Habilitar o Microsoft Entra ID para ferramentas de monitoramento local

  • Artigo

O Azure Private 5G Core fornece as ferramentas de rastreamento distribuído e painéis de núcleo de pacotes para monitorar sua implantação na borda. Você pode acessar essas ferramentas usando o ID do Microsoft Entra ou um nome de usuário e senha locais. Recomendamos configurar a autenticação do Microsoft Entra para melhorar a segurança em sua implantação.

Neste guia de instruções, você executará as etapas necessárias para concluir depois de implantar ou configurar um site que usa a ID do Microsoft Entra para autenticar o acesso às suas ferramentas de monitoramento locais. Você não precisa seguir isso se decidir usar nomes de usuário e senhas locais para acessar os painéis de rastreamento distribuído e núcleo de pacotes.

Atenção

O Microsoft Entra ID para ferramentas de monitoramento local não é suportado quando um proxy da Web está habilitado no dispositivo Azure Stack Edge no qual o Azure Private 5G Core está sendo executado. Se você configurou um firewall que bloqueia o tráfego não transmitido por meio do proxy da Web, habilitar a ID do Microsoft Entra fará com que a instalação do Azure Private 5G Core falhe.

Pré-requisitos

  • Você deve ter concluído as etapas em Concluir as tarefas de pré-requisito para implantar uma rede móvel privada e Coletar as informações necessárias para um site.
  • Você deve ter implantado um site com o Microsoft Entra ID definido como o tipo de autenticação.
  • Identifique o endereço IP para acessar as ferramentas de monitoramento local que você configurou na rede de gerenciamento.
  • Certifique-se de que pode iniciar sessão no portal do Azure utilizando uma conta com acesso à subscrição ativa que utilizou para criar a sua rede móvel privada. Essa conta deve ter permissão para gerenciar aplicativos no Microsoft Entra ID. As funções internas do Microsoft Entra que têm as permissões necessárias incluem, por exemplo, administrador de aplicativos, desenvolvedor de aplicativos e administrador de aplicativos em nuvem. Se você não tiver esse acesso, entre em contato com o administrador do Microsoft Entra em contato com o administrador do Microsoft Entra para que ele possa confirmar que o usuário recebeu a função correta seguindo Atribuir funções de usuário com a ID do Microsoft Entra.
  • Verifique se sua máquina local tem acesso kubectl principal ao cluster Kubernetes habilitado para Azure Arc. Isso requer um arquivo kubeconfig principal, que você pode obter seguindo o acesso ao namespace Core.

Configurar o nome do sistema de domínio (DNS) para IP de monitoramento local

Ao registrar seu aplicativo e configurar URIs de redirecionamento, você precisará que seus URIs de redirecionamento contenham um nome de domínio em vez de um endereço IP para acessar as ferramentas de monitoramento local.

No servidor DNS autoritativo para a zona DNS na qual você deseja criar o registro DNS, configure um registro DNS para resolver o nome de domínio para o endereço IP usado para acessar as ferramentas de monitoramento local, que você configurou na rede de gerenciamento.

Registar aplicação

Agora você registrará um novo aplicativo de monitoramento local com o Microsoft Entra ID para estabelecer uma relação de confiança com a plataforma de identidade da Microsoft.

Se sua implantação contiver vários sites, você poderá usar os mesmos dois URIs de redirecionamento para todos os sites ou criar pares de URIs diferentes para cada site. Você pode configurar um máximo de dois URIs de redirecionamento por site. Se você já registrou um aplicativo para sua implantação e deseja usar os mesmos URIs em seus sites, ignore esta etapa.

Nota

Estas instruções pressupõem que você esteja usando um único aplicativo para rastreamento distribuído e os painéis de núcleo de pacote. Se quiser conceder acesso a diferentes grupos de usuários para essas duas ferramentas, você pode, em vez disso, configurar um aplicativo para as funções de painéis principais de pacotes e outro para a função de rastreamento distribuído.

  1. Siga Guia de início rápido: registre um aplicativo com a plataforma de identidade da Microsoft para registrar um novo aplicativo para suas ferramentas de monitoramento local com a plataforma de identidade da Microsoft.

    1. Em Adicionar um URI de redirecionamento, selecione a plataforma Web e adicione os dois URIs de redirecionamento a seguir, em que< domínio> de monitoramento local é o nome de domínio para suas ferramentas de monitoramento local que você configurou em Configurar nome do sistema de domínio (DNS) para IP de monitoramento local:

      • https://< domínio de monitoramento> local/sas/auth/aad/callback
      • https://< domínio de monitoramento> local/grafana/login/azuread

    2. Em Adicionar credenciais, siga as etapas para adicionar um segredo do cliente. Certifique-se de registrar o segredo na coluna Valor, pois esse campo só está disponível imediatamente após a criação do segredo. Este é o valor secreto do cliente que você precisará mais adiante neste procedimento.

  2. Siga a interface do usuário de funções do aplicativo para criar as funções para seu aplicativo com a seguinte configuração:

    • Em Tipos de membros permitidos, selecione Usuários/Grupos.
    • Em Valor, insira um de Administrador, Visualizador e Editor para cada função que você está criando. Para rastreamento distribuído, você também precisa de uma função sas.user .
    • Em Deseja habilitar esta função de aplicativo?, verifique se a caixa de seleção está marcada.

    Você poderá usar essas funções ao gerenciar o acesso aos painéis principais de pacotes e à ferramenta de rastreamento distribuído.

  3. Siga Atribuir usuários e grupos a funções para atribuir usuários e grupos às funções que você criou.

Coletar as informações para objetos secretos do Kubernetes

  1. Colete os valores na tabela a seguir.

    Value Como recolher Nome do parâmetro secreto do Kubernetes
    ID do Inquilino No portal do Azure, procure por Microsoft Entra ID. Você pode encontrar o campo ID do locatário na página Visão geral. tenant_id
    ID do aplicativo (cliente) Navegue até o novo registro do aplicativo de monitoramento local que você acabou de criar. Você pode encontrar o campo ID do aplicativo (cliente) na página Visão geral, sob o título Essenciais. client_id
    URL de autorização Na página Visão geral do registro do aplicativo de monitoramento local, selecione Pontos de extremidade. Copie o conteúdo do campo OAuth 2.0 authorization endpoint (v2).

    Nota:
    Se a cadeia de caracteres contiver organizations, substitua organizations pelo valor ID do locatário. Por exemplo,
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    torna-se
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    Token URL Na página Visão geral do registro do aplicativo de monitoramento local, selecione Pontos de extremidade. Copie o conteúdo do campo OAuth 2.0 token endpoint (v2).

    Nota:
    Se a cadeia de caracteres contiver organizations, substitua organizations pelo valor ID do locatário. Por exemplo,
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    torna-se
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    Segredo do cliente Você coletou isso ao criar o segredo do cliente na etapa anterior. client_secret
    Raiz de URI de redirecionamento de rastreamento distribuído Anote a seguinte parte do URI de redirecionamento: https://< domínio> de monitoramento local. redirect_uri_root
    Os painéis principais do pacote redirecionam a raiz do URI Anote a seguinte parte do URI de redirecionamento dos painéis principais do pacote: https://< domínio de monitoramento> local/grafana. root_url

Modificar o acesso local

Vá para o portal do Azure e navegue até o recurso Plano de Controle Principal de Pacotes do seu site. Selecione a guia Modificar acesso local da folha.

  1. Se o tipo de autenticação estiver definido como ID do Microsoft Entra, continue para Criar objetos secretos do Kubernetes.
  2. Caso contrário:
    1. Selecione ID do Microsoft Entra na lista suspensa Tipo de autenticação.
    2. Selecionar Rever.
    3. Selecione Submeter.

Criar objetos secretos do Kubernetes

Para dar suporte ao Microsoft Entra ID em aplicativos Azure Private 5G Core, você precisará de um arquivo YAML contendo segredos do Kubernetes.

  1. Converta cada um dos valores coletados em Coletar as informações de objetos secretos do Kubernetes no formato Base64. Por exemplo, você pode executar o seguinte comando em uma janela do Azure Cloud Shell Bash :

    echo -n <Value> | base64

  2. Crie um arquivo secret-azure-ad-local-monitoring.yaml contendo os valores codificados em Base64 para configurar o rastreamento distribuído e os painéis do núcleo do pacote. O segredo para o rastreamento distribuído deve ser chamado sas-auth-secrets, e o segredo para os painéis do núcleo do pacote deve ser chamado grafana-auth-secrets.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    auth_url: <Base64-encoded authorization URL>
    token_url: <Base64-encoded token URL>
    root_url: <Base64-encoded packet core dashboards redirect URI root>

Aplicar objetos secretos do Kubernetes

Você precisará aplicar seus Objetos Secretos do Kubernetes se estiver habilitando o ID do Microsoft Entra para um site, após uma interrupção do núcleo do pacote ou depois de atualizar o arquivo YAML do Objeto Secreto do Kubernetes.

  1. Entre no Azure Cloud Shell e selecione PowerShell. Se esta for a primeira vez que acede ao cluster através do Azure Cloud Shell, siga Aceder ao cluster para configurar o acesso kubectl.

  2. Aplique o Objeto Secreto para o rastreamento distribuído e os painéis do núcleo do pacote, especificando o nome do arquivo kubeconfig principal.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Use os comandos a seguir para verificar se os Objetos Secretos foram aplicados corretamente, especificando o nome do arquivo kubeconfig principal. Você deve ver os valores corretos Name, Namespace e Type , juntamente com o tamanho dos valores codificados.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Reinicie os pods de rastreamento distribuído e painéis de núcleo de pacote.

    1. Obtenha o nome do seu pod de painéis de núcleo de pacote:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Copie a saída da etapa anterior e substitua-a no comando a seguir para reiniciar seus pods.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Verificar o acesso

Siga Acesse a GUI da Web de rastreamento distribuído e Acesse os painéis do núcleo do pacote para verificar se você pode acessar suas ferramentas de monitoramento local usando a ID do Microsoft Entra.

Atualizar objetos secretos do Kubernetes

Siga esta etapa se precisar atualizar seus objetos secretos do Kubernetes existentes; por exemplo, depois de atualizar seus URIs de redirecionamento ou renovar um segredo de cliente expirado.

  1. Faça as alterações necessárias no arquivo YAML do objeto secreto do Kubernetes criado em Criar objetos secretos do Kubernetes.
  2. Aplique objetos secretos do Kubernetes.
  3. Verifique o acesso.

Próximos passos

Se ainda não o fez, deve agora conceber a configuração de controlo de política para a sua rede móvel privada. Isso permite que você personalize como suas instâncias principais de pacote aplicam características de qualidade de serviço (QoS) ao tráfego. Você também pode bloquear ou limitar certos fluxos.