Poskytnutí certifikátů SSL pro monitorování

Od verze z prosince 2021 vám datové služby s podporou Služby Arc umožňují poskytovat certifikáty SSL/TLS pro řídicí panely monitorování. Tyto certifikáty můžete použít pro řídicí panely protokolů (Kibana) a metrik (Grafana).

Certifikát můžete zadat při vytváření kontroleru dat pomocí:

• Rozšíření Azure az CLI arcdata
• Nativní nasazení Kubernetes

Microsoft poskytuje ukázkové soubory pro vytvoření certifikátů v úložišti /microsoft/azure_arc/ GitHub.

Soubor můžete naklonovat místně pro přístup k ukázkovým souborům.

git clone https://github.com/microsoft/azure_arc

Soubory, na které odkazuje tento článek, jsou v úložišti v části /arc_data_services/deploy/scripts/monitoring.

Vytvoření nebo získání příslušných certifikátů

Pro každé uživatelské rozhraní potřebujete vhodné certifikáty. Jeden pro protokoly a jeden pro metriky. Následující tabulka popisuje požadavky.

Následující tabulka popisuje požadavky na každý certifikát a klíč.

Požadavek	Certifikát protokolů	Certifikát metrik
CN	logsui-svc	metricsui-svc
Sans	Nevyžaduje se žádné	metricsui-svc.${NAMESPACE}.${K8S_DNS_DOMAIN_NAME}
keyUsage	digitalsignature keyEncipherment	digitalsignature keyEncipherment
extendedKeyUsage	serverAuth	serverAuth

Poznámka:

Výchozí K8S_DNS_DOMAIN_NAME je svc.cluster.local, i když se může lišit v závislosti na prostředí a konfiguraci.

Adresář úložiště GitHub obsahuje ukázkové soubory šablon, které identifikují specifikace certifikátu.

• /arc_data_services/deploy/scripts/monitoring/logsui-ssl.conf.tmpl
• /arc_data_services/deploy/scripts/monitoring/metricsui-ssl.conf.tmpl

Ukázkové úložiště Azure Arc na GitHubu nabízí příklad, který můžete použít k vygenerování kompatibilního certifikátu a privátního klíče pro koncový bod.

Podívejte se na kód z /arc_data_services/deploy/scripts/monitoringcreate-monitoring-tls-files.sh.

Pokud chcete použít příklad k vytvoření certifikátů, aktualizujte následující příkaz s vaším namespace adresářem a certifikáty (output_directory). Pak příkaz spusťte.

./create-monitor-tls-files.sh <namespace> <output_directory>

Tím se v adresáři vytvoří vyhovující certifikáty.

Nasazení pomocí rozhraní příkazového řádku

Jakmile budete mít certifikát nebo privátní klíč pro každý koncový bod, vytvořte kontroler dat pomocí az dc create... příkazu.

Pokud chcete použít vlastní certifikát nebo privátní klíč, použijte následující argumenty.

• --logs-ui-public-key-file <path\file to logs public key file>
• --logs-ui-private-key-file <path\file to logs private key file>
• --metrics-ui-public-key-file <path\file to metrics public key file>
• --metrics-ui-private-key-file <path\file to metrics private key file>

Následující příklad například vytvoří kontroler dat s určenými certifikáty pro řídicí panely uživatelského rozhraní protokolů a metrik:

az arcdata dc create --profile-name azure-arc-aks-default-storage --k8s-namespace <namespace> --use-k8s --name arc --subscription <subscription id> --resource-group <resource group name> --location <location> --connectivity-mode indirect --logs-ui-public-key-file <path\file to logs public key file> --logs-ui-private-key-file <path\file to logs private key file> --metrics-ui-public-key-file <path\file to metrics public key file> --metrics-ui-private-key-file <path\file to metrics private key file>

#Example:
#az arcdata dc create --profile-name azure-arc-aks-default-storage  --k8s-namespace arc --use-k8s --name arc --subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --resource-group my-resource-group --location eastus --connectivity-mode indirect --logs-ui-public-key-file /path/to/logsuipublickeyfile.pem --logs-ui-private-key-file /path/to/logsuiprivatekey.pem --metrics-ui-public-key-file /path/to/metricsuipublickeyfile.pem --metrics-ui-private-key-file /path/to/metricsuiprivatekey.pem

Certifikáty můžete zadat pouze při zahrnutí --use-k8s do az arcdata dc create ... příkazu.

Nasazení s využitím nativních nástrojů Kubernetes

Pokud k nasazení používáte nativní nástroje Kubernetes, vytvořte tajné kódy Kubernetes, které obsahují certifikáty a privátní klíče. Vytvořte následující tajné kódy:

• logsui-certificiate-secret
• metricsui-certificate-secret.

Ujistěte se, že jsou služby uvedené jako alternativní názvy subjektu (SAN) a parametry použití certifikátu jsou správné.

1. Ověřte, že každý tajný klíč obsahuje následující pole:
   • certificate.pem obsahující zakódovaný certifikát base64
   • privatekey.pem obsahující privátní klíč

Související obsah

• Zkuste nahrát metriky a protokoly do služby Azure Monitor.
• Přečtěte si o Grafana:
  • Začínáme
  • Grafana – základy
  • Kurzy k Grafana
• Přečtěte si o Kibaně
  • Úvod
  • Průvodce Kibanou
  • Úvod k podrobnostem řídicího panelu s vizualizacemi dat v Kibaně
  • Vytváření řídicích panelů Kibana