你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
修改站点中的本地访问配置
可以使用 Microsoft Entra ID 或本地用户名和密码对分布式跟踪和数据包核心仪表板的访问进行身份验证。 此外,可以使用自签名证书或提供自己的证书来证明对本地诊断工具的访问权限。
为了提高部署的安全性,我们建议通过本地用户名和密码设置 Microsoft Entra 身份验证,并提供由全球已知和受信任的证书颁发机构(CA)签名的证书。
本操作指南介绍如何使用Azure 门户更改身份验证方法和用于保护对站点本地监视工具的访问的证书。
提示
相反,如果要修改为 HTTPS 证书配置的用户分配标识,请使用收集本地监视值中收集的信息创建新的或编辑现有用户分配的标识。
先决条件
- 请参阅选择本地监视工具的身份验证方法,并收集本地监视值以收集所需的值,并确保它们采用正确的格式。
- 如果要添加或更新用于访问本地监视工具的自定义 HTTPS 证书,则需要由全局已知且受信任的 CA 签名并存储在 Azure 密钥库中的证书。 证书必须使用 RSA 或 EC 类型的私钥才能确保其可导出(有关详细信息,请参阅可导出或不可导出的密钥)。
- 若要更新本地监视身份验证方法,请确保本地计算机具有对已启用 Azure Arc 的 Kubernetes 群集的核心 kubectl 访问权限。 这需要一个核心 kubeconfig 文件,可以通过以下 核心命名空间访问来获取该文件。
- 确保可以使用一个有权访问用于创建专用移动网络的活动订阅的帐户登录到 Azure 门户。 此帐户必须具有订阅范围的内置参与者角色。
查看本地访问配置
在此步骤中,你将导航到表示数据包核心实例的“数据包核心控制平面”资源。
登录到 Azure 门户。
搜索并选择代表专用移动网络的移动网络资源。
在资源菜单中,选择“ 站点”。
选择包含要修改的数据包核心实例的站点。
在“网络功能”标题下,选择显示在“数据包核心”旁边的“数据包核心控制平面”资源的名称。
检查“本地访问”标题下的字段以查看当前的本地访问配置和状态。
修改本地访问配置
选择“ 修改本地访问”。
在“身份验证类型”下,选择要使用的身份验证方法。
在 HTTPS 证书下,选择是否要提供用于访问本地监视工具的自定义 HTTPS 证书。
如果选择“是”提供自定义 HTTPS 证书?,请使用在“收集本地监视值”中收集的信息来选择证书。
选择下一步。
Azure 现在将验证输入的配置值。 应会看到一条消息,指出你的值已通过验证。
选择创建。
Azure 现在将使用新配置重新部署数据包核心实例。 完成此部署后,Azure 门户将显示确认屏幕。
选择“转到资源”。 检查“本地访问”下的字段是否包含更新的身份验证和证书信息。
如果添加了或更新了自定义 HTTPS 证书,请按照 Access 分布式跟踪 Web GUI 和访问数据包核心仪表板检查(如果浏览器信任与本地监视工具的连接)。 请注意:
- 密钥库中的更改可能需要长达四个小时才能与边缘位置同步。
- 可能需要清除浏览器缓存才能观察更改。
配置本地监视访问身份验证
如果更改了本地监视访问的身份验证类型,请按照以下步骤操作。
如果从本地用户名和密码切换到 Microsoft Entra ID,请按照“为本地监视工具启用 Microsoft Entra ID”中的步骤操作。
如果从 Microsoft Entra ID 切换到本地用户名和密码:
登录到 Azure Cloud Shell 并选择 PowerShell。 如果这是你第一次通过 Azure Cloud Shell 访问群集,请按照 Access 群集 配置 kubectl 访问。
删除 Kubernetes 机密对象:
kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n core
重启分布式跟踪和数据包核心仪表板 Pod。
获取数据包核心仪表板 pod 的名称:
kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"
复制上一步的输出并将其替换为以下命令以重启 Pod。
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
如果可以使用本地用户名和密码访问本地监视工具,请按照访问分布式跟踪 Web GUI 和访问数据包核心仪表板检查。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