Självstudie: Skapa en HSM-betalning med värd- och hanteringsport i olika virtuella nätverk med hjälp av ARM-mall

Azure Payment HSM är en "BareMetal"-tjänst som levereras med thales payShield 10K-maskinvarusäkerhetsmoduler (HSM) för att tillhandahålla kryptografiska nyckelåtgärder för realtidskritiska betalningstransaktioner i Azure-molnet. Azure Payment HSM är särskilt utformat för att hjälpa en tjänsteleverantör och ett enskilt finansinstitut att påskynda betalningssystemets strategi för digital omvandling och anta det offentliga molnet. Mer information finns i Azure Payment HSM: Översikt.

I den här självstudien beskrivs hur du skapar en HSM-betalning med värd- och hanteringsporten i olika virtuella nätverk med hjälp av Azure CLI eller Azure PowerShell. Du kan i stället:

• Skapa en HSM-betalning med värden och hanteringsporten i samma virtuella nätverk med hjälp av Azure CLI eller PowerShell
• Skapa en HSM-betalning med värden och hanteringsporten i samma virtuella nätverk med hjälp av en ARM-mall
• Skapa en HSM-betalning med värden och hanteringsporten i olika virtuella nätverk med hjälp av en ARM-mall
• Skapa HSM-resurs med värd- och hanteringsport med IP-adresser i olika virtuella nätverk med hjälp av ARM-mall

En Azure Resource Manager-mall är en JSON-fil (JavaScript Object Notation) som definierar infrastrukturen och konfigurationen för projektet. Mallen använder deklarativ syntax. Du beskriver den avsedda distributionen utan att skriva sekvensen med programmeringskommandon för att skapa distributionen.

Förutsättningar

Viktigt!

Azure Payment HSM är en specialiserad tjänst. För att kvalificera sig för registrering och användning av Azure Payment HSM måste kunderna ha en tilldelad Microsoft Account Manager och ha en Molntjänstarkitekt (CSA).

Om du vill fråga om tjänsten startar du kvalificeringsprocessen och förbereder förutsättningarna före ombordstigningen genom att be din Microsoft-kontoansvarige och CSA att skicka en begäran via e-post.

• Du måste registrera resursprovidrar för Microsoft.HardwareSecurityModules och Microsoft.Network samt HSM-funktionerna för Azure Payment. Steg för att göra det finns i Registrera funktionerna för Azure Payment HSM-resursprovidern och resursprovidern.

  Om du snabbt vill ta reda på om resursprovidrar och funktioner redan är registrerade använder du kommandot Azure CLI az provider show . (Utdata från det här kommandot är mer läsbara när de visas i tabellformat.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Du kan fortsätta med den här snabbstarten om alla fyra av dessa kommandon returnerar "Registrerad".

• Du måste ha en Azure-prenumeration. Du kan skapa ett kostnadsfritt konto om du inte har något.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

---

Skapa en resursgrupp

Azure CLI

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd kommandot az group create för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd cmdleten Azure PowerShell New-AzResourceGroup för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Skapa virtuella nätverk och undernät

Innan du skapar en HSM-betalning måste du först skapa ett virtuellt nätverk/undernät för värden och ett annat virtuellt nätverk/undernät för hanteringsporten.

Azure CLI

Använd först kommandot Azure CLI az network vnet create för att skapa det virtuella nätverket för värden:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Därefter använder du kommandot Azure CLI az network vnet subnet update för att uppdatera undernätet och ge det en delegering av "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Om du vill kontrollera att det virtuella nätverket och undernätet har skapats korrekt använder du kommandot Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Anteckna värdens undernäts-ID, som används när du skapar HSM-betalningen. ID:t för undernätet slutar med namnet på undernätet:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Skapa nu ett annat virtuellt nätverk och undernät för hanteringsporten:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Använd återigen kommandot Azure CLI az network vnet subnet update för att uppdatera undernätet och ge det en delegering av "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Om du vill kontrollera att hanterings-VNet och undernätet har skapats korrekt använder du kommandot Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Du behöver också ledningens undernäts-ID när du skapar HSM-betalningen.

Azure PowerShell

Ange först några variabler som ska användas för att skapa värd-VNet/undernätet:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Använd cmdleten Azure PowerShell New-AzDelegation för att skapa en tjänstdelegering som ska läggas till i värdundernätet och spara utdata i variabeln $myDelegation :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Använd cmdleten Azure PowerShell New-AzVirtualNetworkSubnetConfig för att skapa en virtuell nätverksundernätskonfiguration och spara utdata i variabeln $myPHSMSubnet :

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Kommentar

Cmdleten New-AzVirtualNetworkSubnetConfig genererar en varning som du kan ignorera på ett säkert sätt.

Om du vill skapa ett virtuellt Azure-nätverk använder du cmdleten Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Om du vill kontrollera att det virtuella nätverket har skapats korrekt använder du cmdleten Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Anteckna undernätets ID, som används i nästa steg. ID:t för undernätet slutar med namnet på undernätet:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Skapa nu ett annat virtuellt nätverk och undernät för hanteringsporten. Ange först nya variabler:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Använd cmdleten Azure PowerShell New-AzVirtualNetwork för att skapa det virtuella hanteringsnätverket och undernätet:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Om du vill kontrollera att det virtuella nätverket har skapats korrekt använder du cmdleten Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

Du behöver också ledningens undernäts-ID när du skapar HSM-betalningen.

Skapa en HSM-betalning

Skapa med dynamiska värdar

Azure CLI

Om du vill skapa en HSM-betalning med dynamiska värdar använder du kommandot az dedicated-hsm create . I följande exempel skapas en HSM-betalning med namnet myPaymentHSM i eastus regionen, myResourceGroup resursgruppen och den angivna prenumerationen, det virtuella nätverket och undernätet:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic list och tillhandahåller resursgruppen:

az network nic list -g myResourceGroup -o table

I utdata visas värd 1 och värd 2 samt ett hanteringsgränssnitt:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic show och anger resursgruppen och namnet på nätverksgränssnittet:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Utdata innehåller den här raden:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Om du vill skapa en HSM-betalning med dynamiska värdar använder du cmdleten New-AzDedicatedHsm och VNet-ID:t från föregående steg:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

Utdata från HSM-betalningen ser ut så här:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Om du vill se de nyligen skapade nätverksgränssnitten använder du cmdleten Get-AzNetworkInterface och tillhandahåller resursgruppen:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure-portalen visar "Privat IP-allokeringsmetod" som "Dynamisk":

Skapa med statiska värdar

Azure CLI

Om du vill skapa en HSM-betalning med statiska värdar använder du kommandot az dedicated-hsm create . I följande exempel skapas en HSM-betalning med namnet myPaymentHSM i eastus regionen, myResourceGroup resursgruppen och den angivna prenumerationen, det virtuella nätverket och undernätet:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Om du även vill ange en statisk IP-adress för hanteringsvärden kan du lägga till:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic list och tillhandahåller resursgruppen:

az network nic list -g myResourceGroup -o table

I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Om du vill visa egenskaperna för ett nätverksgränssnitt använder du kommandot az network nic show och anger resursgruppen och namnet på nätverksgränssnittet:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Utdata innehåller den här raden:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Om du vill skapa en HSM-betalning med statiska värdar använder du cmdleten New-AzDedicatedHsm och VNet-ID:t från föregående steg:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

Utdata från HSM-betalningen ser ut så här:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Om du vill se de nyligen skapade nätverksgränssnitten använder du cmdleten Get-AzNetworkInterface och tillhandahåller resursgruppen:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure-portalen visar "Privat IP-allokeringsmetod" som "Statisk":

Nästa steg

Gå vidare till nästa artikel för att lära dig hur du visar din HSM-betalning.

Visa dina HSM:er för betalning

Ytterligare information:

• Läs en översikt över HSM för betalning
• Ta reda på hur du kommer igång med Azure Payment HSM
• Se några vanliga distributionsscenarier
• Läs mer om certifiering och efterlevnad
• Läs vanliga frågor och svar