Sammeln der erforderlichen Informationen für einen Standort
Private mobile Netzwerke von Azure Private 5G Core enthalten mindestens einen Standort. Jeder Standort stellt einen physischen Unternehmensstandort dar (z. B. die Fabrik in Chicago der der Contoso Corporation), der ein Azure Stack Edge-Gerät enthält, das eine Paketkerninstanz hostet. Diese Anleitung führt Sie durch den Prozess der Erfassung der Informationen, die Sie zum Erstellen einer neuen Website benötigen.
Mithilfe dieser Informationen können Sie mit dem Azure-Portal einen Standort in einem vorhandenen privaten mobilen Netzwerk erstellen. Sie können sie auch als Teil einer ARM-Vorlage verwenden, um ein neues privates mobiles Netzwerk und einen Standort bereitzustellen oder einen neuen Standort zu einem vorhandenen privaten mobilen Netzwerk hinzuzufügen.
Voraussetzungen
- Sie müssen die Schritte abgeschlossen haben, die unter Ausführen der erforderlichen Aufgaben für die Bereitstellung eines privaten Mobilfunknetzes angegeben sind.
- Wenn Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC) speicherkonten zuweisen möchten, müssen Sie über die entsprechenden Berechtigungen für Ihr Konto verfügen.
- Notieren Sie sich die Ressourcengruppe, die Ihr privates Mobilfunknetz enthält, das in "Sammeln der erforderlichen Informationen zum Bereitstellen eines privaten Mobilfunknetzwerks" gesammelt wurde. Es wird empfohlen, dass die Ressource des mobilen Netzwerkstandorts, die Sie in diesem Verfahren erstellen, zur gleichen Ressourcengruppe gehört.
Auswählen eines Serviceplans
Wählen Sie den Serviceplan aus, der Ihren Anforderungen am besten entspricht, und überprüfen Sie Preise und Gebühren. Siehe Azure Private 5G Core-Preise.
Sammeln von Ressourcenwerten für mobile Netzwerkstandorte
Sammeln Sie alle Werte in der folgenden Tabelle für die Ressource des mobilen Netzwerkstandorts, die Ihren Standort darstellt.
| Wert | Feldname im Azure-Portal |
|---|---|
| Das Azure-Abonnement, das zum Erstellen der Ressource für den mobilen Netzwerkstandort verwendet wird Verwenden Sie für alle Ressourcen in der Bereitstellung Ihres privaten mobilen Netzwerks das gleiche Abonnement. | Projektdetails: Abonnement |
| Die Azure-Ressourcengruppe, in der die Ressource für den mobilen Netzwerkstandort erstellt wird Es wird empfohlen, dieselbe Ressourcengruppe zu verwenden, die bereits Ihr privates mobiles Netzwerk enthält. | Projektdetails: Ressourcengruppe |
| Der Name des Standorts. | Details zur Instanz: Name |
| Die Region, in der Sie das private Mobilfunknetz bereitgestellt haben. | Instanzdetails: Region |
| Der Paketkern, in dem die Ressource des mobilen Netzwerkstandorts erstellt werden soll. | Instanzdetails: Paketkernname |
| Der Regionscodename der Region, in der Sie das private Mobilfunknetz bereitgestellt haben.Sie müssen diesen Wert nur sammeln, wenn Sie Ihre Website mit einer ARM-Vorlage erstellen möchten. | Nicht zutreffend. |
| Die Ressource des mobilen Netzwerks, die das private mobile Netzwerk darstellt, dem Sie den Standort hinzufügen Sie müssen diesen Wert nur erfassen, wenn Sie Ihre Website mithilfe einer ARM-Vorlage erstellen. | Nicht zutreffend. |
| Der Serviceplan für die Website, die Sie erstellen. Siehe Azure Private 5G Core-Preise. | Instanzdetails: Serviceplan |
Sammeln von Paketkern-Konfigurationswerten
Sammeln Sie alle Werte für die Paketkerninstanz, die auf dem Standort ausgeführt wird, in der folgenden Tabelle.
