Aktivera Microsoft Entra-ID för lokala övervakningsverktyg

Azure Private 5G Core tillhandahåller verktygen för distribuerad spårning och instrumentpaneler för paketkärnor för övervakning av distributionen vid gränsen. Du kan komma åt dessa verktyg med hjälp av Microsoft Entra-ID eller ett lokalt användarnamn och lösenord. Vi rekommenderar att du konfigurerar Microsoft Entra-autentisering för att förbättra säkerheten i distributionen.

I den här instruktionsguiden utför du de steg du behöver utföra när du har distribuerat eller konfigurerat en webbplats som använder Microsoft Entra-ID för att autentisera åtkomsten till dina lokala övervakningsverktyg. Du behöver inte följa detta om du har valt att använda lokala användarnamn och lösenord för att få åtkomst till instrumentpanelerna för distribuerad spårning och paketkärna.

Varning

Microsoft Entra-ID för lokala övervakningsverktyg stöds inte när en webbproxy är aktiverad på Den Azure Stack Edge-enhet där Azure Private 5G Core körs. Om du har konfigurerat en brandvägg som blockerar trafik som inte överförs via webbproxyn kommer det att misslyckas att aktivera Microsoft Entra-ID:t.

Förutsättningar

• Du måste ha slutfört stegen i Slutför nödvändiga uppgifter för att distribuera ett privat mobilt nätverk och Samla in nödvändig information för en webbplats.
• Du måste ha distribuerat en webbplats med Microsoft Entra-ID inställt som autentiseringstyp.
• Identifiera IP-adressen för åtkomst till de lokala övervakningsverktyg som du har konfigurerat i hanteringsnätverket.
• Se till att du kan logga in på Azure Portal med ett konto med åtkomst till den aktiva prenumeration som du använde för att skapa ditt privata mobilnätverk. Det här kontot måste ha behörighet att hantera program i Microsoft Entra-ID. Inbyggda Microsoft Entra-roller som har de behörigheter som krävs är till exempel programadministratör, programutvecklare och molnprogramadministratör. Om du inte har den här åtkomsten kontaktar du microsoft entra-administratören för klientorganisationen så att de kan bekräfta att användaren har tilldelats rätt roll genom att följa Tilldela användarroller med Microsoft Entra-ID.
• Se till att den lokala datorn har grundläggande kubectl-åtkomst till Det Azure Arc-aktiverade Kubernetes-klustret. Detta kräver en kubeconfig-kärnfil som du kan hämta genom att följa core-namnområdesåtkomsten.

Konfigurera domännamn (DNS) för lokal övervaknings-IP

När du registrerar ditt program och konfigurerar omdirigerings-URI:er behöver du dina omdirigerings-URI:er för att innehålla ett domännamn i stället för en IP-adress för åtkomst till de lokala övervakningsverktygen.

I den auktoritativa DNS-servern för DNS-zonen som du vill skapa DNS-posten i konfigurerar du en DNS-post för att matcha domännamnet till den IP-adress som används för åtkomst till lokala övervakningsverktyg som du har konfigurerat i hanteringsnätverket.

Registrera app

Nu ska du registrera ett nytt lokalt övervakningsprogram med Microsoft Entra-ID för att upprätta en förtroenderelation med Microsofts identitetsplattform.

Om distributionen innehåller flera platser kan du använda samma två omdirigerings-URI:er för alla platser eller skapa olika URI-par för varje plats. Du kan konfigurera högst två omdirigerings-URI:er per plats. Om du redan har registrerat ett program för distributionen och vill använda samma URI:er på dina webbplatser kan du hoppa över det här steget.

Kommentar

Dessa instruktioner förutsätter att du använder ett enda program för både distribuerad spårning och instrumentpanelerna för paketkärnan. Om du vill ge åtkomst till olika användargrupper för dessa två verktyg kan du i stället konfigurera ett program för instrumentpanelsrollerna för paketkärnorna och ett för den distribuerade spårningsrollen.

1. Följ snabbstart: Registrera ett program med Microsofts identitetsplattform för att registrera ett nytt program för dina lokala övervakningsverktyg med Microsofts identitetsplattform.

   1. I Lägg till en omdirigerings-URI väljer du webbplattformen och lägger till följande två omdirigerings-URI:er, där <den lokala övervakningsdomänen> är domännamnet för dina lokala övervakningsverktyg som du konfigurerade i Konfigurera domännamn (DNS) för lokal övervaknings-IP:

      • <https:// lokal övervakningsdomän>/sas/auth/aad/callback
      • <https:// lokal övervakningsdomän>/grafana/login/azuread

   2. I Lägg till autentiseringsuppgifter följer du stegen för att lägga till en klienthemlighet. Se till att registrera hemligheten under kolumnen Värde , eftersom det här fältet endast är tillgängligt omedelbart efter att hemligheten har skapats. Det här är det klienthemlighetsvärde som du behöver senare i den här proceduren.

2. Följ användargränssnittet för approller för att skapa rollerna för ditt program med följande konfiguration:

   • I Tillåtna medlemstyper väljer du Användare/grupper.
   • I Värde anger du en av Administratör, Visningsprogram och Redigerare för varje roll du skapar. För distribuerad spårning behöver du också en sas.user-roll .
   • I Vill du aktivera den här approllen? kontrollerar du att kryssrutan är markerad.

   Du kommer att kunna använda de här rollerna när du hanterar åtkomsten till instrumentpanelerna för paketkärnorna och det distribuerade spårningsverktyget.

3. Följ Tilldela användare och grupper till roller för att tilldela användare och grupper till de roller som du skapade.

Samla in information för Kubernetes-hemliga objekt

1. Samla in värdena i följande tabell.

   Värde	Samla in	Namn på kubernetes-hemlighetsparameter
   Tenant ID	I Azure Portal söker du efter Microsoft Entra-ID. Du hittar fältet Klientorganisations-ID på sidan Översikt.	tenant_id
   Program-ID (klient)-ID	Gå till den nya lokala övervakningsappregistreringen som du nyss skapade. Du hittar fältet Program -ID (klient) på sidan Översikt under rubriken Essentials .	client_id
   Auktoriserings-URL	På sidan översikt över appregistrering för lokal övervakning väljer du Slutpunkter. Kopiera innehållet i fältet OAuth 2.0-auktoriseringsslutpunkt (v2). Obs! Om strängen innehåller organizationsersätter du organizations med värdet klientorganisations-ID. Till exempel: https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize Blir https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.	auth_url
   Token-URL	På sidan översikt över appregistrering för lokal övervakning väljer du Slutpunkter. Kopiera innehållet i fältet OAuth 2.0-tokenslutpunkt (v2). Obs! Om strängen innehåller organizationsersätter du organizations med värdet klientorganisations-ID. Till exempel: https://login.microsoftonline.com/organizations/oauth2/v2.0/token Blir https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.	token_url
   Client secret	Du samlade in detta när du skapade klienthemligheten i föregående steg.	client_secret
   URI-rot för distribuerad spårningsdirigering	Anteckna följande del av omdirigerings-URI:n: https://< lokal övervakningsdomän.>	redirect_uri_root
   Omdirigerings-URI-rot för instrumentpaneler för paketkärnor	Anteckna följande del av omdirigerings-URI:n för paketkärninstrumentpaneler: https://< lokal övervakningsdomän>/grafana.	root_url

Ändra lokal åtkomst

Gå till Azure Portal och gå till webbplatsens Packet Core Control Plane-resurs. Välj bladets fliken Ändra lokal åtkomst .

1. Om autentiseringstypen är inställd på Microsoft Entra-ID fortsätter du till Skapa Kubernetes-hemliga objekt.
2. Annars:
   1. Välj Microsoft Entra-ID i listrutan Autentiseringstyp .
   2. Välj Granska.
   3. Välj Skicka.

Skapa Hemliga Kubernetes-objekt

För att stödja Microsoft Entra-ID i Azure Private 5G Core-program behöver du en YAML-fil som innehåller Kubernetes-hemligheter.

1. Konvertera vart och ett av de värden som du samlade in i Samla in information för Kubernetes Hemliga objekt till Base64-format. Du kan till exempel köra följande kommando i ett Azure Cloud Shell Bash-fönster :

   echo -n <Value> | base64
   

2. Skapa en secret-azure-ad-local-monitoring.yaml-fil som innehåller Base64-kodade värden för att konfigurera distribuerad spårning och instrumentpanelerna för paketkärnan. Hemligheten för distribuerad spårning måste ha namnet sas-auth-secrets, och hemligheten för instrumentpanelerna för paketkärnorna måste ha namnet grafana-auth-secrets.

   apiVersion: v1
   kind: Secret
   metadata:
       name: sas-auth-secrets
       namespace: core
   type: Opaque
   data:
       client_id: <Base64-encoded client ID>
       client_secret: <Base64-encoded client secret>
       redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
       tenant_id: <Base64-encoded tenant ID>
   
   ---
   
   apiVersion: v1
   kind: Secret
   metadata:
       name: grafana-auth-secrets
       namespace: core
   type: Opaque
   data:
       GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
       GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
       GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
       GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
       GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>
   

Använda Hemliga Kubernetes-objekt

Du måste tillämpa dina Kubernetes-hemliga objekt om du aktiverar Microsoft Entra-ID för en webbplats, efter ett avbrott i paketkärnan eller efter uppdatering av YAML-filen för Kubernetes Secret Object.

1. Logga in på Azure Cloud Shell och välj PowerShell. Om det här är första gången du kommer åt klustret via Azure Cloud Shell följer du Åtkomst till klustret för att konfigurera kubectl-åtkomst.

2. Använd det hemliga objektet för både distribuerad spårning och instrumentpanelerna för paketkärnorna och ange filnamnet kubeconfig core.

   kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

3. Använd följande kommandon för att kontrollera om de hemliga objekten har tillämpats korrekt och ange filnamnet kubeconfig core kubeconfig. Du bör se rätt värden för Namn, Namnområde och Typ , tillsammans med storleken på de kodade värdena.

   kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

   kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

4. Starta om poddar för distribuerad spårning och paketkärnor.

   1. Hämta namnet på instrumentpanelspodden för paketkärnorna:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

   2. Kopiera utdata från föregående steg och ersätt det med följande kommando för att starta om poddarna.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Verifiera åtkomst

Följ Åtkomst till webbgränssnittet för distribuerad spårning och Få åtkomst till instrumentpanelerna för paketkärnorna för att kontrollera om du kan komma åt dina lokala övervakningsverktyg med hjälp av Microsoft Entra-ID.

Uppdatera Hemliga Kubernetes-objekt

Följ det här steget om du behöver uppdatera dina befintliga Kubernetes-hemliga objekt. Till exempel när du har uppdaterat omdirigerings-URI:er eller förnyat en klienthemlighet som har upphört att gälla.

1. Gör nödvändiga ändringar i Kubernetes Secret Object YAML-filen som du skapade i Skapa Kubernetes-hemliga objekt.
2. Använd Kubernetes-hemliga objekt.
3. Kontrollera åtkomsten.

Nästa steg

Om du inte redan har gjort det bör du nu utforma principkontrollkonfigurationen för ditt privata mobilnätverk. På så sätt kan du anpassa hur dina paketkärninstanser tillämpar tjänstkvalitetsegenskaper (QoS) på trafiken. Du kan också blockera eller begränsa vissa flöden.

• Läs mer om hur du utformar konfigurationen av principkontroll för ditt privata mobilnätverk