Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Ayrılmış HSM hizmetinin iki farklı model vardır. İlk olarak, HSM cihazlarının Azure'da temel ağ bileşenleriyle birlikte kaydı ve dağıtımı. İkinci olarak, HSM cihazlarının belirli bir iş yükü veya uygulamayla kullanım/tümleştirme hazırlığında yapılandırması. Thales Luna 7 HSM cihazları Azure'da doğrudan Thales'ten satın aldığınız cihazlarla aynı olsa da, Bunların Azure'da bir kaynak olması bazı benzersiz noktalara neden olur. Bu önemli noktalar ve sonuçta elde edilen sorun giderme içgörüleri veya en iyi yöntemler, yüksek görünürlük ve kritik bilgilere erişim sağlamak için burada belgelenmiştir. Hizmet kullanımda olduğunda, doğrudan Microsoft'a veya Thales'e yönelik destek istekleri aracılığıyla kesin bilgiler sağlanır.
Not
Yeni dağıtılan bir HSM cihazında herhangi bir yapılandırma gerçekleştirmeden önce ilgili yamalarla güncelleştirilmesi gerektiği belirtilmelidir. Sistemin yeniden başlatma sırasında yanıt vermemeye başlaması sorununu gideren Thales destek portalında belirli bir gerekli düzeltme eki KB0019789 .
HSM Kaydı
Ayrılmış HSM, Azure'da baremetal HSM özellikleri sunan ve ücretsiz olarak kullanılamayan değerli bir kaynaktır. Doğru kullanımı sağlamak için, ekleme ve dağıtım için Azure aboneliklerini onaylamaya yönelik bir izin verilenler listesi işlemi kullanıyoruz. Ayrılmış HSM'ye ekleme işlemine devam etmek istiyorsanız, daha fazla rehberlik için Microsoft Hesap Yöneticinize başvurun.
Ayrılmış HSM'ye erişim elde etme
İlk olarak, kullanım örneklerinizin Azure Key Vault veya Azure Yönetilen HSM tarafından ele alınamadığını doğrulayın. Bu durumda yalnızca Ayrılmış HSM'nin önemli depolama gereksinimlerinizi karşıladığını düşünüyorsanız erişim isteğinde bulunma konusunda daha fazla rehberlik için Microsoft Hesap Yöneticinize veya Microsoft Müşteri Desteği'ne başvurun. Uygulamanızı ve kullanım durumlarınızı, HSM'leri istediğiniz bölgeleri ve istediğiniz HSM hacmini özetleyin.
HSM Sağlama
Azure'da HSM cihazı sağlama işlemi CLI veya PowerShell aracılığıyla gerçekleştirilebilir. Hizmete kaydolduğunda örnek bir ARM şablonu sağlanır ve ilk özelleştirme için yardım verilir.
HSM Dağıtım Hatası Bilgileri
Ayrılmış HSM, dağıtım için CLI ve PowerShell'i desteklediği için portal tabanlı hata bilgileri sınırlıdır ve ayrıntılı değildir. Kaynak Gezgini'ni kullanarak daha iyi bilgiler bulabilirsiniz. Portal giriş sayfasında bunun için bir simge bulunur ve daha ayrıntılı hata bilgileri sağlanır. Bu bilgiler, dağıtım sorunlarıyla ilgili bir destek isteği oluştururken yapıştırılırsa çok yardımcı olur.
HSM Alt Ağ Temsilcisi
Dağıtım hatalarının bir numaralı nedeni, HSM'lerin sağlandığı müşteri tanımlı alt ağ için uygun temsilciyi ayarlamayı unutmaktır. Temsilci seçmenin dağıtım için sanal ağ ve alt ağ önkoşullarının bir parçası olduğunu ve daha fazla ayrıntıyı öğreticilerde bulabilirsiniz.
HSM Dağıtım Yarış Durumu
Dağıtım için sağlanan standart ARM şablonu HSM ve ExpressRoute ağ geçidiyle ilgili kaynaklara sahiptir. Ağ kaynakları başarılı HSM dağıtımı için bir bağımlılıktır ve zamanlama kritik olabilir. Bazen bağımlılık sorunlarıyla ilgili dağıtım hataları görüyoruz ve dağıtımın yeniden çalıştırılması genellikle sorunu çözüyor. Aksi takdirde, kaynakları silme ve yeniden dağıtma işlemi genellikle başarılı olur. Bunu deneyip sorunu bulmaya devam ettikten sonra Azure portalında "Azure kurulumunu yapılandırma sorunları" sorun türünü seçerek bir destek isteği oluşturun.
