Udostępnij za pośrednictwem

Włączanie identyfikatora Entra firmy Microsoft dla lokalnych narzędzi do monitorowania

  • Artykuł

Usługa Azure Private 5G Core udostępnia rozproszone śledzenie i podstawowe pulpity nawigacyjne pakietów do monitorowania wdrożenia na urządzeniach brzegowych. Dostęp do tych narzędzi można uzyskać przy użyciu identyfikatora Entra firmy Microsoft lub lokalnej nazwy użytkownika i hasła. Zalecamy skonfigurowanie uwierzytelniania firmy Microsoft Entra w celu zwiększenia bezpieczeństwa wdrożenia.

W tym przewodniku z instrukcjami wykonasz kroki, które należy wykonać po wdrożeniu lub skonfigurowaniu witryny korzystającej z identyfikatora Entra firmy Microsoft w celu uwierzytelnienia dostępu do lokalnych narzędzi do monitorowania. Nie musisz tego robić, jeśli zdecydujesz się użyć lokalnych nazw użytkowników i haseł w celu uzyskania dostępu do rozproszonych pulpitów nawigacyjnych śledzenia i rdzeni pakietów.

Uwaga

Identyfikator Entra firmy Microsoft dla lokalnych narzędzi do monitorowania nie jest obsługiwany, gdy serwer proxy sieci Web jest włączony na urządzeniu Azure Stack Edge, na którym jest uruchomiona usługa Azure Private 5G Core. Jeśli skonfigurowano zaporę blokującą ruch, który nie jest przesyłany za pośrednictwem internetowego serwera proxy, włączenie identyfikatora Entra firmy Microsoft spowoduje niepowodzenie instalacji prywatnej sieci 5G Platformy Azure.

Wymagania wstępne

  • Należy wykonać kroki opisane w temacie Wykonywanie zadań wstępnych dotyczących wdrażania prywatnej sieci komórkowej i Zbieranie wymaganych informacji dla lokacji.
  • Musisz wdrożyć witrynę z identyfikatorem Entra firmy Microsoft ustawionym jako typ uwierzytelniania.
  • Zidentyfikuj adres IP na potrzeby uzyskiwania dostępu do lokalnych narzędzi do monitorowania skonfigurowanych w sieci zarządzania.
  • Upewnij się, że możesz zalogować się do witryny Azure Portal przy użyciu konta z dostępem do aktywnej subskrypcji użytej do utworzenia prywatnej sieci komórkowej. To konto musi mieć uprawnienia do zarządzania aplikacjami w usłudze Microsoft Entra ID. Wbudowane role firmy Microsoft Entra, które mają wymagane uprawnienia, obejmują na przykład administrator aplikacji, deweloper aplikacji i administrator aplikacji w chmurze. Jeśli nie masz tego dostępu, skontaktuj się z administratorem firmy Microsoft Entra dzierżawy, aby potwierdzić, że użytkownik ma przypisaną prawidłową rolę, postępując zgodnie z instrukcjami Przypisywanie ról użytkowników przy użyciu identyfikatora Entra firmy Microsoft.
  • Upewnij się, że maszyna lokalna ma podstawowy dostęp kubectl do klastra Kubernetes z obsługą usługi Azure Arc. Wymaga to podstawowego pliku kubeconfig, który można uzyskać, postępując zgodnie z podstawowym dostępem do przestrzeni nazw.

Konfigurowanie nazwy systemu domeny (DNS) na potrzeby lokalnego adresu IP monitorowania

Podczas rejestrowania aplikacji i konfigurowania identyfikatorów URI przekierowania potrzebne będą identyfikatory URI przekierowania, aby zawierały nazwę domeny, a nie adres IP na potrzeby uzyskiwania dostępu do lokalnych narzędzi do monitorowania.

W autorytatywnym serwerze DNS strefy DNS, w której chcesz utworzyć rekord DNS, skonfiguruj rekord DNS, aby rozpoznać nazwę domeny na adres IP używany do uzyskiwania dostępu do lokalnych narzędzi do monitorowania, które skonfigurowano w sieci zarządzania.

Zarejestruj aplikację

Teraz zarejestrujesz nową lokalną aplikację monitorowania za pomocą identyfikatora Microsoft Entra ID, aby ustanowić relację zaufania z Platforma tożsamości Microsoft.

Jeśli wdrożenie zawiera wiele lokacji, możesz użyć tych samych dwóch identyfikatorów URI przekierowania dla wszystkich witryn lub utworzyć różne pary identyfikatorów URI dla każdej lokacji. Można skonfigurować maksymalnie dwa identyfikatory URI przekierowania na lokację. Jeśli aplikacja została już zarejestrowana dla danego wdrożenia i chcesz używać tych samych identyfikatorów URI w witrynach, możesz pominąć ten krok.

Uwaga

W tych instrukcjach założono, że używasz jednej aplikacji do śledzenia rozproszonego i pulpitów nawigacyjnych rdzeni pakietów. Jeśli chcesz udzielić dostępu do różnych grup użytkowników dla tych dwóch narzędzi, możesz zamiast tego skonfigurować jedną aplikację dla ról pulpitów nawigacyjnych rdzeni pakietów i jedną dla roli rozproszonego śledzenia.

  1. Postępuj zgodnie z przewodnikiem Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft w celu zarejestrowania nowej aplikacji dla lokalnych narzędzi do monitorowania przy użyciu Platforma tożsamości Microsoft.

    1. W obszarze Dodawanie identyfikatora URI przekierowania wybierz platformę sieci Web i dodaj następujące dwa identyfikatory URI przekierowania, gdzie< lokalna domena> monitorowania to nazwa domeny dla lokalnych narzędzi do monitorowania skonfigurowanych w temacie Konfigurowanie nazwy systemu domeny (DNS) dla lokalnego adresu IP monitorowania:

      • <https:// lokalna domena> monitorowania/sygnatura dostępu współdzielonego/auth/aad/callback
      • <https:// lokalna domena> monitorowania/grafana/login/azuread

    2. W obszarze Dodawanie poświadczeń wykonaj kroki dodawania wpisu tajnego klienta. Pamiętaj, aby zarejestrować wpis tajny w kolumnie Wartość, ponieważ to pole jest dostępne tylko natychmiast po utworzeniu wpisu tajnego. Jest to wartość wpisu tajnego klienta, która będzie potrzebna w dalszej części tej procedury.

  2. Postępuj zgodnie z interfejsem użytkownika ról aplikacji, aby utworzyć role dla aplikacji przy użyciu następującej konfiguracji:

    • W obszarze Dozwolone typy elementów członkowskich wybierz pozycję Użytkownicy/grupy.
    • W polu Wartość wprowadź jedną z pozycji Administrator, Osoba przeglądająca i Edytor dla każdej tworzonej roli. W przypadku śledzenia rozproszonego potrzebna jest również rola sas.user .
    • W obszarze Czy chcesz włączyć tę rolę aplikacji?, upewnij się, że pole wyboru zostało zaznaczone.

    Te role będą dostępne podczas zarządzania dostępem do pulpitów nawigacyjnych rdzeni pakietów i narzędzia do śledzenia rozproszonego.

  3. Postępuj zgodnie z instrukcjami Przypisywanie użytkowników i grup do ról , aby przypisać użytkowników i grupy do utworzonych ról.

Zbieranie informacji dotyczących obiektów tajnych kubernetes

  1. Zbierz wartości w poniższej tabeli.

    Wartość Jak zbierać Nazwa parametru wpisu tajnego platformy Kubernetes
    Identyfikator dzierżawy W witrynie Azure Portal wyszukaj ciąg Microsoft Entra ID. Pole Identyfikator dzierżawy można znaleźć na stronie Przegląd. tenant_id
    Identyfikator aplikacji (klienta) Przejdź do nowo utworzonej lokalnej rejestracji aplikacji do monitorowania. Pole Identyfikator aplikacji (klienta) można znaleźć na stronie Przegląd pod nagłówkiem Podstawy. client_id
    Adres URL autoryzacji Na stronie Przegląd rejestracji aplikacji monitorowania lokalnego wybierz pozycję Punkty końcowe. Skopiuj zawartość pola punktu końcowego autoryzacji OAuth 2.0 (wersja 2).

    Uwaga:
    Jeśli ciąg zawiera organizationswartość , zastąp organizations ciąg wartością Identyfikator dzierżawy. Na przykład
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    Staje się
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    Adres URL tokenu Na stronie Przegląd rejestracji aplikacji monitorowania lokalnego wybierz pozycję Punkty końcowe. Skopiuj zawartość pola punktu końcowego tokenu OAuth 2.0 (wersja 2).

    Uwaga:
    Jeśli ciąg zawiera organizationswartość , zastąp organizations ciąg wartością Identyfikator dzierżawy. Na przykład
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    Staje się
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    Klucz tajny klienta Zebrano je podczas tworzenia wpisu tajnego klienta w poprzednim kroku. client_secret
    Katalog główny identyfikatora URI przekierowania rozproszonego śledzenia Zanotuj następującą część identyfikatora URI przekierowania: https://< lokalna domena> monitorowania. redirect_uri_root
    Główny identyfikator URI przekierowania pulpitów nawigacyjnych rdzeni pakietów Zanotuj następującą część identyfikatora URI przekierowania pulpitów nawigacyjnych rdzeni pakietów: https://< lokalna domena> monitorowania/grafana. root_url

Modyfikowanie dostępu lokalnego

Przejdź do witryny Azure Portal i przejdź do zasobu płaszczyzny kontroli pakietów rdzeni witryny. Wybierz kartę Modyfikuj dostęp lokalny bloku.

  1. Jeśli typ uwierzytelniania ma wartość Microsoft Entra ID, przejdź do obszaru Tworzenie obiektów tajnych kubernetes.
  2. Inaczej:
    1. Wybierz pozycję Microsoft Entra ID z listy rozwijanej Typ uwierzytelniania.
    2. Wybierz opcję Przejrzyj.
    3. Wybierz Prześlij.

Tworzenie obiektów wpisów tajnych platformy Kubernetes

Aby obsługiwać identyfikator Entra firmy Microsoft w prywatnych aplikacjach azure 5G Core, potrzebny będzie plik YAML zawierający wpisy tajne platformy Kubernetes.

  1. Przekonwertuj każdą z wartości zebranych w sekcji Zbieranie informacji dotyczących obiektów tajnych kubernetes na format Base64. Na przykład możesz uruchomić następujące polecenie w oknie powłoki Bash usługi Azure Cloud Shell:

    echo -n <Value> | base64

  2. Utwórz plik secret-azure-ad-local-monitoring.yaml zawierający wartości zakodowane w formacie Base64 w celu skonfigurowania śledzenia rozproszonego i pulpitów nawigacyjnych rdzeni pakietów. Wpis tajny śledzenia rozproszonego musi mieć nazwę sas-auth-secrets, a wpis tajny dla pulpitów nawigacyjnych rdzeni pakietów musi mieć nazwę grafana-auth-secrets.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
    GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
    GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
    GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
    GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>

Stosowanie obiektów wpisów tajnych platformy Kubernetes

Należy zastosować obiekty tajne kubernetes, jeśli włączasz identyfikator Entra firmy Microsoft dla witryny, po awarii rdzeni pakietu lub po zaktualizowaniu pliku YAML obiektu tajnego Kubernetes.

  1. Zaloguj się do usługi Azure Cloud Shell i wybierz pozycję PowerShell. Jeśli po raz pierwszy uzyskujesz dostęp do klastra za pośrednictwem usługi Azure Cloud Shell, postępuj zgodnie z instrukcjami Uzyskiwanie dostępu do klastra , aby skonfigurować dostęp kubectl.

  2. Zastosuj obiekt tajny zarówno do śledzenia rozproszonego, jak i pulpitów nawigacyjnych rdzeni pakietów, określając podstawową nazwę pliku kubeconfig.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Użyj następujących poleceń, aby sprawdzić, czy obiekty tajne zostały zastosowane poprawnie, określając podstawową nazwę pliku kubeconfig. Powinny zostać wyświetlone poprawne wartości Nazwa, Przestrzeń nazw i Typ wraz z rozmiarem zakodowanych wartości.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Uruchom ponownie zasobniki rozproszonego śledzenia i pulpitów nawigacyjnych rdzeni pakietów.

    1. Uzyskaj nazwę zasobnika pulpitów nawigacyjnych rdzeni pakietów:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Skopiuj dane wyjściowe poprzedniego kroku i zastąp je następującym poleceniem, aby ponownie uruchomić zasobniki.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Weryfikowanie dostępu

Postępuj zgodnie z instrukcjami Uzyskiwanie dostępu do internetowego graficznego interfejsu użytkownika śledzenia rozproszonego i Uzyskaj dostęp do pulpitów nawigacyjnych rdzeni pakietów, aby sprawdzić, czy możesz uzyskać dostęp do lokalnych narzędzi do monitorowania przy użyciu identyfikatora Entra firmy Microsoft.

Aktualizowanie obiektów tajnych kubernetes

Wykonaj ten krok, jeśli musisz zaktualizować istniejące obiekty tajne kubernetes; na przykład po zaktualizowaniu identyfikatorów URI przekierowania lub odnowieniu wygasłego klucza tajnego klienta.

  1. Wprowadź wymagane zmiany w pliku YAML obiektu tajnego kubernetes utworzonego w sekcji Tworzenie obiektów tajnych kubernetes.
  2. Zastosuj obiekty tajne kubernetes.
  3. Zweryfikuj dostęp.

Następne kroki

Jeśli jeszcze tego nie zrobiono, należy teraz zaprojektować konfigurację kontroli zasad dla prywatnej sieci komórkowej. Dzięki temu można dostosować sposób, w jaki wystąpienia rdzeni pakietów stosują charakterystykę jakości usług (QoS) do ruchu. Możesz również zablokować lub ograniczyć niektóre przepływy.