Lernprogramm: Erstellen eines Zahlungs-HSM mit Host- und Verwaltungsport in verschiedenen virtuellen Netzwerken mithilfe der ARM-Vorlage

Azure Payment HSM ist ein "BareMetal"-Dienst, der mithilfe von Thales payShield 10K-Hardwaresicherheitsmodulen (HSM) bereitgestellt wird, um kryptografische Schlüsselvorgänge für Echtzeit-, kritische Zahlungstransaktionen in der Azure-Cloud bereitzustellen. Azure Payment HSM wurde speziell entwickelt, um einem Dienstanbieter und einem einzelnen Finanzinstitut zu helfen, die Digitale Transformationsstrategie ihres Zahlungssystems zu beschleunigen und die öffentliche Cloud zu übernehmen. Weitere Informationen finden Sie unter Azure Payment HSM: Overview.

In diesem Lernprogramm wird beschrieben, wie Sie ein Zahlungs-HSM mit dem Host- und Verwaltungsport in verschiedenen virtuellen Netzwerken mit Azure CLI oder Azure PowerShell erstellen. Sie können stattdessen:

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zu schreiben, mit denen die Bereitstellung erstellt wird.

Voraussetzungen

Von Bedeutung

Azure Payment HSM ist ein spezieller Dienst. Um sich für das Onboarding und die Verwendung von Azure Payment HSM zu qualifizieren, müssen Kunden über einen zugewiesenen Microsoft Account Manager verfügen und über einen Cloud Service Architect (CSA) verfügen.

Um sich über den Dienst zu erkundigen, starten Sie den Qualifizierungsprozess, und bereiten Sie die Voraussetzungen vor dem Onboarding vor, bitten Sie Ihren Microsoft Account Manager und CSA, eine Anfrage per E-Mail zu senden.

Sie müssen die Ressourcenanbieter "Microsoft.HardwareSecurityModules" und "Microsoft.Network" sowie die Azure Payment HSM-Features registrieren. Die Schritte dafür finden Sie unter Registrieren der Azure Payment HSM-Ressourcenanbieter und Ressourcenanbieterfunktionen.

Um schnell zu ermitteln, ob die Ressourcenanbieter und Features bereits registriert sind, verwenden Sie den Azure CLI-Befehl az provider show. (Die Ausgabe dieses Befehls ist besser lesbar, wenn sie im Tabellenformat angezeigt wird.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Sie können mit diesem Schnellstart fortfahren, wenn alle vier dieser Befehle "Registriert" zurückgeben.
Sie benötigen ein Azure-Abonnement. Sie können ein kostenloses Konto erstellen , wenn Sie kein Konto haben.

Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen möchten, installieren Sie die Azure CLI. Wenn Sie mit Windows oder macOS arbeiten, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
- Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Um den Authentifizierungsprozess abzuschließen, führen Sie die schritte aus, die in Ihrem Terminal angezeigt werden. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.
- Wenn Sie dazu aufgefordert werden, installieren Sie die Azure CLI-Erweiterung bei der ersten Verwendung. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.
- Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um auf die neueste Version zu aktualisieren.

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus zu erstellen.

az group create --name "myResourceGroup" --location "EastUS"

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie das Azure PowerShell New-AzResourceGroup Cmdlet, um eine Ressourcengruppe namens myResourceGroup im eastus-Ort zu erstellen.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Erstellen virtueller Netzwerke und Subnetze

Bevor Sie ein Zahlungs-HSM erstellen, müssen Sie zuerst ein virtuelles Netzwerk /Subnetz für den Host und ein anderes virtuelles Netzwerk /Subnetz für den Verwaltungsport erstellen.

Azure CLI
Azure PowerShell

Verwenden Sie zunächst den Befehl "Azure CLI az network vnet create ", um das virtuelle Netzwerk für den Host zu erstellen:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Verwenden Sie anschließend den Azure CLI-Befehl az network vnet subnet update, um das Subnetz zu aktualisieren und ihm eine Delegierung von "Microsoft.HardwareSecurityModules/dedicatedHSMs" zuzuweisen.

