تمكين معرف Microsoft Entra لأدوات المراقبة المحلية
يوفر Azure Private 5G Core أدوات التتبع الموزعة ولوحات المعلومات الأساسية للحزم لمراقبة التوزيع على الحافة. يمكنك الوصول إلى هذه الأدوات باستخدام معرف Microsoft Entra أو اسم مستخدم وكلمة مرور محليين. نوصي بإعداد مصادقة Microsoft Entra لتحسين الأمان في النشر.
في هذا الدليل الإرشادي، ستقوم بتنفيذ الخطوات التي تحتاج إلى إكمالها بعد نشر أو تكوين موقع يستخدم معرف Microsoft Entra لمصادقة الوصول إلى أدوات المراقبة المحلية. لا تحتاج إلى اتباع هذا إذا قررت استخدام أسماء المستخدمين وكلمات المرور المحلية للوصول إلى التتبع الموزع ولوحات المعلومات الأساسية للحزمة.
تنبيه
لا يتم دعم معرف Microsoft Entra لأدوات المراقبة المحلية عند تمكين وكيل ويب على جهاز Azure Stack Edge الذي يتم تشغيل Azure Private 5G Core عليه. إذا قمت بتكوين جدار حماية يمنع نسبة استخدام الشبكة غير المرسلة عبر وكيل الويب، فإن تمكين معرف Microsoft Entra سيؤدي إلى فشل تثبيت Azure Private 5G Core.
المتطلبات الأساسية
- يجب أن تكون قد أكملت الخطوات الواردة في إكمال المهام الأساسية لنشر شبكة جوال خاصة وجمع المعلومات المطلوبة لموقع ما.
- يجب أن تكون قد نشرت موقعا مع تعيين معرف Microsoft Entra كنوع المصادقة.
- حدد عنوان IP للوصول إلى أدوات المراقبة المحلية التي قمت بإعدادها في شبكة الإدارة.
- تأكد من أنه يمكنك تسجيل الدخول إلى مدخل Microsoft Azure باستخدام حساب مع الوصول إلى الاشتراك النشط الذي استخدمته لإنشاء شبكة الجوال الخاصة بك. يجب أن يكون لهذا الحساب إذن لإدارة التطبيقات في معرف Microsoft Entra. تتضمن الأدوار المضمنة في Microsoft Entra التي لديها الأذونات المطلوبة، على سبيل المثال، مسؤول التطبيق ومطور التطبيق ومسؤول تطبيق السحابة. إذا لم يكن لديك هذا الوصول، فاتصل بمسؤول Microsoft Entra المستأجر حتى يتمكن من تأكيد تعيين الدور الصحيح للمستخدم باتباع تعيين أدوار المستخدم باستخدام معرف Microsoft Entra.
- تأكد من أن جهازك المحلي لديه وصول kubectl أساسي إلى مجموعة Kubernetes الممكنة في Azure Arc. يتطلب هذا ملف kubeconfig الأساسي، والذي يمكنك الحصول عليه باتباع الوصول إلى مساحة الاسم الأساسية.
تكوين اسم نظام المجال (DNS) لمراقبة IP المحلية
عند تسجيل التطبيق الخاص بك وتكوين عناوين URL لإعادة التوجيه، ستحتاج إلى عناوين URI لإعادة التوجيه الخاصة بك لاحتواء اسم مجال بدلا من عنوان IP للوصول إلى أدوات المراقبة المحلية.
في خادم DNS الموثوق لمنطقة DNS التي تريد إنشاء سجل DNS فيها، قم بتكوين سجل DNS لحل اسم المجال إلى عنوان IP المستخدم للوصول إلى أدوات المراقبة المحلية، والتي قمت بإعدادها في شبكة الإدارة.
تسجيل التطبيق
ستقوم الآن بتسجيل تطبيق مراقبة محلي جديد باستخدام معرف Microsoft Entra لإنشاء علاقة ثقة مع النظام الأساسي للهويات في Microsoft.
إذا كان التوزيع يحتوي على مواقع متعددة، يمكنك استخدام نفس معرفات URI لإعادة التوجيه لجميع المواقع، أو إنشاء أزواج URI مختلفة لكل موقع. يمكنك تكوين معرفي URI لإعادة التوجيه كحد أقصى لكل موقع. إذا قمت بتسجيل تطبيق للتوزيع وتريد استخدام نفس معرفات URI عبر مواقعك، يمكنك تخطي هذه الخطوة.
إشعار
تفترض هذه الإرشادات أنك تستخدم تطبيقا واحدا لكل من التتبع الموزع ولوحات المعلومات الأساسية للحزمة. إذا كنت ترغب في منح حق الوصول إلى مجموعات مستخدمين مختلفة لهذين الأدوتين، يمكنك بدلا من ذلك إعداد تطبيق واحد لأدوار لوحات المعلومات الأساسية للحزمة وواحد لدور التتبع الموزع.
اتبع التشغيل السريع: تسجيل تطبيق مع النظام الأساسي للهويات في Microsoft لتسجيل تطبيق جديد لأدوات المراقبة المحلية الخاصة بك مع النظام الأساسي للهويات في Microsoft.
في إضافة عنوان URI لإعادة التوجيه، حدد النظام الأساسي للويب وأضف معرفي URI لإعادة التوجيه التاليين، حيث< يكون مجال> المراقبة المحلي هو اسم المجال لأدوات المراقبة المحلية التي قمت بإعدادها في تكوين اسم نظام المجال (DNS) لمراقبة IP المحلية:
- <https:// مجال> المراقبة الموقعية/sas/auth/aad/رد الاتصال
- <https:// مجال> المراقبة الموقعية/grafana/login/azuread
في Add credentials، اتبع الخطوات لإضافة سر العميل. تأكد من تسجيل السر ضمن عمود القيمة ، حيث يتوفر هذا الحقل فقط بعد إنشاء البيانات السرية مباشرة. هذه هي القيمة السرية للعميل التي ستحتاجها لاحقا في هذا الإجراء.
اتبع واجهة مستخدم أدوار التطبيق لإنشاء الأدوار للتطبيق الخاص بك بالتكوين التالي:
- في أنواع الأعضاء المسموح بها، حدد Users/Groups.
- في القيمة، أدخل أحد مسؤول والعارض والمحرر لكل دور تقوم بإنشاءه. للتتبع الموزع، تحتاج أيضا إلى دور sas.user .
- في هل تريد تمكين دور التطبيق هذا؟، تأكد من تحديد خانة الاختيار.
ستتمكن من استخدام هذه الأدوار عند إدارة الوصول إلى لوحات المعلومات الأساسية للحزمة وأداة التتبع الموزعة.
اتبع تعيين المستخدمين والمجموعات للأدوار لتعيين المستخدمين والمجموعات للأدوار التي قمت بإنشائها.
جمع المعلومات الخاصة ب Kubernetes Secret Objects
جمع القيم في الجدول التالي.
القيمة كيفية الجمع اسم المعلمة السرية Kubernetes معرِّف المستأجر في مدخل Microsoft Azure، ابحث عن معرف Microsoft Entra. يمكنك العثور على حقل Tenant ID في صفحة Overview. tenant_id
معرف التطبيق (العميل) انتقل إلى تسجيل تطبيق المراقبة المحلي الجديد الذي أنشأته للتو. يمكنك العثور على حقل معرف التطبيق (العميل) في صفحة نظرة عامة، ضمن عنوان Essentials . client_id
عنوان URL للتخويل في صفحة نظرة عامة على تسجيل تطبيق المراقبة المحلي، حدد نقاط النهاية. انسخ محتويات حقل نقطة نهاية التخويل OAuth 2.0 (v2 ).
ملاحظة:
إذا كانت السلسلة تحتوي علىorganizations
، فاستبدلorganizations
بقيمة معرف المستأجر. على سبيل المثال،https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
يصبحhttps://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize
.auth_url
عنوان URL للرمز المميز في صفحة نظرة عامة على تسجيل تطبيق المراقبة المحلي، حدد نقاط النهاية. انسخ محتويات حقل نقطة نهاية الرمز المميز OAuth 2.0 (v2).
ملاحظة:
إذا كانت السلسلة تحتوي علىorganizations
، فاستبدلorganizations
بقيمة معرف المستأجر. على سبيل المثال،https://login.microsoftonline.com/organizations/oauth2/v2.0/token
يصبحhttps://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token
.token_url
سر العميل لقد جمعت هذا عند إنشاء سر العميل في الخطوة السابقة. client_secret
جذر URI لإعادة توجيه التتبع الموزع دون الجزء التالي من عنوان URI لإعادة التوجيه: https://< مجال> المراقبة الموقعي. redirect_uri_root
إعادة توجيه جذر URI للوحات المعلومات الأساسية للحزمة دون الجزء التالي من لوحات المعلومات الأساسية للحزمة لإعادة توجيه URI: https://< مجال> المراقبة الموقعية/grafana. root_url
تعديل الوصول المحلي
انتقل إلى مدخل Microsoft Azure وانتقل إلى مورد حزمة وحدة التحكم الأساسية لموقعك. حدد علامة تبويب تعديل الوصول المحلي للجزء.
- إذا تم تعيين نوع المصادقة إلى معرف Microsoft Entra، فتابع إلى إنشاء كائنات Kubernetes السرية.
- خلاف ذلك:
- حدد معرف Microsoft Entra من القائمة المنسدلة نوع المصادقة.
- حدد "Review".
- حدد إرسال.
إنشاء كائنات Kubernetes السرية
لدعم معرف Microsoft Entra على تطبيقات Azure Private 5G Core، ستحتاج إلى ملف YAML يحتوي على أسرار Kubernetes.
قم بتحويل كل قيمة من القيم التي جمعتها في تجميع المعلومات ل Kubernetes Secret Objects إلى تنسيق Base64. على سبيل المثال، يمكنك تشغيل الأمر التالي في نافذة Azure Cloud Shell Bash :
echo -n <Value> | base64
إنشاء ملف secret-azure-ad-local-monitoring.yaml يحتوي على القيم المشفرة Base64 لتكوين التتبع الموزع ولوحات المعلومات الأساسية للحزمة. يجب تسمية سر التتبع الموزع باسم sas-auth-secrets، ويجب تسمية سر لوحات المعلومات الأساسية للحزمة باسم grafana-auth-secrets.
apiVersion: v1 kind: Secret metadata: name: sas-auth-secrets namespace: core type: Opaque data: client_id: <Base64-encoded client ID> client_secret: <Base64-encoded client secret> redirect_uri_root: <Base64-encoded distributed tracing redirect URI root> tenant_id: <Base64-encoded tenant ID> --- apiVersion: v1 kind: Secret metadata: name: grafana-auth-secrets namespace: core type: Opaque data: client_id: <Base64-encoded client ID> client_secret: <Base64-encoded client secret> auth_url: <Base64-encoded authorization URL> token_url: <Base64-encoded token URL> root_url: <Base64-encoded packet core dashboards redirect URI root>
تطبيق كائنات Kubernetes السرية
ستحتاج إلى تطبيق Kubernetes Secret Objects إذا كنت تقوم بتمكين معرف Microsoft Entra لموقع ما، أو بعد انقطاع الذاكرة الأساسية للحزمة، أو بعد تحديث ملف Kubernetes Secret Object YAML.
سجل الدخول إلى Azure Cloud Shell وحدد PowerShell. إذا كانت هذه هي المرة الأولى التي تصل فيها إلى مجموعتك عبر Azure Cloud Shell، فاتبع الوصول إلى مجموعتك لتكوين الوصول إلى kubectl.
قم بتطبيق الكائن السري لكل من التتبع الموزع ولوحات المعلومات الأساسية للحزمة، مع تحديد اسم ملف kubeconfig الأساسي.
kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>
استخدم الأوامر التالية للتحقق مما إذا تم تطبيق الكائنات السرية بشكل صحيح، مع تحديد اسم ملف kubeconfig الأساسي. يجب أن تشاهد قيم الاسم ومساحة الاسم والنوع الصحيحة، إلى جانب حجم القيم المشفرة.
kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>
kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>
أعد تشغيل التتبع الموزع ولوحات المعلومات الأساسية للحزمة.
الحصول على اسم pod للوحات المعلومات الأساسية للحزمة:
kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"
انسخ إخراج الخطوة السابقة واستبدله في الأمر التالي لإعادة تشغيل pods.
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
تحقق من الوصول
اتبع Access the distributed tracing web GUI وAccess the package core dashboards للتحقق مما إذا كان يمكنك الوصول إلى أدوات المراقبة المحلية باستخدام معرف Microsoft Entra.
تحديث كائنات Kubernetes السرية
اتبع هذه الخطوة إذا كنت بحاجة إلى تحديث كائنات Kubernetes السرية الحالية؛ على سبيل المثال، بعد تحديث عناوين URI لإعادة التوجيه أو تجديد سر عميل منتهية الصلاحية.
- قم بإجراء التغييرات المطلوبة على ملف Kubernetes Secret Object YAML الذي أنشأته في إنشاء كائنات Kubernetes السرية.
- تطبيق Kubernetes Secret Objects.
- تحقق من الوصول.
الخطوات التالية
إذا لم تكن قد فعلت ذلك بالفعل، فيجب عليك الآن تصميم تكوين التحكم في النهج لشبكة الجوال الخاصة بك. يسمح لك هذا بتخصيص كيفية تطبيق مثيلات الحزمة الأساسية لخصائص جودة الخدمة (QoS) على نسبة استخدام الشبكة. يمكنك أيضا حظر تدفقات معينة أو تقييدها.