你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：创建付款 HSM

项目
02/06/2024

Azure 付款 HSM 是通过 Thales payShield 10K 支付硬件安全模块 (HSM) 交付的一个“裸机”服务，它为 Azure 云中的实时关键支付交易提供加密密钥操作。 Azure 付款 HSM 专为帮助服务提供商和私人金融机构加速其支付系统的数字化转型策略并采用公有云而设计。有关详细信息，请参阅 Azure 付款 HSM：概述。

本文介绍如何创建其主机和管理端口位于同一虚拟网络中的 Azure 付款 HSM。可以改为：

注意

如果你要重用现有的 VNet，请确认满足所有先决条件，然后阅读如何重用现有虚拟网络。

先决条件

重要

Azure 付款 HSM 是一项专业服务。为了获得加入和使用 Azure 付款 HSM 的资格，客户必须有指定的 Microsoft 客户经理和云服务架构师 (CSA)。

若要查询服务、启动资格流程并在加入前准备先决条件，请让 Microsoft 客户经理和 CSA 通过电子邮件发送请求。

Azure CLI
Azure PowerShell

必须注册“Microsoft.HardwareSecurityModules”和“Microsoft.Network”资源提供程序，以及 Azure 付款 HSM 功能。注册 Azure 付款 HSM 资源提供程序和资源提供程序功能中提供了执行此操作的步骤。

警告

必须将“FastPathEnabled”功能标志应用于每个订阅 ID，并将“fastpathenabled”标记添加到每个虚拟网络。有关详细信息，请参阅 Fastpathenabled。

若要快速确定资源提供程序和功能是否已注册，请使用 Azure CLI az provider show 命令。（如果以表格格式显示此命令的输出，则其可读性更好。）
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
如果所有这四个命令均返回“已注册”，则可以继续学习本快速入门。
必须拥有 Azure 订阅。如果没有帐户，可以创建一个免费帐户。

在 Azure Cloud Shell 中使用 Bash 环境。有关详细信息，请参阅 Azure Cloud Shell 中的 Bash 快速入门。
如需在本地运行 CLI 参考命令，请安装 Azure CLI。如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。
- 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。若要完成身份验证过程，请遵循终端中显示的步骤。有关其他登录选项，请参阅使用 Azure CLI 登录。
- 出现提示时，请在首次使用时安装 Azure CLI 扩展。有关扩展详细信息，请参阅使用 Azure CLI 的扩展。
- 运行 az version 以查找安装的版本和依赖库。若要升级到最新版本，请运行 az upgrade。

必须注册“Microsoft.HardwareSecurityModules”和“Microsoft.Network”资源提供程序，以及 Azure 付款 HSM 功能。注册 Azure 付款 HSM 资源提供程序和资源提供程序功能中提供了执行此操作的步骤。

警告

必须将“FastPathEnabled”功能标志应用于每个订阅 ID，并将“fastpathenabled”标记添加到每个虚拟网络。有关详细信息，请参阅 Fastpathenabled。

若要快速确定这些资源提供程序和功能是否已注册，请使用 Azure PowerShell Get-AzProviderFeature cmdlet：

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

如果这两个命令的“RegistrationState”都返回“Registered”，则可以继续学习本快速入门。

必须拥有 Azure 订阅。如果没有帐户，可以创建一个免费帐户。

* 如果选择在本地使用 Azure PowerShell：* 安装最新版本的 Az PowerShell 模块。 * 使用 Connect-AzAccount cmdlet 连接到 Azure 帐户。 * 如果选择使用 Azure Cloud Shell：* 请参阅 Azure Cloud Shell 概述来了解详细信息。

必须安装 Az.DedicatedHsm PowerShell 模块：
```
Install-Module -Name Az.DedicatedHsm
```

资源组是在其中部署和管理 Azure 资源的逻辑容器。使用 az group create 命令在 eastus 位置创建一个名为 myResourceGroup 的资源组。

az group create --name "myResourceGroup" --location "EastUS"

资源组是在其中部署和管理 Azure 资源的逻辑容器。使用 Azure PowerShell New-AzResourceGroup cmdlet 在 eastus 位置创建一个名为 myResourceGroup 的资源组。

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

创建虚拟网络和子网

Azure CLI
Azure PowerShell

在创建付款 HSM 之前，必须先创建虚拟网络和子网。为此，请使用 Azure CLI 命令 az network vnet create：

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

然后，使用 Azure CLI az network vnet subnet update 命令更新子网并为其指定“Microsoft.HardwareSecurityModules/dedicatedHSMs”委派：

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

若要验证是否正确创建了 VNet 和子网，请使用 Azure CLI az network vnet subnet show 命令：

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

请记下子网的 ID，因为在下一步中需要用到它。子网的 ID 以子网名称结尾：

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

在创建付款 HSM 之前，必须先创建虚拟网络和子网。

首先设置一些变量用于后续操作：

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

使用 Azure PowerShell New-AzDelegation cmdlet 创建要添加到子网的服务委派，并将输出保存到 $myDelegation 变量：

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

使用 Azure PowerShell New-AzVirtualNetworkSubnetConfig cmdlet 创建虚拟网络子网配置，并将输出保存到 $myPHSMSubnet 变量：

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

注意

New-AzVirtualNetworkSubnetConfig cmdlet 将生成警告，你可以放心地忽略。

若要创建 Azure 虚拟网络，请使用 Azure PowerShell New-AzVirtualNetwork cmdlet：

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

若要验证是否已正确创建 VNet，请使用 Azure PowerShell Get-AzVirtualNetwork cmdlet：

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

请记下子网的 ID，在下一步中需要用到它。子网的 ID 以子网名称结尾：

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

创建付款 HSM

重要

如果在同一区域创建两个付款 HSM，则必须将一个分配给“stamp1”，另一个分配给“stamp2”。有关详细信息，请参阅部署方案：高可用性部署。

使用动态主机创建

Azure CLI
Azure PowerShell

若要使用动态主机创建付款 HSM，请使用 az dedicated-hsm create 命令。以下示例在 eastus 区域、myResourceGroup 资源组、指定的订阅、虚拟网络和子网中创建名为 myPaymentHSM 的付款 HSM：

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

若要查看新创建的网络接口，请使用 az network nic list 命令，并提供资源组：

az network nic list -g myResourceGroup -o table

在输出中，列出了主机 1 和主机 2 以及管理接口：

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

若要查看新建网络接口的详细信息，请使用 az network nic show 命令，并提供资源组以及网络接口的名称：

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

输出包含以下行：

  "privateIPAllocationMethod": "Dynamic",

若要使用动态主机创建付款 HSM，请使用 New-AzDedicatedHsm cmdlet 以及在上一步中记下的 VNet ID：

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

付款 HSM 创建的输出如下所示：

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

若要查看新创建的网络接口，请使用 Get-AzNetworkInterface cmdlet，并提供资源组：

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

在输出中，列出了主机 1 和主机 2 以及管理接口：

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

在 Azure 门户中，“专用 IP 分配方法”为“动态”：

使用静态主机创建

Azure CLI
Azure PowerShell

若要使用静态主机创建付款 HSM，请使用 az dedicated-hsm create 命令。以下示例在 eastus 区域、myResourceGroup 资源组、指定的订阅、虚拟网络和子网中创建名为 myPaymentHSM 的付款 HSM：

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

如果还希望为管理主机指定静态 IP，则可以添加：

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

若要查看新创建的网络接口，请使用 az network nic list 命令，并提供资源组：

az network nic list -g myResourceGroup -o table

在输出中，列出了主机 1 和主机 2 以及管理接口：

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

若要查看网络接口的属性，请使用 az network nic show 命令，并提供资源组和网络接口的名称：

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

输出包含以下行：

  "privateIPAllocationMethod": "Static",

若要使用静态主机创建付款 HSM，请使用 New-AzDedicatedHsm cmdlet 以及在上一步中记下的 VNet ID：

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

如果还希望为管理主机指定静态 IP，则可以添加：

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

付款 HSM 创建的输出如下所示：

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

若要查看新创建的网络接口，请使用 Get-AzNetworkInterface cmdlet，并提供资源组：

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

在输出中，列出了主机 1 和主机 2 以及管理接口：

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure 门户显示“专用 IP 分配方法”为“动态”：

后续步骤

前往下一篇文章，以了解如何查看你的付款 HSM。

查看付款 HSM

其他信息：

教程：创建付款 HSM

先决条件

创建资源组

创建虚拟网络和子网

创建付款 HSM

使用动态主机创建

使用静态主机创建

后续步骤

其他资源