Öğretici: PowerShell kullanarak HSM'leri mevcut bir sanal ağa dağıtma
Azure Ayrılmış HSM Hizmeti, tam yönetim denetimi ve tam yönetim sorumluluğu ile tek müşteri kullanımı için fiziksel bir cihaz sağlar. Fiziksel donanım sağladığı için, Kapasitenin etkili bir şekilde yönetildiğinden emin olmak için Microsoft'un bu cihazların nasıl ayrıldığını denetlemesi gerekir. Sonuç olarak, Bir Azure aboneliğinde Ayrılmış HSM hizmeti normalde kaynak sağlama için görünmez. Ayrılmış HSM hizmetine erişim gerektiren tüm Azure müşterileri, Ayrılmış HSM hizmetine kayıt isteğinde bulunmak için önce Microsoft hesabı yöneticisine başvurmalıdır. Bu işlemin başarıyla tamamlanmasının yalnızca bir kez sağlanması mümkündür.
Bu öğretici, aşağıdaki durumlarda tipik bir sağlama işlemini göstermeyi amaçlar:
- Müşterinin zaten bir sanal ağı var
- Sanal makineleri var
- Mevcut ortama HSM kaynakları eklemeleri gerekir.
Tipik, yüksek kullanılabilirlik, çok bölgeli dağıtım mimarisi aşağıdaki gibidir:
Bu öğreticide, bir çift HSM ve gerekli ExpressRoute ağ geçidinin (yukarıdaki alt ağa bakın) mevcut bir sanal ağ ile tümleştirilmesine (yukarıdaki VNET 1'e bakın) odaklanılır. Diğer tüm kaynaklar standart Azure kaynaklarıdır. Aynı tümleştirme işlemi, yukarıdaki VNET 3'teki alt ağ 4'teki HSM'ler için de kullanılabilir.
Not
Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Önkoşullar
Azure Ayrılmış HSM şu anda Azure portalında kullanılamadığından, hizmetle tüm etkileşimler komut satırı aracılığıyla veya PowerShell kullanılarak gerçekleştirilir. Bu öğreticide Azure Cloud Shell'de PowerShell kullanılır. PowerShell'i kullanmaya yeni başladıysanız buradaki başlangıç yönergelerini izleyin: Azure PowerShell Kullanmaya Başlama.
Varsayımlar:
- Microsoft Hesap Yöneticisi'ni atadıktan sonra Azure Ayrılmış HSM'yi ekleme ve kullanma için yıllık olarak taahhüt edilen toplam Azure gelirinde beş milyon ABD doları (5 MILYON ABD doları) veya daha büyük parasal gereksinimi karşıladiniz.
- Azure Ayrılmış HSM kayıt işleminin üzerinden geçtiniz ve hizmetin kullanımı için onaylandınız. Aksi takdirde, ayrıntılar için Microsoft hesabı temsilcinize başvurun.
- Bu kaynaklar ve bu öğreticide dağıtılan yeni kaynaklar için bir Kaynak Grubu oluşturdunuz.
- Gerekli sanal ağı, alt ağı ve sanal makineleri zaten oluşturdunuz ve şimdi 2 HSM'yi bu dağıtımla tümleştirmek istiyorsunuz.
Aşağıdaki yönergelerde, Azure portalına zaten gidip Cloud Shell'i açtığınız varsayılır (portalın sağ üst kısmındaki ">_" öğesini seçin).
Ayrılmış HSM sağlama
HSM'lerin sağlanması ve ExpressRoute ağ geçidi aracılığıyla mevcut bir sanal ağ ile tümleştirilmesi, daha fazla yapılandırma etkinliği için HSM cihazının erişilebilirliğini ve temel kullanılabilirliğini sağlamak üzere ssh komut satırı aracı kullanılarak doğrulanır. Aşağıdaki komutlar, HSM kaynaklarını ve ilişkili ağ kaynaklarını oluşturmak için bir Resource Manager şablonu kullanır.
Özellik Kaydını Doğrulama
Belirtildiği gibi, herhangi bir sağlama etkinliği, Ayrılmış HSM hizmetinin aboneliğiniz için kaydedilmesini gerektirir. Bunu doğrulamak için Azure portalı Cloud Shell'de aşağıdaki PowerShell komutunu çalıştırın.
Get-AzProviderFeature -ProviderNamespace Microsoft.HardwareSecurityModules -FeatureName AzureDedicatedHsm
Daha fazla ilerlemeden önce komutun "Kayıtlı" durumunu döndürmesi gerekir. Bu hizmete kayıtlı değilseniz Microsoft hesabı temsilcinize başvurun.
HSM kaynakları oluşturma
Bir HSM cihazı, bir alt ağ gerektiren müşterilerin sanal ağına sağlanır. HSM'nin sanal ağ ve fiziksel cihaz arasındaki iletişimi etkinleştirme bağımlılığı bir ExpressRoute ağ geçididir ve son olarak Thales istemci yazılımını kullanarak HSM cihazına erişmek için bir sanal makine gereklidir.
