البرنامج التعليمي: إنشاء دفع HSM

• يجب عليك تسجيل موفري الموارد "Microsoft.HardwareSecurityModules" و"Microsoft.Network"، بالإضافة إلى ميزات Azure Payment HSM. توجد خطوات القيام بذلك في تسجيل موفر موارد Azure Payment HSM وميزات موفر الموارد.

  تحذير

  يجب تطبيق علامة ميزة "FastPathEnabled" على كل معرف اشتراك، وإضافة علامة "fastpathenabled" إلى كل شبكة ظاهرية. لمزيد من المعلومات، راجع Fastpathenabled.

  للتأكد بسرعة مما إذا كان موفرو الموارد والميزات مسجلين بالفعل، استخدم الأمر Azure CLI az provider show . (يكون إخراج هذا الأمر أكثر قابلية للقراءة عند عرضه بتنسيق جدول.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  يمكنك متابعة هذه البداية السريعة إذا كانت جميع هذه الأوامر الأربعة ترجع "مسجل".

• لديك اشتراك Azure. يمكن create a free account في حال عدم امتلاك اشتراك.

• استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.

  

• إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.

  • إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.

  • عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.

  • يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

• يجب عليك تسجيل موفري الموارد "Microsoft.HardwareSecurityModules" و"Microsoft.Network"، بالإضافة إلى ميزات Azure Payment HSM. توجد خطوات القيام بذلك في تسجيل موفر موارد Azure Payment HSM وميزات موفر الموارد.

  تحذير

  يجب تطبيق علامة ميزة "FastPathEnabled" على كل معرف اشتراك، وإضافة علامة "fastpathenabled" إلى كل شبكة ظاهرية. لمزيد من المعلومات، راجع Fastpathenabled.

  للتأكد بسرعة مما إذا كان موفرو الموارد والميزات مسجلين بالفعل، استخدم Azure PowerShell Get-AzProviderFeature cmdlet:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

يمكنك متابعة هذه البداية السريعة إذا كانت "حالة التسجيل" لكلا الأمرين ترجع "مسجل".

• لديك اشتراك Azure. يمكن create a free account في حال عدم امتلاك اشتراك.

* إذا اخترت استخدام Azure PowerShell محليا: * قم بتثبيت أحدث إصدار من الوحدة النمطية Az PowerShell. * اتصل بحساب Azure الخاص بك باستخدام Connect-AzAccount cmdlet. * إذا اخترت استخدام Azure Cloud Shell: * راجع نظرة عامة على Azure Cloud Shell لمزيد من المعلومات.\

• يجب تثبيت الوحدة النمطية Az.DedicatedHsm PowerShell:

  Install-Module -Name Az.DedicatedHsm
  

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم الأمر إنشاء مجموعة az لإنشاء مجموعة موارد باسم myResourceGroup في موقع eastus.

az group create --name "myResourceGroup" --location "EastUS"

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم Azure PowerShellNew-AzResourceGroup cmdlet لإنشاء مجموعة موارد باسم myResourceGroupفي موقعشرق الولايات المتحدة.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

قبل إنشاء HSM للدفع، يجب أولا إنشاء شبكة ظاهرية وشبكة فرعية. للقيام بذلك، استخدم الأمر Azure CLI az network vnet create :

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

بعد ذلك، استخدم الأمر Azure CLI az network vnet subnet update لتحديث الشبكة الفرعية ومنحها تفويضا من "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

للتحقق من إنشاء الشبكة الظاهرية والشبكة الفرعية بشكل صحيح، استخدم الأمر Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

دون معرف الشبكة الفرعية، كما تحتاج إليه للخطوة التالية. ينتهي معرف الشبكة الفرعية باسم الشبكة الفرعية:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

قبل إنشاء HSM للدفع، يجب أولا إنشاء شبكة ظاهرية وشبكة فرعية.

