你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:使用 ARM 模板在不同的虚拟网络中创建具有主机和管理端口的付款 HSM
Azure 付款 HSM 是通过 Thales payShield 10K 支付硬件安全模块 (HSM) 交付的一个“裸机”服务,它为 Azure 云中的实时关键支付交易提供加密密钥操作。 Azure 付款 HSM 专为帮助服务提供商和私人金融机构加速其支付系统的数字化转型策略并采用公有云而设计。 有关详细信息,请参阅 Azure 付款 HSM:概述。
本教程介绍如何使用 Azure CLI 或 Azure PowerShell 在不同虚拟网络中创建具有主机和管理端口的付款 HSM。 可以改为:
- 使用 Azure CLI 或 PowerShell 在同一虚拟网络中创建具有主机和管理端口的付款 HSM
- 使用 ARM 模板在同一虚拟网络中创建具有主机和管理端口的付款 HSM
- 使用 ARM 模板在不同虚拟网络中创建具有主机和管理端口的付款 HSM
- 使用 ARM 模板在不同的虚拟网络中创建具有带 IP 地址的主机和管理端口的 HSM 资源
Azure 资源管理器模板是定义项目基础结构和配置的 JavaScript 对象表示法 (JSON) 文件。 模板使用声明性语法。 你可以在不编写用于创建部署的编程命令序列的情况下,描述预期部署。
先决条件
重要
Azure 付款 HSM 是一项专业服务。 为了获得加入和使用 Azure 付款 HSM 的资格,客户必须有指定的 Microsoft 客户经理和云服务架构师 (CSA)。
若要查询服务、启动资格流程并在加入前准备先决条件,请让 Microsoft 客户经理和 CSA 通过电子邮件发送请求。
必须注册“Microsoft.HardwareSecurityModules”和“Microsoft.Network”资源提供程序,以及 Azure 付款 HSM 功能。 注册 Azure 付款 HSM 资源提供程序和资源提供程序功能中提供了执行此操作的步骤。
若要快速确定资源提供程序和功能是否已注册,请使用 Azure CLI az provider show 命令。 (如果以表格格式显示此命令的输出,则其可读性更好。)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table如果所有这四个命令均返回“已注册”,则可以继续学习本快速入门。
必须拥有 Azure 订阅。 如果没有帐户,可以创建一个免费帐户。
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 中的 Bash 快速入门。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
创建资源组
资源组是在其中部署和管理 Azure 资源的逻辑容器。 使用 az group create 命令在 eastus 位置创建一个名为 myResourceGroup 的资源组 。
az group create --name "myResourceGroup" --location "EastUS"
创建虚拟网络和子网
在创建付款 HSM 之前,必须先为主机创建虚拟网络/子网,为管理端口创建其他虚拟网络/子网。
首先,使用 Azure CLI 的 az network vnet create 命令为主机创建虚拟网络:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
然后,使用 Azure CLI az network vnet subnet update 命令更新子网并为其指定“Microsoft.HardwareSecurityModules/dedicatedHSMs”委派:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
若要验证是否正确创建了 VNet 和子网,请使用 Azure CLI az network vnet subnet show 命令:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
记下主机的子网 ID,在创建付款 HSM 时会用到。 子网的 ID 以子网名称结尾:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
现在,为管理端口创建另一个虚拟网络和子网:
az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"
再次使用 Azure CLI 的 az network vnet subnet update 命令更新子网并向其委派“Microsoft.HardwareSecurityModules/dedicatedHSMs”:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
若要验证是否正确创建了管理 VNet 和子网,请使用 Azure CLI 的 az network vnet subnet show 命令:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"
创建付款 HSM 时,还需要管理的子网 ID。
创建付款 HSM
使用动态主机创建
若要使用动态主机创建付款 HSM,请使用 az dedicated-hsm create 命令。 以下示例在 eastus 区域、myResourceGroup 资源组、指定的订阅、虚拟网络和子网中创建名为 myPaymentHSM 的付款 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<host-subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
若要查看新创建的网络接口,请使用 az network nic list 命令,并提供资源组:
az network nic list -g myResourceGroup -o table
在输出中,列出了主机 1 和主机 2 以及管理接口:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
若要查看新创建的网络接口,请使用 az network nic show 命令,并提供资源组和网络接口的名称:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
输出包含以下行:
"privateIPAllocationMethod": "Dynamic",
使用静态主机创建
若要使用静态主机创建付款 HSM,请使用 az dedicated-hsm create 命令。 以下示例在 eastus 区域、myResourceGroup 资源组、指定的订阅、虚拟网络和子网中创建名为 myPaymentHSM 的付款 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--mgmt-network-subnet id="<management-subnet-id>"
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
如果还希望为管理主机指定静态 IP,则可以添加:
--mgmt-network-interfaces private-ip-address="10.0.0.7"
若要查看新创建的网络接口,请使用 az network nic list 命令,并提供资源组:
az network nic list -g myResourceGroup -o table
在输出中,列出了主机 1 和主机 2 以及管理接口:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
若要查看网络接口的属性,请使用 az network nic show 命令,并提供资源组和网络接口的名称:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
输出包含以下行:
"privateIPAllocationMethod": "Static",
后续步骤
前往下一篇文章,以了解如何查看你的付款 HSM。
其他信息:
- 阅读付款 HSM 概述
- 了解如何开始使用 Azure 付款 HSM
- 查看一些常见的部署方案
- 了解认证与合规性
- 阅读常见问题解答