| Wert | Feldname im Azure-Portal |
|---|---|
| Der Kerntechnologietyp, den die Paketkerninstanz unterstützen sollte: 5G, 4G oder kombiniert 4G und 5G. | Technologietyp |
| Die Azure Stack Edge-Ressource, die das Azure Stack Edge Pro-Gerät am Standort darstellt. Sie haben diese Ressource im Rahmen der Schritte unter Bestellen und Einrichten Ihrer Azure Stack Edge Pro-Geräte erstellt. Wenn Sie Ihren Standort mit dem Azure-Portal erstellen, erfassen Sie den Namen der Azure Stack Edge-Ressource. Wenn Sie Ihren Standort mit einer ARM-Vorlage erstellen, erfassen Sie die vollständige Ressourcen-ID der Azure Stack Edge-Ressource. Navigieren Sie dazu zur Azure Stack Edge-Ressource, wählen Sie JSON-Ansicht aus, und kopieren Sie den Inhalt des Felds Ressourcen-ID. | Azure Stack Edge-Gerät |
| Der benutzerdefinierte Speicherort, der auf den AKS-HCI-Cluster (AKS in Azure Stack HCI) auf dem Azure Stack Edge Pro-Gerät auf dem Standort ausgerichtet ist Sie haben den AKS-HCI-Cluster als Teil der Schritte in der Kommission für den AKS-Cluster beauftragt. Wenn Sie Ihren Standort mit dem Azure-Portal erstellen, erfassen Sie den Namen des benutzerdefinierten Speicherorts. Wenn Sie Ihren Standort mit einer ARM-Vorlage erstellen, erfassen Sie die vollständige Ressourcen-ID des benutzerdefinierten Speicherorts. Navigieren Sie dazu zur Ressource des benutzerdefinierten Standorts, wählen Sie JSON-Ansicht aus, und kopieren Sie den Inhalt des Felds Ressourcen-ID. | Benutzerdefinierter Speicherort |
Sammeln von Zugriffsnetzwerkwerten
Sammeln Sie alle Werte in der folgenden Tabelle, um die Verbindung der Paketkerninstanz mit dem Zugriffsnetzwerk über die Schnittstellen der Steuerungsebene und der Benutzerebene zu definieren. Der im Azure-Portal angezeigte Feldname hängt von dem Wert ab, den Sie für den Technologietyp ausgewählt haben, wie in Sammeln von Paketkern-Konfigurationswerten beschrieben ist.
| Wert | Feldname im Azure-Portal |
|---|---|
| Die IP-Adresse für die Steuerungsebenenschnittstelle im Zugangsnetzwerk. Bei 5G ist diese Schnittstelle die N2-Schnittstelle; für 4G ist es die S1-MME-Schnittstelle; für kombinierte 4G- und 5G-Schnittstellen sind es die N2- und S1-MME-Schnittstellen. Diese Adresse haben Sie im Rahmen der Schritte unter Zuordnen von Subnetzen und IP-Adressen ermittelt. Diese IP-Adresse muss mit dem Wert übereinstimmen, den Sie beim Bereitstellen des AKS-HCI-Clusters auf Ihrem Azure Stack Edge Pro-Gerät verwendet haben. Dies haben Sie im Rahmen der Schritte unter Bestellen und Einrichten Ihrer Azure Stack Edge Pro-Geräte durchgeführt. | N2-Adresse (Signaling) (für 5G), S1-MME-Adresse (für 4G) oder S1-MME/N2-Adresse (Signaling) (für kombinierte 4G und 5G). |
| Der Name des virtuellen Netzwerks an Port 5 auf Ihrem Azure Stack Edge Pro-Gerät entsprechend der Steuerungsebenenschnittstelle im Zugriffsnetzwerk. Bei 5G ist diese Schnittstelle die N2-Schnittstelle; für 4G ist es die S1-MME-Schnittstelle; für kombinierte 4G und 5G ist es die N2/S1-MME-Schnittstelle; für kombinierte 4G und 5G ist es die N2/S1-MME-Schnittstelle. | ASE N2 virtuelles Subnetz (für 5G), ASE S1-MME virtual subnet (for 4G) oder ASE N2/S1-MME virtual subnet (for combined 4G and 5G). |
| Der Name des virtuellen Netzwerks an Port 5 auf Ihrem Azure Stack Edge Pro-Gerät entsprechend der Schnittstelle der Benutzerebene im Zugriffsnetzwerk. Bei 5G ist diese Schnittstelle die N3-Schnittstelle, bei 4G ist es die S1-U-Schnittstelle, und bei einer Kombination aus 4G und 5G ist es die N3/S1-U-Schnittstelle. | ASE N3 virtual subnet (for 5G), ASE S1-U virtual subnet (for 4G) or ASE N3/S1-U virtual subnet (for combined 4G and 5G). |
| Wert | Feldname im Azure-Portal |
|---|---|
| Die IP-Adresse für die Steuerungsebenenschnittstelle im Zugangsnetzwerk. Bei 5G ist diese Schnittstelle die N2-Schnittstelle; für 4G ist es die S1-MME-Schnittstelle; für kombinierte 4G- und 5G-Schnittstellen sind es die N2- und S1-MME-Schnittstellen. Diese Adresse haben Sie im Rahmen der Schritte unter Zuordnen von Subnetzen und IP-Adressen ermittelt. Diese IP-Adresse muss mit dem Wert übereinstimmen, den Sie beim Bereitstellen des AKS-HCI-Clusters auf Ihrem Azure Stack Edge Pro-Gerät verwendet haben. Dies haben Sie im Rahmen der Schritte unter Bestellen und Einrichten Ihrer Azure Stack Edge Pro-Geräte durchgeführt. | N2-Adresse (Signaling) (für 5G), S1-MME-Adresse (für 4G) oder S1-MME/N2-Adresse (Signaling) (für kombinierte 4G und 5G). |
| Der Name des virtuellen Netzwerks auf Port 3 in Ihrem Azure Stack Edge Pro 2, das der Steuerebenenschnittstelle im Zugriffsnetzwerk entspricht. Bei 5G ist diese Schnittstelle die N2-Schnittstelle, bei 4G ist es die S1-MME-Schnittstelle, und bei einer Kombination aus 4G und 5G ist es die N2/S1-MME-Schnittstelle. | ASE N2 virtuelles Subnetz (für 5G), ASE S1-MME virtual subnet (for 4G) oder ASE N2/S1-MME virtual subnet (for combined 4G and 5G). |
| Der Name des virtuellen Netzwerks auf Port 3 auf Ihrem Azure Stack Edge Pro 2, der der Benutzeroberfläche im Zugriffsnetzwerk entspricht. Bei 5G ist diese Schnittstelle die N3-Schnittstelle, bei 4G ist es die S1-U-Schnittstelle, und bei einer Kombination aus 4G und 5G ist es die N3/S1-U-Schnittstelle. | ASE N3 virtual subnet (for 5G), ASE S1-U virtual subnet (for 4G) or ASE N3/S1-U virtual subnet (for combined 4G and 5G). |
Sammeln von UE-Nutzungsnachverfolgungswerten
Wenn Sie die UE-Verwendungsnachverfolgung für Ihre Website konfigurieren möchten, erfassen Sie alle Werte in der folgenden Tabelle, um die zugeordnete Event Hubs-Instanz der Paketkerninstanz zu definieren. Weitere Informationen finden Sie unter Überwachen der UE-Verwendung mit Event Hubs .
Hinweis
Sie müssen bereits über eine Azure Event Hubs-Instanz mit einer zugeordneten benutzer zugewiesenen verwalteten Identität mit der Rolle "Mitwirkender für Ressourcenrichtlinien" verfügen, bevor Sie die Informationen in der folgenden Tabelle erfassen können.
