Sdílet prostřednictvím


Povolení ID Microsoft Entra pro místní monitorovací nástroje

Azure Private 5G Core poskytuje nástroje pro distribuované trasování a řídicí panely jádra paketů pro monitorování nasazení na hraničních zařízeních. K těmto nástrojům můžete přistupovat pomocí MICROSOFT Entra ID nebo místního uživatelského jména a hesla. Doporučujeme nastavit ověřování Microsoft Entra, aby se zlepšilo zabezpečení ve vašem nasazení.

V tomto průvodci postupy provedete kroky, které je potřeba provést po nasazení nebo konfiguraci webu, který používá ID Microsoft Entra k ověření přístupu k místním monitorovacím nástrojům. Pokud jste se rozhodli pro přístup k distribuovaným řídicím panelům trasování a základním řídicím panelům paketů používat místní uživatelská jména a hesla, nemusíte to dodržovat.

Upozornění

Id Microsoft Entra pro místní monitorovací nástroje není podporováno, pokud je na zařízení Azure Stack Edge povolené webové proxy server, na kterém běží Azure Private 5G Core. Pokud jste nakonfigurovali bránu firewall, která blokuje provoz nepřesílaný přes webový proxy server, povolení ID Microsoft Entra způsobí selhání instalace Azure Private 5G Core.

Požadavky

  • Musíte mít dokončené kroky v části Dokončení požadovaných úloh pro nasazení privátní mobilní sítě a shromáždění požadovaných informací pro lokalitu.
  • Musíte mít nasazený web s ID Microsoft Entra nastaveným jako typ ověřování.
  • Identifikujte IP adresu pro přístup k místním monitorovacím nástrojům, které jste nastavili v síti pro správu.
  • Ujistěte se, že se můžete přihlásit k webu Azure Portal pomocí účtu s přístupem k aktivnímu předplatnému, které jste použili k vytvoření privátní mobilní sítě. Tento účet musí mít oprávnění ke správě aplikací v Microsoft Entra ID. Mezi předdefinované role Microsoft Entra, které mají požadovaná oprávnění, patří například správce aplikací, vývojář aplikací a správce cloudových aplikací. Pokud tento přístup nemáte, obraťte se na správce Microsoft Entra vašeho tenanta, aby mohl ověřit, že má uživatel přiřazenou správnou roli, a to pomocí přiřazení rolí uživatelů pomocí ID Microsoft Entra.
  • Ujistěte se, že váš místní počítač má základní přístup kubectl ke clusteru Kubernetes s podporou Azure Arc. To vyžaduje základní soubor kubeconfig, který můžete získat pomocí přístupu k oboru názvů Core.

Konfigurace názvu systému domény (DNS) pro místní IP adresu monitorování

Při registraci aplikace a konfiguraci identifikátorů URI přesměrování budete potřebovat, aby identifikátory URI pro přesměrování obsahovaly název domény místo IP adresy pro přístup k místním monitorovacím nástrojům.

Na autoritativním serveru DNS pro zónu DNS, ve které chcete vytvořit záznam DNS, nakonfigurujte záznam DNS tak, aby přeložil název domény na IP adresu použitou pro přístup k místním monitorovacím nástrojům, které jste nastavili v síti pro správu.

Registrace aplikace

Teď zaregistrujete novou místní monitorovací aplikaci s ID Microsoft Entra, abyste vytvořili vztah důvěryhodnosti s platformou Microsoft Identity Platform.

Pokud vaše nasazení obsahuje více lokalit, můžete pro všechny lokality použít stejné dvě identifikátory URI přesměrování nebo vytvořit pro každou lokalitu různé páry identifikátorů URI. Pro každou lokalitu můžete nakonfigurovat maximálně dvě identifikátory URI přesměrování. Pokud jste už zaregistrovali aplikaci pro nasazení a chcete použít stejné identifikátory URI na vašich webech, můžete tento krok přeskočit.

Poznámka:

Tyto pokyny předpokládají, že používáte jednu aplikaci pro distribuované trasování i řídicí panely jádra paketů. Pokud chcete udělit přístup k různým skupinám uživatelů pro tyto dva nástroje, můžete místo toho nastavit jednu aplikaci pro role základních řídicích panelů paketů a jednu pro roli distribuovaného trasování.

  1. Postupujte podle rychlého startu: Zaregistrujte aplikaci na platformě Microsoft Identity Platform a zaregistrujte novou aplikaci pro místní monitorovací nástroje na platformě Microsoft Identity Platform.

    1. V části Přidat identifikátor URI přesměrování vyberte webovou platformu a přidejte následující dvě identifikátory URI přesměrování, kde< místní doména> monitorování je název domény pro místní monitorovací nástroje, které jste nastavili v části Konfigurace názvu systému domény (DNS) pro místní IP adresu monitorování:

      • <https:// local monitoring domain>/sas/auth/aad/callback
      • <https:// local monitoring domain>/grafana/login/azuread
    2. V části Přidat přihlašovací údaje přidejte tajný klíč klienta podle pokynů. Nezapomeňte zaznamenat tajný kód ve sloupci Hodnota , protože toto pole je k dispozici pouze okamžitě po vytvoření tajného kódu. Toto je hodnota tajného klíče klienta, kterou budete potřebovat později v tomto postupu.

  2. Postupujte podle uživatelského rozhraní rolí aplikací a vytvořte role pro vaši aplikaci s následující konfigurací:

    • V seznamu Povolené typy členů vyberte Uživatelé/skupiny.
    • Do pole Hodnota zadejte jednu z rolí, které vytváříte, správce, Prohlížeč a Editor . Pro distribuované trasování potřebujete také roli sas.user .
    • V části Chcete povolit tuto roli aplikace?, ujistěte se, že je zaškrtnuté políčko.

    Tyto role budete moct používat při správě přístupu k základním řídicím panelům paketů a distribuovanému trasování.

  3. Postupujte podle pokynů k přiřazení uživatelů a skupin k rolím , které jste vytvořili.

Shromažďování informací o tajných objektech Kubernetes

  1. Shromážděte hodnoty v následující tabulce.

    Hodnota Jak shromažďovat Název tajného parametru Kubernetes
    ID klientu Na webu Azure Portal vyhledejte ID Microsoft Entra. Pole ID tenanta najdete na stránce Přehled. tenant_id
    ID aplikace (klienta) Přejděte na novou registraci místní monitorovací aplikace, kterou jste právě vytvořili. Pole ID aplikace (klienta) najdete na stránce Přehled pod nadpisem Základy. client_id
    Adresa URL autorizace Na stránce Přehled registrace místní monitorovací aplikace vyberte Koncové body. Zkopírujte obsah pole autorizačního koncového bodu OAuth 2.0 (v2).

    Poznámka:
    Pokud řetězec obsahuje organizations, nahraďte organizations hodnotou ID tenanta. Například
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    stane se
    https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/authorize.
    auth_url
    Adresa URL tokenu Na stránce Přehled registrace místní monitorovací aplikace vyberte Koncové body. Zkopírujte obsah pole koncového bodu tokenu OAuth 2.0 (v2).

    Poznámka:
    Pokud řetězec obsahuje organizations, nahraďte organizations hodnotou ID tenanta. Například
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    stane se
    https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/token.
    token_url
    Tajný klíč klienta Tento kód jste shromáždili při vytváření tajného klíče klienta v předchozím kroku. client_secret
    Kořenový adresář URI přesměrování distribuovaného trasování Poznamenejte si následující část identifikátoru URI přesměrování: https://< místní doména> monitorování. redirect_uri_root
    Kořenový adresář identifikátoru URI přesměrování řídicích panelů jádra paketů Poznamenejte si následující část identifikátoru URI přesměrování řídicích panelů jádra paketů: https:// místní< doména> monitorování nebo grafana. root_url

Úprava místního přístupu

Přejděte na web Azure Portal a přejděte k prostředku řídicí roviny jádra paketů vašeho webu. Vyberte kartu Upravit místní přístup v okně.

  1. Pokud je typ ověřování nastavený na Microsoft Entra ID, pokračujte vytvořením tajných objektů Kubernetes.
  2. Jinak:
    1. V rozevíracím seznamu Typ ověřování vyberte ID Microsoft Entra.
    2. Vyberte Zkontrolovat.
    3. Vyberte položku Odeslat.

Vytváření tajných objektů Kubernetes

K podpoře ID Microsoft Entra v privátních aplikacích Azure 5G Core budete potřebovat soubor YAML obsahující tajné kódy Kubernetes.

  1. Převeďte všechny hodnoty, které jste shromáždili v části Shromáždit informace o tajných objektech Kubernetes, do formátu Base64. Můžete například spustit následující příkaz v okně prostředí Azure Cloud Shell Bash :

    echo -n <Value> | base64
    
  2. Vytvořte soubor secret-azure-ad-local-monitoring.yaml obsahující hodnoty kódované base64 pro konfiguraci distribuovaného trasování a řídicích panelů jádra paketů. Tajný kód pro distribuované trasování musí mít název sas-auth-secrets a tajný klíč pro řídicí panely jádra paketů musí mít název grafana-auth-secrets.

    apiVersion: v1
    kind: Secret
    metadata:
        name: sas-auth-secrets
        namespace: core
    type: Opaque
    data:
        client_id: <Base64-encoded client ID>
        client_secret: <Base64-encoded client secret>
        redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
        tenant_id: <Base64-encoded tenant ID>
    
    ---
    
    apiVersion: v1
    kind: Secret
    metadata:
        name: grafana-auth-secrets
        namespace: core
    type: Opaque
    data:
        GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
        GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
        GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
        GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
        GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
    

Použití tajných objektů Kubernetes

Tajné objekty Kubernetes budete muset použít, pokud povolíte ID Microsoft Entra pro web, po výpadku jádra paketu nebo po aktualizaci souboru YAML tajného objektu Kubernetes.

  1. Přihlaste se ke službě Azure Cloud Shell a vyberte PowerShell. Pokud ke clusteru přistupujete poprvé přes Azure Cloud Shell, nakonfigurujte přístup kubectl podle přístupu ke clusteru .

  2. Použijte tajný objekt pro distribuované trasování i řídicí panely jádra paketů a zadejte základní název souboru kubeconfig.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Pomocí následujících příkazů ověřte, jestli se tajné objekty správně použily, a zadejte základní název souboru kubeconfig. Měli byste vidět správné hodnoty Name, Namespace a Type spolu s velikostí zakódovaných hodnot.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Restartujte pody distribuovaných trasování a řídicích panelů jádra paketů.

    1. Získejte název podu řídicích panelů jádra paketů:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Zkopírujte výstup předchozího kroku a nahraďte ho následujícím příkazem a restartujte pody.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Ověření přístupu

Pokud chcete zjistit, jestli máte přístup k místním monitorovacím nástrojům pomocí Microsoft Entra ID, postupujte podle pokynů v accessovém webovém grafickém uživatelském rozhraní pro trasování a získejte přístup k hlavním řídicím panelům paketů .

Aktualizace tajných objektů Kubernetes

Pokud potřebujete aktualizovat existující tajné objekty Kubernetes, postupujte podle tohoto kroku. Například po aktualizaci identifikátorů URI přesměrování nebo prodloužení platnosti tajného klíče klienta, jehož platnost vypršela.

  1. Proveďte požadované změny v souboru YAML tajného objektu Kubernetes, který jste vytvořili v části Vytváření tajných objektů Kubernetes.
  2. Použití tajných objektů Kubernetes
  3. Ověřte přístup.

Další kroky

Pokud jste to ještě neudělali, měli byste teď navrhnout konfiguraci řízení zásad pro vaši privátní mobilní síť. To vám umožní přizpůsobit způsob, jakým instance jádra paketů používají vlastnosti kvality služby (QoS) pro provoz. Můžete také blokovat nebo omezit určité toky.