你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
收集站点所需的信息
Azure 专用 5G 核心专用移动网络包含一个或多个站点。 每个站点代表一个实体企业位置(例如,Contoso Corporation 在芝加哥的工厂),其中包含一个托管数据包核心实例的 Azure Stack Edge 设备。 本操作指南将引导你完成收集创建新网站所需的信息的过程。
可以使用此信息通过 Azure 门户在现有专用移动网络中创建站点。 还可将此信息用作 ARM 模板的一部分来部署新的专用移动网络和站点,或将新站点添加到现有的专用移动网络。
先决条件
- 必须完成完成部署专用移动网络的先决条件任务中的步骤。
- 如果要为存储帐户提供 Azure 基于角色的访问控制(Azure RBAC),则必须对帐户具有相关权限。
- 记下包含专用移动网络的资源组,该网络是在“收集部署专用移动网络所需的信息”中收集的。 建议在此过程中创建的移动网络站点资源属于同一资源组。
选择服务计划
选择最符合要求的服务计划,并验证定价和费用。 请参阅 Azure 专用 5G 核心定价。
收集移动网络站点资源值
收集下表中列出的、表示你的站点的移动网络站点资源的所有值。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 用于创建移动网络站点资源的 Azure 订阅。 必须对专用移动网络部署中的所有资源使用同一订阅。 | 项目详细信息:订阅 |
| 要在其中创建移动网络站点资源的 Azure 资源组。 建议使用已包含你的专用移动网络的同一资源组。 | 项目详细信息:资源组 |
| 站点的名称。 | 实例详细信息:名称 |
| 部署专用移动网络的区域。 | 实例详细信息:区域 |
| 要在其中创建移动网络站点资源的数据包核心。 | 实例详细信息:数据包核心名称 |
| 在其中部署专用移动网络的区域的区域代码名称。 如果要使用 ARM 模板创建网站,则只需收集此值。 |
不适用。 |
| 表示要将站点添加到的专用移动网络的移动网络资源。 仅当你要使用 ARM 模板创建站点,才需要收集此值。 |
不适用。 |
| 要创建的站点的服务计划。 请参阅 Azure 专用 5G 核心定价。 | 实例详细信息:服务计划 |
收集数据包核心配置值
为将在站点中运行的数据包核心实例收集下表中的所有值。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 数据包核心实例应支持的核心技术类型:5G、4G 或组合 4G 和 5G。 | 技术类型 |
| 表示站点中 Azure Stack Edge Pro 设备的 Azure Stack Edge 资源。 这是你在执行订购和设置 Azure Stack Edge Pro 设备中的步骤期间创建的资源。 如果要使用 Azure 门户创建站点,请收集 Azure Stack Edge 资源的名称。 如果要使用 ARM 模板创建站点,请收集 Azure Stack Edge 资源的完整资源 ID。 要执行此操作,可以导航到 Azure Stack Edge 资源,选择“JSON 视图”,然后复制资源 ID 字段的内容。 |
Azure Stack Edge 设备 |
| 自定义位置,该位置以站点中 Azure Stack Edge Pro 设备上 Azure Stack HCI (AKS-HCI) 群集中的 Azure Kubernetes 服务为目标。 你委托 AKS-HCI 群集作为 AKS 群集委托的步骤的一部分。 如果要使用 Microsoft Azure 门户创建站点,请收集自定义位置的名称。 如果要使用 ARM 模板创建站点,请收集自定义位置的完整资源 ID。 要执行此操作,可以导航到“自定义位置”资源,选择“JSON 视图”,然后复制资源 ID 字段的内容。 |
自定义位置 |
收集访问网络值
收集下表中的所有值,以定义数据包核心实例通过控制平面和用户平面接口与访问网络建立的连接。 Microsoft Azure 门户中显示的字段名称将取决于为技术类型选择的值,如“收集数据包核心配置值”中所述。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 访问网络上控制平面接口的 IP 地址。 对于 5G,此接口是 N2 接口;对于 4G,它是 S1-MME 接口;对于组合 4G 和 5G,它是 N2 和 S1-MME 接口。 你已在分配子网和 IP 地址中标识此地址。 此 IP 地址必须与你在 Azure Stack Edge Pro 设备上部署 AKS-HCI 群集时使用的值匹配。 这是你在执行订购和设置 Azure Stack Edge Pro 设备中的步骤期间使用的值。 |
N2 地址(信号)(适用于 5G)、S1-MME 地址(适用于 4G)或 S1-MME/N2 地址(信号)(用于组合 4G 和 5G)。 |
| Azure Stack Edge Pro 设备上端口 5 上的虚拟网络名称,对应于访问网络上的控制平面接口。 对于 5G,此接口是 N2 接口;对于 4G,它是 S1-MME 接口;对于合并的 4G 和 5G,它是 N2/S1-MME 接口;对于组合 4G 和 5G,它是 N2/S1-MME 接口。 | A标准版 N2 虚拟子网(适用于 5G)、A标准版 S1-MME 虚拟子网(适用于 4G)或 A标准版 N2/S1-MME 虚拟子网(用于组合 4G 和 5G)。 |
| Azure Stack Edge Pro 设备端口 5 上的虚拟网络名称,对应于访问网络上的用户平面接口。 对于 5G,此接口是 N3 接口;对于 4G,此接口是 S1-U 接口;对于 4G 和 5G 组合,此接口是 N3/S1-U 接口。 | A标准版 N3 虚拟子网(适用于 5G)、A标准版 S1-U 虚拟子网(适用于 4G)或 A标准版 N3/S1-U 虚拟子网(用于合并 4G 和 5G)。 |
| 值 | Azure 门户中的字段名称 |
|---|---|
| 访问网络上控制平面接口的 IP 地址。 对于 5G,此接口是 N2 接口;对于 4G,它是 S1-MME 接口;对于组合 4G 和 5G,它是 N2 和 S1-MME 接口。 你已在分配子网和 IP 地址中标识此地址。 此 IP 地址必须与你在 Azure Stack Edge Pro 设备上部署 AKS-HCI 群集时使用的值匹配。 这是你在执行订购和设置 Azure Stack Edge Pro 设备中的步骤期间使用的值。 |
N2 地址(信号)(适用于 5G)、S1-MME 地址(适用于 4G)或 S1-MME/N2 地址(信号)(用于组合 4G 和 5G)。 |
| Azure Stack Edge Pro 2 上端口 3 上的虚拟网络名称,对应于访问网络上的控制平面接口。 对于 5G,此接口是 N2 接口;对于 4G,此接口是 S1-MME 接口;对于 4G 和 5G 组合,此接口是 N2/S1-MME 接口。 | A标准版 N2 虚拟子网(适用于 5G)、A标准版 S1-MME 虚拟子网(适用于 4G)或 A标准版 N2/S1-MME 虚拟子网(用于组合 4G 和 5G)。 |
| Azure Stack Edge Pro 2 上端口 3 上的虚拟网络名称,该名称对应于访问网络上的用户界面。 对于 5G,此接口是 N3 接口;对于 4G,此接口是 S1-U 接口;对于 4G 和 5G 组合,此接口是 N3/S1-U 接口。 | A标准版 N3 虚拟子网(适用于 5G)、A标准版 S1-U 虚拟子网(适用于 4G)或 A标准版 N3/S1-U 虚拟子网(用于合并 4G 和 5G)。 |
收集 UE 使用情况跟踪值
如果要为站点配置 UE 使用情况跟踪,请收集下表中的所有值,以定义数据包核心实例的关联事件中心实例。 有关详细信息,请参阅 事件中心的 监视 UE 使用情况。
注意
在收集下表中的信息之前,必须已有一个具有关联用户分配的托管标识的Azure 事件中心实例和资源策略参与者角色。
注意
Azure 专用 5G 核心不支持使用 日志压缩删除清理策略的事件中心。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 站点将用于 UE 使用情况跟踪的Azure 事件中心实例的命名空间。 | Azure 事件中心命名空间 |
| 站点将用于 UE 使用情况跟踪的Azure 事件中心实例的名称。 | 事件中心名称 |
| 用户分配的托管标识,该标识具有 事件中心实例的资源策略参与者 角色。 注意: 必须将托管标识分配给站点的数据包核心控制平面,并通过实例的 “标识和访问管理”(IAM) 边栏选项卡分配给事件中心实例。 注意: 仅向站点分配一个托管标识。 升级和站点配置修改后,此托管标识必须用于站点的任何 UE 使用情况跟踪。 有关托管标识的详细信息,请参阅 使用用户分配的托管标识捕获事件 。 |
用户分配的托管标识 |
收集数据网络值
每个站点最多可以配置 10 个数据网络。 在创建站点期间,可以选择是附加现有数据网络还是创建新的数据网络。
对于要配置的每个数据网络,请收集下表中的所有值。 这些值定义数据包核心实例通过用户平面接口与数据网络的连接,因此,无论是创建数据网络还是使用现有数据网络,都需要收集它们。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 数据网络的名称。 这可以是现有数据网络,也可以是在数据包核心配置期间创建的新数据网络。 | 数据网络名称 |
| 端口 6(如果计划在 Azure Stack Edge Pro GPU 设备上具有 6 个以上的数据网络)上的虚拟网络名称(或端口 5),对应于数据网络上的用户界面。 对于 5G,此接口是 N6 接口;对于 4G,此接口是 SGi 接口;对于 4G 和 5G 组合,此接口是 N6/SGi 接口。 | A标准版 N6 虚拟子网(适用于 5G)或 A标准版 SGi 虚拟子网(适用于 4G),或 A标准版 N6/SGi 虚拟子网(用于组合 4G 和 5G)。 |
以 CIDR 表示法表示的子网网址,必须将其中的动态 IP 地址分配给用户设备 (UE)。 如果不想为此站点支持动态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 192.0.2.0/24请注意,UE 子网与访问子网无关。 |
动态 UE IP 池前缀 |
以 CIDR 表示法表示的子网网络地址,必须将其中的静态 IP 地址分配给用户设备 (UE)。 如果不想为此站点支持静态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 203.0.113.0/24请注意,UE 子网与访问子网无关。 |
静态 UE IP 池前缀 |
| 要提供给连接到此数据网络的 UE 的域名系统 (DNS) 服务器地址。 你已在分配子网和 IP 地址中标识此地址。 如果不想为数据网络配置 DNS 服务器,此值可能是空列表。 在这种情况下,该数据网络中的 UE 将无法解析域名。 |
DNS 地址 |
| 是否应为此数据网络启用网络地址和端口转换 (NAPT)。 使用 NAPT 可将 UE 的较大专用 IP 地址池转换为少量的公共 IP 地址。 这种转换是在流量进入数据网络时执行的,可以最大程度地利用有限的公共 IP 地址。 禁用 NAPT 后,必须在数据网络路由器中配置通过相应的用户平面数据 IP 地址到 UE IP 池的静态路由。 如果要在此数据网络中使用 UE 到 UE 流量 ,请禁用 NAPT。 |
NAPT |
| 值 | Azure 门户中的字段名称 |
|---|---|
| 数据网络的名称。 这可以是现有数据网络,也可以是在数据包核心配置期间创建的新数据网络。 | 数据网络名称 |
| 如果计划在 Azure Stack Edge Pro 2 设备上具有六个以上的数据网络,则端口 4(或端口 3)上的虚拟网络名称对应于数据网络上的用户界面。 对于 5G,此接口是 N6 接口;对于 4G,此接口是 SGi 接口;对于 4G 和 5G 组合,此接口是 N6/SGi 接口。 | A标准版 N6 虚拟子网(适用于 5G)或 A标准版 SGi 虚拟子网(适用于 4G),或 A标准版 N6/SGi 虚拟子网(用于组合 4G 和 5G)。 |
以 CIDR 表示法表示的子网网址,必须将其中的动态 IP 地址分配给用户设备 (UE)。 如果不想为此站点支持动态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 192.0.2.0/24请注意,UE 子网与访问子网无关。 |
动态 UE IP 池前缀 |
以 CIDR 表示法表示的子网网络地址,必须将其中的静态 IP 地址分配给用户设备 (UE)。 如果不想为此站点支持静态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 203.0.113.0/24请注意,UE 子网与访问子网无关。 |
静态 UE IP 池前缀 |
| 要提供给连接到此数据网络的 UE 的域名系统 (DNS) 服务器地址。 你已在分配子网和 IP 地址中标识此地址。 如果不想为数据网络配置 DNS 服务器,此值可能是空列表。 在这种情况下,该数据网络中的 UE 将无法解析域名。 |
DNS 地址 |
| 是否应为此数据网络启用网络地址和端口转换 (NAPT)。 使用 NAPT 可将 UE 的较大专用 IP 地址池转换为少量的公共 IP 地址。 这种转换是在流量进入数据网络时执行的,可以最大程度地利用有限的公共 IP 地址。 禁用 NAPT 后,必须在数据网络路由器中配置通过相应的用户平面数据 IP 地址到 UE IP 池的静态路由。 如果要在此数据网络中使用 UE 到 UE 流量 ,请禁用 NAPT。 |
NAPT |
收集诊断包收集的值
可以使用存储帐户和用户分配的托管标识以及存储帐户的写入访问权限来收集站点的诊断包。
如果不想在此阶段配置诊断包收集,则无需收集任何内容。 可以在创建网站后配置此配置。
如果要在创建站点期间配置诊断包收集,请参阅收集诊断包收集的值。
选择本地监视工具的身份验证方法
Azure 专用 5G Core 提供用于监视部署的仪表板,以及用于收集详细信号跟踪的 Web GUI。 可以使用 Microsoft Entra ID 或本地用户名和密码访问这些工具。 建议设置 Microsoft Entra 身份验证以提高部署的安全性。
如果要使用 Microsoft Entra ID 访问本地监视工具,请在创建站点后执行“为本地监视工具启用 Microsoft Entra ID”中的步骤。
如果要使用本地用户名和密码访问本地监视工具,则无需设置任何其他配置。 部署站点后,按照 Access 分布式跟踪 Web GUI 和访问数据包核心仪表板设置用户名和密码。
稍后,可以按照 修改站点中的本地访问配置来更改身份验证方法。
注意
处于 断开连接模式时,将无法更改本地监视身份验证方法或使用 Microsoft Entra ID 登录。 如果希望在 A标准版断开连接时需要访问本地监视工具,请考虑改用本地用户名和密码身份验证方法。
收集本地监视值
可以使用自签名证书或自定义证书来保护对边缘分布式跟踪和数据包核心仪表板的访问。 建议提供自己的 HTTPS 证书,并且证书由全球已知且受信任的证书颁发机构 (CA) 签名,因为这样可以为部署提供额外的安全性,并允许浏览器识别证书签名者。
如果不想在此阶段提供自定义 HTTPS 证书,则无需收集任何内容。 稍后可以按照修改站点中的本地访问配置来更改此配置。
如果要在创建站点时提供自定义 HTTPS 证书,请执行以下步骤。
创建 Azure 密钥保管库或选择现有的 Azure 密钥保管库来托管证书。 确保使用 Azure 虚拟机配置密钥保管库,以便进行部署资源访问。
确保证书存储在密钥保管库中。 可以生成密钥库证书,也可以将现有证书导入到密钥库。 证书必须:
- 由全球已知且受信任的 CA 签名。
- 使用 RSA 或 EC 类型的私钥来确保其可导出(有关详细信息,请参阅 “可导出或不可导出密钥 ”)。
我们还建议为证书设置 DNS 名称。
如果要将证书配置为自动续订,请参阅教程:在密钥保管库中配置证书自动轮换,了解有关启用自动轮换的信息。
注意
- 证书验证将始终针对密钥保管库中最新版本的本地访问证书执行。
- 如果你启用了自动轮换,密钥保管库中的证书更新可能需要四个小时才能与边缘位置同步。
确定要如何提供对证书的访问权限。 可以使用密钥保管库访问策略或 Azure 基于角色的访问控制 (Azure RBAC)。
分配密钥保管库访问策略。 在 Azure 专用 MEC 服务主体的“机密权限”和“证书”权限下提供“获取和列出”权限。
使用 Azure 基于角色的访问控制(RBAC)提供对密钥库密钥、证书和机密的访问权限。 向 Azure 专用 MEC 服务主体提供密钥库读取者和密钥库机密用户权限。
如果需要,请将密钥库访问策略或 Azure RBAC 分配给用户分配的标识。
- 如果为诊断集合配置了现有的用户分配标识,则可以对其进行修改。
- 否则,可以创建新的用户分配标识。
收集下表中的值。
值 Azure 门户中的字段名称 包含自定义 HTTPS 证书的 Azure 密钥保管库的名称。 密钥保管库 Azure 密钥保管库中 CA 签名的自定义 HTTPS 证书的名称。 证书
后续步骤
使用收集的信息创建网站: