تمكين معرف Microsoft Entra لأدوات المراقبة المحلية

  • مقالة

يوفر Azure Private 5G Core أدوات التتبع الموزعة ولوحات المعلومات الأساسية للحزم لمراقبة التوزيع على الحافة. يمكنك الوصول إلى هذه الأدوات باستخدام معرف Microsoft Entra أو اسم مستخدم وكلمة مرور محليين. نوصي بإعداد مصادقة Microsoft Entra لتحسين الأمان في النشر.

في هذا الدليل الإرشادي، ستقوم بتنفيذ الخطوات التي تحتاج إلى إكمالها بعد نشر أو تكوين موقع يستخدم معرف Microsoft Entra لمصادقة الوصول إلى أدوات المراقبة المحلية. لا تحتاج إلى اتباع هذا إذا قررت استخدام أسماء المستخدمين وكلمات المرور المحلية للوصول إلى التتبع الموزع ولوحات المعلومات الأساسية للحزمة.

تنبيه

لا يتم دعم معرف Microsoft Entra لأدوات المراقبة المحلية عند تمكين وكيل ويب على جهاز Azure Stack Edge الذي يتم تشغيل Azure Private 5G Core عليه. إذا قمت بتكوين جدار حماية يمنع نسبة استخدام الشبكة غير المرسلة عبر وكيل الويب، فإن تمكين معرف Microsoft Entra سيؤدي إلى فشل تثبيت Azure Private 5G Core.

المتطلبات الأساسية

  • يجب أن تكون قد أكملت الخطوات الواردة في إكمال المهام الأساسية لنشر شبكة جوال خاصة وجمع المعلومات المطلوبة لموقع ما.
  • يجب أن تكون قد نشرت موقعا مع تعيين معرف Microsoft Entra كنوع المصادقة.
  • حدد عنوان IP للوصول إلى أدوات المراقبة المحلية التي قمت بإعدادها في شبكة الإدارة.
  • تأكد من أنه يمكنك تسجيل الدخول إلى مدخل Microsoft Azure باستخدام حساب مع الوصول إلى الاشتراك النشط الذي استخدمته لإنشاء شبكة الجوال الخاصة بك. يجب أن يكون لهذا الحساب إذن لإدارة التطبيقات في معرف Microsoft Entra. تتضمن الأدوار المضمنة في Microsoft Entra التي لديها الأذونات المطلوبة، على سبيل المثال، مسؤول التطبيق ومطور التطبيق ومسؤول تطبيق السحابة. إذا لم يكن لديك هذا الوصول، فاتصل بمسؤول Microsoft Entra المستأجر حتى يتمكن من تأكيد تعيين الدور الصحيح للمستخدم باتباع تعيين أدوار المستخدم باستخدام معرف Microsoft Entra.
  • تأكد من أن جهازك المحلي لديه وصول kubectl أساسي إلى مجموعة Kubernetes الممكنة في Azure Arc. يتطلب هذا ملف kubeconfig الأساسي، والذي يمكنك الحصول عليه باتباع الوصول إلى مساحة الاسم الأساسية.

تكوين اسم نظام المجال (DNS) لمراقبة IP المحلية

عند تسجيل التطبيق الخاص بك وتكوين عناوين URL لإعادة التوجيه، ستحتاج إلى عناوين URI لإعادة التوجيه الخاصة بك لاحتواء اسم مجال بدلا من عنوان IP للوصول إلى أدوات المراقبة المحلية.

في خادم DNS الموثوق لمنطقة DNS التي تريد إنشاء سجل DNS فيها، قم بتكوين سجل DNS لحل اسم المجال إلى عنوان IP المستخدم للوصول إلى أدوات المراقبة المحلية، والتي قمت بإعدادها في شبكة الإدارة.

تسجيل التطبيق

ستقوم الآن بتسجيل تطبيق مراقبة محلي جديد باستخدام معرف Microsoft Entra لإنشاء علاقة ثقة مع النظام الأساسي للهويات في Microsoft.

إذا كان التوزيع يحتوي على مواقع متعددة، يمكنك استخدام نفس معرفات URI لإعادة التوجيه لجميع المواقع، أو إنشاء أزواج URI مختلفة لكل موقع. يمكنك تكوين معرفي URI لإعادة التوجيه كحد أقصى لكل موقع. إذا قمت بتسجيل تطبيق للتوزيع وتريد استخدام نفس معرفات URI عبر مواقعك، يمكنك تخطي هذه الخطوة.

