البرنامج التعليمي: إنشاء HSM دفع مع المضيف ومنفذ الإدارة في شبكات ظاهرية مختلفة باستخدام قالب ARM

مقالة
08/07/2024

Azure Payment HSM هي خدمة "BareMetal" يتم تسليمها باستخدام وحدات أمان أجهزة الدفع Thales payShield 10K (HSM) لتوفير عمليات مفتاح التشفير لمعاملات الدفع الهامة في الوقت الفعلي في سحابة Azure. تم تصميم Azure Payment HSM خصيصا لمساعدة موفر الخدمة ومؤسسة مالية فردية على تسريع استراتيجية التحول الرقمي لنظام الدفع الخاصة بهم واعتماد السحابة العامة. لمزيد من المعلومات، راجع Azure Payment HSM: نظرة عامة.

يصف هذا البرنامج التعليمي كيفية إنشاء HSM دفع مع المضيف ومنفذ الإدارة في شبكات ظاهرية مختلفة، باستخدام Azure CLI أو Azure PowerShell. يمكنك بدلا من ذلك:

قالب Azure Resource Manager هو ملف JavaScript Object Notation (JSON) الذي يحدد البنية الأساسية والتكوين لمشروعك. يستخدم القالب عبارات توضيحية. يمكنك وصف النشر المقصود دون كتابة تسلسل أوامر البرمجة لإنشاء النشر.

المتطلبات الأساسية

هام

Azure Payment HSM هي خدمة متخصصة. للتأهل لإلحاق Azure Payment HSM واستخدامه، يجب أن يكون لدى العملاء مدير حساب Microsoft معين وأن يكون لديهم مهندس خدمة سحابية (CSA).

للاستفسار عن الخدمة، ابدأ عملية التأهيل، وإعداد المتطلبات الأساسية قبل الالتحاق، اطلب من مدير حساب Microsoft وCSA إرسال طلب عبر البريد الإلكتروني.

يجب عليك تسجيل موفري الموارد "Microsoft.HardwareSecurityModules" و"Microsoft.Network"، بالإضافة إلى ميزات Azure Payment HSM. توجد خطوات القيام بذلك في تسجيل موفر موارد Azure Payment HSM وميزات موفر الموارد.

للتأكد بسرعة مما إذا كان موفرو الموارد والميزات مسجلين بالفعل، استخدم الأمر Azure CLI az provider show . (يكون إخراج هذا الأمر أكثر قابلية للقراءة عند عرضه بتنسيق جدول.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
يمكنك متابعة هذه البداية السريعة إذا كانت جميع هذه الأوامر الأربعة ترجع "مسجل".
لديك اشتراك Azure. يمكن create a free account في حال عدم امتلاك اشتراك.

استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
- إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
- عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
- يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم الأمر إنشاء مجموعة az لإنشاء مجموعة موارد باسم myResourceGroup في موقع eastus.

az group create --name "myResourceGroup" --location "EastUS"

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم Azure PowerShellNew-AzResourceGroup cmdlet لإنشاء مجموعة موارد باسم myResourceGroupفي موقعشرق الولايات المتحدة.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

إنشاء شبكات ظاهرية وشبكات فرعية

قبل إنشاء HSM دفع، يجب أولا إنشاء شبكة ظاهرية / شبكة فرعية للمضيف، وشبكة ظاهرية / شبكة فرعية مختلفة لمنفذ الإدارة.

Azure CLI
Azure PowerShell

أولا، استخدم الأمر Azure CLI az network vnet create لإنشاء الشبكة الظاهرية للمضيف:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

بعد ذلك، استخدم الأمر Azure CLI az network vnet subnet update لتحديث الشبكة الفرعية ومنحها تفويضا من "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

للتحقق من إنشاء الشبكة الظاهرية والشبكة الفرعية بشكل صحيح، استخدم الأمر Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

دون معرف الشبكة الفرعية للمضيف، والذي يتم استخدامه عند إنشاء الدفع HSM. ينتهي معرف الشبكة الفرعية باسم الشبكة الفرعية:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

الآن قم بإنشاء شبكة ظاهرية وشبكة فرعية أخرى لمنفذ الإدارة:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

مرة أخرى، استخدم الأمر Azure CLI az network vnet subnet update لتحديث الشبكة الفرعية ومنحها تفويضا من "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

للتحقق من إنشاء الشبكة الظاهرية للإدارة والشبكة الفرعية بشكل صحيح، استخدم الأمر Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

تحتاج أيضا إلى معرف الشبكة الفرعية للإدارة عند إنشاء الدفع HSM.

أولا، قم بتعيين بعض المتغيرات لاستخدامها في إنشاء VNet / الشبكة الفرعية المضيفة:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

استخدم Azure PowerShell New-AzDelegation cmdlet لإنشاء تفويض خدمة لإضافته إلى الشبكة الفرعية للمضيف، وحفظ الإخراج إلى $myDelegation المتغير:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

استخدم Azure PowerShell New-AzVirtualNetworkSubnetConfig cmdlet لإنشاء تكوين شبكة فرعية للشبكة الظاهرية وحفظ الإخراج إلى $myPHSMSubnet المتغير:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

إشعار

سينشئ الأمر cmdlet New-AzVirtualNetworkSubnetConfig تحذيرا، والذي يمكنك تجاهله بأمان.

لإنشاء شبكة Azure الظاهرية، استخدم Azure PowerShell New-AzVirtualNetwork cmdlet:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

للتحقق من إنشاء VNet بشكل صحيح، استخدم Azure PowerShell Get-AzVirtualNetwork cmdlet:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

دون معرف الشبكة الفرعية، والذي يتم استخدامه في الخطوة التالية. ينتهي معرف الشبكة الفرعية باسم الشبكة الفرعية:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

الآن قم بإنشاء شبكة ظاهرية وشبكة فرعية أخرى لمنفذ الإدارة. أولا، تعيين متغيرات جديدة:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

استخدم Azure PowerShell New-AzVirtualNetwork cmdlet لإنشاء الشبكة الظاهرية للإدارة والشبكة الفرعية:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

للتحقق من إنشاء VNet بشكل صحيح، استخدم Azure PowerShell Get-AzVirtualNetwork cmdlet:

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

تحتاج أيضا إلى معرف الشبكة الفرعية للإدارة عند إنشاء الدفع HSM.

إنشاء دفعة HSM

إنشاء مع مضيفين ديناميكيين

Azure CLI
Azure PowerShell

لإنشاء HSM دفع مع مضيفين ديناميكيين، استخدم الأمر az dedicated-hsm create . ينشئ المثال التالي HSM للدفع المسمى myPaymentHSM eastus في المنطقة ومجموعة myResourceGroup الموارد والاشتراك المحدد والشبكة الظاهرية والشبكة الفرعية:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم الأمر az network nic list ، مع توفير مجموعة الموارد:

az network nic list -g myResourceGroup -o table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة إدارة:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم الأمر az network nic show ، مع توفير مجموعة الموارد واسم واجهة الشبكة:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

يحتوي الإخراج على هذا السطر:

  "privateIPAllocationMethod": "Dynamic",

لإنشاء HSM دفع مع مضيفين ديناميكيين، استخدم الأمر Cmdlet New-AzDedicatedHsm ومعرف الشبكة الظاهرية من الخطوة السابقة:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

يبدو إخراج إنشاء HSM للدفع كما يلي:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم Get-AzNetworkInterface cmdlet، مع توفير مجموعة الموارد:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة الإدارة:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

يعرض مدخل Microsoft Azure "أسلوب تخصيص IP الخاص" على أنه "ديناميكي":

إنشاء مع مضيفين ثابتين

Azure CLI
Azure PowerShell

لإنشاء دفع HSM مع مضيفين ثابتين، استخدم الأمر az dedicated-hsm create . ينشئ المثال التالي HSM للدفع المسمى myPaymentHSM eastus في المنطقة ومجموعة myResourceGroup الموارد والاشتراك المحدد والشبكة الظاهرية والشبكة الفرعية:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

إذا كنت ترغب أيضا في تحديد IP ثابت لمضيف الإدارة، يمكنك إضافة:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم الأمر az network nic list ، مع توفير مجموعة الموارد:

az network nic list -g myResourceGroup -o table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة الإدارة:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

لعرض خصائص واجهة الشبكة، استخدم الأمر az network nic show ، مع توفير مجموعة الموارد واسم واجهة الشبكة:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

يحتوي الإخراج على هذا السطر:

  "privateIPAllocationMethod": "Static",

لإنشاء HSM دفع مع مضيفين ثابتين، استخدم الأمر Cmdlet New-AzDedicatedHsm ومعرف VNet من الخطوة السابقة:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

يبدو إخراج إنشاء HSM للدفع كما يلي:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم Get-AzNetworkInterface cmdlet، مع توفير مجموعة الموارد:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة الإدارة:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

يعرض مدخل Microsoft Azure "أسلوب تخصيص IP الخاص" على أنه "ثابت":

الخطوات التالية

تقدم إلى المقالة التالية لمعرفة كيفية عرض الدفع HSM.

عرض HSMs للدفع

المعلومات الإضافية:

قراءة نظرة عامة على الدفع HSM
تعرف على كيفية البدء باستخدام Azure Payment HSM
الاطلاع على بعض سيناريوهات التوزيع الشائعة
تعرف على المصادقة والتوافق
قراءة الأسئلة المتداولة

مشاركة عبر

البرنامج التعليمي: إنشاء HSM دفع مع المضيف ومنفذ الإدارة في شبكات ظاهرية مختلفة باستخدام قالب ARM

المتطلبات الأساسية

إنشاء مجموعة موارد

إنشاء شبكات ظاهرية وشبكات فرعية

إنشاء دفعة HSM

إنشاء مع مضيفين ديناميكيين

إنشاء مع مضيفين ثابتين

الخطوات التالية

الملاحظات

الموارد الإضافية