Aşağıdaki örneği temel alan bir ARM şablonu kullanarak Ayrılmış HSM kaynağı oluşturabilirsiniz. "value":"" içeren satırları tercih ettiğiniz kaynak adlarıyla değiştirerek parametreleri güncelleştirmeniz gerekir.
namingInfixHSM kaynaklarının adları için ön ekExistingVirtualNetworkNameHSM'ler için kullanılan sanal ağın adıDedicatedHsmResourceName1Veri merkezi damgası 1'deki HSM kaynağının adıDedicatedHsmResourceName2Veri merkezi damgası 2'deki HSM kaynağının adıhsmSubnetRangeHSM'ler için alt ağ IP Adresi aralığıERSubnetRangeVNET ağ geçidi için alt ağ IP Adresi aralığı
Bu değişikliklere örnek olarak şunlar verilmiştir:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"namingInfix": {
"value": "MyHSM"
},
"ExistingVirtualNetworkName": {
"value": "MyHSM-vnet"
},
"DedicatedHsmResourceName1": {
"value": "HSM1"
},
"DedicatedHsmResourceName2": {
"value": "HSM2"
},
"hsmSubnetRange": {
"value": "10.0.2.0/24"
},
"ERSubnetRange": {
"value": "10.0.255.0/26"
},
}
}
İlişkili Resource Manager şablon dosyası şu bilgilerle altı kaynak oluşturur:
- Belirtilen VNET'teki HSM'ler için bir alt ağ
- Sanal ağ geçidi için alt ağ
- Sanal ağı HSM cihazlarına bağlayan bir sanal ağ geçidi
- Ağ geçidi için genel IP adresi
- Damga 1'de bir HSM
- Damga 2'de bir HSM
Parametre değerleri ayarlandıktan sonra dosyaların kullanılabilmesi için Azure portal Cloud Shell dosya paylaşımına yüklenmesi gerekir. Azure portalında ekranın alt kısmını bir komut ortamı haline getiren sağ üstteki ">_" Cloud Shell simgesini seçin. Seçenekler BASH ve PowerShell'tir ve henüz ayarlanmadıysa BASH'i seçmeniz gerekir.
Şablon ve parametre dosyalarını dosya paylaşımınıza yüklemek için araç çubuğundaki karşıya yükleme/indirme seçeneğini belirleyin:
Dosyalar karşıya yüklendikten sonra kaynak oluşturmaya hazırsınız demektir.
Yeni HSM kaynakları oluşturmadan önce gerekli bazı önkoşul kaynakları vardır. İşlem, HSM'ler ve ağ geçidi için alt ağ aralıklarına sahip bir sanal ağınız olmalıdır. Aşağıdaki komutlar, böyle bir sanal ağı neyin oluşturacağını gösteren bir örnek olarak görev yapar.
$compute = New-AzVirtualNetworkSubnetConfig `
-Name compute `
-AddressPrefix 10.2.0.0/24
$delegation = New-AzDelegation `
-Name "myDelegation" `
-ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"
$hsmsubnet = New-AzVirtualNetworkSubnetConfig `
-Name hsmsubnet `
-AddressPrefix 10.2.1.0/24 `
-Delegation $delegation
$gwsubnet= New-AzVirtualNetworkSubnetConfig `
-Name GatewaySubnet `
-AddressPrefix 10.2.255.0/26
New-AzVirtualNetwork `
-Name myHSM-vnet `
-ResourceGroupName myRG `
-Location westus `
-AddressPrefix 10.2.0.0/16 `
-Subnet $compute, $hsmsubnet, $gwsubnet
Not
Sanal ağ için dikkat edilmesi gereken en önemli yapılandırma, HSM cihazının alt ağının "Microsoft.HardwareSecurityModules/dedicatedHSMs" olarak ayarlanmış temsilcilere sahip olması gerektiğidir. HSM sağlama bu olmadan çalışmaz.
Tüm önkoşullar yerine getirilir ve Resource Manager şablonu benzersiz adlarınızla (en azından kaynak grubu adı) güncelleştirildikten sonra aşağıdaki komutu çalıştırın:
New-AzResourceGroupDeployment -ResourceGroupName myRG `
-TemplateFile .\Deploy-2HSM-toVNET-Template.json `
-TemplateParameterFile .\Deploy-2HSM-toVNET-Params.json `
-Name HSMdeploy -Verbose
Bu komutun tamamlanması yaklaşık 20 dakika sürmelidir. Kullanılan "ayrıntılı" seçeneği, durumun sürekli görüntülenmesini sağlar.
Başarıyla tamamlandığında, "provisioningState": "Succeeded" ile gösterildiği gibi, mevcut sanal makinenizde oturum açabilir ve HSM cihazının kullanılabilirliğini sağlamak için SSH kullanabilirsiniz.
Dağıtımı Doğrulama
Cihazların sağlandığını doğrulamak ve cihaz özniteliklerini görmek için aşağıdaki komut kümesini çalıştırın. Kaynak grubunun uygun şekilde ayarlandığından ve kaynak adının parametre dosyasındaki gibi olduğundan emin olun.