Terraform Kullanarak HSM Dağıtımı
Birkaç müşteri bu hizmete kaydolduğunda sağlanan ARM şablonları yerine Terraform'ı otomasyon ortamı olarak kullandı. HSM'ler bu şekilde dağıtılamaz, ancak bağımlı ağ kaynakları dağıtılabilir. Terraform'un yalnızca HSM dağıtımına sahip en düşük ARM şablonuna çağrıda bulunan bir modülü vardır. Bu durumda, HSM'leri dağıtmadan önce gerekli ExpressRoute ağ geçidi gibi ağ kaynaklarının tam olarak dağıtıldığından emin olmak için dikkatli olunmalıdır. Tamamlanmış dağıtımı test etmek için aşağıdaki CLI komutu kullanılabilir ve gerektiği gibi tümleştirilebilir. Özel adlandırmanız için köşeli ayraç yer tutucularını değiştirin. "provisioningState başarılı" sonucunu aramanız gerekir
az resource show --ids /subscriptions/<subid>/resourceGroups/<myresourcegroup>/providers/Microsoft.Network/virtualNetworkGateways/<myergateway>
Kotaya göre dağıtım hatası
Ayrılmış HSM'nin ilk kota sınırı damga pulu başına 2 HSM ve bölge başına 4 HSM'tir. Bu sınırlar aşılırsa dağıtımlar başarısız olabileceğinden, yenilerini denemeden önce kaynakları önceki başarısız dağıtımlardan silmeniz gerekir. Sağlandığında HSM'lere bakın Nasıl yaparım? başvurarak mevcut kaynakları de kontrol edebilirsiniz. Tek bir bölgede 4'ten fazla HSM'ye ihtiyacınız varsa, kota sınırınızda artış istemek için bir müşteri destek bileti gönderin.
Kapasiteye göre dağıtım hatası
Kullanılabilir HSM'lerin çoğu sağlandığında bir damga veya bölge kapasiteye yaklaştığında dağıtım hataları oluşabilir. Her damga pulu, müşteri kullanımı için 12 HSM sağlar ve bölge başına toplam 24 adet yedek parça ve damga başına bir test cihazı sağlar. Bu sınıra ulaştığınızı düşünüyorsanız, bölgedeki kullanılabilir kapasiteyi veya belirli damgaların dolum düzeyini sorgulamak için bir müşteri destek bileti gönderin.
Sağlandığında HSM'lere Nasıl yaparım? bakın?
Ayrılmış HSM'nin izin verilenler listesine alınmış bir hizmet olması nedeniyle Azure portalında "Gizli Tür" olarak kabul edilir. HSM kaynaklarını görmek için "Gizli türleri göster" onay kutusunu işaretlemeniz gerekir. NIC kaynağı her zaman HSM'yi izler ve bağlanmak için SSH kullanmadan önce HSM'nin IP adresini bulmak için iyi bir yerdir.
Ağ Kaynakları
Ayrılmış HSM dağıtımının ağ kaynaklarına bağımlılığı ve dikkat edilmesi gereken bazı sonuç sınırlamaları vardır.
ExpressRoute sağlama
Ayrılmış HSM, müşterinin özel IP adresi alanı ile Azure veri merkezinde fiziksel HSM arasındaki iletişim için ExpressRoute ağ geçidini "tünel" olarak kullanır. Sanal ağ başına bir ağ geçidi kısıtlaması olduğunu göz önünde bulundurarak, ExpressRoute aracılığıyla şirket içi kaynaklarına bağlantı gerektiren müşterilerin bu bağlantı için başka bir sanal ağ kullanması gerekir.
HSM Özel IP Adresi
Ayrılmış HSM için sağlanan örnek şablonlar, HSM IP'sinin belirli bir alt ağ aralığından otomatik olarak alındığını varsayar. ARM şablonundaki bir "NetworkInterfaces" özniteliği aracılığıyla HSM için açık bir IP adresi belirtebilirsiniz.
HSM Başlatma
Başlatma, yeni bir HSM'yi kullanıma veya mevcut bir HSM'yi yeniden kullanıma hazırlar. Nesneleri oluşturabilmeniz veya depolayabilmeniz, istemcilerin bağlanmasına izin verebilmeniz veya şifreleme işlemleri yapabilmeniz için HSM'nin başlatılması tamamlanmalıdır.
Kayıp Kimlik Bilgileri
Kabuk yöneticisi parolasının kaybolması, HSM anahtar malzemesinin kaybolmasına neden olur. HSM'yi sıfırlamak için bir destek isteğinde bulunulmalıdır. HSM'yi başlatırken kimlik bilgilerini güvenli bir şekilde depolayın. Kabuk ve HSM kimlik bilgileri şirketinizin ilkelerine uygun olarak tutulmalıdır.
