مشاركة عبر

البرنامج التعليمي: نشر خدمات "HSM" في شبكة ظاهرية موجودة باستخدام خدمة "Azure CLI"

  • مقالة

توفر خدمة "HSM" المخصصة من "Azure" جهازاً مادياً للاستخدام الفردي للعميل، مع توفر تحكم إداري كامل ومسؤولية إدارية كاملة كذلك. يؤدي استخدام الأجهزة الفعلية إلى احتياج حساب "Microsoft" إلى التحكم في تخصيص الجهاز لضمان إدارة السعة بشكل فعال. ونتيجة لذلك، ضمن اشتراك Azure، لن تكون خدمة Dedicated HSM مرئية عادة لتوفير الموارد. يجب على أي عميل لـ "Azure" يحتاج إلى الوصول إلى خدمة "HSM" المخصصة، الاتصال أولاً بمدير حساب "Microsoft" لطلب التسجيل في خدمة "HSM" المخصصة. فقط بمجرد اكتمال هذه العملية بنجاح سيكون التوفير ممكناً.

يوضح البرنامج التعليمي عملية تزويد نموذجية حيث:

  • العميل لديه شبكة ظاهرية بالفعل
  • لديهم جهازاً ظاهرياً
  • يحتاجون إلى إضافة موارد "HSM" إلى تلك البيئة الحالية.

قد تبدو بنية النشر النموذجية عالية التوفر ومتعددة المناطق كما يلي:

انتشار متعدد المناطق

يركز هذا البرنامج التعليمي على زوج من "HSMs" ويتطلب "ExpressRoute gateway" (انظر الشبكة الفرعية 1 أعلاه) التي يتم دمجها في شبكة ظاهرية موجودة (انظر الشبكة الظاهرية 1 أعلاه). جميع الموارد الأخرى تمثل موارد "Azure" القياسية. يمكن استخدام نفس عملية التكامل مع خدمات "HSMs" في الشبكة الفرعية 4 على الشبكة الظاهرية 3 أعلاه.

المتطلبات الأساسية

لا تتوفر خدمة "HSM" المخصصة من "Azure" حالياً في "Azure portal". سيكون التفاعل بأكمله مع الخدمة عبر سطر الأوامر أو باستخدام خدمة "PowerShell". سيستخدم هذا البرنامج التعليمي واجهة سطر الأوامر (CLI) في خدمة "Azure Cloud Shell". إذا كنت جديدا على Azure CLI، فاتبع إرشادات البدء هنا: Azure CLI 2.0 Get Started.

الافتراضات:

  • لديك مدير حساب Microsoft معين وتفي بالمتطلبات النقدية البالغة خمسة ملايين دولار أمريكي (5 ملايين دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.
  • لقد مررت بعملية تسجيل Azure المخصص HSM وتمت الموافقة على استخدام الخدمة. إذا لم يكن كذلك، فاتصل بممثل حساب Microsoft للحصول على التفاصيل.
  • لقد قمت بإنشاء مجموعة موارد لهذه الموارد وستنضم الموارد الجديدة التي تم نشرها في هذا البرنامج التعليمي إلى هذه المجموعة.
  • لقد قمت بالفعل بإنشاء الشبكة الظاهرية الضرورية والشبكة الفرعية والأجهزة الظاهرية وفقًا للرسم التخطيطي أعلاه وتريد الآن دمج وحدتي HSM في هذا النشر.

تفترض جميع الإرشادات أدناه أنك انتقلت بالفعل إلى مدخل Microsoft Azure وفتحت Cloud Shell (حدد ">_" باتجاه أعلى يمين المدخل).

توفير HSM مخصص

سيتم التحقق من صحة توفير خدمة "HSMs" ودمجها في شبكة ظاهرية موجودة عبر "ExpressRoute gateway" باستخدام ssh. يساعد التحقق على ضمان إمكانية الوصول والتوفر الأساسي لجهاز "HSM" لأي أنشطة تكوين أخرى.

التحقق من صحة تسجيل الميزة

كما هو مذكور أعلاه، يتطلب أي نشاط توفير أن يتم تسجيل خدمة "HSM" المخصصة لاشتراكك. للتحقق من ذلك، قم بتشغيل الأمر التالي في "Azure portal Cloud Shell".

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

ينبغي إرجاع الأوامر حالة "Registered" (كما هو موضح أدناه). إذا لم تقم الأوامر بإرجاع "Registered" تحتاج إلى التسجيل لهذه الخدمة عن طريق الاتصال بممثل حسابك على "Microsoft".

حالة الاشتراك

إنشاء موارد HSM

قبل إنشاء موارد خدمة "HSM"، توجد بعض الموارد المطلوبة مسبقاً التي تحتاج إليها. يجب أن تكون لديك شبكة ظاهرية ذات نطاقات شبكة فرعية للحوسبة وخدمات "HSM" والبوابة. الأوامر التالية بمثابة مثال على ما يمكن أن ينشئ مثل هذه الشبكة الظاهرية.

az network vnet create \
  --name myHSM-vnet \
  --resource-group myRG \
  --address-prefix 10.2.0.0/16 \
  --subnet-name compute \
  --subnet-prefix 10.2.0.0/24

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name hsmsubnet \
  --address-prefixes 10.2.1.0/24 \
  --delegations Microsoft.HardwareSecurityModules/dedicatedHSMs

az network vnet subnet create \
  --vnet-name myHSM-vnet \
  --resource-group myRG \
  --name GatewaySubnet \
  --address-prefixes 10.2.255.0/26

إشعار

أهم تكوين يجب ملاحظته للشبكة الظاهرية، هو أن الشبكة الفرعية لجهاز بخدمة "HSM" يجب أن تحتوي على تفويضات معينة على "Microsoft.HardwareSecurityModules/dedicatedHSMs". لن يعمل توفير خدمة "HSM" من دون تعيين هذا الخيار.

بعد تكوين شبكة الاتصال، استخدم هذه الأوامر "Azure CLI" لتوفير خدمة "HSM".

  1. استخدام أمر "az dedicated-hsm create" لتوفير خدمة "HSM" الأولي. يطلق على خدمة "HSM" اسم "hsm1". استبدال اشتراكك:

    az dedicated-hsm create --location westus --name hsm1 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

    يجب أن يستغرق هذا النشر من 25 إلى 30 دقيقة لإكماله مع كون الجزء الأكبر من ذلك الوقت يُستغرق في أجهزة بخدمة "HSM".

  2. للحصول على خدمة "HSM" مخصصة حالياً، يمكن تشغيل الأمر "az dedicated-hsm show":

    az dedicated-hsm show --resource group myRG --name hsm1

  3. توفير خدمة "HSM" الثانية باستخدام هذا الأمر:

    az dedicated-hsm create --location westus --name hsm2 --resource-group myRG --network-profile-network-interfaces \
     /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRG/providers/Microsoft.Network/virtualNetworks/MyHSM-vnet/subnets/MyHSM-vnet

  4. تشغيل أمر "az dedicated-hsm list" لعرض تفاصيل حول خدمات "HSMs" الحالية:

    az dedicated-hsm list --resource-group myRG

توجد بعض الأوامر الأخرى التي قد تكون مفيدة. استخدام الأمر "az dedicated-hsm update" لتحديث خدمة "HSM":

az dedicated-hsm update --resource-group myRG –-name hsm1

لإزالة خدمة "HSM"، استخدم الأمر "az dedicated-hsm delete":

az dedicated-hsm delete --resource-group myRG –-name hsm1

التحقق من عملية النشر

للتحقق من أن الأجهزة قد تم توفيرها والاطلاع على سمات الجهاز، قم بتشغيل مجموعة الأوامر التالية. تأكد من تعيين مجموعة الموارد بشكل مناسب وأن اسم المورد مطابق تمامًا لك في ملف المعلمة.

subid=$(az account show --query id --output tsv)
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM1
az resource show \
   --ids /subscriptions/$subid/resourceGroups/myRG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSM2

يبدو الإخراج مشابهاً لما يلي:

{
    "id": n/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/HSM-RG/providers/Microsoft.HardwareSecurityModules/dedicatedHSMs/HSMl",
    "identity": null,
    "kind": null,
    "location": "westus",
    "managedBy": null,
    "name": "HSM1",
    "plan": null,
    "properties": {
        "networkProfile": {
            "networkInterfaces": [
            {
            "id": n/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/HSM-RG/providers/Microsoft.Network/networkInterfaces/HSMl_HSMnic", "privatelpAddress": "10.0.2.5",
            "resourceGroup": "HSM-RG"
            }
            L
            "subnet": {
                "id": n/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/HSM-RG/providers/Microsoft.Network/virtualNetworks/demo-vnet/subnets/hsmsubnet", "resourceGroup": "HSM-RG"
            }
        },
        "provisioningState": "Succeeded",
        "stampld": "stampl",
        "statusMessage": "The Dedicated HSM device is provisioned successfully and ready to use."
    },
    "resourceGroup": "HSM-RG",
    "sku": {
        "capacity": null,
        "family": null,
        "model": null,
        "name": "SafeNet Luna Network HSM A790",
        "size": null,
        "tier": null
    },
    "tags": {
        "Environment": "prod",
        "resourceType": "Hsm"
    },
    "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}

ستتمكن الآن أيضا من رؤية الموارد باستخدام مستكشف موارد Azure. بمجرد دخول المستكشف، قم بتمديد "subscriptions" على اليسار، وتمديد اشتراكك المحدد لخدمة "HSM" المخصصة، وتمديد "resource groups"، وتمديد مجموعة الموارد التي استخدمتها، وأخيراً حدد عنصر "resources".

اختبار النشر

يُعد اختبار عملية النشر بمنزلة حالة اتصال بجهاز ظاهري يمكنها الوصول إلى خدمة "HSM" ثم الاتصال بجهاز يتميز بخدمة "HSM" بشكل مباشر. ستؤكد هذه الإجراءات على إمكانية الوصول إلى خدمة "HSM". تُستخدم أداة "ssh" للاتصال بالجهاز الظاهري. سيكون الأمر مشابها لما يلي لكن مع اسم المسؤول واسم DNS الذي حددته في المعلمة.

ssh adminuser@hsmlinuxvm.westus.cloudapp.azure.com

يمكن أيضاً استخدام عنوان IP للجهاز الظاهري بدلاً من اسم DNS في الأمر السابق. إذا كان الأمر ناجحا، فسيطالب بكلمة مرور، ويجب عليك إدخال ذلك. بمجرد تسجيل الدخول إلى الجهاز الظاهري، يمكنك تسجيل الدخول إلى خدمة "HSM" باستخدام عنوان IP الخاص الموجود في المدخل لمورد واجهة الشبكة المقترن بخدمة "HSM".

قائمة المكونات

إشعار

لاحظ خانة الاختيار "Show hidden types"، وعند تحديدها سيتم عرض موارد "HSM".

في لقطة الشاشة السابقة، سيؤدي النقر على "HSM1_HSMnic" أو "HSM2_HSMnic" إلى إظهار عنوان IP الخاص المناسب. خلاف ذلك، فإن الأمر az resource show المستخدم أعلاه هو وسيلة لتحديد عنوان IP الصحيح.

عندما يكون لديك عنوان IP الصحيح، قم بتشغيل الأمر التالي لاستبدال هذا العنوان:

ssh tenantadmin@10.0.2.4

إذا نجحت، فستتم مطالبتك بكلمة مرور. كلمة المرور الافتراضية هي "PASSWORD" وستطلب خدمة "HSM" أولاً تغيير كلمة المرور الخاصة بك، لذا قم بتعيين كلمة مرور قوية واستخدم أي آلية تفضلها مؤسستك لحفظ كلمة المرور ومنعها من الضياع.

هام

إذا فقدت كلمة المرور هذه، فسيتعين إعادة تعيين HSM وهذا يعني فقد مفاتيحك.

عند الاتصال ب HSM باستخدام ssh، قم بتشغيل الأمر التالي للتأكد من تشغيل HSM.

hsm show

يجب أن يبدو الإخراج مثل الصورة الموضحة أدناه:

تظهر لقطة الشاشة الإخراج في نافذة

عند هذه النقطة، قمت بتخصيص جميع الموارد لتوزيع HSM عالي التوفر والوصول الذي تم التحقق من صحته وحالة التشغيل. يتضمن أي تكوين أو اختبار إضافي مزيداً من العمل مع جهاز يتميز بخدمة "HSM" نفسها. لهذا، يجب عليك اتباع التعليمات الواردة في دليل إدارة Thales Luna 7 HSM الفصل 7 لتهيئة HSM وإنشاء أقسام. تتوفر جميع المستندات والبرامج بشكل مباشر من "Thales" للتنزيل بمجرد تسجيلك في بوابة دعم عملاء "Thales" والحصول على "Customer ID". قم بتنزيل برنامج Client Software الإصدار 7.2 للحصول على جميع المكونات المطلوبة.

حذف الموارد أو تنظيفها

إذا انتهيت من جهاز HSM فقط، فيمكن حذفه كمورد وإعادته إلى التجمع المجاني. يتمثل الشيء الذي ينبغي القلق منه عند القيام بذلك في وجود أي بيانات عميل حساسة على الجهاز. أفضل طريقة ل "صفر" الجهاز هي الحصول على كلمة مرور مسؤول HSM بشكل خاطئ ثلاث مرات (ملاحظة: هذا ليس مسؤول الجهاز، إنه مسؤول HSM الفعلي). كإجراء أمان لحماية المواد الرئيسية، لا يمكن حذف الجهاز كمورد Azure حتى يكون في حالة صفرية.

إشعار

إذا كانت لديك مشكلة مع أي تكوين لجهاز "Thales"، فيجب عليك الاتصال بـ "دعم عملاء Thales".

إذا انتهيت من كافة الموارد في مجموعة الموارد هذه، فيمكنك إزالتها جميعا باستخدام الأمر التالي:

az group delete \
   --resource-group myRG \
   --name HSMdeploy \
   --verbose

الخطوات التالية

بعد إكمال الخطوات في البرنامج التعليمي، يتم توفير موارد Dedicated HSM ولديك شبكة ظاهرية مع HSMs ضرورية، ومكونات شبكة إضافية لتمكين الاتصال مع HSM. أنت الآن في وضع يسمح لك بإكمال هذا النشر بمزيد من الموارد كما هو مطلوب من قبل بنية التوزيع المفضلة لديك. لمزيد من المعلومات حول المساعدة في تخطيط النشر الخاص بك، راجع مستندات "Concepts". يوصى بتصميم مع اثنين من خدمات "HSMs" في منطقة أولية يعالج التوفر على مستوى الحامل، واثنين من خدمات "HSM" في منطقة ثانوية لمعالجة التوافر الإقليمي.