Menyediakan sertifikat SSL untuk pemantauan
Dimulai dengan rilis Desember 2021, layanan data dengan dukungan Azure Arc memungkinkan Anda menyediakan sertifikat SSL/TLS untuk dasbor pemantauan. Anda dapat menggunakan sertifikat ini untuk dasbor log (Kibana) dan metrik (Grafana).
Anda dapat menentukan sertifikat saat membuat pengontrol data dengan:
- Ekstensi Azure
az
CLIarcdata
- Penyebaran asli Kubernetes
Microsoft menyediakan file sampel untuk membuat sertifikat di repositori /microsoft/azure_arc/ GitHub.
Anda dapat mengkloning file secara lokal untuk mengakses file sampel.
git clone https://github.com/microsoft/azure_arc
File yang direferensikan dalam artikel ini ada di repositori di bawah /arc_data_services/deploy/scripts/monitoring
.
Membuat atau memperoleh sertifikat yang sesuai
Anda memerlukan sertifikat yang sesuai untuk setiap UI. Satu untuk log, dan satu untuk metrik. Tabel berikut ini menjelaskan persyaratannya.
Tabel berikut menjelaskan persyaratan untuk setiap sertifikat dan kunci.
Persyaratan | Sertifikat log | Sertifikat metrik |
---|---|---|
CN | logsui-svc |
metricsui-svc |
Sans | Tidak diperlukan | metricsui-svc.${NAMESPACE}.${K8S_DNS_DOMAIN_NAME} |
keyUsage | digitalsignature keyEncipherment |
digitalsignature keyEncipherment |
extendedKeyUsage | serverAuth |
serverAuth |
Catatan
K8S_DNS_DOMAIN_NAME default adalah svc.cluster.local
, meskipun mungkin berbeda tergantung pada lingkungan dan konfigurasi.
Direktori repositori GitHub menyertakan contoh file templat yang mengidentifikasi spesifikasi sertifikat.
- /arc_data_services/deploy/scripts/monitoring/logsui-ssl.conf.tmpl
- /arc_data_services/deploy/scripts/monitoring/metricsui-ssl.conf.tmpl
Repositori GitHub sampel Azure Arc menyediakan contoh yang dapat Anda gunakan untuk menghasilkan sertifikat yang sesuai dan kunci privat untuk titik akhir.
Lihat kode dari /arc_data_services/deploy/scripts/monitoringcreate-monitoring-tls-files.sh.
Untuk menggunakan contoh untuk membuat sertifikat, perbarui perintah berikut dengan Anda namespace
dan direktori untuk sertifikat (output_directory
). Kemudian jalankan perintah .
./create-monitor-tls-files.sh <namespace> <output_directory>
Ini membuat sertifikat yang sesuai di direktori.
Menyebarkan dengan CLI
Setelah Anda memiliki sertifikat/kunci privat untuk setiap titik akhir, buat pengontrol data dengan az dc create...
perintah.
Untuk menerapkan sertifikat/kunci privat Anda sendiri, gunakan argumen berikut.
--logs-ui-public-key-file <path\file to logs public key file>
--logs-ui-private-key-file <path\file to logs private key file>
--metrics-ui-public-key-file <path\file to metrics public key file>
--metrics-ui-private-key-file <path\file to metrics private key file>
Misalnya, contoh berikut membuat pengontrol data dengan sertifikat yang ditunjuk untuk dasbor UI log dan metrik:
az arcdata dc create --profile-name azure-arc-aks-default-storage --k8s-namespace <namespace> --use-k8s --name arc --subscription <subscription id> --resource-group <resource group name> --location <location> --connectivity-mode indirect --logs-ui-public-key-file <path\file to logs public key file> --logs-ui-private-key-file <path\file to logs private key file> --metrics-ui-public-key-file <path\file to metrics public key file> --metrics-ui-private-key-file <path\file to metrics private key file>
#Example:
#az arcdata dc create --profile-name azure-arc-aks-default-storage --k8s-namespace arc --use-k8s --name arc --subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --resource-group my-resource-group --location eastus --connectivity-mode indirect --logs-ui-public-key-file /path/to/logsuipublickeyfile.pem --logs-ui-private-key-file /path/to/logsuiprivatekey.pem --metrics-ui-public-key-file /path/to/metricsuipublickeyfile.pem --metrics-ui-private-key-file /path/to/metricsuiprivatekey.pem
Anda hanya dapat menentukan sertifikat saat menyertakan --use-k8s
dalam az arcdata dc create ...
pernyataan.
Menyebarkan dengan alat asli Kubernetes
Jika Anda menggunakan alat asli Kubernetes untuk disebarkan, buat rahasia kubernetes yang menyimpan sertifikat dan kunci privat. Buat rahasia berikut:
logsui-certificiate-secret
metricsui-certificate-secret
.
Pastikan layanan terdaftar sebagai nama alternatif subjek (WAN) dan parameter penggunaan sertifikat sudah benar.
- Verifikasi setiap rahasia memiliki bidang berikut:
certificate.pem
berisi sertifikat yang dikodekan base64privatekey.pem
berisi kunci privat
Konten terkait
- Coba Mengunggah metrik dan log ke Azure Monitor
- Baca tentang Grafana:
- Baca tentang Kibana