教學課程:使用 ARM 範本,在不同的虛擬網路中利用主機和管理連接埠建立付款 HSM
Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的 "BareMetal" 服務,可為 Azure 雲端的即時重大付款交易提供密碼編譯金鑰作業。 Azure 付款 HSM 專為服務提供者和個別金融機構所設計,協助加速其付款系統的數位轉型策略,以及採用公用雲端。 如需詳細資訊,請參閱 Azure 付款 HSM:概觀。
本教學課程說明如何使用 Azure CLI 或 Azure PowerShell,在不同的虛擬網路中利用主機和管理連接埠建立付款 HSM。 您可以改為:
- 使用 Azure CLI 或 PowerShell,在相同的虛擬網路中利用主機和管理連接埠建立付款 HSM
- 使用 ARM 範本,在相同的虛擬網路中利用主機和管理連結埠建立付款 HSM
- 使用 ARM 範本,在不同的虛擬網路中利用主機和管理連接埠建立付款 HSM
- 使用 ARM 範本,在不同的虛擬網路中利用主機和管理連接埠搭配 IP 位址建立 HSM 資源
Azure Resource Manager 範本是一個 JavaScript 物件標記法 (JSON) 檔案,會定義專案的基礎結構和設定。 範本使用宣告式語法。 您可以描述預期的部署,而不需要撰寫程式設計命令順序來建立部署。
必要條件
重要
Azure 付款 HSM 是特殊化服務。 若要符合上線和使用 Azure 付款 HSM 的資格,客戶必須具有一個指派的 Microsoft 客戶經理,以及具有一個雲端服務架構師 (CSA)。
若要查詢服務、開始資格審查程序,以及備妥上線前的必要條件,請要求 Microsoft 帳戶管理員和 CSA 透過電子郵件傳送要求。
您必須註冊 "Microsoft.HardwareSecurityModules" 和 "Microsoft.Network" 資源提供者,以及 Azure 付款 HSM 功能。 如需執行此作業的步驟,請參閱註冊 Azure 付款 HSM 資源提供者和資源提供者功能。
若要快速確定是否已註冊資源提供者和功能,請使用 Azure CLI az provider show 命令。 (此命令的輸出若以表格格式顯示,會更容易閱讀。)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table如果上述四個命令都傳回 "Registered" (已註冊),您就可以繼續進行此快速入門。
您必須擁有 Azure 訂用帳戶。 您可以建立免費帳戶 (如果沒有的話)。
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
建立資源群組
資源群組是在其中部署與管理 Azure 資源的邏輯容器。 使用 az group create 命令,在 eastus 位置中建立名為 myResourceGroup 的資源群組。
az group create --name "myResourceGroup" --location "EastUS"
建立虛擬網路和子網路
在建立付款 HSM 之前,您必須先為主機建立虛擬網路/子網路,並為管理連接埠建立不同的虛擬網路/子網路。
首先,使用 Azure CLI az network vnet create 命令來為主機建立虛擬網路:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
之後,使用 Azure CLI az network vnet subnet update 命令來更新子網路,並將提供 "Microsoft.HardwareSecurityModules/dedicatedHSMs" 委派:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
若要確認已正確建立 VNet 和子網路,請使用 Azure CLI az network vnet subnet show 命令:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
記下主機的子網路識別碼,以供建立付款 HSM 時使用。 子網路的識別碼結尾為該子網路的名稱:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
現在,為管理連接埠建立另一個虛擬網路和子網路:
az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"
再次使用 Azure CLI az network vnet subnet update 命令來更新子網路,並將提供 "Microsoft.HardwareSecurityModules/dedicatedHSMs" 委派:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
若要確認已正確建立管理 VNet 和子網路,請使用 Azure CLI az network vnet subnet show 命令:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"
在建立付款 HSM 時也需要管理的子網路識別碼。
建立付款 HSM
使用動態主機建立
若要使用動態主機建立付款 HSM,請使用 az dedicated-hsm create 命令。 下列範例會在 eastus 區域、myResourceGroup 資源群組,以及指定的訂用帳戶、虛擬網路和子網路中,建立名為 myPaymentHSM 的付款 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<host-subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
若要查看新建立的網路介面,請使用 az network nic list 命令,並提供資源群組:
az network nic list -g myResourceGroup -o table
在輸出中,會列出主機 1 和主機 2,以及管理介面:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
若要查看新建立的網路介面,請使用 az network nic show 命令,並提供資源群組和網路介面名稱:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
輸出包含這一行:
"privateIPAllocationMethod": "Dynamic",
![Azure 入口網站螢幕擷取畫面,顯示含有 [動態] 私人 IP 配置方法的網路介面。](media/nic-dynamic.png#lightbox)
使用靜態主機建立
若要使用靜態主機建立付款 HSM,請使用 az dedicated-hsm create 命令。 下列範例會在 eastus 區域、myResourceGroup 資源群組,以及指定的訂用帳戶、虛擬網路和子網路中,建立名為 myPaymentHSM 的付款 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
如果您還想指定管理主機的靜態 IP,可以新增:
--mgmt-network-interfaces private-ip-address="10.0.0.7"
若要查看新建立的網路介面,請使用 az network nic list 命令,並提供資源群組:
az network nic list -g myResourceGroup -o table
在輸出中,會列出主機 1 和主機 2,以及管理介面:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
若要檢視網路介面的屬性,請使用 az network nic show 命令,並提供資源群組和網路介面名稱:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
輸出包含這一行:
"privateIPAllocationMethod": "Static",
![Azure 入口網站螢幕擷取畫面,顯示含有 [靜態] 私人 IP 配置方法的網路介面。](media/nic-static.png#lightbox)
下一步
請進入下一篇文章,以了解如何檢視付款 HSM。
其他資訊:
- 閱讀付款 HSM 的概觀
- 了解如何開始使用 Azure 付款 HSM
- 請參閱一些一般部署案例
- 了解認證與合規性
- 請參閱常見問題集