Mengaktifkan ID Microsoft Entra untuk alat pemantauan lokal

Azure Private 5G Core menyediakan alat dasbor inti paket dan pelacakan terdistribusi untuk memantau penyebaran Anda di tepi. Anda dapat mengakses alat-alat ini menggunakan ID Microsoft Entra atau nama pengguna dan kata sandi lokal. Sebaiknya siapkan autentikasi Microsoft Entra untuk meningkatkan keamanan dalam penyebaran Anda.

Dalam panduan cara ini, Anda akan melakukan langkah-langkah yang perlu Anda selesaikan setelah menyebarkan atau mengonfigurasi situs yang menggunakan ID Microsoft Entra untuk mengautentikasi akses ke alat pemantauan lokal Anda. Anda tidak perlu mengikuti ini jika Anda memutuskan untuk menggunakan nama pengguna dan kata sandi lokal untuk mengakses dasbor pelacakan terdistribusi dan inti paket.

Perhatian

ID Microsoft Entra untuk alat pemantauan lokal tidak didukung saat proksi web diaktifkan pada perangkat Azure Stack Edge tempat Azure Private 5G Core berjalan. Jika Anda telah mengonfigurasi firewall yang memblokir lalu lintas yang tidak dikirimkan melalui proksi web, mengaktifkan ID Microsoft Entra akan menyebabkan penginstalan Azure Private 5G Core gagal.

Prasyarat

• Anda harus telah menyelesaikan langkah-langkah dalam Menyelesaikan tugas prasyarat untuk menyebarkan jaringan seluler privat dan Mengumpulkan informasi yang diperlukan untuk situs.
• Anda harus telah menyebarkan situs dengan ID Microsoft Entra yang ditetapkan sebagai jenis autentikasi.
• Identifikasi alamat IP untuk mengakses alat pemantauan lokal yang Anda siapkan di jaringan Manajemen.
• Pastikan Anda dapat masuk ke portal Azure menggunakan akun dengan akses ke langganan aktif yang Anda gunakan untuk membuat jaringan seluler privat Anda. Akun ini harus memiliki izin untuk mengelola aplikasi di ID Microsoft Entra. Peran bawaan Microsoft Entra yang memiliki izin yang diperlukan meliputi, misalnya, Administrator aplikasi, Pengembang aplikasi, dan administrator aplikasi Cloud. Jika Anda tidak memiliki akses ini, hubungi administrator Microsoft Entra penyewa Anda sehingga mereka dapat mengonfirmasi bahwa pengguna Anda telah diberi peran yang benar dengan mengikuti Tetapkan peran pengguna dengan ID Microsoft Entra.
• Pastikan komputer lokal Anda memiliki akses kubectl inti ke kluster Kubernetes dengan dukungan Azure Arc. Ini memerlukan file kubeconfig inti, yang dapat Anda peroleh dengan mengikuti akses namespace core.

Mengonfigurasi nama sistem domain (DNS) untuk IP pemantauan lokal

Saat mendaftarkan aplikasi dan mengonfigurasi URI pengalihan, Anda memerlukan URI pengalihan untuk berisi nama domain daripada alamat IP untuk mengakses alat pemantauan lokal.

Di server DNS otoritatif untuk zona DNS tempat Anda ingin membuat catatan DNS, konfigurasikan catatan DNS untuk mengatasi nama domain ke alamat IP yang digunakan untuk mengakses alat pemantauan lokal, yang Anda siapkan di jaringan Manajemen.

Daftarkan aplikasi

Sekarang Anda akan mendaftarkan aplikasi pemantauan lokal baru dengan ID Microsoft Entra untuk membangun hubungan kepercayaan dengan platform identitas Microsoft.

Jika penyebaran Anda berisi beberapa situs, Anda dapat menggunakan dua URI pengalihan yang sama untuk semua situs, atau membuat pasangan URI yang berbeda untuk setiap situs. Anda dapat mengonfigurasi maksimal dua URI pengalihan per situs. Jika Anda telah mendaftarkan aplikasi untuk penyebaran dan ingin menggunakan URI yang sama di seluruh situs, Anda dapat melewati langkah ini.