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Um zu überprüfen, ob das VNet und das Subnetz ordnungsgemäß erstellt wurden, verwenden Sie den Befehl "Azure CLI az network vnet subnetz show ":

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Notieren Sie sich die Subnetz-ID des Hosts, die beim Erstellen der Zahlungs-HSM verwendet wird. Die ID des Subnetzes endet mit dem Namen des Subnetzes:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Erstellen Sie nun ein weiteres virtuelles Netzwerk und Subnetz für den Verwaltungsport:

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

Verwenden Sie erneut den Azure CLI az network vnet Subnetz update Befehl, um das Subnetz zu aktualisieren und ihm eine Delegation von "Microsoft.HardwareSecurityModules/dedicatedHSMs" zu geben.

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Um zu überprüfen, ob das Verwaltungs-VNet und das Subnetz ordnungsgemäß erstellt wurden, verwenden Sie den Befehl "Azure CLI az network vnet subnet show ":

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

Sie benötigen auch die Subnetz-ID der Verwaltung beim Erstellen der Zahlungs-HSM.

Legen Sie zunächst einige Variablen für die Erstellung des Host-VNet/Subnetzes fest:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Verwenden Sie das Azure PowerShell New-AzDelegation-Cmdlet , um eine Dienstdelegierung zu erstellen, die Ihrem Hostsubnetz hinzugefügt werden soll, und speichern Sie die Ausgabe in der $myDelegation Variablen:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Verwenden Sie das Azure PowerShell New-AzVirtualNetworkSubnetConfig-Cmdlet , um eine Subnetzkonfiguration für virtuelle Netzwerke zu erstellen und die Ausgabe in der $myPHSMSubnet Variablen zu speichern:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Hinweis

Das Cmdlet New-AzVirtualNetworkSubnetConfig generiert eine Warnung, die Sie sicher ignorieren können.

Verwenden Sie zum Erstellen eines virtuellen Azure-Netzwerks das Cmdlet Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Verwenden Sie das Azure PowerShell Get-AzVirtualNetwork-Cmdlet , um zu überprüfen, ob das VNet ordnungsgemäß erstellt wurde:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Notieren Sie sich die ID des Subnetzes, die im nächsten Schritt verwendet wird. Die ID des Subnetzes endet mit dem Namen des Subnetzes:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Erstellen Sie nun ein weiteres virtuelles Netzwerk und Subnetz für den Verwaltungsport. Legen Sie zunächst neue Variablen fest:

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Verwenden Sie das Azure PowerShell New-AzVirtualNetwork-Cmdlet , um das virtuelle Netzwerk und das Subnetz für die Verwaltung zu erstellen:

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

Verwenden Sie das Azure PowerShell Get-AzVirtualNetwork-Cmdlet , um zu überprüfen, ob das VNet ordnungsgemäß erstellt wurde:

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

Sie benötigen auch die Subnetz-ID der Verwaltung beim Erstellen der Zahlungs-HSM.

Zahlungshsm erstellen

Kreieren mit dynamischen Hosts

Azure CLI
Azure PowerShell

Verwenden Sie den Befehl "az dedicated-hsm create ", um ein Zahlungs-HSM mit dynamischen Hosts zu erstellen. Im folgenden Beispiel wird ein Zahlungs-HSM in der Region myPaymentHSM, der Ressourcengruppe eastus, dem angegebenen Abonnement, virtuellen Netzwerk und Subnetz mit dem Namen myResourceGroup erstellt:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

Um die neu erstellten Netzwerkschnittstellen anzuzeigen, verwenden Sie den Befehl "az network nic list ", und stellen Sie die Ressourcengruppe bereit:

az network nic list -g myResourceGroup -o table

In der Ausgabe werden Host 1 und Host 2 sowie eine Verwaltungsschnittstelle aufgeführt:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Um die neu erstellten Netzwerkschnittstellen anzuzeigen, verwenden Sie den Befehl "az network nic show ", und stellen Sie die Ressourcengruppe und den Namen der Netzwerkschnittstelle bereit:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Die Ausgabe enthält diese Zeile:

  "privateIPAllocationMethod": "Dynamic",

Verwenden Sie zum Erstellen eines Zahlungs-HSM mit dynamischen Hosts das Cmdlet New-AzDedicatedHsm und die VNet-ID aus dem vorherigen Schritt:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

Die Ausgabe der Payment HSM-Erstellung sieht wie folgt aus:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Um die neu erstellten Netzwerkschnittstellen anzuzeigen, verwenden Sie das Cmdlet "Get-AzNetworkInterface ", und stellen Sie die Ressourcengruppe bereit:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In der Ausgabe werden Host 1 und Host 2 sowie die Verwaltungsschnittstelle aufgeführt:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Das Azure-Portal zeigt die "Private IP-Zuordnungsmethode" als "Dynamisch" an:

Erstellen mit statischen Hosts

Azure CLI
Azure PowerShell

Verwenden Sie den Befehl "az dedicated-hsm create ", um ein Zahlungs-HSM mit statischen Hosts zu erstellen. Im folgenden Beispiel wird ein Zahlungs-HSM in der Region myPaymentHSM, der Ressourcengruppe eastus, dem angegebenen Abonnement, virtuellen Netzwerk und Subnetz mit dem Namen myResourceGroup erstellt:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Wenn Sie auch eine statische IP für den Verwaltungshost angeben möchten, können Sie Folgendes hinzufügen:

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

Um die neu erstellten Netzwerkschnittstellen anzuzeigen, verwenden Sie den Befehl "az network nic list ", und stellen Sie die Ressourcengruppe bereit:

az network nic list -g myResourceGroup -o table

In der Ausgabe werden Host 1 und Host 2 sowie die Verwaltungsschnittstelle aufgeführt:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Verwenden Sie zum Anzeigen der Eigenschaften einer Netzwerkschnittstelle den Befehl "az network nic show ", und stellen Sie die Ressourcengruppe und den Namen der Netzwerkschnittstelle bereit:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Die Ausgabe enthält diese Zeile:

  "privateIPAllocationMethod": "Static",

Verwenden Sie zum Erstellen eines Zahlungs-HSM mit statischen Hosts das Cmdlet New-AzDedicatedHsm und die VNet-ID aus dem vorherigen Schritt:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

Die Ausgabe der Payment HSM-Erstellung sieht wie folgt aus:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Um die neu erstellten Netzwerkschnittstellen anzuzeigen, verwenden Sie das Cmdlet "Get-AzNetworkInterface ", und stellen Sie die Ressourcengruppe bereit:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

In der Ausgabe werden Host 1 und Host 2 sowie die Verwaltungsschnittstelle aufgeführt:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Das Azure-Portal zeigt die "Private IP-Zuordnungsmethode" als "Static" an:

Nächste Schritte

Gehen Sie zum nächsten Artikel, um zu erfahren, wie Sie Ihr Zahlungs-HSM anzeigen.

Zahlungs-HSMs anzeigen

Weitere Informationen:

Eine Übersicht über Zahlungs-HSM lesen
Informieren Sie sich über die ersten Schritte mit Azure Payment HSM.
Einige gängige Bereitstellungsszenarien anzeigen
Erfahren Sie mehr über Zertifizierung und Compliance
Lesen Sie die häufig gestellten Fragen.

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-10

Freigeben über

Lernprogramm: Erstellen eines Zahlungs-HSM mit Host- und Verwaltungsport in verschiedenen virtuellen Netzwerken mithilfe der ARM-Vorlage

Voraussetzungen

Erstellen einer Ressourcengruppe

Erstellen virtueller Netzwerke und Subnetze

Zahlungshsm erstellen

Kreieren mit dynamischen Hosts

Erstellen mit statischen Hosts

Nächste Schritte

Feedback

Zusätzliche Ressourcen