Hinweis
Azure Private 5G Core unterstützt Event Hubs nicht mit einer Protokollkomprimierungslöschung sauber up-Richtlinie.
| Wert | Feldname im Azure-Portal |
|---|---|
| Der Namespace für die Azure Event Hubs-Instanz, die Ihre Website für die UE-Verwendungsnachverfolgung verwendet. | Azure Event Hub-Namespace |
| Der Name der Azure Event Hubs-Instanz, die Ihre Website für die UE-Verwendungsnachverfolgung verwendet. | Event Hub-Name |
| Dem Benutzer wurde eine verwaltete Identität zugewiesen, die über die Rolle "Ressourcenrichtlinienmitwirkender " für die Event Hubs-Instanz verfügt. Hinweis: Die verwaltete Identität muss der Paketkernsteuerungsebene für den Standort zugewiesen und der Event Hubs-Instanz über das Blatt Identitäts - und Zugriffsverwaltung (IAM) der Instanz zugewiesen werden. Hinweis: Weisen Sie der Website nur eine verwaltete Identität zu. Diese verwaltete Identität muss für alle UE-Verwendungsnachverfolgungen für den Standort nach Upgrade- und Standortkonfigurationsänderungen verwendet werden. Weitere Informationen zu verwalteten Identitäten finden Sie unter Verwenden einer vom Benutzer zugewiesenen verwalteten Identität, um Ereignisse zu erfassen. |
Benutzerseitig zugewiesene verwaltete Identität |
Sammeln von Datennetzwerkwerten
Sie können bis zu zehn Datennetzwerke pro Standort konfigurieren. Während der Standorterstellung können Sie auswählen, ob Sie ein vorhandenes Datennetzwerk anfügen oder ein neues erstellen möchten.
Erfassen Sie für jedes Datennetzwerk, das Sie konfigurieren möchten, alle Werte in der folgenden Tabelle. Diese Werte definieren die Verbindung der Paketkerninstanz mit dem Datennetzwerk über die Benutzerebenenschnittstelle. Daher müssen Sie sie erfassen, unabhängig davon, ob Sie das Datennetzwerk erstellen oder ein vorhandenes verwenden.
| Wert | Feldname im Azure-Portal |
|---|---|
| Der Name des Datennetzwerks. Dabei kann es sich um ein vorhandenes Datennetzwerk oder ein neues handeln, das Sie während der Paketkernkonfiguration erstellen. | Name des Datennetzwerks |
| Der Name des virtuellen Netzwerks am Port 6 (oder Port 5, wenn Sie mehr als sechs Datennetzwerke haben möchten) auf Ihrem Azure Stack Edge Pro GPU-Gerät, das der Benutzeroberfläche im Datennetzwerk entspricht. Bei 5G ist diese Schnittstelle die N6-Schnittstelle, bei 4G ist es die SGi-Schnittstelle und bei einer Kombination aus 4G und 5G ist es die N6/SGi-Schnittstelle. | ASE N6 virtual subnet (for 5G) or ASE SGi virtual subnet (for 4G) or ASE N6/SGi virtual subnet (for combined 4G and 5G). |
Die Netzwerkadresse des Subnetzes, aus dem dynamische IP-Adressen den Benutzergeräten (User Equipment, UE) zugeordnet werden müssen (angegeben in der CIDR-Notation). Sie benötigen diese Adresse nicht, wenn Sie die dynamische IP-Adresszuweisung für diese Website nicht unterstützen möchten. Sie haben dies in Zuordnen von IP-Adressenpools für Benutzergeräte (UE) identifiziert. Das folgende Beispiel zeigt das Netzwerkadressformat. 192.0.2.0/24Beachten Sie, dass die UE-Subnetze nicht mit dem Zugriffssubnetz verknüpft sind. |
Dynamische IP-Poolpräfixe für UE |
Die Netzwerkadresse des Subnetzes, aus dem statische IP-Adressen den Benutzergeräten (User Equipment, UE) zugeordnet werden müssen (angegeben in der CIDR-Notation). Sie benötigen diese Adresse nicht, wenn Sie die statische IP-Adresszuweisung für diese Website nicht unterstützen möchten. Sie haben dies in Zuordnen von IP-Adressenpools für Benutzergeräte (UE) identifiziert. Das folgende Beispiel zeigt das Netzwerkadressformat. 203.0.113.0/24Beachten Sie, dass die UE-Subnetze nicht mit dem Zugriffssubnetz verknüpft sind. |