Catatan

Instruksi ini mengasumsikan Anda menggunakan satu aplikasi untuk pelacakan terdistribusi dan dasbor inti paket. Jika Anda ingin memberikan akses ke grup pengguna yang berbeda untuk kedua alat ini, Anda dapat menyiapkan satu aplikasi untuk peran dasbor inti paket dan satu untuk peran pelacakan terdistribusi.

1. Ikuti Mulai Cepat: Daftarkan aplikasi dengan platform identitas Microsoft untuk mendaftarkan aplikasi baru untuk alat pemantauan lokal Anda dengan platform identitas Microsoft.

   1. Di Tambahkan URI pengalihan, pilih platform Web dan tambahkan dua URI pengalihan berikut, di mana <domain> pemantauan lokal adalah nama domain untuk alat pemantauan lokal yang Anda siapkan di Mengonfigurasi nama sistem domain (DNS) untuk IP pemantauan lokal:

      • <domain pemantauan> https:// lokal/sas/auth/aad/callback
      • <domain pemantauan> https:// lokal/grafana/login/azuread

   2. Di Tambahkan kredensial, ikuti langkah-langkah untuk menambahkan rahasia klien. Pastikan untuk merekam rahasia di bawah kolom Nilai , karena bidang ini hanya tersedia segera setelah pembuatan rahasia. Ini adalah nilai rahasia Klien yang akan Anda butuhkan nanti dalam prosedur ini.

2. Ikuti UI peran Aplikasi untuk membuat peran untuk aplikasi Anda dengan konfigurasi berikut:

   • Di Jenis anggota yang diizinkan,pilih Pengguna/Grup.
   • Di Nilai, masukkan salah satu Admin, Penampil, dan Editor untuk setiap peran yang Anda buat. Untuk pelacakan terdistribusi, Anda juga memerlukan peran sas.user .
   • Di Apakah Anda ingin mengaktifkan peran aplikasi ini?, pastikan kotak centang dipilih.

   Anda akan dapat menggunakan peran ini saat mengelola akses ke dasbor inti paket dan alat pelacakan terdistribusi.

3. Ikuti Tetapkan pengguna dan grup ke peran untuk menetapkan pengguna dan grup ke peran yang Anda buat.

Kumpulkan informasi untuk Objek Rahasia Kubernetes

1. Kumpulkan nilai dalam tabel berikut.

   Nilai	Cara mengumpulkan	Nama parameter rahasia Kubernetes
   ID Penyewa	Di portal Azure, cari ID Microsoft Entra. Anda dapat menemukan bidang ID Penyewa di halaman Gambaran Umum.	tenant_id
   ID aplikasi (klien)	Navigasikan ke pendaftaran aplikasi pemantauan lokal baru yang baru saja Anda buat. Anda dapat menemukan bidang ID Aplikasi (klien) di halaman Gambaran Umum, di bawah judul Esensial .	client_id
   URL Otorisasi	Di halaman Gambaran Umum pendaftaran aplikasi pemantauan lokal, pilih Titik akhir. Salin konten bidang titik akhir otorisasi OAuth 2.0 (v2). Catatan: Jika string berisi organizations, ganti organizations dengan nilai ID Penyewa. Misalnya: https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize Menjadi https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.	auth_url
   Token URL	Di halaman Gambaran Umum pendaftaran aplikasi pemantauan lokal, pilih Titik akhir. Salin konten bidang titik akhir token OAuth 2.0 (v2). Catatan: Jika string berisi organizations, ganti organizations dengan nilai ID Penyewa. Misalnya: https://login.microsoftonline.com/organizations/oauth2/v2.0/token Menjadi https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.	token_url
   Rahasia Klien	Anda mengumpulkan ini saat membuat rahasia klien di langkah sebelumnya.	client_secret
   Akar URI pengalihan pelacakan terdistribusi	Catat bagian berikut dari URI pengalihan: domain> pemantauan https://< lokal.	redirect_uri_root
   Dasbor inti paket mengalihkan akar URI	Catat bagian berikut dari URI pengalihan dasbor inti paket: https://< domain> pemantauan/grafana.	root_url

Mengubah akses lokal

Buka portal Azure dan navigasikan ke sumber daya Packet Core Control Plane situs Anda. Pilih tab Ubah akses lokal bilah.

