Поделиться через

Руководство по созданию платного HSM с портом узла и управления в разных виртуальных сетях с помощью шаблона ARM

  • Статья

Azure Payment HSM — это служба BareMetal, предоставляемая с помощью модулей безопасности аппаратного обеспечения оплаты Thales PayShield 10K (HSM) для предоставления криптографических ключей для транзакций с критическими платежами в облаке Azure. Azure Payment HSM разработан специально для того, чтобы помочь поставщику услуг и отдельному финансовому институту ускорить цифровую трансформацию системы платежей и внедрить общедоступное облако. Дополнительные сведения см. в разделе HSM для оплаты Azure. Обзор.

В этом руководстве описывается, как создать модуль HSM оплаты с портом узла и управления в разных виртуальных сетях с помощью Azure CLI или Azure PowerShell. Вместо этого можно сделать следующее:

Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

Необходимые компоненты

Внимание

Azure Payment HSM — это специализированная служба. Чтобы получить право на подключение и использование HSM для оплаты Azure, клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и архитектора облачных служб (CSA).

Чтобы узнать о службе, запустите процесс квалификации и подготовьте предварительные требования перед подключением, попросите руководителя учетной записи Майкрософт и CSA отправить запрос по электронной почте.

  • Необходимо зарегистрировать поставщики ресурсов Microsoft.HardwareSecurityModules и Microsoft.Network, а также функции HSM оплаты Azure. Для этого необходимо зарегистрировать поставщик ресурсов HSM для оплаты Azure и функции поставщика ресурсов.

    Чтобы быстро определить, зарегистрированы ли поставщики ресурсов и функции, используйте команду Azure CLI az provider show . (Выходные данные этой команды более удобочитаемы при отображении в табличном формате.)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table

    Вы можете продолжить работу с этим кратким запуском, если все четыре из этих команд возвращают "Зарегистрировано".

  • У вас должна быть подписка Azure. Вы можете создать бесплатную учетную запись, если у вас еще ее нет.

  • Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  • Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Создание или изменение группы ресурсов

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. С помощью команды az group create создайте группу ресурсов с именем myResourceGroup в расположении eastus.

az group create --name "myResourceGroup" --location "EastUS"

Создание виртуальных сетей и подсетей

Перед созданием модуля HSM для оплаты необходимо сначала создать виртуальную сеть или подсеть для узла, а также другую виртуальную сеть или подсеть для порта управления.

Сначала используйте команду azure CLI az network vnet create , чтобы создать виртуальную сеть для узла:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Затем используйте команду обновления подсети виртуальной сети Azure CLI az network, чтобы обновить подсеть и предоставить ей делегирование Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Чтобы убедиться, что виртуальная сеть и подсеть были созданы правильно, используйте команду Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Запишите идентификатор подсети узла, который используется при создании HSM оплаты. Идентификатор подсети заканчивается именем подсети:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Теперь создайте другую виртуальную сеть и подсеть для порта управления:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Опять же, используйте команду обновления подсети виртуальной сети Azure CLI az network, чтобы обновить подсеть и предоставить ей делегирование Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Чтобы убедиться, что виртуальная сеть управления и подсеть были созданы правильно, используйте команду Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

При создании HSM для оплаты также требуется идентификатор подсети управления.

Создание устройства HSM для оплаты

Создание с помощью динамических узлов

Чтобы создать модуль HSM с динамическими узлами, используйте команду az dedicated-hsm create . В следующем примере создается модуль HSM оплаты с именем myPaymentHSM в eastus регионе, myResourceGroup группе ресурсов и указанной подписке, виртуальной сети и подсети:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте команду az network nic list , указав группу ресурсов:

az network nic list -g myResourceGroup -o table

В выходных данных перечислены узел 1 и узел 2, а также интерфейс управления:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте команду az network nic show , указав группу ресурсов и имя сетевого интерфейса:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Выходные данные содержат следующую строку:

  "privateIPAllocationMethod": "Dynamic",

Создание со статическими узлами

Чтобы создать модуль HSM с статическими узлами, используйте команду az dedicated-hsm create . В следующем примере создается модуль HSM оплаты с именем myPaymentHSM в eastus регионе, myResourceGroup группе ресурсов и указанной подписке, виртуальной сети и подсети:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Если вы хотите также указать статический IP-адрес для узла управления, можно добавить:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Чтобы просмотреть только что созданные сетевые интерфейсы, используйте команду az network nic list , указав группу ресурсов:

az network nic list -g myResourceGroup -o table

В выходных данных перечислены узел 1 и узел 2, а также интерфейс управления:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Чтобы просмотреть свойства сетевого интерфейса, используйте команду az network nic show , указав группу ресурсов и имя сетевого интерфейса:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Выходные данные содержат следующую строку:

  "privateIPAllocationMethod": "Static",

Следующие шаги

Перейдите к следующей статье, чтобы узнать, как просмотреть ваш платеж HSM.

Просмотр устройств HSM для оплаты

Дополнительные сведения: