Включение идентификатора Microsoft Entra для локальных средств мониторинга

  • Статья

Azure Private 5G Core предоставляет средства распределенной трассировки и основных панелей мониторинга пакетов для мониторинга развертывания на границе. Эти средства можно получить с помощью идентификатора Microsoft Entra или локального имени пользователя и пароля. Мы рекомендуем настроить проверку подлинности Microsoft Entra для повышения безопасности в развертывании.

В этом руководстве описано, как выполнить действия, которые необходимо выполнить после развертывания или настройки сайта, использующего идентификатор Microsoft Entra для проверки подлинности доступа к локальным средствам мониторинга. Вам не нужно следовать этому, если вы решили использовать локальные имена пользователей и пароли для доступа к распределенным панелям трассировки и ядра пакетов.

Внимание

Идентификатор Microsoft Entra для локальных средств мониторинга не поддерживается, если веб-прокси включен на устройстве Azure Stack Edge, на котором работает Частный 5G Core Azure. Если вы настроили брандмауэр, который блокирует трафик, не передаваемый через веб-прокси, включение идентификатора Microsoft Entra приведет к сбою установки Частной 5G Core Azure.

Необходимые компоненты

  • Необходимо выполнить действия, описанные в разделе "Завершение необходимых задач" для развертывания частной мобильной сети и сбора необходимых сведений для сайта.
  • Необходимо развернуть сайт с идентификатором Microsoft Entra в качестве типа проверки подлинности.
  • Определите IP-адрес для доступа к локальным средствам мониторинга, настроенным в сети управления.
  • Убедитесь, что вы можете войти в портал Azure с помощью учетной записи с доступом к активной подписке, используемой для создания частной мобильной сети. Эта учетная запись должна иметь разрешение на управление приложениями в идентификаторе Microsoft Entra. Встроенные роли Microsoft Entra, имеющие необходимые разрешения, включают, например администратора приложений, разработчика приложений и администратора облачных приложений. Если у вас нет этого доступа, обратитесь к администратору Microsoft Entra клиента, чтобы убедиться, что пользователь был назначен правильной роли, выполнив команду "Назначить роли пользователей с идентификатором Microsoft Entra".
  • Убедитесь, что локальный компьютер имеет основной доступ kubectl к кластеру Kubernetes с поддержкой Azure Arc. Для этого требуется основной файл kubeconfig, который можно получить, выполнив доступ к пространству имен Core.

Настройка доменных системных имен (DNS) для локального IP-адреса мониторинга

При регистрации приложения и настройке URI перенаправления вам потребуется, чтобы URI перенаправления содержали доменное имя, а не IP-адрес для доступа к локальным средствам мониторинга.

На доверенном DNS-сервере для зоны DNS, в которой вы хотите создать запись DNS, настройте запись DNS для разрешения доменного имени на IP-адрес, используемый для доступа к локальным средствам мониторинга, настроенным в сети управления.

Зарегистрировать приложение

Теперь вы зарегистрируете новое локальное приложение мониторинга с идентификатором Microsoft Entra, чтобы установить связь доверия с платформа удостоверений Майкрософт.

Если развертывание содержит несколько сайтов, можно использовать один и тот же URI перенаправления для всех сайтов или создать разные пары URI для каждого сайта. На сайте можно настроить не более двух URI перенаправления. Если вы уже зарегистрировали приложение для развертывания и хотите использовать те же URI на сайтах, вы можете пропустить этот шаг.

Примечание.

В этих инструкциях предполагается, что вы используете одно приложение для распределенной трассировки и панелей мониторинга ядра пакетов. Если вы хотите предоставить доступ к разным группам пользователей для этих двух инструментов, можно настроить одно приложение для ролей панелей мониторинга ядра пакетов и одну для распределенной роли трассировки.

  1. Краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт для регистрации нового приложения для локальных средств мониторинга с помощью платформа удостоверений Майкрософт.

    1. В URI перенаправления выберите веб-платформу и добавьте следующие два URI перенаправления, где <домен локального мониторинга> — это доменное имя для локальных средств мониторинга, настроенных в разделе "Настройка доменного имени (DNS) для локального IP-адреса мониторинга:

      • <https:// local monitoring domain>/sas/auth/aad/callback
      • <https:// local monitoring domain>/grafana/login/azuread

    2. В разделе "Добавление учетных данных" выполните действия по добавлению секрета клиента. Обязательно запишите секрет в столбце Value , так как это поле доступно только сразу после создания секрета. Это значение секрета клиента, которое потребуется позже в этой процедуре.

  2. Следуйте пользовательскому интерфейсу ролей приложений, чтобы создать роли для приложения со следующей конфигурацией:

    • В разделе Allowed member types (Разрешенные типы участников) выберите Пользователи и группы.
    • В поле "Значение" введите одну из Администратор, средства просмотра и редактора для каждой создаваемой роли. Для распределенной трассировки также требуется роль sas.user .
    • В разделе "Включить эту роль приложения?", убедитесь, что выбрана проверка box.

    Эти роли можно использовать при управлении доступом к основным панелям мониторинга пакетов и средству распределенной трассировки.

  3. Следуйте инструкциям по назначению пользователей и групп ролям, чтобы назначить пользователей и группы созданным ролям.

Сбор сведений для секретных объектов Kubernetes

  1. Соберите значения в следующей таблице.

    Значение Как собрать Имя параметра секрета Kubernetes
    Идентификатор клиента В портал Azure найдите идентификатор Microsoft Entra. Поле идентификатора клиента можно найти на странице обзора. tenant_id
    Application (client) ID (Идентификатор приложения (клиент)) Перейдите к только что созданной регистрации приложения локального мониторинга. Поле идентификатора приложения (клиента) можно найти на странице обзора в заголовке Essentials. client_id
    URL-адрес авторизации На странице "Обзор регистрации локального приложения мониторинга" выберите "Конечные точки". Скопируйте содержимое поля конечной точки авторизации OAuth 2.0 (версия 2).

    Примечание.
    Если строка содержит organizations, замените organizations значением идентификатора клиента. Например:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    Становится
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    URL-адрес токена На странице "Обзор регистрации локального приложения мониторинга" выберите "Конечные точки". Скопируйте содержимое поля конечной точки токена OAuth 2.0 (версия 2).

    Примечание.
    Если строка содержит organizations, замените organizations значением идентификатора клиента. Например:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    Становится
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    Секрет клиента Вы собрали это при создании секрета клиента на предыдущем шаге. client_secret
    Корневой каталог URI перенаправления распределенной трассировки Запишите следующую часть URI перенаправления: https://< локальный домен> мониторинга. redirect_uri_root
    Корень URI перенаправления основных панелей мониторинга пакетов Запишите следующую часть URI перенаправления панелей мониторинга ядра пакетов: https://< local monitoring domain>/grafana. root_url

Изменение локального доступа

Перейдите к портал Azure и перейдите к ресурсу уровня управления "Ядро пакетов" сайта. Выберите вкладку "Изменить локальный доступ" колонки.

  1. Если для типа проверки подлинности задан идентификатор Microsoft Entra, перейдите к созданию секретных объектов Kubernetes.
  2. Иначе:
    1. Выберите идентификатор Microsoft Entra в раскрывающемся списке типа проверки подлинности.
    2. Щелкните элемент Review (Проверить).
    3. Выберите Отправить.

Создание секретных объектов Kubernetes

Чтобы поддерживать идентификатор Microsoft Entra в частных приложениях Azure 5G Core, вам потребуется файл YAML, содержащий секреты Kubernetes.

  1. Преобразуйте все значения, собранные в разделе "Сбор сведений для секретных объектов Kubernetes" в формат Base64. Например, можно выполнить следующую команду в окне Azure Cloud Shell Bash :

    echo -n <Value> | base64

  2. Создайте файл secret-azure-ad-local-monitoring.yaml, содержащий значения в кодировке Base64 для настройки распределенной трассировки и панелей мониторинга ядра пакетов. Секрет распределенной трассировки должен называться sas-auth-secret, а секрет для панелей мониторинга ядра пакетов должен называться grafana-auth-secret.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    auth_url: <Base64-encoded authorization URL>
    token_url: <Base64-encoded token URL>
    root_url: <Base64-encoded packet core dashboards redirect URI root>

Применение секретных объектов Kubernetes

Если вы включаете идентификатор Microsoft Entra для сайта, после сбоя ядра пакетов или после обновления yamL-файла секрета Kubernetes Secret Object YAML необходимо применить идентификатор Microsoft Entra.

  1. Войдите в Azure Cloud Shell и выберите PowerShell. Если вы впервые обращается к кластеру с помощью Azure Cloud Shell, следуйте инструкциям по настройке доступа kubectl к кластеру .

  2. Примените секретный объект для распределенной трассировки и панелей мониторинга ядра пакетов, указав имя файла core kubeconfig.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Используйте следующие команды, чтобы проверить правильность применения секретных объектов, указав имя файла core kubeconfig. Вы должны увидеть правильные значения name, пространства имен и type , а также размер закодированных значений.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Перезапустите модули pod распределенной трассировки и ядра пакетов.

    1. Получите имя панели мониторинга ядра пакетов pod:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Скопируйте выходные данные предыдущего шага и замените его на следующую команду, чтобы перезапустить модули pod.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Проверка доступа

Следуйте указаниям веб-графического интерфейса распределенной трассировки и доступу к основным панелям мониторинга пакетов, чтобы проверка, если вы можете получить доступ к локальным средствам мониторинга с помощью идентификатора Microsoft Entra.

Обновление секретных объектов Kubernetes

Выполните этот шаг, если необходимо обновить существующие секретные объекты Kubernetes; Например, после обновления URI перенаправления или продления секрета клиента с истекшим сроком действия.

  1. Внесите необходимые изменения в файл YAML секретного объекта Kubernetes, созданный в разделе "Создание секретных объектов Kubernetes".
  2. Применение секретных объектов Kubernetes.
  3. Проверка доступа.

Следующие шаги

Если вы еще этого не сделали, теперь следует разработать конфигурацию управления политикой для частной мобильной сети. Это позволяет настроить, как экземпляры ядра пакетов применяют характеристики обслуживания (QoS) к трафику. Вы также можете блокировать или ограничивать определенные потоки.