Tutorial: Erstellen einer Payment HSM-Instanz mit Host und Verwaltungsport in verschiedenen virtuellen Netzwerken mithilfe einer ARM-Vorlage

Azure Payment HSM ist ein „BareMetal“-Dienst, der mit Thales payShield 10K-Hardwaresicherheitsmodulen (HSMs) für den Zahlungsverkehr bereitgestellt wird und kryptografische Schlüsselvorgänge für kritische Zahlungstransaktionen in Echtzeit in der Azure-Cloud ermöglicht. Azure Payment HSM wurde speziell entwickelt, um einen Dienstanbieter und ein einzelnes Finanzinstitut dabei zu unterstützen, die digitale Transformationsstrategie ihres Zahlungssystems zu beschleunigen und die öffentliche Cloud einzuführen. Weitere Informationen finden Sie unter Azure Payment HSM: Übersicht.

In diesem Tutorial wird die Erstellung einer Payment HSM-Instanz mit dem Host und Verwaltungsport in verschiedenen virtuellen Netzwerken mithilfe der Azure CLI oder Azure PowerShell beschrieben. Sie können stattdessen Folgendes:

• Eine Payment HSM-Instanz mit dem Host und Verwaltungsport im selben virtuellen Netzwerk mithilfe der Azure CLI oder PowerShell erstellen
• Eine Payment HSM-Instanz mit dem Host und Verwaltungsport im selben virtuellen Netzwerk mithilfe einer ARM-Vorlage erstellen
• Eine Payment HSM-Instanz mit dem Host- und Verwaltungsport in verschiedenen virtuellen Netzwerken mithilfe einer ARM-Vorlage erstellen
• Erstellen einer HSM-Ressource mit Host- und Verwaltungsport mit IP-Adressen in verschiedenen virtuellen Netzwerken mithilfe einer ARM-Vorlage

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zu schreiben, mit denen die Bereitstellung erstellt wird.

Voraussetzungen

Wichtig

Azure Payment HSM ist ein spezialisierter Dienst. Um sich für das Onboarding und die Verwendung von Azure Payment HSM zu qualifizieren, müssen Kunden über einen zugewiesenen Microsoft Account Manager und über einen Cloud Service Architect (CSA) verfügen.

Um sich nach dem Dienst zu erkundigen, den Qualifizierungsprozess zu starten und die Voraussetzungen vor dem Onboarding vorzubereiten, bitten Sie Ihre*n Microsoft-Kundenbetreuer*in und CSA, eine Anforderung per E-Mail zu senden.

• Sie müssen die Ressourcenanbieter „Microsoft.HardwareSecurityModules“ und „Microsoft.Network“ sowie die Azure Payment HSM-Features registrieren. Die Schritte hierzu finden Sie unter Registrieren des Azure Payment HSM-Ressourcenanbieters und der Ressourcenanbieter-Features.

  Verwenden Sie den Azure CLI-Befehl az provider show, um schnell festzustellen, ob die Ressourcenanbieter und Features bereits registriert sind. (Die Ausgabe dieses Befehls ist besser lesbar, wenn sie in Tabellenform angezeigt wird.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Sie können mit diesem Schnellstart fortfahren, wenn alle vier Befehle „Registriert“ zurückgeben.

• Sie benötigen ein Azure-Abonnement. Sie können ein kostenloses Konto erstellen, falls Sie noch kein Konto besitzen.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

---

Erstellen einer Ressourcengruppe

Azure-Befehlszeilenschnittstelle

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus zu erstellen.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Erstellen Sie mit dem Azure PowerShell-Cmdlet New-AzResourceGroup eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Erstellen virtueller Netzwerke und Subnetze

Vor dem Erstellen einer Payment HSM-Instanz müssen Sie zunächst ein virtuelles Netzwerk/Subnetz für den Host und ein anderes virtuelles Netzwerk/Subnetz für den Verwaltungsport erstellen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie zunächst den Azure CLI-Befehl az network vnet create, um das virtuelle Netzwerk für den Host zu erstellen:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Verwenden Sie anschließend den Azure CLI-Befehl az network vnet subnet update, um das Subnetz zu aktualisieren und ihm eine Delegierung von WMicrosoft.HardwareSecurityModules/dedicatedHSMs“ zu erteilen:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Um zu überprüfen, ob das VNET und das Subnetz ordnungsgemäß erstellt wurden, verwenden Sie den Azure CLI-Befehl az network vnet subnet show:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Notieren Sie sich die Subnetz-ID des Hosts, die beim Erstellen der Payment HSM-Instanz verwendet wird. Die ID des Subnetzes endet mit dem Namen des Subnetzes:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Erstellen Sie nun ein weiteres virtuelles Netzwerk und Subnetz für den Verwaltungsport:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Verwenden Sie den Azure CLI-Befehl az network vnet subnet update, um das Subnetz zu aktualisieren und ihm eine Delegierung von „Microsoft.HardwareSecurityModules/dedicatedHSMs” zu erteilen:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Um zu überprüfen, ob das VNet und das Subnetz ordnungsgemäß erstellt wurden, verwenden Sie den Azure CLI-Befehl az network vnet subnet show:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Sie benötigen außerdem die Subnetz-ID des Verwaltungsports, wenn Sie die Payment HSM-Instanz erstellen.

Azure PowerShell

Legen Sie zunächst einige Variablen für die Erstellung des Host-VNet/Subnetzes fest:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Erstellen Sie mithilfe des Azure PowerShell-Cmdlet New-AzDelegation eine Dienstdelegierung, die Ihrem neuen Host-Subnetz hinzugefügt werden soll, und speichern Sie die Ausgabe in der Variablen $myDelegation:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Verwenden Sie das Azure PowerShell-Cmdlet New-AzVirtualNetworkSubnetConfig, um eine Subnetzkonfiguration für virtuelle Netzwerke zu erstellen, und speichern Sie die Ausgabe in der Variablen $myPHSMSubnet:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Hinweis

Mit dem Cmdlet „New-AzVirtualNetworkSubnetConfig“ wird eine Warnung generiert, die Sie sicher ignorieren können.