Statische IP-Poolpräfixe für UE |
| Die DNS-Serveradressen (Domain Name System), die für die mit diesem Datennetzwerk verbundenen UEs bereitgestellt werden sollen. Diese haben Sie im Rahmen der Schritte unter Zuordnen von Subnetzen und IP-Adressen ermittelt. Dieser Wert kann eine leere Liste sein, wenn Sie keinen DNS-Server für das Datennetzwerk konfigurieren möchten. In diesem Fall können UEs in diesem Datennetzwerk keine Domänennamen auflösen. | DNS-Adressen |
| Gibt an, ob Netzwerkadress- und Portübersetzung (NAPT) für dieses Datennetzwerk aktiviert werden sollen. Mit NAPT können Sie einen großen Pool privater IP-Adressen für UEs in eine kleine Anzahl öffentlicher IP-Adressen übersetzen. Die Übersetzung erfolgt an dem Punkt, an dem Datenverkehr in das Datennetzwerk gelangt, wodurch der Nutzen einer begrenzten Menge öffentlicher IP-Adressen maximiert wird. Wenn NAPT deaktiviert ist, müssen statische Routen an die UE-IP-Pools über die entsprechende IP-Adresse der Benutzerebene für das entsprechende angefügte Datennetzwerk im Datennetzwerkrouter konfiguriert werden. Wenn Sie UE-zu-UE-Datenverkehr in diesem Datennetzwerk verwenden möchten, lassen Sie NAPT deaktiviert. | NAPT |
| Wert | Feldname im Azure-Portal |
|---|---|
| Der Name des Datennetzwerks. Dabei kann es sich um ein vorhandenes Datennetzwerk oder ein neues handeln, das Sie während der Paketkernkonfiguration erstellen. | Name des Datennetzwerks |
| Der Name des virtuellen Netzwerks am Port 4 (oder Port 3, wenn Sie mehr als sechs Datennetzwerke haben möchten) auf Ihrem Azure Stack Edge Pro 2-Gerät, das der Benutzeroberfläche im Datennetzwerk entspricht. Bei 5G ist diese Schnittstelle die N6-Schnittstelle, bei 4G ist es die SGi-Schnittstelle und bei einer Kombination aus 4G und 5G ist es die N6/SGi-Schnittstelle. | ASE N6 virtual subnet (for 5G) or ASE SGi virtual subnet (for 4G) or ASE N6/SGi virtual subnet (for combined 4G and 5G). |
Die Netzwerkadresse des Subnetzes, aus dem dynamische IP-Adressen den Benutzergeräten (User Equipment, UE) zugeordnet werden müssen (angegeben in der CIDR-Notation). Sie benötigen diese Adresse nicht, wenn Sie die dynamische IP-Adresszuweisung für diese Website nicht unterstützen möchten. Sie haben dies in Zuordnen von IP-Adressenpools für Benutzergeräte (UE) identifiziert. Das folgende Beispiel zeigt das Netzwerkadressformat. 192.0.2.0/24Beachten Sie, dass die UE-Subnetze nicht mit dem Zugriffssubnetz verknüpft sind. |
Dynamische IP-Poolpräfixe für UE |
Die Netzwerkadresse des Subnetzes, aus dem statische IP-Adressen den Benutzergeräten (User Equipment, UE) zugeordnet werden müssen (angegeben in der CIDR-Notation). Sie benötigen diese Adresse nicht, wenn Sie die statische IP-Adresszuweisung für diese Website nicht unterstützen möchten. Sie haben dies in Zuordnen von IP-Adressenpools für Benutzergeräte (UE) identifiziert. Das folgende Beispiel zeigt das Netzwerkadressformat. 203.0.113.0/24Beachten Sie, dass die UE-Subnetze nicht mit dem Zugriffssubnetz verknüpft sind. |
Statische IP-Poolpräfixe für UE |
| Die DNS-Serveradressen (Domain Name System), die für die mit diesem Datennetzwerk verbundenen UEs bereitgestellt werden sollen. Diese haben Sie im Rahmen der Schritte unter Zuordnen von Subnetzen und IP-Adressen ermittelt. Dieser Wert kann eine leere Liste sein, wenn Sie keinen DNS-Server für das Datennetzwerk konfigurieren möchten. In diesem Fall können UEs in diesem Datennetzwerk keine Domänennamen auflösen. | DNS-Adressen |
