A Microsoft Entra ID engedélyezése helyi monitorozási eszközökhöz
Az Azure Private 5G Core az elosztott nyomkövetési és csomagmag-irányítópultokat biztosítja az üzembe helyezés peremhálózati monitorozásához. Ezeket az eszközöket Microsoft Entra-azonosítóval vagy helyi felhasználónévvel és jelszóval érheti el. Javasoljuk, hogy állítsa be a Microsoft Entra-hitelesítést az üzembe helyezés biztonságának javítása érdekében.
Ebben az útmutatóban végrehajtja a szükséges lépéseket egy Olyan webhely üzembe helyezése vagy konfigurálása után, amely a Microsoft Entra ID-t használja a helyi monitorozási eszközökhöz való hozzáférés hitelesítéséhez. Ezt nem kell követnie, ha úgy döntött, hogy helyi felhasználóneveket és jelszavakat használ az elosztott nyomkövetési és csomagmag-irányítópultok eléréséhez.
Figyelemfelhívás
A helyi monitorozási eszközök Microsoft Entra-azonosítója nem támogatott, ha egy webes proxy engedélyezve van azon az Azure Stack Edge-eszközön, amelyen az Azure Private 5G Core fut. Ha olyan tűzfalat konfigurált, amely blokkolja a webes proxyn keresztül nem továbbított forgalmat, akkor a Microsoft Entra ID engedélyezésével meghiúsul az Azure Private 5G Core telepítése.
Előfeltételek
- A privát mobilhálózat üzembe helyezésének előfeltételeinek elvégzése és a helyekhez szükséges információk összegyűjtése című témakör lépéseit el kell végeznie.
- Hitelesítési típusként egy Microsoft Entra-azonosítóval rendelkező webhelyet kell üzembe helyeznie.
- Azonosítsa a Felügyeleti hálózatban beállított helyi monitorozási eszközök eléréséhez szükséges IP-címet.
- Győződjön meg arról, hogy a privát mobilhálózat létrehozásához használt aktív előfizetéshez hozzáférő fiókkal bejelentkezhet az Azure Portalra. Ennek a fióknak engedéllyel kell rendelkeznie az alkalmazások Microsoft Entra-azonosítóban való kezeléséhez. A szükséges engedélyekkel rendelkező beépített Microsoft Entra-szerepkörök közé tartoznak például az alkalmazásadminisztrátor, az alkalmazásfejlesztő és a felhőalkalmazás-rendszergazda. Ha nem rendelkezik ezzel a hozzáféréssel, forduljon a bérlő Microsoft Entra rendszergazdájához, hogy meggyőződhessen arról, hogy a felhasználó a megfelelő szerepkörhöz lett rendelve. Ehhez kövesse a Felhasználói szerepkörök hozzárendelése Microsoft Entra-azonosítóval való hozzárendelését.
- Győződjön meg arról, hogy a helyi gép alapvető kubectl-hozzáféréssel rendelkezik az Azure Arc-kompatibilis Kubernetes-fürthöz. Ehhez egy alapvető kubeconfig-fájlra van szükség, amelyet a Core névtér-hozzáférésének követésével szerezhet be.
Tartományrendszernév (DNS) konfigurálása a helyi figyelési IP-címhez
Az alkalmazás regisztrálásakor és az átirányítási URI-k konfigurálásakor az átirányítási URI-knak tartománynevet kell tartalmazniuk, és nem IP-címet a helyi monitorozási eszközök eléréséhez.
A dns-rekordot létrehozni kívánt DNS-zóna mérvadó DNS-kiszolgálójában konfiguráljon egy DNS-rekordot a tartománynévnek a felügyeleti hálózaton beállított helyi monitorozási eszközök eléréséhez használt IP-címre való feloldásához.
Alkalmazás regisztrálása
Most regisztrál egy új helyi monitorozási alkalmazást a Microsoft Entra-azonosítóval, hogy megbízhatósági kapcsolatot létesítsen a Microsoft Identitásplatform.
Ha az üzemelő példány több helyet tartalmaz, használhatja ugyanazt a két átirányítási URI-t az összes helyhez, vagy létrehozhat különböző URI-párokat mindegyik helyhez. Webhelyenként legfeljebb két átirányítási URI-t konfigurálhat. Ha már regisztrált egy alkalmazást az üzembe helyezéshez, és ugyanazokat az URI-kat szeretné használni a webhelyeken, kihagyhatja ezt a lépést.
