Samouczek: Tworzenie modułu HSM do płatności z portem hosta i portem zarządzania w różnych sieciach wirtualnych, korzystając z szablonu ARM

Moduł Azure Payment HSM to usługa "BareMetal" oferowana przy użyciu sprzętowych modułów zabezpieczeń płatności Thales payShield 10K (HSM), która zapewnia operacje kluczy kryptograficznych dla krytycznych transakcji płatniczych w czasie rzeczywistym w chmurze Azure. Moduł HSM płatności platformy Azure został zaprojektowany specjalnie, aby pomóc dostawcy usług i indywidualnej instytucji finansowej przyspieszyć strategię transformacji cyfrowej systemu płatności i wdrożyć chmurę publiczną. Aby uzyskać więcej informacji, zobacz Moduł HSM płatności platformy Azure: omówienie.

W tym samouczku opisano sposób tworzenia modułu HSM płatności z hostem i portem zarządzania w różnych sieciach wirtualnych, używając Azure CLI lub Azure PowerShell. Zamiast tego możesz:

Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. Szablon używa składni deklaratywnej. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.

Wymagania wstępne

Ważne

Moduł HSM płatności platformy Azure to wyspecjalizowana usługa. Aby uzyskać kwalifikacje do wdrożenia i korzystania z Azure Payment HSM, klienci muszą mieć przypisanego menedżera kont Microsoft oraz architekta usług chmurowych (CSA).

Aby dowiedzieć się więcej o usłudze, uruchom proces kwalifikacji i przygotuj wymagania wstępne przed rozpoczęciem integracji, poproś menedżera konta Microsoft i CSA o wysłanie wiadomości pocztą e-mail.

Należy zarejestrować dostawców zasobów "Microsoft.HardwareSecurityModules" i "Microsoft.Network", a także funkcje modułu HSM płatności platformy Azure. Kroki w tym celu znajdują się w temacie Rejestrowanie dostawcy zasobów modułu HSM usługi Azure Payment i funkcji dostawcy zasobów.

Aby szybko sprawdzić, czy dostawcy zasobów i funkcje są już zarejestrowane, użyj polecenia az provider show interfejsu wiersza polecenia platformy Azure. (Dane wyjściowe tego polecenia są bardziej czytelne w przypadku wyświetlania w formacie tabeli).
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Możesz kontynuować pracę z tym przewodnikiem Szybki start, jeśli wszystkie cztery z tych poleceń zwracają wartość "Zarejestrowano".
Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, możesz utworzyć bezpłatne konto .

Użyj środowiska Bash w Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj Azure CLI. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie Azure CLI w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić Azure CLI w kontenerze Docker.
- Jeśli korzystasz z instalacji lokalnej, zaloguj się do Azure CLI za pomocą polecenia az login. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane na Twoim terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
- Gdy zostaniesz o to poproszony/a, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.
- Uruchom az version, aby sprawdzić zainstalowaną wersję i biblioteki zależne. Aby zaktualizować do najnowszej wersji, uruchom az upgrade.

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create , aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus .

az group create --name "myResourceGroup" --location "EastUS"

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet New-AzResourceGroup programu Azure PowerShell, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Tworzenie sieci wirtualnych i podsieci

Przed utworzeniem modułu HSM płatności należy najpierw utworzyć sieć wirtualną/podsieć dla hosta oraz inną sieć wirtualną/podsieć dla portu zarządzania.

"Azure CLI"
Azure PowerShell

Najpierw użyj polecenia az network vnet create interfejsu wiersza polecenia platformy Azure, aby utworzyć sieć wirtualną dla hosta:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Następnie użyj polecenia az network vnet subnet update w Azure CLI, aby zaktualizować podsieć i przypisać jej delegację "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Aby sprawdzić, czy sieć wirtualna i podsieć zostały utworzone poprawnie, użyj polecenia az network vnet subnet show interfejsu wiersza polecenia platformy Azure:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Zanotuj identyfikator podsieci hosta, który jest używany podczas tworzenia modułu HSM płatności. Identyfikator podsieci kończy się nazwą podsieci:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Teraz utwórz kolejną sieć wirtualną i podsieć dla portu zarządzania:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Ponownie użyj polecenia az network vnet subnet update w Azure CLI, aby zaktualizować podsieć i nadać jej delegację "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Aby sprawdzić, czy sieć wirtualna i podsieć zarządzania zostały poprawnie utworzone, użyj polecenia Azure CLI az network vnet subnet show:

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Identyfikator podsieci zarządzania jest również potrzebny podczas tworzenia modułu HSM płatności.

Najpierw ustaw pewne zmienne do użycia przy tworzeniu hosta VNet oraz podsieci.

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Użyj polecenia cmdlet New-AzDelegation programu Azure PowerShell, aby utworzyć delegowanie usługi, które ma zostać dodane do podsieci hosta, i zapisz dane wyjściowe w zmiennej $myDelegation :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Użyj polecenia cmdlet New-AzVirtualNetworkSubnetConfig programu Azure PowerShell, aby utworzyć konfigurację podsieci sieci wirtualnej i zapisać dane wyjściowe w zmiennej $myPHSMSubnet :

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Uwaga / Notatka

Polecenie cmdlet New-AzVirtualNetworkSubnetConfig wygeneruje ostrzeżenie, które można bezpiecznie zignorować.

Aby utworzyć sieć wirtualną platformy Azure, użyj polecenia cmdlet New-AzVirtualNetwork programu Azure PowerShell:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Aby sprawdzić, czy sieć wirtualna została utworzona poprawnie, użyj polecenia cmdlet Get-AzVirtualNetwork programu Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Zanotuj identyfikator podsieci, który jest używany w następnym kroku. Identyfikator podsieci kończy się nazwą podsieci:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Teraz utwórz kolejną sieć wirtualną i podsieć dla portu zarządzania. Najpierw ustaw nowe zmienne:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Użyj polecenia cmdlet New-AzVirtualNetwork programu Azure PowerShell, aby utworzyć sieć wirtualną i podsieć zarządzania:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Aby sprawdzić, czy sieć wirtualna została utworzona poprawnie, użyj polecenia cmdlet Get-AzVirtualNetwork programu Azure PowerShell:

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

Identyfikator podsieci zarządzania jest również potrzebny podczas tworzenia modułu HSM płatności.

Utwórz moduł HSM do płatności

Tworzenie za pomocą hostów dynamicznych

"Azure CLI"
Azure PowerShell

Aby stworzyć HSM do obsługi płatności za pomocą hostów dynamicznych, użyj polecenia az dedicated-hsm create. Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w regionie eastus, w grupie zasobów myResourceGroup, oraz w określonej subskrypcji, sieci wirtualnej i podsieci.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:

az network nic list -g myResourceGroup -o table

W danych wyjściowych wymieniono host 1 i host 2, a także interfejs zarządzania:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Dane wyjściowe zawierają następujący wiersz:

  "privateIPAllocationMethod": "Dynamic",

Aby utworzyć moduł HSM płatności z dynamicznymi hostami, użyj polecenia cmdlet New-AzDedicatedHsm oraz identyfikatora VNet z poprzedniego kroku.

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

Wynik tworzenia płatniczego modułu HSM przedstawia się następująco:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia cmdlet Get-AzNetworkInterface , podając grupę zasobów:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

W witrynie Azure Portal jest wyświetlana "Metoda alokacji prywatnego adresu IP" jako "Dynamiczna":

Tworzenie za pomocą hostów statycznych

"Azure CLI"
Azure PowerShell

Aby utworzyć moduł HSM płatności przy użyciu hostów statycznych, użyj polecenia az dedicated-hsm create . Poniższy przykład tworzy moduł HSM płatności o nazwie myPaymentHSM w regionie eastus, w grupie zasobów myResourceGroup, oraz w określonej subskrypcji, sieci wirtualnej i podsieci.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Jeśli chcesz również określić statyczny adres IP hosta zarządzania, możesz dodać:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia az network nic list , podając grupę zasobów:

az network nic list -g myResourceGroup -o table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Aby wyświetlić właściwości interfejsu sieciowego, użyj polecenia az network nic show , podając grupę zasobów i nazwę interfejsu sieciowego:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Dane wyjściowe zawierają następujący wiersz:

  "privateIPAllocationMethod": "Static",

Aby utworzyć HSM płatności za pomocą hostów statycznych, użyj polecenia cmdlet New-AzDedicatedHsm i identyfikatora VNet z poprzedniego kroku.

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

Wynik tworzenia płatniczego modułu HSM przedstawia się następująco:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Aby wyświetlić nowo utworzone interfejsy sieciowe, użyj polecenia cmdlet Get-AzNetworkInterface , podając grupę zasobów:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

W danych wyjściowych są wyświetlane hosty 1 i host 2, a także interfejs zarządzania:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

W witrynie Azure Portal jest wyświetlana "Metoda alokacji prywatnych adresów IP" jako "Statyczna":

Dalsze kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak wyświetlić moduł HSM płatności.

Wyświetlanie modułów HSM płatności

Dodatkowe informacje:

Przeczytaj omówienie modułu HSM płatności
Dowiedz się, jak rozpocząć pracę z modułem HSM płatności platformy Azure
Zobacz niektóre typowe scenariusze wdrażania
Dowiedz się więcej o certyfikacji i zgodności
Przeczytaj często zadawane pytania

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-10-10

Udostępnij przez

Samouczek: Tworzenie modułu HSM do płatności z portem hosta i portem zarządzania w różnych sieciach wirtualnych, korzystając z szablonu ARM

Wymagania wstępne

Tworzenie grupy zasobów

Tworzenie sieci wirtualnych i podsieci

Utwórz moduł HSM do płatności

Tworzenie za pomocą hostów dynamicznych

Tworzenie za pomocą hostów statycznych

Dalsze kroki

Sprzężenie zwrotne

Dodatkowe źródła