| Gibt an, ob Netzwerkadress- und Portübersetzung (NAPT) für dieses Datennetzwerk aktiviert werden sollen. Mit NAPT können Sie einen großen Pool privater IP-Adressen für UEs in eine kleine Anzahl öffentlicher IP-Adressen übersetzen. Die Übersetzung erfolgt an dem Punkt, an dem Datenverkehr in das Datennetzwerk gelangt, wodurch der Nutzen einer begrenzten Menge öffentlicher IP-Adressen maximiert wird. Wenn NAPT deaktiviert ist, müssen statische Routen an die UE-IP-Pools über die entsprechende IP-Adresse der Benutzerebene für das entsprechende angefügte Datennetzwerk im Datennetzwerkrouter konfiguriert werden. Wenn Sie UE-zu-UE-Datenverkehr in diesem Datennetzwerk verwenden möchten, lassen Sie NAPT deaktiviert. | NAPT |
Sammeln von Werten für Diagnose Paketsammlung
Sie können ein Speicherkonto und eine vom Benutzer zugewiesene verwaltete Identität verwenden, mit Schreibzugriff auf das Speicherkonto, um Diagnose Pakete für die Website zu sammeln.
Wenn Sie Diagnose Paketsammlung zu diesem Zeitpunkt nicht konfigurieren möchten, müssen Sie nichts sammeln. Sie können dies nach der Websiteerstellung konfigurieren.
Wenn Sie Diagnose Paketsammlung während der Websiteerstellung konfigurieren möchten, lesen Sie "Sammeln von Werten für Diagnose Sammeln von Paketen".
Auswählen der Authentifizierungsmethode für lokale Überwachungstools
Azure Private 5G Core bietet Dashboards für die Überwachung Ihrer Bereitstellung und eine Web-GUI zum Sammeln detaillierter Signalablaufverfolgungen. Sie können auf diese Tools mithilfe der Microsoft Entra-ID oder eines lokalen Benutzernamens und Kennworts zugreifen. Es wird empfohlen, die Microsoft Entra-Authentifizierung einzurichten, um die Sicherheit in Ihrer Bereitstellung zu verbessern.
Wenn Sie mithilfe der Microsoft Entra-ID auf Ihre lokalen Überwachungstools zugreifen möchten, führen Sie nach dem Erstellen einer Website die Schritte unter "Aktivieren der Microsoft Entra-ID für lokale Überwachungstools" aus.
Wenn Sie mit lokalen Benutzernamen und Kennwörtern auf Ihre lokalen Überwachungstools zugreifen möchten, müssen Sie keine zusätzliche Konfiguration festlegen. Nachdem Sie die Website bereitgestellt haben, richten Sie Ihren Benutzernamen und Ihr Kennwort ein, indem Sie access auf die verteilte Ablaufverfolgungsweb-GUI und auf die Paketkerndashboards zugreifen.
Sie können die Authentifizierungsmethode später ändern, indem Sie die Konfiguration für den lokalen Zugriff an einem Standort ändern.
Hinweis
Während Sie sich im getrennten Modus befinden, können Sie die lokale Überwachungsauthentifizierungsmethode nicht ändern oder sich mit microsoft Entra ID anmelden. Wenn Sie erwarten, dass Sie Zugriff auf Ihre lokalen Überwachungstools benötigen, während der ASE getrennt ist, sollten Sie stattdessen die lokale Authentifizierungsmethode für Benutzername und Kennwort verwenden.
Sammeln lokaler Überwachungswerte
Sie können ein selbstsigniertes oder ein benutzerdefiniertes Zertifikat verwenden, um den Zugriff auf die verteilten Ablaufverfolgungs- und Packet Core-Dashboards am Edge zu schützen. Es wird empfohlen, Ihr eigenes HTTPS-Zertifikat bereitzustellen, das von einer global bekannten und vertrauenswürdigen Zertifizierungsstelle signiert ist, da dies zusätzliche Sicherheit für Ihre Bereitstellung bietet und Ihrem Browser die Erkennung des Zertifikatsignierers ermöglicht.
