Ange SSL-certifikat för övervakning

Från och med december 2021-versionen kan Du med Azure Arc-aktiverade datatjänster tillhandahålla SSL-/TLS-certifikat för instrumentpanelerna för övervakning. Du kan använda dessa certifikat för loggar (Kibana) och instrumentpaneler för mått (Grafana).

Du kan ange certifikatet när du skapar en datakontrollant med:

• Azure az CLI-tillägg arcdata
• Inbyggd Kubernetes-distribution

Microsoft tillhandahåller exempelfiler för att skapa certifikaten på lagringsplatsen /microsoft/azure_arc/ GitHub.

Du kan klona filen lokalt för att få åtkomst till exempelfilerna.

git clone https://github.com/microsoft/azure_arc

De filer som refereras till i den här artikeln finns på lagringsplatsen under /arc_data_services/deploy/scripts/monitoring.

Skapa eller hämta lämpliga certifikat

Du behöver lämpliga certifikat för varje användargränssnitt. En för loggar och en för mått. I följande tabell beskrivs kraven.

I följande tabell beskrivs kraven för varje certifikat och nyckel.

Krav	Loggcertifikat	Måttcertifikat
CN	logsui-svc	metricsui-svc
Sans	Ingen krävs	metricsui-svc.${NAMESPACE}.${K8S_DNS_DOMAIN_NAME}
keyUsage	digitalsignature keyEncipherment	digitalsignature keyEncipherment
extendedKeyUsage	serverAuth	serverAuth

Kommentar

Standard K8S_DNS_DOMAIN_NAME är svc.cluster.local, men det kan variera beroende på miljö och konfiguration.

Katalogen GitHub-lagringsplats innehåller exempelmallfiler som identifierar certifikatspecifikationerna.

• /arc_data_services/deploy/scripts/monitoring/logsui-ssl.conf.tmpl
• /arc_data_services/deploy/scripts/monitoring/metricsui-ssl.conf.tmpl

GitHub-lagringsplatsen Azure Arc-exempel innehåller ett exempel som du kan använda för att generera ett kompatibelt certifikat och en privat nyckel för en slutpunkt.

Se koden från /arc_data_services/deploy/scripts/monitoringcreate-monitoring-tls-files.sh.

Om du vill använda exemplet för att skapa certifikat uppdaterar du följande kommando med din namespace och katalogen för certifikaten (output_directory). Kör sedan kommandot.

./create-monitor-tls-files.sh <namespace> <output_directory>

Detta skapar kompatibla certifikat i katalogen.

Distribuera med CLI

När du har certifikatet/den privata nyckeln för varje slutpunkt skapar du datakontrollanten med az dc create... kommandot .

Använd följande argument för att tillämpa ditt eget certifikat/din privata nyckel.

• --logs-ui-public-key-file <path\file to logs public key file>
• --logs-ui-private-key-file <path\file to logs private key file>
• --metrics-ui-public-key-file <path\file to metrics public key file>
• --metrics-ui-private-key-file <path\file to metrics private key file>

I följande exempel skapas till exempel en datakontrollant med avsedda certifikat för instrumentpanelerna för loggar och måttgränssnitt:

az arcdata dc create --profile-name azure-arc-aks-default-storage --k8s-namespace <namespace> --use-k8s --name arc --subscription <subscription id> --resource-group <resource group name> --location <location> --connectivity-mode indirect --logs-ui-public-key-file <path\file to logs public key file> --logs-ui-private-key-file <path\file to logs private key file> --metrics-ui-public-key-file <path\file to metrics public key file> --metrics-ui-private-key-file <path\file to metrics private key file>

#Example:
#az arcdata dc create --profile-name azure-arc-aks-default-storage  --k8s-namespace arc --use-k8s --name arc --subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --resource-group my-resource-group --location eastus --connectivity-mode indirect --logs-ui-public-key-file /path/to/logsuipublickeyfile.pem --logs-ui-private-key-file /path/to/logsuiprivatekey.pem --metrics-ui-public-key-file /path/to/metricsuipublickeyfile.pem --metrics-ui-private-key-file /path/to/metricsuiprivatekey.pem

Du kan bara ange certifikat när du tar med --use-k8s i -instruktionen az arcdata dc create ... .

Distribuera med inbyggda Kubernetes-verktyg

Om du använder inbyggda Kubernetes-verktyg för att distribuera skapar du kubernetes-hemligheter som innehåller certifikaten och de privata nycklarna. Skapa följande hemligheter:

• logsui-certificiate-secret
• metricsui-certificate-secret.

Kontrollera att tjänsterna visas som alternativa ämnesnamn (SAN) och att certifikatanvändningsparametrarna är korrekta.

1. Kontrollera att varje hemlighet har följande fält:
   • certificate.pem innehåller det base64-kodade certifikatet
   • privatekey.pem innehåller den privata nyckeln

Relaterat innehåll

• Prova att ladda upp mått och loggar till Azure Monitor
• Läs om Grafana:
  • Komma igång
  • Grunderna i Grafana
  • Grafana-självstudier
• Läs om Kibana
  • Inledning
  • Kibana-guide
  • Introduktion till instrumentpanelsgranskningar med datavisualiseringar i Kibana
  • Så här skapar du Kibana-instrumentpaneler