Zelfstudie: Een betalings-HSM maken met host- en beheerpoort in verschillende virtuele netwerken met behulp van een ARM-sjabloon

Azure Payment HSM is een 'BareMetal'-service die wordt geleverd met Thales payShield 10K payment hardware security modules (HSM) om cryptografische sleutelbewerkingen te bieden voor realtime, kritieke betalingstransacties in de Azure-cloud. Azure Payment HSM is speciaal ontworpen om een serviceprovider en een afzonderlijke financiële instelling te helpen de digitale transformatiestrategie van hun betalingssysteem te versnellen en de openbare cloud te gebruiken. Zie Azure Payment HSM: Overzicht voor meer informatie.

In deze zelfstudie wordt beschreven hoe u een betalings-HSM maakt met de host- en beheerpoort in verschillende virtuele netwerken, met behulp van Azure CLI of Azure PowerShell. U kunt in plaats daarvan:

Een Azure Resource Manager-sjabloon is een JSON-bestand (JavaScript Object Notation) dat de infrastructuur en configuratie voor uw project definieert. De sjabloon maakt gebruik van declaratieve syntaxis. U beschrijft de beoogde implementatie zonder de reeks programmeeropdrachten te schrijven om de implementatie te maken.

Vereiste voorwaarden

Belangrijk

Azure Payment HSM is een gespecialiseerde service. Om in aanmerking te komen voor onboarding en het gebruik van Azure Payment HSM, moeten klanten beschikken over een toegewezen Microsoft Account Manager en beschikken over een Cloud Service Architect (CSA).

Als u informatie wilt over de service, start u het kwalificatieproces en bereidt u de vereisten voordat u aan boord gaat, vraagt u uw Microsoft-accountmanager en CSA om een aanvraag via e-mail te verzenden.

U moet de resourceproviders Microsoft.HardwareSecurityModules en Microsoft.Network registreren, evenals de Azure Payment HSM-functies. De stappen hiervoor bevinden zich in De functies van de Azure Payment HSM-resourceprovider en resourceprovider registreren.

Als u snel wilt controleren of de resourceproviders en -functies al zijn geregistreerd, gebruikt u de opdracht Azure CLI az provider show . (De uitvoer van deze opdracht is beter leesbaar wanneer deze wordt weergegeven in tabelindeling.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
U kunt doorgaan met deze snelle start als alle vier de opdrachten 'Geregistreerd' retourneren.
U hebt een abonnement op Azure nodig. U kunt een gratis account maken als u er nog geen hebt.

Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Aan de slag met Azure Cloud Shell voor meer informatie.
Als je de voorkeur geeft aan het lokaal uitvoeren van CLI-referentiecommando's, installeer dan de Azure CLI. Als je op Windows of macOS werkt, overweeg dan om Azure CLI in een Docker-container uit te voeren. Voor meer informatie, zie Hoe u de Azure CLI in een Docker-container kunt uitvoeren.
- Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met de opdracht az login. Om het authenticatieproces te voltooien, volgt u de stappen die op uw terminal worden weergegeven. Zie Verifiëren bij Azure met behulp van Azure CLI voor andere aanmeldingsopties.
- Wanneer u daarom wordt gevraagd, installeer de Azure CLI-extensie bij het eerste gebruik. Zie Extensies gebruiken en beheren met de Azure CLIvoor meer informatie over extensies.
- Voer az version uit om de geïnstalleerde versie en de afhankelijke bibliotheken te vinden. Voer az upgrade uit om naar de nieuwste versie te upgraden.

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de opdracht az group create om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.

az group create --name "myResourceGroup" --location "EastUS"

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Cmdlet New-AzResourceGroup van Azure PowerShell om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Virtuele netwerken en subnetten maken

Voordat u een betalings-HSM maakt, moet u eerst een virtueel netwerk/subnet voor de host en een ander virtueel netwerk/subnet voor de beheerpoort maken.

Azure-CLI
Azure PowerShell

Gebruik eerst de azure CLI az network vnet create command om het virtuele netwerk voor de host te maken:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

** Gebruik daarna de Azure CLI az network vnet subnet update-opdracht om het subnet bij te werken en het een delegatie van "Microsoft.HardwareSecurityModules/dedicatedHSMs" te geven.

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Gebruik de opdracht Azure CLI az network vnet subnet show om te controleren of het VNet en het subnet correct zijn gemaakt:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Noteer de subnet-id van de host, die wordt gebruikt bij het maken van de HSM voor betaling. De id van het subnet eindigt met de naam van het subnet:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Maak nu een ander virtueel netwerk en subnet voor de beheerpoort:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Gebruik opnieuw de Azure CLI az network vnet subnet update-opdracht om het subnet bij te werken en het een delegatie van "Microsoft.HardwareSecurityModules/dedicatedHSMs" te geven.

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Als u wilt controleren of het beheer-VNet en subnet correct zijn gemaakt, gebruikt u de opdracht Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

U hebt ook de subnet-id van het beheer nodig bij het maken van de HSM voor betaling.