Wenn Sie in dieser Phase kein benutzerdefiniertes HTTPS-Zertifikat bereitstellen möchten, müssen Sie nichts sammeln. Sie können diese Konfiguration später ändern, indem Sie Ändern der lokalen Zugriffskonfiguration an einem Standort befolgen.
Wenn Sie bei der Standorterstellung ein benutzerdefiniertes HTTPS-Zertifikat bereitstellen möchten, führen Sie die folgenden Schritte aus.
Erstellen Sie entweder einen Azure Key Vault, oder wählen Sie einen vorhandenen aus, um Ihr Zertifikat zu hosten. Stellen Sie sicher, dass der Schlüsseltresor mit virtuellen Azure-Computern für den Ressourcenzugriff für die Bereitstellung konfiguriert ist.
Stellen Sie sicher, dass Ihr Zertifikat in Ihrem Schlüsseltresor gespeichert ist. Sie können entweder ein Key Vault-Zertifikat generieren oder ein vorhandenes Zertifikat in Ihren Key Vault importieren. Ihr Zertifikat muss:
- Werden Sie von einer global bekannten und vertrauenswürdigen Zertifizierungsstelle signiert.
- Verwenden Sie einen privaten Schlüssel vom Typ RSA oder EC, um sicherzustellen, dass er exportiert werden kann (weitere Informationen finden Sie unter Exportierbarer oder nicht exportierbarer Schlüssel ).
Außerdem wird empfohlen, einen DNS-Namen für Ihr Zertifikat festzulegen.
Wenn Sie Ihr Zertifikat für die automatische Verlängerung konfigurieren möchten, finden Sie im Tutorial: Konfigurieren der automatischen Zertifikatrotation in Key Vault Informationen zum Aktivieren der automatischen Rotation.
Hinweis
- Die Zertifikatüberprüfung wird immer mit der neuesten Version des lokalen Zugriffszertifikats im Key Vault durchgeführt.
- Wenn Sie die automatische Rotation aktivieren, kann es bis zu vier Stunden dauern, bis Zertifikatupdates im Key Vault mit dem Edgespeicherort synchronisiert werden.
Entscheiden Sie, wie Sie den Zugriff auf Ihr Zertifikat gewähren möchten. Sie können entweder eine Key Vault-Zugriffsrichtlinie oder die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verwenden.
Weisen Sie eine Key Vault-Zugriffsrichtlinie zu. Bereitstellen von Berechtigungen zum Abrufen und Auflisten unter "Geheime Berechtigungen " und "Zertifikatberechtigungen " für den Azure Private MEC-Dienstprinzipal .
Bieten Sie Zugriff auf Schlüsseltresorschlüssel, Zertifikate und geheime Schlüssel mit einer rollenbasierten Zugriffssteuerung (Azure Role-Based Access Control, RBAC). Stellen Sie Schlüsseltresorleser und Schlüsseltresorschlüsselbenutzerberechtigungen für den Azure Private MEC-Dienstprinzipal bereit.
Wenn Sie möchten, weisen Sie die Key Vault-Zugriffsrichtlinie oder Azure RBAC einer vom Benutzer zugewiesenen Identität zu.
- Wenn Sie über eine vorhandene benutzerdefinierte Identität verfügen, die für die Diagnosesammlung konfiguriert ist, können Sie sie ändern.
- Andernfalls können Sie eine neue vom Benutzer zugewiesene Identität erstellen.
Sammeln Sie die Werte in der folgenden Tabelle.
Wert Feldname im Azure-Portal Der Name des Azure Key Vault, der das benutzerdefinierte HTTPS-Zertifikat enthält. Key vault Der Name des von der Zertifizierungsstelle signierten benutzerdefinierten HTTPS-Zertifikats innerhalb des Azure Key Vault. Certificate
Nächste Schritte
Verwenden Sie die informationen, die Sie gesammelt haben, um die Website zu erstellen: