Изменение конфигурации локального доступа на сайте

Вы можете использовать идентификатор Microsoft Entra или локальное имя пользователя и пароль для проверки подлинности доступа к распределенным панелям трассировки и ядра пакетов. Кроме того, вы можете использовать самозаверяющий сертификат или предоставить собственный для проверки доступа к локальным средствам диагностика.

Чтобы повысить безопасность развертывания, рекомендуется настроить проверку подлинности Microsoft Entra по локальным имени пользователям и паролям, а также предоставить сертификат, подписанный глобально известным и доверенным центром сертификации (ЦС).

В этом руководстве вы узнаете, как использовать портал Azure для изменения метода проверки подлинности и сертификата, используемого для защиты доступа к локальным средствам мониторинга сайта.

Совет

Вместо этого, если вы хотите изменить назначаемое пользователем удостоверение, настроенное для сертификатов HTTPS, создайте новое или измените существующее удостоверение, назначаемое пользователем, с помощью сведений, собранных в разделе "Сбор значений локального мониторинга".

Необходимые компоненты

• Выберите метод проверки подлинности для локальных средств мониторинга и соберите значения локального мониторинга, чтобы собрать необходимые значения и убедиться, что они в правильном формате.
• Если вы хотите добавить или обновить пользовательский сертификат HTTPS для доступа к локальным средствам мониторинга, вам потребуется сертификат, подписанный глобально известным и доверенным ЦС и хранящимся в Azure Key Vault. Сертификат должен использовать закрытый ключ типа RSA или EC, чтобы обеспечить его экспорт (дополнительные сведения см. в разделе "Экспортируемый или не экспортируемый ключ ").
• Если вы хотите обновить метод проверки подлинности локального мониторинга, убедитесь, что локальный компьютер имеет основной доступ kubectl к кластеру Kubernetes с поддержкой Azure Arc. Для этого требуется основной файл kubeconfig, который можно получить, выполнив доступ к пространству имен Core.
• Убедитесь, что вы можете войти в портал Azure с помощью учетной записи с доступом к активной подписке, используемой для создания частной мобильной сети. Эта учетная запись должна иметь встроенную роль участника или владельца в области подписки.

Просмотр конфигурации локального доступа

На этом шаге вы перейдете к ресурсу уровня управления "Ядро пакета", представляющего основной экземпляр пакета.

1. Войдите на портал Azure.

2. Найдите и выберите ресурс мобильной сети , представляющий частную мобильную сеть.

   

3. В меню ресурсов выберите "Сайты".

4. Выберите сайт, содержащий основной экземпляр пакета, который требуется изменить.

5. В заголовке сетевой функции выберите имя ресурса уровня управления "Ядро пакета", показанное рядом с пакетным ядром.

   

6. Проверьте поля в заголовке локального доступа , чтобы просмотреть текущую конфигурацию и состояние локального доступа.

Изменение конфигурации локального доступа

1. Выберите " Изменить локальный доступ".

   

2. В разделе "Тип проверки подлинности" выберите метод проверки подлинности, который вы хотите использовать.

3. В разделе сертификата HTTPS выберите, нужно ли предоставить пользовательский сертификат HTTPS для доступа к локальным средствам мониторинга.

4. Если вы выбрали "Да " для пользовательского сертификата HTTPS?используйте сведения, собранные в разделе "Сбор значений локального мониторинга", чтобы выбрать сертификат.

   

5. Выберите Далее.

6. Теперь Azure проверяет введенные вами значения конфигурации. Должно появиться сообщение о том, что значения прошли проверку.

   

7. Нажмите кнопку создания.

8. Теперь Azure повторно развернет основной экземпляр пакета с новой конфигурацией. После завершения развертывания портал Azure отобразится экран подтверждения.

9. Выберите Перейти к ресурсу. Убедитесь, что поля в локальном доступе содержат обновленные сведения о проверке подлинности и сертификате.

10. Если вы добавили или обновили пользовательский сертификат HTTPS, следуйте указаниям веб-графического интерфейса распределенной трассировки и доступу к панелям мониторинга ядра пакетов, чтобы проверить, доверяет ли браузер подключению к локальным средствам мониторинга. Обратите внимание на следующие условия.

    • Для синхронизации изменений в Key Vault с пограничным расположением может потребоваться до четырех часов.
    • Для наблюдения за изменениями может потребоваться очистить кэш браузера.

Настройка проверки подлинности доступа к локальному мониторингу

Выполните этот шаг, если вы изменили тип проверки подлинности для доступа к локальному мониторингу.

Если вы перешли с локальных имен пользователей и паролей на идентификатор Microsoft Entra ID, выполните действия, описанные в разделе "Включить идентификатор Microsoft Entra" для локальных средств мониторинга.

Если вы переключились с идентификатора Microsoft Entra на локальные имена пользователей и пароли:

1. Войдите в Azure Cloud Shell и выберите PowerShell. Если вы впервые обращается к кластеру с помощью Azure Cloud Shell, следуйте инструкциям по настройке доступа kubectl к кластеру .

2. Удалите секретные объекты Kubernetes:

   kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n core

3. Перезапустите модули pod распределенной трассировки и ядра пакетов.

   1. Получите имя панели мониторинга ядра пакетов pod:

      kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"

   2. Скопируйте выходные данные предыдущего шага и замените его на следующую команду, чтобы перезапустить модули pod.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

4. Следуйте указаниям веб-графического интерфейса распределенной трассировки и доступу к основным панелям мониторинга пакетов, чтобы проверить, можно ли получить доступ к локальным средствам мониторинга с помощью локальных имен пользователей и паролей.

Следующие шаги

• Дополнительные сведения о веб-графическом интерфейсе распределенной трассировки
• Дополнительные сведения о панелях мониторинга ядра пакетов