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSM1"
Get-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Artık Azure kaynak gezginini kullanarak kaynakları da görebilirsiniz. Gezgine girdikten sonra, sol taraftaki "abonelikler"i genişletin, Ayrılmış HSM için özel aboneliğinizi genişletin, "kaynak grupları"nı genişletin, kullandığınız kaynak grubunu genişletin ve son olarak "kaynaklar" öğesini seçin.
Dağıtımı Test Etme
Dağıtımı test etmek, HSM'lere erişebilen bir sanal makineye bağlanma ve ardından doğrudan HSM cihazına bağlanma durumudur. Bu eylemler HSM'nin erişilebilir olduğunu doğrular. Ssh aracı, sanal makineye bağlanmak için kullanılır. Komut aşağıdakine benzer, ancak parametresinde belirttiğiniz yönetici adı ve dns adıyla birlikte.
ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com
Kullanılacak parola, parametre dosyasındaki paroladır. Linux VM'sinde oturum açtıktan sonra, kaynak <ön eki>hsm_vnic için portalda bulunan özel IP adresini kullanarak HSM'de oturum açabilirsiniz.
(Get-AzResource -ResourceGroupName myRG -Name HSMdeploy -ExpandProperties).Properties.networkProfile.networkInterfaces.privateIpAddress
IP adresine sahip olduğunuzda aşağıdaki komutu çalıştırın:
ssh tenantadmin@<ip address of HSM>
Başarılı olursa bir parola girmeniz istenir. Varsayılan parola PAROLA'dır. HSM, parolanızı değiştirmenizi ister, bu nedenle güçlü bir parola ayarlayın ve kuruluşunuzun parolayı depolamak ve kaybı önlemek için tercih edeceği mekanizmayı kullanın.
Önemli
Bu parolayı kaybederseniz HSM'nin sıfırlanması gerekir ve bu da anahtarlarınızı kaybetmeniz anlamına gelir.
SSH kullanarak HSM cihazına bağlandığınızda, HSM'nin çalışır durumda olduğundan emin olmak için aşağıdaki komutu çalıştırın.
hsm show
Çıktı aşağıda gösterilen görüntüye benzer olmalıdır:
Bu noktada tüm kaynakları yüksek oranda kullanılabilir, iki HSM dağıtımı ve doğrulanmış erişim ve işletim durumu için ayırmış olursunuz. Daha fazla yapılandırma veya test, HSM cihazının kendisiyle daha fazla çalışma gerektirir. Bunun için HSM'yi başlatmak ve bölümler oluşturmak için Thales Luna 7 HSM Yönetim Kılavuzu 7. bölümdeki yönergeleri izlemeniz gerekir. Thales müşteri destek portalına kaydolup Müşteri Kimliğine sahip olduğunuzda tüm belgeler ve yazılımlar doğrudan Thales'ten indirilebilir. Tüm gerekli bileşenleri almak için İstemci Yazılımı sürüm 7.2'yi indirin.
Kaynakları silme veya temizleme
Yalnızca HSM cihazını tamamladıysanız, kaynak olarak silinebilir ve ücretsiz havuza döndürülebilir. Bunu yaparken en belirgin endişe, cihazdaki hassas müşteri verileridir. Bir cihazı "sıfırlamanın" en iyi yolu, HSM yönetici parolasını üç kez yanlış almaktır (not: Bu alet yöneticisi değildir, gerçek HSM yöneticisidir). Önemli malzemeleri korumaya yönelik bir güvenlik önlemi olarak cihaz sıfırlanmış duruma gelene kadar Azure kaynağı olarak silinemez.
Not
Thales cihaz yapılandırmasıyla ilgili bir sorununuz varsa Thales müşteri desteğine başvurmanız gerekir.
Azure'da HSM kaynağını kaldırmak istiyorsanız, "$" değişkenlerini benzersiz parametrelerinizle değiştirerek aşağıdaki komutu kullanabilirsiniz:
$subid = (Get-AzContext).Subscription.Id
$resourceGroupName = "myRG"
$resourceName = "HSMdeploy"
Remove-AzResource -Resourceid /subscriptions/$subId/resourceGroups/$resourceGroupName/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/$resourceName
Sonraki adımlar
Öğreticideki adımları tamamladıktan sonra Ayrılmış HSM kaynakları sanal ağınızda sağlanır ve kullanılabilir. Artık bu dağıtımı tercih ettiğiniz dağıtım mimarisinin gerektirdiği şekilde daha fazla kaynakla tamamlayacak bir konumdasınız. Dağıtımınızı planlamaya yardımcı olma hakkında daha fazla bilgi için Bkz. Kavramlar belgeleri. Birincil bölgede raf düzeyinde kullanılabilirliği ele alan iki HSM ve bölgesel kullanılabilirliği ele alan ikincil bölgede iki HSM içeren bir tasarım önerilir. Bu öğreticide kullanılan şablon dosyası, iki HSM dağıtımı için kolayca temel olarak kullanılabilir, ancak gereksinimlerinizi karşılamak için parametrelerinin değiştirilmesi gerekir.