Aracılığıyla paylaş


Öğretici: ARM şablonunu kullanarak farklı sanal ağlarda konak ve yönetim bağlantı noktası ile ödeme HSM'leri oluşturma

Azure Payment HSM, Azure bulutunda gerçek zamanlı, kritik ödeme işlemleri için şifreleme anahtarı işlemleri sağlamak üzere Thales payShield 10K ödeme donanımı güvenlik modülleri (HSM) kullanılarak sunulan bir "BareMetal" hizmetidir. Azure Payment HSM, bir hizmet sağlayıcısının ve tek bir finans kurumunun ödeme sisteminin dijital dönüşüm stratejisini hızlandırmasına ve genel bulutu benimsemesine yardımcı olmak için özel olarak tasarlanmıştır. Daha fazla bilgi için bkz . Azure Payment HSM: Genel Bakış.

Bu öğreticide, Azure CLI veya Azure PowerShell kullanarak farklı sanal ağlarda konak ve yönetim bağlantı noktasıyla ödeme HSM'sinin nasıl oluşturulacağı açıklanır. Bunun yerine:

Azure Resource Manager şablonu, projenizin altyapısını ve yapılandırmasını tanımlayan bir JavaScript Nesne Gösterimi (JSON) dosyasıdır. Bu şablonda, bildirim temelli sözdizimi kullanılır. Dağıtımı oluşturmak için programlama komutlarının sırasını yazmadan hedeflenen dağıtımınızı açıklarsınız.

Önkoşullar

Önemli

Azure Ödeme HSM özel bir hizmettir. Azure Ödeme HSM'sini ekleme ve kullanma hakkı elde etmek için müşterilerin atanmış bir Microsoft Hesap Yöneticisi ve bir Bulut Hizmeti Mimarı (CSA) olması gerekir.

Hizmet hakkında bilgi edinmek, niteleme sürecini başlatmak ve eklemeden önce önkoşulları hazırlamak için Microsoft hesap yöneticinizden ve CSA'dan e-posta yoluyla istek göndermesini isteyin.

  • "Microsoft.HardwareSecurityModules" ve "Microsoft.Network" kaynak sağlayıcılarının yanı sıra Azure Payment HSM özelliklerini de kaydetmeniz gerekir. Bunu yapmak için gereken adımlar Azure Ödeme HSM kaynak sağlayıcısını ve kaynak sağlayıcısı özelliklerini kaydetme başlığındadır.

    Kaynak sağlayıcılarının ve özelliklerin zaten kayıtlı olup olmadığını hızlıca belirlemek için Azure CLI az provider show komutunu kullanın. (Bu komutun çıkışı tablo biçiminde görüntülendiğinde daha okunabilir.)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
    
    az provider show --namespace "Microsoft.Network" -o table
    
    az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
    
    az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
    

    Bu komutlardan dördü de "Kayıtlı" değerini döndürürse bu hızlı başlangıçla devam edebilirsiniz.

  • Bir Azure aboneliğiniz olmalıdır. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.

  • Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  • CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

    • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

    • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

    • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.


Kaynak grubu oluşturma

Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır. eastus konumunda myResourceGroup adlı bir kaynak grubu oluşturmak için az group create komutunu kullanın.

az group create --name "myResourceGroup" --location "EastUS"

Sanal ağlar ve alt ağlar oluşturma

Ödeme HSM'sini oluşturmadan önce konak için bir sanal ağ / alt ağ ve yönetim bağlantı noktası için farklı bir sanal ağ / alt ağ oluşturmanız gerekir.

İlk olarak, konak için sanal ağı oluşturmak için Azure CLI az network vnet create komutunu kullanın:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Daha sonra, alt ağı güncelleştirmek ve "Microsoft.HardwareSecurityModules/dedicatedHSMs" temsili vermek için Azure CLI az network vnet subnet update komutunu kullanın:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Sanal ağın ve alt ağın doğru oluşturulduğunu doğrulamak için Azure CLI az network vnet subnet show komutunu kullanın:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Ana bilgisayarın ödeme HSM'sini oluştururken kullanılan alt ağ kimliğini not edin. Alt ağın kimliği alt ağın adıyla biter:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Şimdi yönetim bağlantı noktası için başka bir sanal ağ ve alt ağ oluşturun:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Alt ağı güncelleştirmek ve "Microsoft.HardwareSecurityModules/dedicatedHSMs" temsili vermek için Azure CLI az network vnet subnet update komutunu kullanın:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Yönetim sanal ağının ve alt ağın doğru oluşturulduğunu doğrulamak için Azure CLI az network vnet subnet show komutunu kullanın:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Ayrıca ödeme HSM'sini oluştururken yönetimin alt ağ kimliğine de ihtiyacınız vardır.

Ödeme HSM'si oluşturma

Dinamik konaklarla oluşturma

Dinamik konaklarla ödeme HSM'sini oluşturmak için az dedicated-hsm create komutunu kullanın. Aşağıdaki örnek bölge, kaynak grubu ve belirtilen abonelik, myResourceGroup sanal ağ ve alt ağda adlı myPaymentHSM bir ödeme HSM'sini eastus oluşturur:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Yeni oluşturulan ağ arabirimlerini görmek için az network nic list komutunu kullanarak kaynak grubunu sağlayın:

az network nic list -g myResourceGroup -o table

Çıktıda, konak 1 ve konak 2, bir yönetim arabiriminin yanı sıra listelenir:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Yeni oluşturulan ağ arabirimlerini görmek için az network nic show komutunu kullanarak ağ arabiriminin kaynak grubunu ve adını sağlayın:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Çıktı şu satırı içerir:

  "privateIPAllocationMethod": "Dynamic",

Statik konaklarla oluşturma

Statik konaklarla ödeme HSM'sini oluşturmak için az dedicated-hsm create komutunu kullanın. Aşağıdaki örnek bölge, kaynak grubu ve belirtilen abonelik, myResourceGroup sanal ağ ve alt ağda adlı myPaymentHSM bir ödeme HSM'sini eastus oluşturur:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Yönetim konağı için statik bir IP de belirtmek isterseniz şunları ekleyebilirsiniz:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Yeni oluşturulan ağ arabirimlerini görmek için az network nic list komutunu kullanarak kaynak grubunu sağlayın:

az network nic list -g myResourceGroup -o table

Çıktıda konak 1 ve konak 2'nin yanı sıra yönetim arabirimi listelenir:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Bir ağ arabiriminin özelliklerini görüntülemek için az network nic show komutunu kullanarak ağ arabiriminin kaynak grubunu ve adını sağlayın:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Çıktı şu satırı içerir:

  "privateIPAllocationMethod": "Static",

Sonraki adımlar

Ödeme HSM'nizi görüntülemeyi öğrenmek için sonraki makaleye geçin.

Ek bilgi: