你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:访问付款 HSM 的 payShield 管理器

创建 Azure 付款 HSM 后,可以在同一虚拟网络上创建虚拟机,并使用它来访问 Thales payShield 管理器。

在本教程中,你将了解如何执行以下操作:

  • 为虚拟机创建子网
  • 创建虚拟机
  • 测试与 VM 的连接,以及从 VM 到付款 HSM 的连接
  • 登录到 VM 以访问 payShield 管理器

若要完成本教程,需要:

  • 付款 HSM 的虚拟网络名称。 本教程采用上一教程中使用的名称:“myVNet”。
  • 虚拟网络的地址空间。 本教程采用上一教程中使用的地址空间:“10.0.0.0/16”。

创建 VM 子网

使用 Azure CLI az network vnet subnet create 命令,在付款 HSM 所在的同一虚拟网络上为虚拟机创建子网。 必须为 --address-prefixes 参数提供一个值,该值位于 VNet 的地址空间内,但与付款 HSM 子网地址不同。

az network vnet subnet create -g "myResourceGroup" --vnet-name "myVNet" -n "myVMSubnet" --address-prefixes "10.0.1.0/24"

Azure CLI az network vnet show 命令将列出与 VNet 关联的两个子网:包含付款 HSM 的子网(“mySubnet”),以及新创建的“myVMSubnet”子网。

az network vnet show -n "myVNet" -g "myResourceGroup"

创建 VM

使用 Azure CLI az vm create 命令在新子网上创建 VM。 (在此示例中,我们将创建一个 Linux VM,但你也可以通过使用使用 Azure CLI 创建 Windows 虚拟机中的说明来创建 Windows VM,详细信息如下。)

az vm create \
  --resource-group "myResourceGroup" \
  --name "myVM" \
  --image "UbuntuLTS" \
  --vnet-name "myVNet" \
  --subnet "myVMSubnet" \
  --admin-username "azureuser" \
  --generate-ssh-keys

记下保存公共 SSH 密钥的位置以及“publicIpAddress”的值。

测试连接

若要访问与虚拟机的连接,以及从 VM 到管理 NIC IP (10.0.0.4) 和主机 NIC IP 的连接,请通过 SSH 连接到 VM。 连接到公共 IP 地址(例如 azureuser@20.127.60.92)或完全限定的域名(例如 azureuser@myvm-b82fbe.eastus.cloudapp.azure.com)

注意

如果使用 Azure PowerShell(Azure 门户)创建了 VM,或者在创建 VM 时未要求 Azure CLI 自动生成 ssh 密钥,则需要使用“-i”标志(例如 ssh -i "path/to/sshkey" azureuser@<publicIpAddress-or-FullyQualifiedDomainName>)将私钥提供给 ssh 命令。 请注意,私钥必须受到保护(“chmod 400 myVM_key.pem”)。

ssh azureuser@<publicIpAddress-or-FullyQualifiedDomainName>

如果 ssh 挂起或拒绝连接,请查看 NSG 规则,确保能够连接到 VM。

如果连接成功,你应能够从 VM ping 管理 NIC IP (10.0.0.4) 和主机 NIC IP (10.0.0.5):

azureuser@myVM:~$ ping 10.0.0.4
PING 10.0.0.4 (10.0.0.4) 56(84) bytes of data.
64 bytes from 10.0.0.4: icmp_seq=1 ttl=63 time=1.34 ms
64 bytes from 10.0.0.4: icmp_seq=2 ttl=63 time=1.53 ms
64 bytes from 10.0.0.4: icmp_seq=3 ttl=63 time=1.40 ms
64 bytes from 10.0.0.4: icmp_seq=4 ttl=63 time=1.26 ms
^C
--- 10.0.0.4 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 1.263/1.382/1.531/0.098 ms

azureuser@myVM:~$ ping 10.0.0.5
PING 10.0.0.5 (10.0.0.5) 56(84) bytes of data.
64 bytes from 10.0.0.5: icmp_seq=1 ttl=63 time=1.33 ms
64 bytes from 10.0.0.5: icmp_seq=2 ttl=63 time=1.25 ms
64 bytes from 10.0.0.5: icmp_seq=3 ttl=63 time=1.15 ms
64 bytes from 10.0.0.5: icmp_seq=4 ttl=63 time=1.37 ms

访问 payShield 管理器

若要访问与付款 HSM 关联的 payShield 管理器,请使用 -L(本地)选项通过 SSH 连接到 VM。 如果需要在测试连接中使用 -i 选项,则在此处再次需要它。

-L 选项会将 localhost 绑定到 HSM 资源。 向 -L 标志传递字符串“44300:<MGMT-IP-of-payment-HSM>:443”,其中 <MGMT-IP-of-HSM-resource> 表示付款 HSM 的管理 IP。

ssh -L 44300:<MGMT-IP-of-payment-HSM>:443 azureuser@<publicIpAddress-or-FullyQualifiedDomainName>

例如,如果使用“10.0.0.0”作为付款 HSM 子网的地址前缀,则管理 IP 将为“10.0.0.5”,命令将为:

ssh -L 44300:10.0.0.5:443 azureuser@<publicIpAddress-or-FullyQualifiedDomainName>

现在,转到本地计算机上的浏览器并打开 https://localhost:44300 以访问 payShield 管理器。

Azure 付款 HSM 的 payShield 管理器的屏幕截图。

可在此处委托设备、安装或生成 LMK、测试 API 等。 请遵循 payShield 文档,如果出现与 payShield 委托、设置和 API 测试相关的任何问题,请联系 Thales 支持。

后续步骤

继续阅读下一篇文章,了解如何通过 payShield 管理器删除委托付款 HSM。

更多资源: