Öğretici: Ödeme HSM'si oluşturma

Azure Payment HSM, Azure bulutunda gerçek zamanlı, kritik ödeme işlemleri için şifreleme anahtarı işlemleri sağlamak üzere Thales payShield 10K ödeme donanımı güvenlik modülleri (HSM) kullanılarak sunulan bir "BareMetal" hizmetidir. Azure Payment HSM, bir hizmet sağlayıcısının ve tek bir finans kurumunun ödeme sisteminin dijital dönüşüm stratejisini hızlandırmasına ve genel bulutu benimsemesine yardımcı olmak için özel olarak tasarlanmıştır. Daha fazla bilgi için bkz . Azure Payment HSM: Genel Bakış.

Bu öğreticide, aynı sanal ağda konak ve yönetim bağlantı noktası ile Azure Ödeme HSM'sinin nasıl oluşturulacağı açıklanır. Bunun yerine:

• ARM şablonu kullanarak aynı sanal ağda konak ve yönetim bağlantı noktasıyla ödeme HSM'sini oluşturma
• Azure CLI veya PowerShell kullanarak farklı sanal ağlarda konak ve yönetim bağlantı noktası ile ödeme HSM'sini oluşturma
• ARM şablonu kullanarak farklı sanal ağlarda konak ve yönetim bağlantı noktası ile ödeme HSM'sini oluşturma
• ARM şablonunu kullanarak farklı sanal ağlarda IP adresleriyle konak ve yönetim bağlantı noktası ile HSM kaynağı oluşturma

Not

Mevcut bir sanal ağı yeniden kullanmak istiyorsanız, önkoşulların tümünü karşıladığınızdan emin olun ve mevcut bir sanal ağı yeniden kullanma bölümünü okuyun.

Önkoşullar

Önemli

Azure Ödeme HSM özel bir hizmettir. Azure Ödeme HSM'sini ekleme ve kullanma hakkı elde etmek için müşterilerin atanmış bir Microsoft Hesap Yöneticisi ve bir Bulut Hizmeti Mimarı (CSA) olması gerekir.

Hizmet hakkında bilgi edinmek, niteleme sürecini başlatmak ve eklemeden önce önkoşulları hazırlamak için Microsoft hesap yöneticinizden ve CSA'dan e-posta yoluyla istek göndermesini isteyin.

Azure CLI

• "Microsoft.HardwareSecurityModules" ve "Microsoft.Network" kaynak sağlayıcılarının yanı sıra Azure Payment HSM özelliklerini de kaydetmeniz gerekir. Bunu yapmak için gereken adımlar Azure Ödeme HSM kaynak sağlayıcısını ve kaynak sağlayıcısı özelliklerini kaydetme başlığındadır.

  Uyarı

  Her abonelik kimliğine "FastPathEnabled" özellik bayrağını uygulamanız ve her sanal ağa "fastpathenabled" etiketini eklemeniz gerekir. Daha fazla bilgi için bkz . Fastpathenabled.

  Kaynak sağlayıcılarının ve özelliklerin zaten kayıtlı olup olmadığını hızlıca belirlemek için Azure CLI az provider show komutunu kullanın. (Bu komutun çıkışı tablo biçiminde görüntülendiğinde daha okunabilir.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Bu komutlardan dördü de "Kayıtlı" değerini döndürürse bu hızlı başlangıçla devam edebilirsiniz.

• Bir Azure aboneliğiniz olmalıdır. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Azure PowerShell

• "Microsoft.HardwareSecurityModules" ve "Microsoft.Network" kaynak sağlayıcılarının yanı sıra Azure Payment HSM özelliklerini de kaydetmeniz gerekir. Bunu yapmak için gereken adımlar Azure Ödeme HSM kaynak sağlayıcısını ve kaynak sağlayıcısı özelliklerini kaydetme başlığındadır.

  Uyarı

  Her abonelik kimliğine "FastPathEnabled" özellik bayrağını uygulamanız ve her sanal ağa "fastpathenabled" etiketini eklemeniz gerekir. Daha fazla bilgi için bkz . Fastpathenabled.

  Kaynak sağlayıcılarının ve özelliklerin zaten kayıtlı olup olmadığını hızlıca belirlemek için Azure PowerShell Get-AzProviderFeature cmdlet'ini kullanın:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Her iki komutun "RegistrationState" değeri "Registered" döndürürse bu hızlı başlangıçla devam edebilirsiniz.

• Bir Azure aboneliğiniz olmalıdır. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.

* Azure PowerShell'i yerel olarak kullanmayı seçerseniz: * Az PowerShell modülünün en son sürümünü yükleyin. * Connect-AzAccount cmdlet'ini kullanarak Azure hesabınıza bağlanın. * Azure Cloud Shell'i kullanmayı seçerseniz: * Daha fazla bilgi için bkz . Azure Cloud Shell'e Genel Bakış.\

• Az.DedicatedHsm PowerShell modülünü yüklemeniz gerekir:

  Install-Module -Name Az.DedicatedHsm
  

Kaynak grubu oluşturma

Azure CLI

Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır. eastus konumunda myResourceGroup adlı bir kaynak grubu oluşturmak için az group create komutunu kullanın.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır. Eastus konumunda myResourceGroup adlı bir kaynak grubu oluşturmak için Azure PowerShell New-AzResourceGroup cmdlet'ini kullanın.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Sanal ağ ve alt ağ oluşturma

Azure CLI

Ödeme HSM'sini oluşturmadan önce bir sanal ağ ve alt ağ oluşturmanız gerekir. Bunu yapmak için Azure CLI az network vnet create komutunu kullanın:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Daha sonra, alt ağı güncelleştirmek ve "Microsoft.HardwareSecurityModules/dedicatedHSMs" temsili vermek için Azure CLI az network vnet subnet update komutunu kullanın:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Sanal ağın ve alt ağın doğru oluşturulduğunu doğrulamak için Azure CLI az network vnet subnet show komutunu kullanın:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Sonraki adımda ihtiyacınız olduğu için alt ağın kimliğini not edin. Alt ağın kimliği alt ağın adıyla biter:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Ödeme HSM'sini oluşturmadan önce bir sanal ağ ve alt ağ oluşturmanız gerekir.

İlk olarak, sonraki işlemlerde kullanmak üzere bazı değişkenleri ayarlayın:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Alt ağınıza eklenecek bir hizmet temsilcisi oluşturmak ve çıkışı değişkenine kaydetmek için Azure PowerShell New-AzDelegation cmdlet'ini $myDelegation kullanın:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Azure PowerShell New-AzVirtualNetworkSubnetConfig cmdlet'ini kullanarak bir sanal ağ alt ağ yapılandırması oluşturun ve çıkışı değişkenine $myPHSMSubnet kaydedin:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Not

New-AzVirtualNetworkSubnetConfig cmdlet'i, güvenle yoksayabileceğiniz bir uyarı oluşturur.

Azure Sanal Ağ oluşturmak için Azure PowerShell New-AzVirtualNetwork cmdlet'ini kullanın:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Sanal ağın doğru oluşturulduğunu doğrulamak için Azure PowerShell Get-AzVirtualNetwork cmdlet'ini kullanın:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Sonraki adımda kullanılan alt ağın kimliğini not edin. Alt ağın kimliği alt ağın adıyla biter:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Ödeme HSM'si oluşturma

Önemli

Aynı bölgede iki ödeme HSM'sini oluşturursanız, birini "damga1" ve diğerini "stamp2" için ayırmanız gerekir. Daha fazla bilgi için bkz . Dağıtım senaryoları: Yüksek kullanılabilirlik dağıtımı.

Dinamik konaklarla oluşturma

Azure CLI

Dinamik konaklarla ödeme HSM'sini oluşturmak için az dedicated-hsm create komutunu kullanın. Aşağıdaki örnek bölge, kaynak grubu ve belirtilen abonelik, myResourceGroup sanal ağ ve alt ağda adlı myPaymentHSM bir ödeme HSM'sini eastus oluşturur:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Yeni oluşturulan ağ arabirimlerini görmek için az network nic list komutunu kullanarak kaynak grubunu sağlayın:

az network nic list -g myResourceGroup -o table

Çıktıda, konak 1 ve konak 2, bir yönetim arabiriminin yanı sıra listelenir:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Yeni oluşturulan ağ arabiriminin ayrıntılarını görmek için az network nic show komutunu kullanarak ağ arabiriminin kaynak grubunu ve adını sağlayın:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Çıktı şu satırı içerir:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Dinamik konaklarla bir ödeme HSM'si oluşturmak için, önceki adımdaki New-AzDedicatedHsm cmdlet'ini ve sanal ağ kimliğini kullanın:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

Ödeme HSM oluşturma işleminin çıkışı şöyle görünür:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Yeni oluşturulan ağ arabirimlerini görmek için Get-AzNetworkInterface cmdlet'ini kullanarak kaynak grubunu belirtin:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Çıktıda konak 1 ve konak 2'nin yanı sıra yönetim arabirimi listelenir:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure portalında "Özel IP ayırma yöntemi" "Dinamik" şeklindedir:

Statik konaklarla oluşturma

Azure CLI

Statik konaklarla ödeme HSM'sini oluşturmak için az dedicated-hsm create komutunu kullanın. Aşağıdaki örnek bölge, kaynak grubu ve belirtilen abonelik, myResourceGroup sanal ağ ve alt ağda adlı myPaymentHSM bir ödeme HSM'sini eastus oluşturur:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Yönetim konağı için statik bir IP de belirtmek isterseniz şunları ekleyebilirsiniz:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Yeni oluşturulan ağ arabirimlerini görmek için az network nic list komutunu kullanarak kaynak grubunu sağlayın:

az network nic list -g myResourceGroup -o table

Çıktıda konak 1 ve konak 2'nin yanı sıra yönetim arabirimi listelenir:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Bir ağ arabiriminin özelliklerini görüntülemek için az network nic show komutunu kullanarak ağ arabiriminin kaynak grubunu ve adını sağlayın:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Çıktı şu satırı içerir:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Statik konaklarla ödeme HSM'si oluşturmak için, önceki adımdaki New-AzDedicatedHsm cmdlet'ini ve sanal ağ kimliğini kullanın:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Yönetim konağı için statik bir IP de belirtmek isterseniz şunları ekleyebilirsiniz:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

Ödeme HSM oluşturma işleminin çıkışı şöyle görünür:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Yeni oluşturulan ağ arabirimlerini görmek için Get-AzNetworkInterface cmdlet'ini kullanarak kaynak grubunu belirtin:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Çıktıda konak 1 ve konak 2'nin yanı sıra yönetim arabirimi listelenir:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure portalında "Özel IP ayırma yöntemi" "Dinamik" olarak gösterilir:

Sonraki adımlar

Ödeme HSM'nizi görüntülemeyi öğrenmek için sonraki makaleye geçin.

Ödeme HSM'lerinizi görüntüleme

Ek bilgi:

• Ödeme HSM'sine Genel Bakış
• Azure Payment HSM'yi kullanmaya başlamayı öğrenin
• Bazı yaygın dağıtım senaryolarına bakın
• Sertifikasyon ve uyumluluk hakkında bilgi edinin
• Sık sorulan soruları okuyun