أولا، قم بتعيين بعض المتغيرات لاستخدامها في العمليات اللاحقة:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

استخدم Azure PowerShell New-AzDelegation cmdlet لإنشاء تفويض خدمة لإضافته إلى شبكتك الفرعية، وحفظ الإخراج إلى $myDelegation المتغير:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

استخدم Azure PowerShell New-AzVirtualNetworkSubnetConfig cmdlet لإنشاء تكوين شبكة فرعية للشبكة الظاهرية وحفظ الإخراج إلى $myPHSMSubnet المتغير:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

لإنشاء شبكة Azure الظاهرية، استخدم Azure PowerShell New-AzVirtualNetwork cmdlet:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

للتحقق من إنشاء VNet بشكل صحيح، استخدم Azure PowerShell Get-AzVirtualNetwork cmdlet:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

دون معرف الشبكة الفرعية، والذي يتم استخدامه في الخطوة التالية. ينتهي معرف الشبكة الفرعية باسم الشبكة الفرعية:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

لإنشاء HSM دفع مع مضيفين ديناميكيين، استخدم الأمر az dedicated-hsm create . ينشئ المثال التالي HSM للدفع المسمى myPaymentHSM eastus في المنطقة ومجموعة myResourceGroup الموارد والاشتراك المحدد والشبكة الظاهرية والشبكة الفرعية:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم الأمر az network nic list ، مع توفير مجموعة الموارد:

az network nic list -g myResourceGroup -o table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة إدارة:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

لمشاهدة تفاصيل واجهة شبكة تم إنشاؤها حديثا، استخدم الأمر az network nic show ، مع توفير مجموعة الموارد واسم واجهة الشبكة:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

يحتوي الإخراج على هذا السطر:

  "privateIPAllocationMethod": "Dynamic",

لإنشاء HSM دفع مع مضيفين ديناميكيين، استخدم الأمر Cmdlet New-AzDedicatedHsm ومعرف الشبكة الظاهرية من الخطوة السابقة:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

يبدو إخراج إنشاء HSM للدفع كما يلي:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم Get-AzNetworkInterface cmdlet، مع توفير مجموعة الموارد:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة الإدارة:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

في مدخل Microsoft Azure، "أسلوب تخصيص IP الخاص" هو "ديناميكي":

لإنشاء دفع HSM مع مضيفين ثابتين، استخدم الأمر az dedicated-hsm create . ينشئ المثال التالي HSM للدفع المسمى myPaymentHSM eastus في المنطقة ومجموعة myResourceGroup الموارد والاشتراك المحدد والشبكة الظاهرية والشبكة الفرعية:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

إذا كنت ترغب أيضا في تحديد IP ثابت لمضيف الإدارة، يمكنك إضافة:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم الأمر az network nic list ، مع توفير مجموعة الموارد:

az network nic list -g myResourceGroup -o table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة الإدارة:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

لعرض خصائص واجهة الشبكة، استخدم الأمر az network nic show ، مع توفير مجموعة الموارد واسم واجهة الشبكة:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

يحتوي الإخراج على هذا السطر:

  "privateIPAllocationMethod": "Static",

لإنشاء HSM دفع مع مضيفين ثابتين، استخدم الأمر Cmdlet New-AzDedicatedHsm ومعرف VNet من الخطوة السابقة:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

إذا كنت ترغب أيضا في تحديد IP ثابت لمضيف الإدارة، يمكنك إضافة:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

يبدو إخراج إنشاء HSM للدفع كما يلي:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

لمشاهدة واجهات الشبكة التي تم إنشاؤها حديثا، استخدم Get-AzNetworkInterface cmdlet، مع توفير مجموعة الموارد:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

في الإخراج، يتم سرد المضيف 1 والمضيف 2، بالإضافة إلى واجهة الإدارة:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

يعرض مدخل Microsoft Azure "أسلوب تخصيص IP الخاص" على أنه "ديناميكي":