Självstudie: Skapa en HSM-betalning med värd- och hanteringsport i olika virtuella nätverk med hjälp av ARM-mall
Azure Payment HSM är en "BareMetal"-tjänst som levereras med thales payShield 10K-maskinvarusäkerhetsmoduler (HSM) för att tillhandahålla kryptografiska nyckelåtgärder för realtidskritiska betalningstransaktioner i Azure-molnet. Azure Payment HSM är särskilt utformat för att hjälpa en tjänsteleverantör och ett enskilt finansinstitut att påskynda betalningssystemets strategi för digital omvandling och anta det offentliga molnet. Mer information finns i Azure Payment HSM: Översikt.
I den här självstudien beskrivs hur du skapar en HSM-betalning med värd- och hanteringsporten i olika virtuella nätverk med hjälp av Azure CLI eller Azure PowerShell. Du kan i stället:
- Skapa en HSM-betalning med värden och hanteringsporten i samma virtuella nätverk med hjälp av Azure CLI eller PowerShell
- Skapa en HSM-betalning med värden och hanteringsporten i samma virtuella nätverk med hjälp av en ARM-mall
- Skapa en HSM-betalning med värden och hanteringsporten i olika virtuella nätverk med hjälp av en ARM-mall
- Skapa HSM-resurs med värd- och hanteringsport med IP-adresser i olika virtuella nätverk med hjälp av ARM-mall
En Azure Resource Manager-mall är en JSON-fil (JavaScript Object Notation) som definierar infrastrukturen och konfigurationen för projektet. Mallen använder deklarativ syntax. Du beskriver den avsedda distributionen utan att skriva sekvensen med programmeringskommandon för att skapa distributionen.
Förutsättningar
Viktigt!
Azure Payment HSM är en specialiserad tjänst. För att kvalificera sig för registrering och användning av Azure Payment HSM måste kunderna ha en tilldelad Microsoft Account Manager och ha en Molntjänstarkitekt (CSA).
Om du vill fråga om tjänsten startar du kvalificeringsprocessen och förbereder förutsättningarna före ombordstigningen genom att be din Microsoft-kontoansvarige och CSA att skicka en begäran via e-post.
Du måste registrera resursprovidrar för Microsoft.HardwareSecurityModules och Microsoft.Network samt HSM-funktionerna för Azure Payment. Steg för att göra det finns i Registrera funktionerna för Azure Payment HSM-resursprovidern och resursprovidern.
Om du snabbt vill ta reda på om resursprovidrar och funktioner redan är registrerade använder du kommandot Azure CLI az provider show . (Utdata från det här kommandot är mer läsbara när de visas i tabellformat.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableDu kan fortsätta med den här snabbstarten om alla fyra av dessa kommandon returnerar "Registrerad".
Du måste ha en Azure-prenumeration. Du kan skapa ett kostnadsfritt konto om du inte har något.
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.
När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.
Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
Skapa en resursgrupp
En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd kommandot az group create för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus.
az group create --name "myResourceGroup" --location "EastUS"
Skapa virtuella nätverk och undernät
Innan du skapar en HSM-betalning måste du först skapa ett virtuellt nätverk/undernät för värden och ett annat virtuellt nätverk/undernät för hanteringsporten.
Använd först kommandot Azure CLI az network vnet create för att skapa det virtuella nätverket för värden:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Därefter använder du kommandot Azure CLI az network vnet subnet update för att uppdatera undernätet och ge det en delegering av "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Om du vill kontrollera att det virtuella nätverket och undernätet har skapats korrekt använder du kommandot Azure CLI az network vnet subnet show :
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Anteckna värdens undernäts-ID, som används när du skapar HSM-betalningen. ID:t för undernätet slutar med namnet på undernätet:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Skapa nu ett annat virtuellt nätverk och undernät för hanteringsporten:
az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"
Använd återigen kommandot Azure CLI az network vnet subnet update för att uppdatera undernätet och ge det en delegering av "Microsoft.HardwareSecurityModules/dedicatedHSMs":
az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Om du vill kontrollera att hanterings-VNet och undernätet har skapats korrekt använder du kommandot Azure CLI az network vnet subnet show :
az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"
Du behöver också ledningens undernäts-ID när du skapar HSM-betalningen.
Skapa en HSM-betalning
Skapa med dynamiska värdar
Om du vill skapa en HSM-betalning med dynamiska värdar använder du kommandot az dedicated-hsm create . I följande exempel skapas en HSM-betalning med namnet myPaymentHSM i eastus regionen, myResourceGroup resursgruppen och den angivna prenumerationen, det virtuella nätverket och undernätet:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<host-subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic list och tillhandahåller resursgruppen:
az network nic list -g myResourceGroup -o table
I utdata visas värd 1 och värd 2 samt ett hanteringsgränssnitt:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic show och anger resursgruppen och namnet på nätverksgränssnittet:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
Utdata innehåller den här raden:
"privateIPAllocationMethod": "Dynamic",
Skapa med statiska värdar
Om du vill skapa en HSM-betalning med statiska värdar använder du kommandot az dedicated-hsm create . I följande exempel skapas en HSM-betalning med namnet myPaymentHSM i eastus regionen, myResourceGroup resursgruppen och den angivna prenumerationen, det virtuella nätverket och undernätet:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Om du även vill ange en statisk IP-adress för hanteringsvärden kan du lägga till:
--mgmt-network-interfaces private-ip-address="10.0.0.7"
Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic list och tillhandahåller resursgruppen:
az network nic list -g myResourceGroup -o table
I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Om du vill visa egenskaperna för ett nätverksgränssnitt använder du kommandot az network nic show och anger resursgruppen och namnet på nätverksgränssnittet:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
Utdata innehåller den här raden:
"privateIPAllocationMethod": "Static",
Nästa steg
Gå vidare till nästa artikel för att lära dig hur du visar din HSM-betalning.
Ytterligare information:
- Läs en översikt över HSM för betalning
- Ta reda på hur du kommer igång med Azure Payment HSM
- Se några vanliga distributionsscenarier
- Läs mer om certifiering och efterlevnad
- Läs vanliga frågor och svar
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för