1. Jika jenis Autentikasi diatur ke ID Microsoft Entra, lanjutkan ke Buat Objek Rahasia Kubernetes.
2. Sebaliknya:
   1. Pilih MICROSOFT Entra ID dari menu dropdown Jenis autentikasi.
   2. Pilih Tinjau.
   3. Pilih kirim.

Membuat Objek Rahasia Kubernetes

Untuk mendukung ID Microsoft Entra pada aplikasi Azure Private 5G Core, Anda memerlukan file YAML yang berisi rahasia Kubernetes.

1. Konversikan setiap nilai yang Anda kumpulkan dalam Mengumpulkan informasi untuk Objek Rahasia Kubernetes menjadi format Base64. Misalnya, Anda dapat menjalankan perintah berikut di jendela Azure Cloud Shell Bash :

   echo -n <Value> | base64
   

2. Buat file secret-azure-ad-local-monitoring.yaml yang berisi nilai yang dikodekan Base64 untuk mengonfigurasi pelacakan terdistribusi dan dasbor inti paket. Rahasia untuk pelacakan terdistribusi harus diberi nama sas-auth-secrets, dan rahasia untuk dasbor inti paket harus diberi nama grafana-auth-secrets.

   apiVersion: v1
   kind: Secret
   metadata:
       name: sas-auth-secrets
       namespace: core
   type: Opaque
   data:
       client_id: <Base64-encoded client ID>
       client_secret: <Base64-encoded client secret>
       redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
       tenant_id: <Base64-encoded tenant ID>
   
   ---
   
   apiVersion: v1
   kind: Secret
   metadata:
       name: grafana-auth-secrets
       namespace: core
   type: Opaque
   data:
       GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
       GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
       GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
       GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
       GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
   

Terapkan Objek Rahasia Kubernetes

Anda harus menerapkan Objek Rahasia Kubernetes jika mengaktifkan ID Microsoft Entra untuk situs, setelah pemadaman inti paket, atau setelah memperbarui file YAML Objek Rahasia Kubernetes.

1. Masuk ke Azure Cloud Shell dan pilih PowerShell. Jika ini pertama kalinya Anda mengakses kluster melalui Azure Cloud Shell, ikuti Akses kluster Anda untuk mengonfigurasi akses kubectl.

2. Terapkan Objek Rahasia untuk pelacakan terdistribusi dan dasbor inti paket, menentukan nama file kubeconfig inti.

   kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

3. Gunakan perintah berikut untuk memverifikasi apakah Objek Rahasia diterapkan dengan benar, menentukan nama file kubeconfig inti. Anda akan melihat nilai Nama, Namespace, dan Jenis yang benar, bersama dengan ukuran nilai yang dikodekan.

   kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

   kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

4. Mulai ulang pod dasbor inti dan pelacakan terdistribusi.

   1. Dapatkan nama pod dasbor inti paket Anda:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

   2. Salin output dari langkah sebelumnya dan ganti ke dalam perintah berikut untuk menghidupkan ulang pod Anda.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Memverifikasi akses

Ikuti Mengakses GUI web pelacakan terdistribusi dan Mengakses dasbor inti paket untuk memeriksa apakah Anda dapat mengakses alat pemantauan lokal menggunakan ID Microsoft Entra.

Memperbarui Objek Rahasia Kubernetes

Ikuti langkah ini jika Anda perlu memperbarui Objek Rahasia Kubernetes yang ada; misalnya, setelah memperbarui URI pengalihan Anda atau memperbarui rahasia klien yang kedaluwarsa.

1. Buat perubahan yang diperlukan pada file YAML Objek Rahasia Kubernetes yang Anda buat di Buat Objek Rahasia Kubernetes.
2. Terapkan Objek Rahasia Kubernetes.
3. Verifikasi akses.

Langkah berikutnya

Jika Anda belum melakukannya, Anda sekarang harus merancang konfigurasi kontrol kebijakan untuk jaringan seluler privat Anda. Ini memungkinkan Anda untuk menyesuaikan bagaimana instans inti paket Anda menerapkan karakteristik kualitas layanan (QoS) pada lalu lintas. Anda juga dapat memblokir atau membatasi alur tertentu.

• Pelajari selengkapnya tentang merancang konfigurasi kontrol kebijakan untuk jaringan seluler privat Anda