你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

修改站点中的本地访问配置

可以使用 Microsoft Entra ID 或本地用户名和密码来对分布式跟踪和封包核心仪表板的访问进行身份验证。此外，可以使用自签名证书或提供自己的证书来证明对本地诊断工具的访问权限。

为了提高部署的安全性，我们建议通过本地用户名和密码设置 Microsoft Entra 身份验证，并提供由全球知名和受信任的证书颁发机构 (CA) 签名的证书。

本操作指南介绍如何使用 Azure 门户更改身份验证方法和用于保护对站点本地监视工具的访问的证书。

提示

相反，如果要修改为 HTTPS 证书配置的用户分配标识，请使用收集本地监视值中收集的信息创建新的或编辑现有用户分配的标识。

先决条件

请参阅选择本地监视工具的身份验证方法以及收集本地监视值以收集所需的值，并确保它们采用正确的格式。
如果要添加或更新用于访问本地监视工具的自定义 HTTPS 证书，则需要由全球指明且受信任的 CA 签名并存储在 Azure Key Vault 中的证书。证书必须使用 RSA 或 EC 类型的私钥才能确保其可导出（有关详细信息，请参阅可导出或不可导出的密钥）。
若要更新本地监视身份验证方法，请确保本地计算机具有对已启用 Azure Arc 的 Kubernetes 群集的核心 kubectl 访问权限。这需要一个核心 kubeconfig 文件，可以通过核心命名空间访问获取该文件。
确保可以使用一个有权访问用于创建专用移动网络的活动订阅的帐户登录到 Azure 门户。此帐户必须具有订阅范围的内置参与者角色。

在此步骤中，你将导航到表示数据包核心实例的“数据包核心控制平面”资源。

选择“修改本地访问”。
在“身份验证类型”下，选择要使用的身份验证方法。
在“HTTPS 证书”下，选择是否要提供用于访问本地监视工具的自定义 HTTPS 证书。
如果对“提供自定义 HTTPS 证书？”选择“是”，请使用在收集本地监视值中收集的信息来选择证书。
选择下一步。
现在，Azure 将验证你输入的配置值。应会看到一条消息，指出你的值已通过验证。
选择创建。
Azure 现在将使用新配置重新部署数据包核心实例。部署完成后，Azure 门户会显示确认屏幕。
选择“转到资源”。检查“本地访问”下的字段是否包含更新的身份验证和证书信息。
如果添加了或更新了自定义 HTTPS 证书，请按照访问分布式跟踪 Web GUI 和访问封包核心仪表板中的说明来检查浏览器是否信任与本地监视工具的连接。请注意：
- Key Vault 中的更改可能需要最多四个小时才能与边缘位置同步。
- 你可能需要清除浏览器缓存才能看到更改。

如果更改了本地监视访问的身份验证类型，请按照此步骤操作。

如果从本地用户名和密码切换到 Microsoft Entra ID，请按照为本地监视工具启用 Microsoft Entra ID 中的步骤操作。

如果从 Microsoft Entra ID 切换到本地用户名和密码：

登录到 Azure Cloud Shell，然后选择“PowerShell”。如果是第一次通过 Azure Cloud Shell 访问群集，请按照访问群集中的步骤配置 kubectl 访问。
删除 Kubernetes 机密对象：

kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n core
重启分布式跟踪和数据包核心仪表板 Pod。
1. 获取数据包核心仪表板 Pod 的名称：
  
  kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"
2. 复制上一步的输出并将其替换为以下命令，以重启 Pod。
  
  kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
按照访问分布式跟踪 Web GUI 和访问封包核心仪表板中的步骤，检查是否可以使用本地用户名和密码访问本地监视工具。