Başarısız Oturum Açma İşlemleri
HSM'lere yanlış kimlik bilgileri sağlamak yıkıcı sonuçlar doğurabilir. HSM Rolleri için varsayılan davranışlar aşağıdadır.
| Role | Eşik (deneme sayısı) | Çok fazla hatalı oturum açma girişiminin sonucu | Kurtarma |
|---|---|---|---|
| HSM SO | 3 | HSM sıfırlanır (tüm HSM nesne kimlikleri ve tüm bölümler kaybolur) | HSM yeniden başlatılmalıdır. İçerikler yedeklerden geri yüklenebilir. |
| Bölüm SO | 10 | Bölüm sıfırlanmış. | Bölüm yeniden başlatılmalıdır. İçerikler yedekten geri yüklenebilir. |
| Audit | 10 | Lokavt | Kilidi 10 dakika sonra otomatik olarak açılır. |
| Şifreleme Sorumlusu | 10 (azaltılabilir) | HSM ilkesi 15: Bölüm PIN'inin SO sıfırlamasını etkinleştir seçeneği 1 (etkin) olarak ayarlandıysa, CO ve CU rolleri kilitlenir. HSM ilkesi 15: Bölüm PIN'inin SO sıfırlamasını etkinleştir seçeneği 0 (devre dışı) olarak ayarlandıysa, CO ve CU rolleri kalıcı olarak kilitlenir ve bölüm içeriğine artık erişilemez. Varsayılan ayar. |
CO rolünün kilidinin açılması ve kimlik bilgilerinin Bölüm SO role resetpw -name cokullanılarak sıfırlanması gerekir.Bölüm yeniden başlatılmalı ve bir yedekleme cihazından anahtar malzeme geri yüklenmelidir. |
HSM Yapılandırması
Aşağıdaki öğeler, yapılandırma hatalarının yaygın olduğu veya çağrılabilecek bir etkiye sahip olduğu durumlardır:
HSM Belgeleri ve Yazılımları
Thales Luna 7 HSM cihazları için yazılım ve belgeler Microsoft'tan sağlanmaz ve doğrudan Thales'ten indirilmelidir. Kayıt işlemi sırasında alınan Thales Müşteri Kimliği kullanılarak kayıt gereklidir. Microsoft tarafından sağlanan cihazlarda yazılım sürümü 7.2 ve üretici yazılımı sürümü 7.0.3 bulunur. 2020'nin başlarında Thales belgeleri herkese açık hale getirdi ve burada bulunabilir.
HSM Ağ Yapılandırması
HSM içindeki ağı yapılandırırken dikkatli olun. HSM'nin ExpressRoute ağ geçidi üzerinden bir müşteri özel IP adresi alanından doğrudan HSM'ye bağlantısı vardır. Bu iletişim kanalı yalnızca müşteri iletişimi içindir ve Microsoft'un erişimi yoktur. HSM, bu ağ yolunun etkilendiği şekilde yapılandırılırsa, bu HSM ile tüm iletişimin kaldırıldığı anlamına gelir. Bu durumda tek seçenek, cihazın sıfırlanması için Azure portalı üzerinden bir Microsoft destek isteği göndermektir. Bu sıfırlama yordamı HSM'yi ilk durumuna geri ayarlar ve tüm yapılandırma ve anahtar malzemeleri kaybolur. Yapılandırma yeniden oluşturulmalıdır ve cihaz HA grubuna katıldığında anahtar malzeme çoğaltılır.
HSM Cihazı Yeniden Başlatma
Bazı yapılandırma değişiklikleri için HSM'nin güç döngüsüne alınması veya yeniden başlatılması gerekir. Azure'da HSM'nin Microsoft testi, bazı durumlarda yeniden başlatmanın yanıt vermeyi durdurabileceğini belirledi. Bunun sonucu, azure portalında bir destek isteğinin oluşturulması ve bunun bir Azure veri merkezinde el ile gerçekleştirilen bir işlem olduğu düşünülerek tamamlanmasının 48 saat kadar sürmesi olabilir. Bu durumu önlemek için, Thales'ten sağlanan yeniden başlatma düzeltme ekini doğrudan dağıttıktan emin olun. Sistemin yeniden başlatma sırasında yanıt vermemeye başlamasına neden olan bir sorun için önerilen düzeltme eki için Thales Luna 7 HSM 7.2 İndirmeleri'ndeki KB0019789 bakın (Not: indirmek için Thales müşteri destek portalına kaydolmanız gerekir.)
NTLS Sertifikaları eşitlenmemiş
Bir sertifikanın süresi dolduğunda veya yapılandırma güncelleştirmeleri aracılığıyla üzerine yazıldığında istemci HSM bağlantısını kaybedebilir. Sertifika değişim istemcisi yapılandırması her HSM ile yeniden uygulanmalıdır. Geçersiz sertifikayla örnek NTLS günlüğü:
NTLS[8508]: bilgi : 0 : Gelen bağlantı isteği... : 192.168.50.2/59415 NTLS[8508]: SSLAccept'ten gelen hata iletisi: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 uyarısı bilinmiyor ca NTLS[8508]: SSL sırasında hata accept ( RC_SSL_ERROR ) NTLS[8508]: bilgi : 0xc0000711 : İstemci ile güvenli kanal oluşturulamadı: 192.168.50.2/59415 : RC_SSL_FAILED_HANDSHAKE NTLS[8508]: bilgi: 0 : NTLS İstemcisi "Bilinmeyen ana bilgisayar adı" Bağlantı örneği kaldırıldı: 192.168.50.2/59415
Başarısız TCP İletişimi
Luna İstemcisi yüklemesinden HSM'ye iletişim için en az 1792 numaralı TCP bağlantı noktası gerekir. Ortamda herhangi bir ağ yapılandırması değiştirildiğinden bunu göz önünde bulundurun.
Başarısız HA Grubu Üyesi Kurtarılamıyor
Başarısız bir HA Grubu üyesi kurtarılamazsa, hagroup recover komutu kullanılarak Luna istemcisinden el ile kurtarılmalıdır. Otomatik kurtarmayı etkinleştirmek için bir HA grubu için yeniden deneme sayısı yapılandırmak gerekir. Varsayılan olarak, bir HA grubu kurtarıldığında bir HA üyesini gruba kurtarmayı denemez.
HA Grubu Eşitlenmiyor
Üye bölümlerinin aynı kopyalama etki alanına sahip olmaması durumunda ha eşitleme komutu şunları görüntüler: Uyarı: Eşitleme başarısız olabilir. Yuva 0 ve yuva 1'deki üyeler, özel anahtar kopyalama için çakışan ayarlara sahiptir. HA grubuna doğru kopyalama etki alanına sahip yeni bir bölüm eklenmelidir ve ardından yanlış yapılandırılmış bölüm kaldırılmalıdır.
HSM Sağlamayı Kaldırma
Yalnızca bir HSM ile tamamen bittiğinde sağlama kaldırılabilir ve microsoft bunu sıfırlar ve ücretsiz bir havuza döndürür.
HSM kaynağını silme
Ayrılmış HSM'nizin Kaynak Grubunu doğrudan SİlMEYİN. HSM kaynağını silmez, HSM'yi yalnız bırakılmış duruma getirdiğinden faturalandırılmaya devam edebilirsiniz. Doğru yordamları izlemediyseniz ve bu duruma gelirse, Microsoft Desteği başvurun.
1. Adım: HSM'yi sıfırla. HSM "sıfırlanmış" durumda olmadığı sürece bir HSM için Azure kaynağı silinemez. Bu nedenle, kaynak olarak silinmeye çalışilmeden önce tüm önemli malzemeler silinmiş olmalıdır. Sıfırlamanın en hızlı yolu, HSM yönetici parolasını 3 kez yanlış almaktır (not: Bu, alet düzeyi yöneticisini değil HSM yöneticisini ifade eder). 'hsm login' komutunu kullanın ve üç kez yanlış parola girin. Luna kabuğunda HSM'yi sıfırlayan bir hsm -factoryreset komutu vardır, ancak yalnızca seri bağlantı noktasında konsol aracılığıyla yürütülebilir ve müşterilerin buna erişimi yoktur.
2. Adım: HSM sıfırlandıktan sonra, Ayrılmış HSM'yi Sil kaynağını başlatmak için aşağıdaki komutlardan birini kullanabilirsiniz
Azure CLI: az dedicated-hsm delete --resource-group <RG name> –-name <HSM name>
Azure PowerShell: Remove-AzDedicatedHsm -Name <HSM adı> -ResourceGroupName <RG adı>
3. Adım: 2. Adım başarılı olduktan sonra Azure CLI veya Azure PowerShell kullanarak ayrılmış HSM ile ilişkili diğer kaynakları silmek için kaynak grubunu silebilirsiniz.
Azure CLI: az group delete --name <RG name>
Azure PowerShell: Remove-AzResourceGroup -Name <RG adı>
Sonraki adımlar
Bu makale, HSM dağıtım yaşam döngüsü genelinde sorunlarla karşılaşabilecek veya sorun giderme ya da dikkatli değerlendirme gerektiren alanlarla ilgili içgörüler sağlamıştır. Umarım bu makale gereksiz gecikmeleri ve hayal kırıklığını önlemenize yardımcı olur ve ilgili eklemeleriniz veya değişiklikleriniz varsa Microsoft ile bir destek isteği oluşturun ve bize bildirin.