Event Hubs ad alanı için en düşük TLS sürümünü yapılandırma

Azure Event Hubs ad alanları istemcilerin TLS 1.0 ve üzeri ile veri gönderip almasına izin verir. Daha katı güvenlik önlemlerini zorunlu kılmak için Event Hubs ad alanınızı istemcilerin daha yeni bir TLS sürümüyle veri gönderip almasını gerektirecek şekilde yapılandırabilirsiniz. Event Hubs ad alanı en düşük TLS sürümünü gerektiriyorsa, eski bir sürümle yapılan istekler başarısız olur. Bu özellik hakkında kavramsal bilgi için bkz . Event Hubs ad alanına yönelik istekler için Aktarım Katmanı Güvenliği'nin (TLS) gerekli en düşük sürümünü zorlama.

Azure portal veya Azure Resource Manager (ARM) şablonunu kullanarak en düşük TLS sürümünü yapılandırabilirsiniz.

Azure portal en düşük TLS sürümünü belirtin

Gelişmiş sekmesindeki Azure portal event hubs ad alanı oluştururken en düşük TLS sürümünü belirtebilirsiniz.

Yapılandırma sayfasında mevcut bir ad alanı için en düşük TLS sürümünü de belirtebilirsiniz.

En düşük TLS sürümünü yapılandırmak için şablon oluşturma

Event Hubs ad alanının en düşük TLS sürümünü bir şablonla yapılandırmak için özelliği 1.0, 1.1 veya 1.2 olarak ayarlanmış bir şablon MinimumTlsVersion oluşturun. Azure Resource Manager şablonuyla bir Event Hubs ad alanı oluşturduğunuzda özellik, açıkça başka bir sürüme ayarlanmadığı MinimumTlsVersion sürece varsayılan olarak 1.2 olarak ayarlanır.

Not

2022-01-01-preview öncesi bir api sürümü kullanılarak oluşturulan ad alanları için MinimumTlsVersiondeğer olarak 1.0 olacaktır. Bu davranış önceki varsayılan değerdi ve geriye dönük uyumluluk için hala oradadır.

Aşağıdaki adımlarda, Azure portal bir şablonun nasıl oluşturulacağı açıklanmaktadır.

1. Azure portal Kaynak oluştur'u seçin.

2. Markette ara alanınaözel dağıtım yazın ve ENTER tuşuna basın.

3. Özel dağıtım (özel şablonlar kullanarak dağıtma) (önizleme) seçeneğini belirleyin, Oluştur'u ve ardından Düzenleyicide Kendi şablonunuzu derleyin'i seçin.

4. Şablon düzenleyicisinde, yeni bir ad alanı oluşturmak için aşağıdaki JSON kodunu yapıştırın ve en düşük TLS sürümünü TLS 1.2 olarak ayarlayın. Açılı ayraçlardaki yer tutucuları kendi değerlerinizle değiştirmeyi unutmayın.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('eventHubNamespaceName')]",
           "type": "Microsoft.EventHub/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. Şablonu kaydedin.

6. Kaynak grubu parametresini belirtin, ardından şablonu dağıtmak ve özelliği yapılandırılmış bir ad alanı MinimumTlsVersion oluşturmak için Gözden geçir + oluştur düğmesini seçin.

Not

Event Hubs ad alanı için en düşük TLS sürümünü güncelleştirdikten sonra, değişikliğin tamamen yayılması 30 saniye kadar sürebilir.

En düşük TLS sürümünü yapılandırmak için Azure Event Hubs kaynak sağlayıcısının api-version 2022-01-01-preview veya sonraki bir sürümü gerekir.

Ad alanı için gereken en düşük TLS sürümünü denetleme

Event Hubs ad alanınız için gereken en düşük TLS sürümünü denetlemek için Azure Resource Manager API'sini sorgulayabilirsiniz. API'yi sorgulamak için bir Taşıyıcı belirtecine ihtiyacınız vardır. Bu belirteci aşağıdaki komutları yürüterek ARMClient uygulamasını kullanarak alabilirsiniz.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Taşıyıcı belirtecinizi aldıktan sonra, API'yi sorgulamak için REST client gibi bir şeyle birlikte aşağıdaki betiği kullanabilirsiniz.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Yanıt aşağıdakine benzer olmalıdır ve minimumTlsVersion özellikleri altında ayarlanmalıdır.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

İstemciden en düşük TLS sürümünü test edin

Event Hubs ad alanı için gereken en düşük TLS sürümünün daha eski bir sürümle yapılan çağrıları yasakladığını test etmek için, istemciyi TLS'nin eski bir sürümünü kullanacak şekilde yapılandırabilirsiniz. İstemciyi TLS'nin belirli bir sürümünü kullanacak şekilde yapılandırma hakkında daha fazla bilgi için bkz . İstemci uygulaması için Aktarım Katmanı Güvenliği'ni (TLS) yapılandırma.

İstemci, ad alanı için yapılandırılan en düşük TLS sürümünü karşılamayan bir TLS sürümü kullanarak Event Hubs ad alanına eriştiğinde, Azure Event Hubs hata kodu 401 (Yetkisiz) ve bu Event Hubs ad alanında istekte bulunmak için kullanılan TLS sürümüne izin verilmediğini belirten bir ileti döndürür.

Not

Confluent kitaplığındaki sınırlamalar nedeniyle, Kafka protokolü aracılığıyla bağlanırken geçersiz bir TLS sürümünden gelen hatalar ortaya çıkmıyor. Bunun yerine genel bir özel durum gösterilir.

Not

Bir Event Hubs ad alanı için en düşük TLS sürümünü yapılandırdığınızda, bu en düşük sürüm uygulama katmanında zorlanır. Protokol katmanında TLS desteğini belirlemeye çalışan araçlar, doğrudan Event Hubs ad alanı uç noktasında çalıştırıldığında gereken en düşük sürüme ek olarak TLS sürümleri döndürebilir.

Sonraki adımlar

Daha fazla bilgi için aşağıdaki makalelere bakın.

• Event Hubs ad alanına yönelik istekler için Aktarım Katmanı Güvenliği'nin (TLS) gerekli en düşük sürümünü zorunlu kılma
• Event Hubs istemci uygulaması için Aktarım Katmanı Güvenliğini (TLS) yapılandırma
• Event Hubs ad alanı için en düşük TLS sürümünün uyumluluğunu denetlemek için Azure İlkesi kullanma