Modificar a configuração de acesso local em um site

Você pode usar Microsoft Entra ID ou um nome de usuário local e senha para autenticar o acesso ao rastreamento distribuído e painéis de Núcleo de Pacotes. Além disso, você pode usar um certificado autoassinado ou fornecer o seu próprio para atestar o acesso às ferramentas de diagnóstico locais.

Para melhorar a segurança em sua implantação, recomendamos configurar a autenticação do Microsoft Entra em nomes de usuário e senhas locais, além de fornecer um certificado assinado por uma AC (autoridade de certificação) globalmente conhecida e confiável.

Neste guia de instruções, você aprenderá a usar o portal do Azure para alterar o método de autenticação e o certificado usado para proteger o acesso às ferramentas de monitoramento locais de um site.

Dica

Em vez disso, se você quiser modificar a identidade atribuída pelo usuário configurada para certificados HTTPS, crie uma identidade nova ou edite uma identidade atribuída pelo usuário existente usando as informações coletadas em Coletar valores de monitoramento local.

Pré-requisitos

• Consulte Escolha o método de autenticação para ferramentas de monitoramento locais e Coletar valores de monitoramento local para coletar os valores necessários e verificar se eles estão no formato correto.
• Se você quiser adicionar ou atualizar um certificado HTTPS personalizado para acessar suas ferramentas de monitoramento locais, precisará de um certificado assinado por uma AC globalmente conhecida e confiável e armazenado em um Azure Key Vault. Seu certificado deve usar uma chave privada do tipo RSA ou EC para garantir que ele seja exportável (consulte Chave exportável ou não exportável para obter mais informações).
• Se você quiser atualizar seu método de autenticação de monitoramento local, verifique se o computador local tem acesso kubectl principal ao cluster Kubernetes habilitado para Azure Arc. Isso requer um arquivo kubeconfig principal, que você pode obter seguindo o Acesso ao namespace principal.
• Verifique se você pode entrar no portal do Azure usando uma conta com acesso à assinatura ativa usada para criar sua rede móvel privada. Essa conta precisa ter a função interna Colaborador ou Proprietário no escopo da assinatura.

Exibir a configuração de acesso local

Nesta etapa, acesse o recurso Plano de controle do núcleo de pacotes que representa sua instância de núcleo de pacotes.

1. Entre no portal do Azure.

2. Procure e selecione o recurso de Rede Móvel que representa a rede móvel privada.

   

3. No menu de recursos, selecione Sites.

4. Selecione o site que contém a instância de núcleo de pacotes que será modificada.

5. No título da Função de rede, selecione o nome do recurso Plano de Controle do Núcleo de Pacotes mostrado ao lado do Núcleo de pacotes.

   

6. Verifique os campos no título de acesso local para exibir a configuração e o status de acesso local atuais.

Modificar a configuração de acesso local

1. Selecione Modificar acesso local.

   

2. Em Tipo de Autenticação, selecione o método de autenticação que você deseja usar.

3. Em certificado HTTPS, escolha se deseja fornecer um certificado HTTPS personalizado para acessar suas ferramentas de monitoramento locais.

4. Se você selecionou Sim para Fornecer certificado HTTPS personalizado?, use as informações coletadas em Coletar valores de monitoramento local para selecionar um certificado.

   

5. Selecione Avançar.

6. O Azure agora validará os valores de configuração inseridos. Você deverá ver uma mensagem indicando que seus valores foram aprovados na validação.

   

7. Selecione Criar.

8. O Azure agora reimplantará a instância de núcleo de pacotes com a nova configuração. O portal do Azure exibirá uma tela de confirmação quando essa implantação for concluída.

9. Selecione Ir para o recurso. Verifique se os campos em Acesso local contêm as informações de autenticação e certificado atualizadas.

10. Se você adicionou ou atualizou um certificado HTTPS personalizado, siga Acessar a GUI da Web de rastreamento distribuído e Acessar os painéis principais do pacote para verificar se o navegador confia na conexão com suas ferramentas de monitoramento locais. Observe que:

    • Pode levar até quatro horas para que as alterações no Key Vault sejam sincronizadas com o local de borda.
    • Talvez seja necessário limpar o cache do navegador para observar as alterações.

Configurar a autenticação de acesso de monitoramento local

Siga esta etapa se você alterou o tipo de autenticação para acesso de monitoramento local.

Se você alternou de nomes de usuário e senhas locais para a ID do Microsoft Entra, siga as etapas em Habilitar a ID do Microsoft Entra para ferramentas de monitoramento locais.

Se você alternou da ID do Microsoft Entra para nomes de usuário e senhas locais:

1. Entre no Azure Cloud Shell e selecione PowerShell. Se esta for a primeira vez que você acessa seu cluster por meio do Azure Cloud Shell, siga Acessar seu cluster para configurar o acesso kubectl.

2. Exclua os objetos secretos do Kubernetes:

   kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n core

3. Reinicie os pods dos painéis do núcleo de pacotes e do rastreamento distribuído.

   1. Obtenha o nome do pod dos painéis do núcleo de pacotes:

      kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"

   2. Copie a saída da etapa anterior e substitua-a no comando a seguir para reiniciar seus pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

4. Siga Acessar a GUI da Web de rastreamento distribuído e Acessar os painéis principais do pacote para verificar se você pode acessar suas ferramentas de monitoramento locais usando nomes de usuário e senhas locais.

Próximas etapas

• Saiba mais sobre a GUI da Web de rastreamento distribuído
• Saiba mais sobre os painéis principais do pacote