SSL-certificaten opgeven voor bewaking

Vanaf de release van december 2021 kunt u met Gegevensservices met Azure Arc SSL/TLS-certificaten opgeven voor de bewakingsdashboards. U kunt deze certificaten gebruiken voor logboeken (Kibana) en metrische gegevens (Grafana) dashboards.

U kunt het certificaat opgeven wanneer u een gegevenscontroller maakt met:

• Azure az CLI-extensie arcdata
• Systeemeigen Kubernetes-implementatie

Microsoft biedt voorbeeldbestanden voor het maken van de certificaten in de GitHub-opslagplaats /microsoft/azure_arc/ .

U kunt het bestand lokaal klonen om toegang te krijgen tot de voorbeeldbestanden.

git clone https://github.com/microsoft/azure_arc

De bestanden waarnaar in dit artikel wordt verwezen, bevinden zich in de opslagplaats onder /arc_data_services/deploy/scripts/monitoring.

De juiste certificaten maken of verkrijgen

U hebt de juiste certificaten nodig voor elke gebruikersinterface. Een voor logboeken en één voor metrische gegevens. In de volgende tabel worden de vereisten beschreven.

In de volgende tabel worden de vereisten voor elk certificaat en elke sleutel beschreven.

Vereiste	Logboekcertificaat	Certificaat voor metrische gegevens
CN	logsui-svc	metricsui-svc
Sans	Geen vereist	metricsui-svc.${NAMESPACE}.${K8S_DNS_DOMAIN_NAME}
keyUsage	digitalsignature keyEncipherment	digitalsignature keyEncipherment
extendedKeyUsage	serverAuth	serverAuth

Notitie

De standaard-K8S_DNS_DOMAIN_NAME is svc.cluster.local, hoewel deze afhankelijk van de omgeving en configuratie kan verschillen.

De map met GitHub-opslagplaatsen bevat voorbeeldsjabloonbestanden die de certificaatspecificaties identificeren.

• /arc_data_services/deploy/scripts/monitoring/logsui-ssl.conf.tmpl
• /arc_data_services/deploy/scripts/monitoring/metricsui-ssl.conf.tmpl

De GitHub-opslagplaats met Azure Arc-voorbeelden bevat een voorbeeld dat u kunt gebruiken om een compatibel certificaat en een persoonlijke sleutel voor een eindpunt te genereren.

Zie de code van /arc_data_services/deploy/scripts/monitoringcreate-monitoring-tls-files.sh.

Als u het voorbeeld wilt gebruiken om certificaten te maken, werkt u de volgende opdracht bij met uw namespace en de map voor de certificaten (output_directory). Voer vervolgens de opdracht uit.

./create-monitor-tls-files.sh <namespace> <output_directory>

Hiermee worden compatibele certificaten in de map gemaakt.

Implementeren met CLI

Nadat u het certificaat/de persoonlijke sleutel voor elk eindpunt hebt, maakt u de gegevenscontroller met az dc create... de opdracht.

Gebruik de volgende argumenten om uw eigen certificaat/persoonlijke sleutel toe te passen.

• --logs-ui-public-key-file <path\file to logs public key file>
• --logs-ui-private-key-file <path\file to logs private key file>
• --metrics-ui-public-key-file <path\file to metrics public key file>
• --metrics-ui-private-key-file <path\file to metrics private key file>

In het volgende voorbeeld wordt bijvoorbeeld een gegevenscontroller gemaakt met aangewezen certificaten voor de logboeken en dashboards van de gebruikersinterface voor metrische gegevens:

az arcdata dc create --profile-name azure-arc-aks-default-storage --k8s-namespace <namespace> --use-k8s --name arc --subscription <subscription id> --resource-group <resource group name> --location <location> --connectivity-mode indirect --logs-ui-public-key-file <path\file to logs public key file> --logs-ui-private-key-file <path\file to logs private key file> --metrics-ui-public-key-file <path\file to metrics public key file> --metrics-ui-private-key-file <path\file to metrics private key file>

#Example:
#az arcdata dc create --profile-name azure-arc-aks-default-storage  --k8s-namespace arc --use-k8s --name arc --subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --resource-group my-resource-group --location eastus --connectivity-mode indirect --logs-ui-public-key-file /path/to/logsuipublickeyfile.pem --logs-ui-private-key-file /path/to/logsuiprivatekey.pem --metrics-ui-public-key-file /path/to/metricsuipublickeyfile.pem --metrics-ui-private-key-file /path/to/metricsuiprivatekey.pem

U kunt alleen certificaten opgeven wanneer u de az arcdata dc create ... instructie opneemt--use-k8s.

Implementeren met systeemeigen Kubernetes-hulpprogramma's

Als u systeemeigen Kubernetes-hulpprogramma's gebruikt om te implementeren, maakt u kubernetes-geheimen die de certificaten en persoonlijke sleutels bevatten. Maak de volgende geheimen:

• logsui-certificiate-secret
• metricsui-certificate-secret.

Zorg ervoor dat de services worden vermeld als alternatieve namen van onderwerpen (SAN's) en dat de parameters voor certificaatgebruik juist zijn.

1. Controleer of elk geheim de volgende velden heeft:
   • certificate.pem met het base64-gecodeerde certificaat
   • privatekey.pem met de persoonlijke sleutel

Gerelateerde inhoud

• Metrische gegevens en logboeken uploaden naar Azure Monitor
• Meer informatie over Grafana:
  • Aan de slag
  • Grafana fundamentals
  • Grafana-zelfstudies
• Meer informatie over Kibana
  • Introductie
  • Kibana-gids
  • Inleiding tot inzoomen op dashboards met gegevensvisualisaties in Kibana
  • Kibana-dashboards bouwen