Modifier la configuration d’accès local dans un site

  • Article

Vous pouvez utiliser l’ID Microsoft Entra ou un nom d’utilisateur et un mot de passe local pour authentifier l’accès aux tableaux de bord de suivi distribués et de cœurs de paquets. En outre, vous pouvez utiliser un certificat auto-signé ou fournir votre propre certificat pour attester l’accès à vos outils de diagnostic locaux.

Pour améliorer la sécurité dans votre déploiement, nous vous recommandons de configurer l’authentification Microsoft Entra sur des noms d’utilisateur et des mots de passe locaux, ainsi que de fournir un certificat signé par une autorité de certification mondialement connue et approuvée.

Dans ce guide pratique, vous allez apprendre à utiliser le Portail Azure pour modifier la méthode d’authentification et le certificat utilisé pour sécuriser l’accès aux outils de supervision locaux d’un site.

Conseil

Au lieu de cela, si vous souhaitez modifier l’identité affectée par l’utilisateur configurée pour les certificats HTTPS, créez une identité affectée par l’utilisateur ou modifiez une identité affectée par l’utilisateur existante à l’aide des informations collectées dans Collecter les valeurs de surveillance locales.

Prérequis

  • Reportez-vous à Choisir la méthode d’authentification pour les outils de surveillance locaux et collecter les valeurs de surveillance locales pour collecter les valeurs requises et vérifier qu’elles sont au format correct.
  • Si vous souhaitez ajouter ou mettre à jour un certificat HTTPS personnalisé pour accéder à vos outils de supervision locaux, vous aurez besoin d’un certificat signé par une autorité de certification mondialement connue et approuvée et stockée dans azure Key Vault. Votre certificat doit utiliser une clé privée de type RSA ou EC pour s’assurer qu’elle est exportable (voir Clé exportable ou non exportable pour plus d’informations).
  • Si vous souhaitez mettre à jour votre méthode d’authentification de supervision locale, vérifiez que votre machine locale dispose d’un accès kubectl principal au cluster Kubernetes avec Azure Arc. Cela nécessite un fichier kubeconfig principal, que vous pouvez obtenir en suivant l’accès à l’espace de noms Core.
  • Assurez-vous que vous pouvez vous connecter au portail Azure à l’aide d’un compte ayant accès à l’abonnement actif utilisé pour créer votre réseau mobile privé. Ce compte doit avoir le rôle de Contributeur ou de Propriétaire intégré au niveau de l’étendue de l’abonnement.

Afficher la configuration d’accès local

Dans cette étape, vous allez accéder à la ressource Plan de contrôle Packet Core représentant votre instance Packet Core.

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez la ressource Réseau mobile représentant le réseau mobile privé.

    Screenshot of the Azure portal. It shows the results of a search for a Mobile Network resource.

  3. Dans le menu de la ressource, sélectionnez Sites.

  4. Sélectionnez le site contenant l’instance Packet Core que vous souhaitez modifier.

  5. Sous l’en-tête Fonction réseau, sélectionnez le nom de la ressource de plan de contrôle Packet Core affichée en regard de Packet Core.

    Screenshot of the Azure portal showing the Packet Core field.

  6. Vérifiez les champs sous le titre d’accès local pour afficher la configuration et l’état actuels de l’accès local.

Modifier la configuration d’accès local

  1. Sélectionnez Modifier l’accès local.

    Screenshot of the Azure portal showing the Modify local access option.

  2. Sous Type d’authentification, sélectionnez la méthode d’authentification que vous souhaitez utiliser.

  3. Sous certificat HTTPS, choisissez si vous souhaitez fournir un certificat HTTPS personnalisé pour accéder à vos outils de surveillance locaux.

  4. Si vous avez sélectionné Oui pour fournir un certificat HTTPS personnalisé ?, utilisez les informations que vous avez collectées dans Collecter les valeurs de surveillance locales pour sélectionner un certificat.

    Screenshot of the Azure portal showing the Local access configuration tab.

  5. Cliquez sur Suivant.

  6. Azure valide désormais les valeurs de configuration que vous avez entrées. Vous devriez voir un message indiquant que vos valeurs ont été validées.

    Screenshot of the Azure portal showing successful validation for a local access configuration change.

  7. Cliquez sur Créer.

  8. Azure va maintenant redéployer l’instance Packet Core avec la nouvelle configuration. L’Portail Azure affiche un écran de confirmation lorsque ce déploiement est terminé.

  9. Sélectionnez Accéder à la ressource. Vérifiez que les champs sous Accès local contiennent les informations d’authentification et de certificat mises à jour.

  10. Si vous avez ajouté ou mis à jour un certificat HTTPS personnalisé, suivez l’interface utilisateur web de suivi distribué et accédez aux tableaux de bord principaux de paquets pour case activée si votre navigateur approuve la connexion à vos outils de surveillance locaux. Notez les points suivants :

    • La synchronisation des modifications dans le coffre de clés peut prendre jusqu’à quatre heures.
    • Vous devrez peut-être effacer le cache de votre navigateur pour observer les modifications.

Configurer l’authentification d’accès à la surveillance locale

Suivez cette étape si vous avez modifié le type d’authentification pour l’accès à la surveillance locale.

Si vous avez basculé des noms d’utilisateur et des mots de passe locaux vers l’ID Microsoft Entra, suivez les étapes décrites dans Activer l’ID Microsoft Entra pour les outils de supervision locaux.

Si vous avez basculé de l’ID Microsoft Entra vers des noms d’utilisateur et des mots de passe locaux :

  1. Connectez-vous à Azure Cloud Shell et sélectionnez PowerShell. Si c’est la première fois que vous accédez à votre cluster via Azure Cloud Shell, suivez Access pour configurer l’accès kubectl.

  2. Supprimez les objets secrets Kubernetes :

    kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n core

  3. Redémarrez les pods de suivi distribué et de cœur de paquets.

    1. Obtenez le nom de votre pod de tableaux de bord de base de paquets :

      kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"

    2. Copiez la sortie de l’étape précédente et remplacez-la dans la commande suivante pour redémarrer vos pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

  4. Suivez l’interface utilisateur graphique web de suivi distribué et accédez aux tableaux de bord principaux de paquets pour case activée si vous pouvez accéder à vos outils de surveillance locaux à l’aide de noms d’utilisateur et de mots de passe locaux.

Étapes suivantes