Compartir vía


Habilitación de Microsoft Entra ID para herramientas de supervisión local

Azure Private 5G Core proporciona las herramientas de seguimiento distribuido y paneles de la red troncal de paquetes para supervisar la implementación en el perímetro. Puede acceder a estas herramientas mediante Microsoft Entra ID o un nombre de usuario y una contraseña locales. Se recomienda configurar la autenticación de Microsoft Entra para mejorar la seguridad en la implementación.

En esta guía paso a paso, realizará los pasos que debe completar después de implementar o configurar un sitio que use Microsoft Entra ID para autenticar el acceso a las herramientas de supervisión local. No es necesario seguir esto si decidió usar nombres de usuario y contraseñas locales para acceder al seguimiento distribuido y a los paneles de la red troncal de paquetes.

Precaución

No se admite Microsoft Entra ID para las herramientas de supervisión local cuando se habilita un proxy web en el dispositivo de Azure Stack Edge en el que se ejecuta Azure Private 5G Core. Si ha configurado un firewall que bloquea el tráfico que no se transmite a través del proxy web, la habilitación de Microsoft Entra ID hará que se produzca un error en la instalación de Azure Private 5G Core.

Requisitos previos

Configuración del nombre del sistema de dominio (DNS) para la dirección IP de supervisión local

Al registrar la aplicación y configurar los URI de redireccionamiento, necesitará que los URI de redireccionamiento contengan un nombre de dominio en lugar de una dirección IP para acceder a las herramientas de supervisión local.

En el servidor DNS autoritativo de la zona DNS en la que desea crear el registro DNS, configure un registro DNS para resolver el nombre de dominio en la dirección IP que se usa para acceder a las herramientas de supervisión local, que configuró en Red de administración.

Registrar aplicación

Ahora registrará una nueva aplicación de supervisión local con Microsoft Entra ID para establecer una relación de confianza con la plataforma de identidad de Microsoft.

Si la implementación contiene varios sitios, puede usar los mismos dos URI de redireccionamiento para todos los sitios o crear pares de URI diferentes para cada sitio. Puede configurar un máximo de dos URI de redireccionamiento por sitio. Si ya ha registrado una aplicación para la implementación y quiere usar los mismos URI en los sitios, puede omitir este paso.

Nota:

En estas instrucciones se supone que usa una sola aplicación para el seguimiento distribuido y los paneles de núcleos de paquetes. Si quiere conceder acceso a distintos grupos de usuarios para estas dos herramientas, puede configurar una aplicación para los roles de paneles principales de paquetes y otra para el rol de seguimiento distribuido.

  1. Siga Inicio rápido: registro de una aplicación con la plataforma de identidad de Microsoft para registrar una nueva aplicación para las herramientas de supervisión local con la plataforma de identidad de Microsoft.

    1. En Agregar un URI de redireccionamiento, seleccione la plataforma Web y agregue los dos URI de redireccionamiento siguientes, donde <dominio de supervisión local> es el nombre de dominio de las herramientas de supervisión local que configuró en Configuración del nombre del sistema de dominio (DNS) para la dirección IP de supervisión local:

      • https://<dominio de supervisión local>/sas/auth/aad/callback
      • https://<dominio de supervisión local>/grafana/login/azuread
    2. En Agregar credenciales, siga los pasos para agregar un secreto de cliente. Asegúrese de registrar el secreto en la columna Valor, ya que este campo solo está disponible inmediatamente después de la creación del secreto. Este es el valor del secreto de cliente que necesitará más adelante en este procedimiento.

  2. Siga la App roles UI para crear los roles para su aplicación con la siguiente configuración:

    • En Tipos de miembro permitidos, seleccione Usuarios o grupos.
    • En Valor, escriba un valor de Administrador, Visor y Editor para cada rol que cree. Para el seguimiento distribuido, también necesita un rol de sas.user.
    • En ¿Desea habilitar este rol de aplicación?, asegúrese de que la casilla está activada.

    Podrá utilizar estos roles cuando gestione el acceso a los paneles del núcleo de paquetes y a la herramienta de rastreo distribuido.

  3. Siga Asignación de usuarios y grupos a roles para asignar usuarios y grupos a los roles que creó.

Recopilación de la información de objetos secretos de Kubernetes

  1. Recopile los valores de la siguiente tabla.

    Value Cómo realizar la recopilación Nombre del parámetro secreto de Kubernetes
    Id. de inquilino En Azure Portal, busque Microsoft Entra ID. Puede encontrar el campo id. de inquilino en la página Información general. tenant_id
    Id. de la aplicación (cliente) Vaya al nuevo registro de aplicaciones de supervisión local que acaba de crear. Puede encontrar el campo id. de aplicación (cliente) en la página Información general, en el encabezado Essentials. client_id
    Dirección URL de autorización En la página Información general del registro de aplicaciones de supervisión local, seleccione Puntos de conexión. Copie el contenido del campo Punto de conexión de autorización de OAuth 2.0 (v2).

