",
Tworzenie za pomocą hostów statycznych
Aby utworzyć moduł HSM płatności przy użyciu hostów statycznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w eastus regionie, myResourceGroup grupie zasobów i określonej subskrypcji, sieci wirtualnej i podsieci:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Jeśli chcesz również określić statyczny adres IP hosta zarządzania, możesz dodać:
--mgmt-network-interfaces private-ip-address="10.0.0.7" \
--mgmt-network-subnet="<subnet-id>"
Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:
az network nic list -g myResourceGroup -o table
W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Aby wyświetlić właściwości interfejsu sieciowego, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
Dane wyjściowe zawierają następujący wiersz:
"privateIPAllocationMethod": "Static",
Następne kroki
Przejdź do następnego artykułu, aby dowiedzieć się, jak wyświetlić moduł HSM płatności.
Dodatkowe informacje:
- Przeczytaj omówienie modułu HSM płatności
- Dowiedz się, jak rozpocząć pracę z modułem HSM płatności platformy Azure
- Zobacz niektóre typowe scenariusze wdrażania
- Dowiedz się więcej o certyfikacji i zgodności
- Przeczytaj często zadawane pytania