Menyediakan sertifikat SSL untuk pemantauan

Dimulai dengan rilis Desember 2021, layanan data dengan dukungan Azure Arc memungkinkan Anda menyediakan sertifikat SSL/TLS untuk dasbor pemantauan. Anda dapat menggunakan sertifikat ini untuk dasbor log (Kibana) dan metrik (Grafana).

Anda dapat menentukan sertifikat saat membuat pengontrol data dengan:

• Ekstensi Azure az CLI arcdata
• Penyebaran asli Kubernetes

Microsoft menyediakan file sampel untuk membuat sertifikat di repositori /microsoft/azure_arc/ GitHub.

Anda dapat mengkloning file secara lokal untuk mengakses file sampel.

git clone https://github.com/microsoft/azure_arc

File yang direferensikan dalam artikel ini ada di repositori di bawah /arc_data_services/deploy/scripts/monitoring.

Membuat atau memperoleh sertifikat yang sesuai

Anda memerlukan sertifikat yang sesuai untuk setiap UI. Satu untuk log, dan satu untuk metrik. Tabel berikut ini menjelaskan persyaratannya.

Tabel berikut menjelaskan persyaratan untuk setiap sertifikat dan kunci.

Persyaratan	Sertifikat log	Sertifikat metrik
CN	logsui-svc	metricsui-svc
Sans	Tidak diperlukan	metricsui-svc.${NAMESPACE}.${K8S_DNS_DOMAIN_NAME}
keyUsage	digitalsignature keyEncipherment	digitalsignature keyEncipherment
extendedKeyUsage	serverAuth	serverAuth

Catatan

K8S_DNS_DOMAIN_NAME default adalah svc.cluster.local, meskipun mungkin berbeda tergantung pada lingkungan dan konfigurasi.

Direktori repositori GitHub menyertakan contoh file templat yang mengidentifikasi spesifikasi sertifikat.

• /arc_data_services/deploy/scripts/monitoring/logsui-ssl.conf.tmpl
• /arc_data_services/deploy/scripts/monitoring/metricsui-ssl.conf.tmpl

Repositori GitHub sampel Azure Arc menyediakan contoh yang dapat Anda gunakan untuk menghasilkan sertifikat yang sesuai dan kunci privat untuk titik akhir.

Lihat kode dari /arc_data_services/deploy/scripts/monitoringcreate-monitoring-tls-files.sh.

Untuk menggunakan contoh untuk membuat sertifikat, perbarui perintah berikut dengan Anda namespace dan direktori untuk sertifikat (output_directory). Kemudian jalankan perintah .

./create-monitor-tls-files.sh <namespace> <output_directory>

Ini membuat sertifikat yang sesuai di direktori.

Menyebarkan dengan CLI

Setelah Anda memiliki sertifikat/kunci privat untuk setiap titik akhir, buat pengontrol data dengan az dc create... perintah.

Untuk menerapkan sertifikat/kunci privat Anda sendiri, gunakan argumen berikut.

• --logs-ui-public-key-file <path\file to logs public key file>
• --logs-ui-private-key-file <path\file to logs private key file>
• --metrics-ui-public-key-file <path\file to metrics public key file>
• --metrics-ui-private-key-file <path\file to metrics private key file>

Misalnya, contoh berikut membuat pengontrol data dengan sertifikat yang ditunjuk untuk dasbor UI log dan metrik:

az arcdata dc create --profile-name azure-arc-aks-default-storage --k8s-namespace <namespace> --use-k8s --name arc --subscription <subscription id> --resource-group <resource group name> --location <location> --connectivity-mode indirect --logs-ui-public-key-file <path\file to logs public key file> --logs-ui-private-key-file <path\file to logs private key file> --metrics-ui-public-key-file <path\file to metrics public key file> --metrics-ui-private-key-file <path\file to metrics private key file>

#Example:
#az arcdata dc create --profile-name azure-arc-aks-default-storage  --k8s-namespace arc --use-k8s --name arc --subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --resource-group my-resource-group --location eastus --connectivity-mode indirect --logs-ui-public-key-file /path/to/logsuipublickeyfile.pem --logs-ui-private-key-file /path/to/logsuiprivatekey.pem --metrics-ui-public-key-file /path/to/metricsuipublickeyfile.pem --metrics-ui-private-key-file /path/to/metricsuiprivatekey.pem

Anda hanya dapat menentukan sertifikat saat menyertakan --use-k8s dalam az arcdata dc create ... pernyataan.

Menyebarkan dengan alat asli Kubernetes

Jika Anda menggunakan alat asli Kubernetes untuk disebarkan, buat rahasia kubernetes yang menyimpan sertifikat dan kunci privat. Buat rahasia berikut:

• logsui-certificiate-secret
• metricsui-certificate-secret.

Pastikan layanan terdaftar sebagai nama alternatif subjek (WAN) dan parameter penggunaan sertifikat sudah benar.

1. Verifikasi setiap rahasia memiliki bidang berikut:
   • certificate.pem berisi sertifikat yang dikodekan base64
   • privatekey.pem berisi kunci privat

Konten terkait

• Coba Mengunggah metrik dan log ke Azure Monitor
• Baca tentang Grafana:
  • Memulai
  • Dasar-dasar Grafana
  • Tutorial Grafana
• Baca tentang Kibana
  • Pendahuluan
  • Panduan Kibana
  • Pengantar mendalam dasbor dengan visualisasi data di Kibana
  • Cara membuat dasbor Kibana