Stel eerst enkele variabelen in voor gebruik bij het maken van het host-VNet/subnet:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Gebruik de Cmdlet New-AzDelegation van Azure PowerShell om een servicedelegering te maken die moet worden toegevoegd aan uw hostsubnet en sla de uitvoer op in de $myDelegation variabele:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Gebruik de cmdlet New-AzVirtualNetworkSubnetConfig van Azure PowerShell om een subnetconfiguratie voor een virtueel netwerk te maken en sla de uitvoer op in de $myPHSMSubnet variabele:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Opmerking

De cmdlet New-AzVirtualNetworkSubnetConfig genereert een waarschuwing, die u veilig kunt negeren.

Als u een virtueel Azure-netwerk wilt maken, gebruikt u de Cmdlet Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Gebruik de Cmdlet Azure PowerShell Get-AzVirtualNetwork om te controleren of het VNet juist is gemaakt:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Noteer de id van het subnet, die in de volgende stap wordt gebruikt. De id van het subnet eindigt met de naam van het subnet:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Maak nu een ander virtueel netwerk en subnet voor de beheerpoort. Stel eerst nieuwe variabelen in:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Gebruik de Cmdlet New-AzVirtualNetwork van Azure PowerShell om het virtuele beheernetwerk en subnet te maken:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Gebruik de Cmdlet Azure PowerShell Get-AzVirtualNetwork om te controleren of het VNet juist is gemaakt:

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

U hebt ook de subnet-id van het beheer nodig bij het maken van de HSM voor betaling.

Een HSM voor betaling maken

Creëren met dynamische hosts

Azure-CLI
Azure PowerShell

Als u een betalings-HSM wilt maken met dynamische hosts, gebruikt u de opdracht az dedicated-hsm create . In het volgende voorbeeld wordt een betaling-HSM gemaakt met de naam myPaymentHSM in de eastus regio, de myResourceGroup resourcegroep, en het opgegeven abonnement, virtuele netwerk en subnet.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de opdracht az network nic list en geeft u de resourcegroep op:

az network nic list -g myResourceGroup -o table

In de uitvoer worden host 1 en host 2 weergegeven, evenals een beheerinterface:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de opdracht az network nic show , waarbij u de resourcegroep en de naam van de netwerkinterface opgeeft:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

De uitvoer bevat deze regel:

  "privateIPAllocationMethod": "Dynamic",

Als u een betalings-HSM met dynamische hosts wilt maken, gebruikt u de cmdlet New-AzDedicatedHsm en de VNet-id uit de vorige stap:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

De uitvoer van het aanmaken van de betalings-HSM ziet er als volgt uit:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de cmdlet Get-AzNetworkInterface en geeft u de resourcegroep op:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In de uitvoer worden host 1 en host 2 weergegeven, evenals de beheerinterface:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

In De Azure-portal wordt de 'toewijzingsmethode voor privé-IP' weergegeven als 'Dynamisch':

Creëren met statische hosts

Azure-CLI
Azure PowerShell

Gebruik de opdracht az dedicated-hsm create om een betalings-HSM met statische hosts te maken. In het volgende voorbeeld wordt een betaling-HSM gemaakt met de naam myPaymentHSM in de eastus regio, de myResourceGroup resourcegroep, en het opgegeven abonnement, virtuele netwerk en subnet.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Als u ook een statisch IP-adres voor de beheerhost wilt opgeven, kunt u het volgende toevoegen:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de opdracht az network nic list en geeft u de resourcegroep op:

az network nic list -g myResourceGroup -o table

In de uitvoer worden host 1 en host 2 weergegeven, evenals de beheerinterface:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Als u de eigenschappen van een netwerkinterface wilt weergeven, gebruikt u de opdracht az network nic show , waarbij u de resourcegroep en de naam van de netwerkinterface opgeeft:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

De uitvoer bevat deze regel:

  "privateIPAllocationMethod": "Static",

Als u een betalings-HSM met statische hosts wilt maken, gebruikt u de cmdlet New-AzDedicatedHsm en de VNet-id uit de vorige stap:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

De uitvoer van het aanmaken van de betalings-HSM ziet er als volgt uit:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Als u de zojuist gemaakte netwerkinterfaces wilt zien, gebruikt u de cmdlet Get-AzNetworkInterface en geeft u de resourcegroep op:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In de uitvoer worden host 1 en host 2 weergegeven, evenals de beheerinterface:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

In De Azure-portal wordt de 'privé-IP-toewijzingsmethode' weergegeven als 'Statisch':

Volgende stappen

Ga naar het volgende artikel voor meer informatie over het weergeven van uw betalings-HSM.

Bekijk uw betalings-HSM's

Aanvullende informatie:

Lees een overzicht van Payment HSM
Ontdek hoe u aan de slag gaat met Azure Payment HSM
Enkele algemene implementatiescenario's bekijken
Meer informatie over certificering en naleving
Lees de veelgestelde vragen

Feedback

Is deze pagina nuttig?

Last updated on 2025-10-10

Delen via

Zelfstudie: Een betalings-HSM maken met host- en beheerpoort in verschillende virtuele netwerken met behulp van een ARM-sjabloon

Vereiste voorwaarden

Een brongroep maken

Virtuele netwerken en subnetten maken

Een HSM voor betaling maken

Creëren met dynamische hosts

Creëren met statische hosts

Volgende stappen

Feedback

Aanvullende resources