Feljegyzés
Ezek az utasítások feltételezik, hogy egyetlen alkalmazást használ az elosztott nyomkövetéshez és a csomagmag-irányítópultokhoz is. Ha a két eszközhöz különböző felhasználói csoportokhoz szeretne hozzáférést biztosítani, ehelyett beállíthat egy alkalmazást a csomagmag-irányítópultok szerepköreihez, egyet pedig az elosztott nyomkövetési szerepkörhöz.
Kövesse a rövid útmutatót: Alkalmazás regisztrálása a Microsoft Identitásplatform új alkalmazás regisztrálásához a helyi monitorozási eszközökhöz a Microsoft Identitásplatform.
Átirányítási URI hozzáadásakor válassza ki a webplatformot, és adja hozzá a következő két átirányítási URI-t, ahol< a helyi monitorozási tartomány> a helyi monitorozási eszközök tartományneve, amelyet a tartománynév (DNS) helyi figyelési IP-címhez való beállításakor állított be:
- <https:// local monitoring domain>/sas/auth/aad/callback
- <https:// local monitoring domain>/grafana/login/azuread
A Hitelesítő adatok hozzáadása területen kövesse az ügyfél titkos kódjának hozzáadásához szükséges lépéseket. Mindenképpen rögzítse a titkos kulcsot az Érték oszlopban, mivel ez a mező csak közvetlenül a titkos kód létrehozása után érhető el. Ez az ügyfél titkos kódjának értéke, amelyet az eljárás későbbi részében szüksége lesz.
Az alkalmazásszerepkörök felhasználói felületének követésével hozza létre az alkalmazás szerepköreit a következő konfigurációval:
- Az Engedélyezett tagtípusokban válassza a Felhasználók/Csoportok lehetőséget.
- Az Érték mezőben adja meg a Rendszergazda, a Megtekintő és a Szerkesztő egyikét minden létrehozott szerepkörhöz. Az elosztott nyomkövetéshez sas.user szerepkörre is szükség van.
- A Do you want to enable this app role? (Szeretné engedélyezni ezt az alkalmazásszerepkört?) területen ellenőrizze, hogy be van-e jelölve a jelölőnégyzet.
Ezeket a szerepköröket használhatja a csomagmag-irányítópultokhoz és az elosztott nyomkövetési eszközhöz való hozzáférés kezelésekor.
Kövesse a Felhasználók és csoportok hozzárendelése szerepkörökhöz parancsot, hogy felhasználókat és csoportokat rendeljen a létrehozott szerepkörökhöz.
A Kubernetes titkos objektumainak adatainak összegyűjtése
Gyűjtse össze az alábbi táblázatban szereplő értékeket.
Érték Hogyan gyűjtsük össze? Kubernetes titkos paraméter neve Bérlőazonosító Az Azure Portalon keresse meg a Microsoft Entra-azonosítót. A Bérlőazonosító mezőt az Áttekintés lapon találja. tenant_id
Alkalmazás (ügyfél) azonosítója Lépjen az imént létrehozott új helyi figyelési alkalmazásregisztrációra. Az Alkalmazás (ügyfél) azonosító mezőjét az Áttekintés lapon, az Alapvető adatok fejléc alatt találja. client_id
Engedélyezési URL-cím A helyi monitorozási alkalmazásregisztráció áttekintési lapján válassza a Végpontok lehetőséget. Másolja ki az OAuth 2.0 engedélyezési végpont (v2) mezőjének tartalmát.
Megjegyzés:
Ha a sztring tartalmazorganizations
, cserélje leorganizations
a bérlőazonosító értékét. Például:https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
Leszhttps://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize
.auth_url
Jogkivonat URL-címe A helyi monitorozási alkalmazásregisztráció áttekintési lapján válassza a Végpontok lehetőséget. Másolja ki az OAuth 2.0 tokenvégpont (v2) mező tartalmát.
Megjegyzés:
Ha a sztring tartalmazorganizations
, cserélje leorganizations
a bérlőazonosító értékét. Például:https://login.microsoftonline.com/organizations/oauth2/v2.0/token
Leszhttps://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token
.token_url
Titkos ügyfélkód Ezt az előző lépésben az ügyfélkulcs létrehozásakor gyűjtötte össze. client_secret
Elosztott nyomkövetés átirányítási URI-gyökér Jegyezze fel az átirányítási URI következő részét: https://< lokális figyelési tartomány>. redirect_uri_root
Csomagmag-irányítópultok átirányítása az URI-gyökérre Jegyezze fel a csomagmag-irányítópultok átirányítási URI következő részét: https://< local monitoring domain>/grafana. root_url
Helyi hozzáférés módosítása
Lépjen az Azure Portalra, és keresse meg a webhely Csomagmag vezérlősík-erőforrását. Válassza a panel Helyi hozzáférés módosítása lapját.