إشعار

تفترض هذه الإرشادات أنك تستخدم تطبيقا واحدا لكل من التتبع الموزع ولوحات المعلومات الأساسية للحزمة. إذا كنت ترغب في منح حق الوصول إلى مجموعات مستخدمين مختلفة لهذين الأدوتين، يمكنك بدلا من ذلك إعداد تطبيق واحد لأدوار لوحات المعلومات الأساسية للحزمة وواحد لدور التتبع الموزع.

  1. اتبع التشغيل السريع: تسجيل تطبيق مع النظام الأساسي للهويات في Microsoft لتسجيل تطبيق جديد لأدوات المراقبة المحلية الخاصة بك مع النظام الأساسي للهويات في Microsoft.

    1. في إضافة عنوان URI لإعادة التوجيه، حدد النظام الأساسي للويب وأضف معرفي URI لإعادة التوجيه التاليين، حيث< يكون مجال> المراقبة المحلي هو اسم المجال لأدوات المراقبة المحلية التي قمت بإعدادها في تكوين اسم نظام المجال (DNS) لمراقبة IP المحلية:

      • <https:// مجال> المراقبة الموقعية/sas/auth/aad/رد الاتصال
      • <https:// مجال> المراقبة الموقعية/grafana/login/azuread

    2. في Add credentials، اتبع الخطوات لإضافة سر العميل. تأكد من تسجيل السر ضمن عمود القيمة ، حيث يتوفر هذا الحقل فقط بعد إنشاء البيانات السرية مباشرة. هذه هي القيمة السرية للعميل التي ستحتاجها لاحقا في هذا الإجراء.

  2. اتبع واجهة مستخدم أدوار التطبيق لإنشاء الأدوار للتطبيق الخاص بك بالتكوين التالي:

    • في أنواع الأعضاء المسموح بها، حدد Users/Groups.
    • في القيمة، أدخل أحد مسؤول والعارض والمحرر لكل دور تقوم بإنشاءه. للتتبع الموزع، تحتاج أيضا إلى دور sas.user .
    • في هل تريد تمكين دور التطبيق هذا؟، تأكد من تحديد خانة الاختيار.

    ستتمكن من استخدام هذه الأدوار عند إدارة الوصول إلى لوحات المعلومات الأساسية للحزمة وأداة التتبع الموزعة.

  3. اتبع تعيين المستخدمين والمجموعات للأدوار لتعيين المستخدمين والمجموعات للأدوار التي قمت بإنشائها.

جمع المعلومات الخاصة ب Kubernetes Secret Objects

  1. جمع القيم في الجدول التالي.

    القيمة‬ كيفية الجمع اسم المعلمة السرية Kubernetes
    معرِّف المستأجر في مدخل Microsoft Azure، ابحث عن معرف Microsoft Entra. يمكنك العثور على حقل Tenant ID في صفحة Overview. tenant_id
    معرف التطبيق (العميل) انتقل إلى تسجيل تطبيق المراقبة المحلي الجديد الذي أنشأته للتو. يمكنك العثور على حقل معرف التطبيق (العميل) في صفحة نظرة عامة، ضمن عنوان Essentials . client_id
    عنوان URL للتخويل في صفحة نظرة عامة على تسجيل تطبيق المراقبة المحلي، حدد نقاط النهاية. انسخ محتويات حقل نقطة نهاية التخويل OAuth 2.0 (v2 ).

    ملاحظة:
    إذا كانت السلسلة تحتوي على organizations، فاستبدل organizations بقيمة معرف المستأجر. على سبيل المثال،
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    يصبح
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    عنوان URL للرمز المميز في صفحة نظرة عامة على تسجيل تطبيق المراقبة المحلي، حدد نقاط النهاية. انسخ محتويات حقل نقطة نهاية الرمز المميز OAuth 2.0 (v2).

    ملاحظة:
    إذا كانت السلسلة تحتوي على organizations، فاستبدل organizations بقيمة معرف المستأجر. على سبيل المثال،
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    يصبح
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    سر العميل لقد جمعت هذا عند إنشاء سر العميل في الخطوة السابقة. client_secret
    جذر URI لإعادة توجيه التتبع الموزع دون الجزء التالي من عنوان URI لإعادة التوجيه: https://< مجال> المراقبة الموقعي. redirect_uri_root
    إعادة توجيه جذر URI للوحات المعلومات الأساسية للحزمة دون الجزء التالي من لوحات المعلومات الأساسية للحزمة لإعادة توجيه URI: https://< مجال> المراقبة الموقعية/grafana. root_url

تعديل الوصول المحلي

انتقل إلى مدخل Microsoft Azure وانتقل إلى مورد حزمة وحدة التحكم الأساسية لموقعك. حدد علامة تبويب تعديل الوصول المحلي للجزء.

  1. إذا تم تعيين نوع المصادقة إلى معرف Microsoft Entra، فتابع إلى إنشاء كائنات Kubernetes السرية.
  2. خلاف ذلك:
    1. حدد معرف Microsoft Entra من القائمة المنسدلة نوع المصادقة.
    2. حدد "Review".
    3. حدد إرسال.

إنشاء كائنات Kubernetes السرية

لدعم معرف Microsoft Entra على تطبيقات Azure Private 5G Core، ستحتاج إلى ملف YAML يحتوي على أسرار Kubernetes.

  1. قم بتحويل كل قيمة من القيم التي جمعتها في تجميع المعلومات ل Kubernetes Secret Objects إلى تنسيق Base64. على سبيل المثال، يمكنك تشغيل الأمر التالي في نافذة Azure Cloud Shell Bash :

    echo -n <Value> | base64

  2. إنشاء ملف secret-azure-ad-local-monitoring.yaml يحتوي على القيم المشفرة Base64 لتكوين التتبع الموزع ولوحات المعلومات الأساسية للحزمة. يجب تسمية سر التتبع الموزع باسم sas-auth-secrets، ويجب تسمية سر لوحات المعلومات الأساسية للحزمة باسم grafana-auth-secrets.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    auth_url: <Base64-encoded authorization URL>
    token_url: <Base64-encoded token URL>
    root_url: <Base64-encoded packet core dashboards redirect URI root>

تطبيق كائنات Kubernetes السرية

ستحتاج إلى تطبيق Kubernetes Secret Objects إذا كنت تقوم بتمكين معرف Microsoft Entra لموقع ما، أو بعد انقطاع الذاكرة الأساسية للحزمة، أو بعد تحديث ملف Kubernetes Secret Object YAML.

  1. سجل الدخول إلى Azure Cloud Shell وحدد PowerShell. إذا كانت هذه هي المرة الأولى التي تصل فيها إلى مجموعتك عبر Azure Cloud Shell، فاتبع الوصول إلى مجموعتك لتكوين الوصول إلى kubectl.

  2. قم بتطبيق الكائن السري لكل من التتبع الموزع ولوحات المعلومات الأساسية للحزمة، مع تحديد اسم ملف kubeconfig الأساسي.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. استخدم الأوامر التالية للتحقق مما إذا تم تطبيق الكائنات السرية بشكل صحيح، مع تحديد اسم ملف kubeconfig الأساسي. يجب أن تشاهد قيم الاسم ومساحة الاسم والنوع الصحيحة، إلى جانب حجم القيم المشفرة.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. أعد تشغيل التتبع الموزع ولوحات المعلومات الأساسية للحزمة.

    1. الحصول على اسم pod للوحات المعلومات الأساسية للحزمة:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. انسخ إخراج الخطوة السابقة واستبدله في الأمر التالي لإعادة تشغيل pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

تحقق من الوصول

اتبع Access the distributed tracing web GUI وAccess the package core dashboards للتحقق مما إذا كان يمكنك الوصول إلى أدوات المراقبة المحلية باستخدام معرف Microsoft Entra.

تحديث كائنات Kubernetes السرية

اتبع هذه الخطوة إذا كنت بحاجة إلى تحديث كائنات Kubernetes السرية الحالية؛ على سبيل المثال، بعد تحديث عناوين URI لإعادة التوجيه أو تجديد سر عميل منتهية الصلاحية.

  1. قم بإجراء التغييرات المطلوبة على ملف Kubernetes Secret Object YAML الذي أنشأته في إنشاء كائنات Kubernetes السرية.
  2. تطبيق Kubernetes Secret Objects.
  3. تحقق من الوصول.

الخطوات التالية

إذا لم تكن قد فعلت ذلك بالفعل، فيجب عليك الآن تصميم تكوين التحكم في النهج لشبكة الجوال الخاصة بك. يسمح لك هذا بتخصيص كيفية تطبيق مثيلات الحزمة الأساسية لخصائص جودة الخدمة (QoS) على نسبة استخدام الشبكة. يمكنك أيضا حظر تدفقات معينة أو تقييدها.