배포 계획 - 내부 트래픽 암호화

내부 트래픽 암호화는 MQTT broker 프런트 엔드와 백 엔드 Pod 간의 통신을 암호화하는 보안 기능입니다. 배포 전에 기본 내부 트래픽 암호화 설정을 변경해야 하는지 여부를 결정합니다.

Important

이 설정을 사용하려면 Broker 리소스를 수정해야 합니다. Azure CLI 또는 Azure Portal을 사용하여 초기 배포 시만 구성됩니다. 브로커 구성 변경이 필요한 경우 새 배포가 필요합니다. 자세한 내용은 기본 Broker 사용자 지정을 참조하세요.

내부 트래픽 암호화 기능은 MQTT broker 프런트 엔드와 백 엔드 Pod 간의 전송 중인 내부 트래픽을 암호화하는 데 사용됩니다. Azure IoT 작업를 배포할 때 기본적으로 사용하도록 설정됩니다.

암호화를 비활성화하려면 Broker 리소스에서 advanced.encryptInternalTraffic 설정을 수정합니다. --broker-config-file 명령으로 IoT Operations를 배포하는 동안에만 az iot ops create 플래그를 사용하여 이 단계를 수행할 수 있습니다. 자세한 내용은 고급 MQTT broker 구성에 대한 Azure CLI 지원을 참조하세요.

Caution

암호화를 사용하지 않도록 설정하면 MQTT Broker 성능이 향상될 수 있습니다. 맨 인 더 미들 공격과 같은 보안 위협으로부터 보호하려면 이 설정을 사용하도록 유지하는 것이 좋습니다. 테스트를 위해 제어된 비프로덕션 환경에서만 암호화를 사용하지 않도록 설정합니다.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

그런 다음, 다음 명령과 같이 플래그가 있는 az iot ops create 명령을 사용하여 --broker-config-file IoT 작업을 배포합니다. (간단히 하기 위해 다른 매개 변수는 생략됩니다.)

az iot ops create ... --broker-config-file <FILE>.json

내부 인증서 구성

암호화를 사용하도록 설정하면 MQTT broker는 cert-manager 를 사용하여 내부 트래픽을 암호화하는 데 사용되는 인증서를 생성하고 관리합니다. 인증서 관리자는 만료되면 인증서를 자동으로 갱신합니다. 기간, 갱신 시기 및 Broker 리소스의 프라이빗 키 알고리즘과 같은 인증서 설정을 구성할 수 있습니다. 현재 인증서 설정 변경은 --broker-config-file 명령을 사용하여 IoT Operations를 배포할 때 az iot ops create 플래그를 사용하는 경우에만 지원됩니다.

예를 들어 인증서 duration 를 240시간, renewBefore 시간 45분, privateKeyalgorithm RSA 2048로 설정하려면 JSON 형식의 Broker 구성 파일을 준비합니다.

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

그런 다음 az iot ops create와 함께 --broker-config-file <FILE>.json 명령을 사용하여 IoT Operations를 배포합니다.

다음 단계