    Nota:
    Si la cadena contiene organizations, reemplace organizations por el valor del identificador de inquilino. Por ejemplo:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    se convierte en
    https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/authorize.
    auth_url
    Dirección URL del token En la página Información general del registro de aplicaciones de supervisión local, seleccione Puntos de conexión. Copie el contenido del campo Punto de conexión de token de OAuth 2.0 (v2).

    Nota:
    Si la cadena contiene organizations, reemplace organizations por el valor del identificador de inquilino. Por ejemplo:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    se convierte en
    https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/token.
    token_url
    Secreto de cliente Lo recopiló al crear el secreto de cliente en el paso anterior. client_secret
    Raíz del URI de redireccionamiento de seguimiento distribuido Anote la siguiente parte del URI de redireccionamiento: https://<dominio de supervisión local>. redirect_uri_root
    Raíz del URI de redireccionamiento de los paneles de la red troncal de paquetes Anote la siguiente parte del URI de redireccionamiento de los paneles de la red troncal de paquetes: https://<dominio de supervisión local>/grafana. root_url

Modificación del acceso local

Vaya a Azure Portal y vaya al recurso Plano de control de la red troncal de paquetes del sitio. Seleccione la pestaña Modificar acceso local de la hoja.

  1. Si el tipo de autenticación está establecido en Microsoft Entra ID, continúe a Crear objetos secretos de Kubernetes.
  2. De lo contrario:
    1. Seleccione Microsoft Entra ID en la lista desplegable Tipo de autenticación.
    2. Seleccione Review (Revisar).
    3. Seleccione Submit (Enviar).

Creación de objetos secretos de Kubernetes

Para admitir Microsoft Entra ID en aplicaciones de Azure Private 5G Core, necesitará un archivo YAML que contenga secretos de Kubernetes.

  1. Convierta cada uno de los valores recopilados en Recopilación de la información de objetos secretos de Kubernetes en formato Base64. Por ejemplo, puede ejecutar el siguiente comando en una ventana de Bash de Azure Cloud Shell:

    echo -n <Value> | base64
    
  2. Cree un archivo secret-azure-ad-local-monitoring.yaml que contenga los valores codificados en Base64 para configurar el seguimiento distribuido y los paneles de la red troncal de paquetes. El secreto para el seguimiento distribuido debe tener el nombre sas-auth-secrets y el secreto de los paneles de la red troncal de paquetes debe tener el nombre grafana-auth-secrets.

    apiVersion: v1
    kind: Secret
    metadata:
        name: sas-auth-secrets
        namespace: core
    type: Opaque
    data:
        client_id: <Base64-encoded client ID>
        client_secret: <Base64-encoded client secret>
        redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
        tenant_id: <Base64-encoded tenant ID>
    
    ---
    
    apiVersion: v1
    kind: Secret
    metadata:
        name: grafana-auth-secrets
        namespace: core
    type: Opaque
    data:
        GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
        GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
        GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
        GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
        GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
    

Aplicación de objetos secretos de Kubernetes

Tendrá que aplicar los objetos secretos de Kubernetes si habilita Microsoft Entra ID para un sitio, después de una interrupción de la red troncal de paquetes o después de actualizar el archivo YAML del objeto secreto de Kubernetes.

  1. Inicie sesión en Azure Cloud Shell y seleccione PowerShell. Si es la primera vez que accede al clúster a través de Azure Cloud Shell, siga Acceso al clúster para configurar el acceso kubectl.

  2. Aplique el objeto secreto para el seguimiento distribuido y para los paneles de la red troncal de paquetes, especificando el nombre de archivo kubeconfig principal.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Use los siguientes comandos para comprobar si los objetos secretos se aplicaron correctamente, especificando el nombre de archivo kubeconfig principal. Debería ver los valores correctos Nombre, Espacio de nombres y Tipo, junto con el tamaño de los valores codificados.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Reinicie los pods del seguimiento distribuido y de los paneles de la red troncal de paquetes.

    1. Obtenga el nombre del pod de los paneles de la red troncal de paquetes:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Copie la salida del paso anterior y reemplácela en el siguiente comando para reiniciar los pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Comprobar acceso

Siga Acceso a la GUI web de seguimiento distribuido y Acceso a los paneles de la red troncal de paquetes para comprobar si puede acceder a las herramientas de supervisión local mediante Microsoft Entra ID.

Actualización de objetos secretos de Kubernetes

Siga este paso si necesita actualizar los objetos secretos de Kubernetes existentes; por ejemplo, después de actualizar los URI de redireccionamiento o renovar un secreto de cliente expirado.

  1. Realice los cambios necesarios en el archivo YAML del objeto secreto de Kubernetes que creó en Creación de objetos secretos de Kubernetes.
  2. Aplicación de objetos secretos de Kubernetes.
  3. Comprobación del acceso.

Pasos siguientes

Si aún no lo ha hecho, ahora debe diseñar la configuración de control de directivas para la red móvil privada. Puede personalizar cómo aplican las instancias de la red troncal de paquetes las características de Calidad de servicio (QoS) al tráfico. También puede bloquear o limitar determinados flujos.