Aracılığıyla paylaş

Aracı iç trafiğinin ve iç sertifikaların şifrelenmesini yapılandırma

  • Makale

Altyapınızdaki iç iletişimlerin güvenliğini sağlamak, veri bütünlüğünü ve gizliliğini korumak için önemlidir. İç trafiği ve verileri şifrelemek için MQTT aracısını yapılandırabilirsiniz. Şifreleme sertifikaları, kimlik bilgileri yöneticisi kullanılarak otomatik olarak yönetilir.

İç trafiği şifreleme

Önemli

Bu ayar, Aracı kaynağının değiştirilmesini gerektirir ve yalnızca Azure CLI veya Azure Portal kullanılarak ilk dağıtım zamanında yapılandırılabilir. Aracı yapılandırma değişiklikleri gerekiyorsa yeni bir dağıtım gerekir. Daha fazla bilgi edinmek için bkz . Varsayılan Aracıyı özelleştirme.

İç trafiği şifreleme özelliği, MQTT aracısı ön ucu ve arka uç podları arasında aktarımdaki iç trafiği şifrelemek için kullanılır. Azure IoT İşlemlerini dağıttığınızda varsayılan olarak etkinleştirilir.

Şifrelemeyi advanced.encryptInternalTraffic devre dışı bırakmak için Aracı kaynağındaki ayarı değiştirin. Bu yalnızca komutuyla az iot ops create Azure IoT İşlemlerinin dağıtımı sırasında bayrağı kullanılarak --broker-config-file yapılabilir.

Dikkat

Şifrelemenin devre dışı bırakılması MQTT aracı performansını geliştirebilir. Ancak, ortadaki adam saldırıları gibi güvenlik tehditlerine karşı koruma sağlamak için bu ayarın etkin kalmasını kesinlikle öneririz. Yalnızca test için denetimli üretim dışı ortamlarda şifrelemeyi devre dışı bırakın.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

Ardından, aşağıdaki komut (kısa süre için atlanmış diğer parametreler) gibi bayrağıyla --broker-config-file komutunu kullanarak az iot ops create Azure IoT İşlemlerini dağıtın:

az iot ops create ... --broker-config-file <FILE>.json

İç sertifikalar

Şifreleme etkinleştirildiğinde aracı, iç trafiği şifrelemek için kullanılan sertifikaları oluşturmak ve yönetmek için cert-manager kullanır. Cert-manager, süresi dolduğunda sertifikaları otomatik olarak yeniler. Aracı kaynağında süre, yenileme süresi ve özel anahtar algoritması gibi sertifika ayarlarını yapılandırabilirsiniz. Şu anda sertifika ayarlarının değiştirilmesi yalnızca komutunu kullanarak --broker-config-file Azure IoT İşlemlerini dağıttığınızda bayrağı kullanılarak az iot ops create desteklenir.

Örneğin, sertifika süresini 240 saat olarak ayarlamak, 45 dakikadan önce yenilemek ve özel anahtar algoritması RSA 2048 olarak ayarlamak için JSON biçiminde bir Aracı yapılandırma dosyası hazırlayın:

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

Ardından ile komutunu kullanarak az iot ops create Azure IoT İşlemlerini dağıtın --broker-config-file <FILE>.json.

Daha fazla bilgi edinmek için bkz . Gelişmiş MQTT aracı yapılandırması için Azure CLI desteği ve Aracı örnekleri.

Sonraki adımlar