Verwenden Sie zum Erstellen eines Azure-Virtual Network das Azure PowerShell-Cmdlet New-AzVirtualNetwork:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Um zu überprüfen, ob das VNET ordnungsgemäß erstellt wurde, verwenden Sie das Azure PowerShell-Cmdlet Get-AzVirtualNetwork:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Notieren Sie sich die ID des Subnetzes. Sie wird im nächsten Schritt verwendet. Die ID des Subnetzes endet mit dem Namen des Subnetzes:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Erstellen Sie nun ein weiteres virtuelles Netzwerk und Subnetz für den Verwaltungsport. Legen Sie zuerst einige Variablen fest:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Verwenden Sie das Azure PowerShell-Cmdlet New-AzVirtualNetwork, um das virtuelle Netzwerk und das Subnetz für den Verwaltungsport zu erstellen:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Um zu überprüfen, ob das VNET ordnungsgemäß erstellt wurde, verwenden Sie das Azure PowerShell-Cmdlet Get-AzVirtualNetwork:

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

Sie benötigen außerdem die Subnetz-ID des Verwaltungsports, wenn Sie die Payment HSM-Instanz erstellen.

Erstellen einer Payment HSM-Instanz

Erstellen mit dynamischen Hosts

Azure-Befehlszeilenschnittstelle

Verwenden Sie zum Erstellen einer Payment HSM mit dynamischen Hosts den Befehl az dedicated-hsm create. Im folgenden Beispiel wird eine Payment HSM-Instanz mit dem Namen myPaymentHSM in der Region eastus, in der Ressourcengruppe myResourceGroup und in einem angegebenen Abonnement, virtuellen Netzwerk und Subnetz bereitgestellt:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Zum Anzeigen der neu erstellten Netzwerkschnittstellen verwenden Sie den Befehl az network nic list und geben Sie die Ressourcengruppe an:

az network nic list -g myResourceGroup -o table

In der Ausgabe sind Host 1 und Host 2 sowie eine Verwaltungsschnittstelle aufgeführt:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Um die neu erstellten Netzwerkschnittstellen anzuzeigen, verwenden Sie den Befehl az network nic show und geben dabei die Ressourcengruppe und den Namen der Netzwerkschnittstelle an:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Die Ausgabe enthält diese Zeile:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Verwenden Sie zum Erstellen einer Payment HSM mit dynamischen Hosts das Cmdlet New-AzDedicatedHsm und die VNet-ID aus dem vorherigen Schritt:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

Die Ausgabe der Payment HSM-Erstellung sieht wie folgt aus:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Zum Anzeigen der neu erstellten Netzwerkschnittstellen verwenden Sie das Cmdlet Get-AzNetworkInterface und geben Sie die Ressourcengruppe an:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In der Ausgabe sind Host 1 und Host 2 sowie die Verwaltungsschnittstelle aufgeführt:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Im Azure-Portal wird die „Private IP-Zuteilungsmethode” als „Dynamisch” angezeigt:

Erstellen mit statischen Hosts

Azure-Befehlszeilenschnittstelle

Verwenden Sie zum Erstellen einer Payment HSM mit statischen Hosts den Befehl az dedicated-hsm create. Im folgenden Beispiel wird eine Payment HSM-Instanz mit dem Namen myPaymentHSM in der Region eastus, in der Ressourcengruppe myResourceGroup und in einem angegebenen Abonnement, virtuellen Netzwerk und Subnetz bereitgestellt:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Wenn Sie zusätzlich eine statische IP-Adresse für den Verwaltungshost angeben möchten, können Sie Folgendes hinzufügen:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Zum Anzeigen der neu erstellten Netzwerkschnittstellen verwenden Sie den Befehl az network nic list und geben Sie die Ressourcengruppe an:

az network nic list -g myResourceGroup -o table

In der Ausgabe sind Host 1 und Host 2 sowie die Verwaltungsschnittstelle aufgeführt:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Um die Eigenschaften einer Netzwerkschnittstelle anzuzeigen, verwenden Sie den Befehl az network nic show und geben Sie die Ressourcengruppe und den Namen der Netzwerkschnittstelle an:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Die Ausgabe enthält diese Zeile:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Verwenden Sie zum Erstellen einer Payment HSM-Instanz mit statischen Hosts das Cmdlet New-AzDedicatedHsm und die VNet-ID aus dem vorherigen Schritt:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

Die Ausgabe der Payment HSM-Erstellung sieht wie folgt aus:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Zum Anzeigen der neu erstellten Netzwerkschnittstellen verwenden Sie das Cmdlet Get-AzNetworkInterface und geben Sie die Ressourcengruppe an:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In der Ausgabe sind Host 1 und Host 2 sowie die Verwaltungsschnittstelle aufgeführt:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Im Azure-Portal wird die „Private IP-Zuteilungsmethode” als „Statisch” angezeigt:

Nächste Schritte

Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Ihr Payment HSM anzeigen.

Anzeigen Ihrer Payment HSM-Instanzen

Weitere Informationen:

• Lesen Sie eine Übersicht über Payment HSM.
• Informieren Sie sich über die ersten Schritte mit Azure Payment HSM.
• Sehen Sie sich einige allgemeine Bereitstellungsszenarien an.
• Erhalten Sie Informationen zu Zertifizierung und Konformität.
• Lesen Sie die häufig gestellten Fragen.