- Ha a hitelesítés típusa Microsoft Entra-azonosítóra van állítva, folytassa a Kubernetes titkos objektumainak létrehozásával.
- Egyébként:
- Válassza ki a Microsoft Entra-azonosítót a Hitelesítés típusa legördülő listából.
- Válassza a Véleményezés lehetőséget.
- Válassza a Küldés lehetőséget.
Kubernetes titkos objektumok létrehozása
Ha támogatni szeretné a Microsoft Entra-azonosítót az Azure Private 5G Core-alkalmazásokban, szüksége lesz egy Kubernetes-titkos kódokat tartalmazó YAML-fájlra.
Konvertálja a Kubernetes titkos objektumainak adatainak gyűjtése során összegyűjtött összes értéket Base64 formátumba. Futtathatja például a következő parancsot egy Azure Cloud Shell Bash-ablakban :
echo -n <Value> | base64
Hozzon létre egy base64 kódolású értékeket tartalmazó secret-azure-ad-local-monitoring.yaml fájlt az elosztott nyomkövetés és a csomagmag-irányítópultok konfigurálásához. Az elosztott nyomkövetés titkos kódjának sas-auth-secrets névvel kell rendelkeznie, a csomagmag-irányítópultok titkos kódjának pedig grafana-auth-secrets névvel kell rendelkeznie.
apiVersion: v1 kind: Secret metadata: name: sas-auth-secrets namespace: core type: Opaque data: client_id: <Base64-encoded client ID> client_secret: <Base64-encoded client secret> redirect_uri_root: <Base64-encoded distributed tracing redirect URI root> tenant_id: <Base64-encoded tenant ID> --- apiVersion: v1 kind: Secret metadata: name: grafana-auth-secrets namespace: core type: Opaque data: GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID> GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret> GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL> GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL> GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
Kubernetes titkos objektumok alkalmazása
A Kubernetes titkos objektumait akkor kell alkalmaznia, ha engedélyezi a Microsoft Entra-azonosítót egy webhelyhez, a csomagmag leállása vagy a Kubernetes Titkos objektum YAML-fájljának frissítése után.
Jelentkezzen be az Azure Cloud Shellbe, és válassza a PowerShellt. Ha először fér hozzá a fürthöz az Azure Cloud Shellen keresztül, kövesse az Accesst a fürthöz a kubectl-hozzáférés konfigurálásához.
Alkalmazza a titkos objektumot az elosztott nyomkövetéshez és a csomagmag-irányítópultokhoz is, megadva az alapvető kubeconfig fájlnevet.
kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>
Az alábbi parancsokkal ellenőrizheti, hogy a titkos kulcsobjektumok helyesen lettek-e alkalmazva, megadva az alapvető kubeconfig fájlnevet. A megfelelő Név, Namespace és Típus értékeket kell látnia a kódolt értékek méretével együtt.
kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>
kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>
Indítsa újra az elosztott nyomkövetési és csomagmag-irányítópultok podjait.
Szerezze be a csomagmag-irányítópultok podjának nevét:
kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"
Másolja ki az előző lépés kimenetét, és cserélje le a következő parancsra a podok újraindításához.
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
Hozzáférés ellenőrzése
Kövesse az Accesst az elosztott nyomkövetési webes grafikus felhasználói felületen , és a csomagmag-irányítópultok eléréséhez ellenőrizze, hogy hozzáfér-e a helyi monitorozási eszközökhöz a Microsoft Entra ID használatával.
Kubernetes titkos objektumainak frissítése
Kövesse ezt a lépést, ha frissítenie kell a meglévő Kubernetes titkos objektumokat; például az átirányítási URI-k frissítése vagy egy lejárt ügyfélkód megújítása után.
- Végezze el a szükséges módosításokat a Kubernetes Titkos objektum létrehozása yaML-fájlban , amelyet a Kubernetes titkos objektumainak létrehozása során hozott létre.
- Kubernetes Titkos objektumok alkalmazása.
- Ellenőrizze a hozzáférést.
Következő lépések
Ha még nem tette meg, most már meg kell terveznie a privát mobilhálózat házirend-vezérlési konfigurációját. Ez lehetővé teszi annak testreszabását, hogy a csomagmagpéldányok hogyan alkalmazzák a szolgáltatásminőségi (QoS-) jellemzőket a forgalomra. Bizonyos folyamatokat blokkolhat vagy korlátozhatja is.