Habilitación de Microsoft Entra ID para herramientas de supervisión local
Azure Private 5G Core proporciona las herramientas de seguimiento distribuido y paneles de la red troncal de paquetes para supervisar la implementación en el perímetro. Puede acceder a estas herramientas mediante Microsoft Entra ID o un nombre de usuario y una contraseña locales. Se recomienda configurar la autenticación de Microsoft Entra para mejorar la seguridad en la implementación.
En esta guía paso a paso, realizará los pasos que debe completar después de implementar o configurar un sitio que use Microsoft Entra ID para autenticar el acceso a las herramientas de supervisión local. No es necesario seguir esto si decidió usar nombres de usuario y contraseñas locales para acceder al seguimiento distribuido y a los paneles de la red troncal de paquetes.
Precaución
No se admite Microsoft Entra ID para las herramientas de supervisión local cuando se habilita un proxy web en el dispositivo de Azure Stack Edge en el que se ejecuta Azure Private 5G Core. Si ha configurado un firewall que bloquea el tráfico que no se transmite a través del proxy web, la habilitación de Microsoft Entra ID hará que se produzca un error en la instalación de Azure Private 5G Core.
Requisitos previos
- Debe haber realizado los pasos descritos en Finalización de las tareas previas necesarias para implementar una red móvil privada y Recopilación de la información necesaria para un sitio.
- Debe haber implementado un sitio con Microsoft Entra ID establecido como el tipo de autenticación.
- Identifique la dirección IP para acceder a las herramientas de supervisión local que configuró en Red de administración.
- Asegúrese de que puede iniciar sesión en Azure Portal mediante una cuenta con acceso a la suscripción activa que usó para crear la red móvil privada. Esta cuenta debe tener permiso para administrar aplicaciones en Microsoft Entra ID. Entre los roles integrados de Microsoft Entra que tienen los permisos necesarios, se incluyen, por ejemplo, Administrador de aplicaciones, Desarrollador de aplicaciones y Administrador de aplicaciones en la nube. Si no tiene este acceso, póngase en contacto con el administrador de inquilinos de Microsoft Entra para confirmar que al usuario se le ha asignado el rol correcto siguiendo Asignar roles de usuario con Microsoft Entra ID.
- Asegúrese de que el equipo local tiene acceso principal kubectl al clúster de Kubernetes habilitado para Azure Arc. Esto requiere un archivo kubeconfig básico, que puede obtener siguiendo Acceso principal al espacio de nombres.
Configuración del nombre del sistema de dominio (DNS) para la dirección IP de supervisión local
Al registrar la aplicación y configurar los URI de redireccionamiento, necesitará que los URI de redireccionamiento contengan un nombre de dominio en lugar de una dirección IP para acceder a las herramientas de supervisión local.
En el servidor DNS autoritativo de la zona DNS en la que desea crear el registro DNS, configure un registro DNS para resolver el nombre de dominio en la dirección IP que se usa para acceder a las herramientas de supervisión local, que configuró en Red de administración.
Registrar aplicación
Ahora registrará una nueva aplicación de supervisión local con Microsoft Entra ID para establecer una relación de confianza con la plataforma de identidad de Microsoft.
Si la implementación contiene varios sitios, puede usar los mismos dos URI de redireccionamiento para todos los sitios o crear pares de URI diferentes para cada sitio. Puede configurar un máximo de dos URI de redireccionamiento por sitio. Si ya ha registrado una aplicación para la implementación y quiere usar los mismos URI en los sitios, puede omitir este paso.
Nota:
En estas instrucciones se supone que usa una sola aplicación para el seguimiento distribuido y los paneles de núcleos de paquetes. Si quiere conceder acceso a distintos grupos de usuarios para estas dos herramientas, puede configurar una aplicación para los roles de paneles principales de paquetes y otra para el rol de seguimiento distribuido.
Siga Inicio rápido: registro de una aplicación con la plataforma de identidad de Microsoft para registrar una nueva aplicación para las herramientas de supervisión local con la plataforma de identidad de Microsoft.
En Agregar un URI de redireccionamiento, seleccione la plataforma Web y agregue los dos URI de redireccionamiento siguientes, donde <dominio de supervisión local> es el nombre de dominio de las herramientas de supervisión local que configuró en Configuración del nombre del sistema de dominio (DNS) para la dirección IP de supervisión local:
- https://<dominio de supervisión local>/sas/auth/aad/callback
- https://<dominio de supervisión local>/grafana/login/azuread
En Agregar credenciales, siga los pasos para agregar un secreto de cliente. Asegúrese de registrar el secreto en la columna Valor, ya que este campo solo está disponible inmediatamente después de la creación del secreto. Este es el valor del secreto de cliente que necesitará más adelante en este procedimiento.
Siga la App roles UI para crear los roles para su aplicación con la siguiente configuración:
- En Tipos de miembro permitidos, seleccione Usuarios o grupos.
- En Valor, escriba un valor de Administrador, Visor y Editor para cada rol que cree. Para el seguimiento distribuido, también necesita un rol de sas.user.
- En ¿Desea habilitar este rol de aplicación?, asegúrese de que la casilla está activada.
Podrá utilizar estos roles cuando gestione el acceso a los paneles del núcleo de paquetes y a la herramienta de rastreo distribuido.
Siga Asignación de usuarios y grupos a roles para asignar usuarios y grupos a los roles que creó.
Recopilación de la información de objetos secretos de Kubernetes
Recopile los valores de la siguiente tabla.
Value Cómo realizar la recopilación Nombre del parámetro secreto de Kubernetes Id. de inquilino En Azure Portal, busque Microsoft Entra ID. Puede encontrar el campo id. de inquilino en la página Información general. tenant_id
Id. de la aplicación (cliente) Vaya al nuevo registro de aplicaciones de supervisión local que acaba de crear. Puede encontrar el campo id. de aplicación (cliente) en la página Información general, en el encabezado Essentials. client_id
Dirección URL de autorización En la página Información general del registro de aplicaciones de supervisión local, seleccione Puntos de conexión. Copie el contenido del campo Punto de conexión de autorización de OAuth 2.0 (v2).
Nota:
Si la cadena contieneorganizations
, reemplaceorganizations
por el valor del identificador de inquilino. Por ejemplo:https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
se convierte enhttps://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/authorize
.auth_url
Dirección URL del token En la página Información general del registro de aplicaciones de supervisión local, seleccione Puntos de conexión. Copie el contenido del campo Punto de conexión de token de OAuth 2.0 (v2).
Nota:
Si la cadena contieneorganizations
, reemplaceorganizations
por el valor del identificador de inquilino. Por ejemplo:https://login.microsoftonline.com/organizations/oauth2/v2.0/token
se convierte enhttps://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/token
.token_url
Secreto de cliente Lo recopiló al crear el secreto de cliente en el paso anterior. client_secret
Raíz del URI de redireccionamiento de seguimiento distribuido Anote la siguiente parte del URI de redireccionamiento: https://<dominio de supervisión local>. redirect_uri_root
Raíz del URI de redireccionamiento de los paneles de la red troncal de paquetes Anote la siguiente parte del URI de redireccionamiento de los paneles de la red troncal de paquetes: https://<dominio de supervisión local>/grafana. root_url
Modificación del acceso local
Vaya a Azure Portal y vaya al recurso Plano de control de la red troncal de paquetes del sitio. Seleccione la pestaña Modificar acceso local de la hoja.
- Si el tipo de autenticación está establecido en Microsoft Entra ID, continúe a Crear objetos secretos de Kubernetes.
- De lo contrario:
- Seleccione Microsoft Entra ID en la lista desplegable Tipo de autenticación.
- Seleccione Review (Revisar).
- Seleccione Submit (Enviar).
Creación de objetos secretos de Kubernetes
Para admitir Microsoft Entra ID en aplicaciones de Azure Private 5G Core, necesitará un archivo YAML que contenga secretos de Kubernetes.
Convierta cada uno de los valores recopilados en Recopilación de la información de objetos secretos de Kubernetes en formato Base64. Por ejemplo, puede ejecutar el siguiente comando en una ventana de Bash de Azure Cloud Shell:
echo -n <Value> | base64
Cree un archivo secret-azure-ad-local-monitoring.yaml que contenga los valores codificados en Base64 para configurar el seguimiento distribuido y los paneles de la red troncal de paquetes. El secreto para el seguimiento distribuido debe tener el nombre sas-auth-secrets y el secreto de los paneles de la red troncal de paquetes debe tener el nombre grafana-auth-secrets.
apiVersion: v1 kind: Secret metadata: name: sas-auth-secrets namespace: core type: Opaque data: client_id: <Base64-encoded client ID> client_secret: <Base64-encoded client secret> redirect_uri_root: <Base64-encoded distributed tracing redirect URI root> tenant_id: <Base64-encoded tenant ID> --- apiVersion: v1 kind: Secret metadata: name: grafana-auth-secrets namespace: core type: Opaque data: GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID> GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret> GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL> GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL> GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
Aplicación de objetos secretos de Kubernetes
Tendrá que aplicar los objetos secretos de Kubernetes si habilita Microsoft Entra ID para un sitio, después de una interrupción de la red troncal de paquetes o después de actualizar el archivo YAML del objeto secreto de Kubernetes.
Inicie sesión en Azure Cloud Shell y seleccione PowerShell. Si es la primera vez que accede al clúster a través de Azure Cloud Shell, siga Acceso al clúster para configurar el acceso kubectl.
Aplique el objeto secreto para el seguimiento distribuido y para los paneles de la red troncal de paquetes, especificando el nombre de archivo kubeconfig principal.
kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>
Use los siguientes comandos para comprobar si los objetos secretos se aplicaron correctamente, especificando el nombre de archivo kubeconfig principal. Debería ver los valores correctos Nombre, Espacio de nombres y Tipo, junto con el tamaño de los valores codificados.
kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>
kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>
Reinicie los pods del seguimiento distribuido y de los paneles de la red troncal de paquetes.
Obtenga el nombre del pod de los paneles de la red troncal de paquetes:
kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"
Copie la salida del paso anterior y reemplácela en el siguiente comando para reiniciar los pods.
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
Comprobar acceso
Siga Acceso a la GUI web de seguimiento distribuido y Acceso a los paneles de la red troncal de paquetes para comprobar si puede acceder a las herramientas de supervisión local mediante Microsoft Entra ID.
Actualización de objetos secretos de Kubernetes
Siga este paso si necesita actualizar los objetos secretos de Kubernetes existentes; por ejemplo, después de actualizar los URI de redireccionamiento o renovar un secreto de cliente expirado.
- Realice los cambios necesarios en el archivo YAML del objeto secreto de Kubernetes que creó en Creación de objetos secretos de Kubernetes.
- Aplicación de objetos secretos de Kubernetes.
- Comprobación del acceso.
Pasos siguientes
Si aún no lo ha hecho, ahora debe diseñar la configuración de control de directivas para la red móvil privada. Puede personalizar cómo aplican las instancias de la red troncal de paquetes las características de Calidad de servicio (QoS) al tráfico. También puede bloquear o limitar determinados flujos.