Megosztás a következőn keresztül:

A Microsoft Entra ID engedélyezése helyi monitorozási eszközökhöz

  • Cikk

Az Azure Private 5G Core az elosztott nyomkövetési és csomagmag-irányítópultokat biztosítja az üzembe helyezés peremhálózati monitorozásához. Ezeket az eszközöket Microsoft Entra-azonosítóval vagy helyi felhasználónévvel és jelszóval érheti el. Javasoljuk, hogy állítsa be a Microsoft Entra-hitelesítést az üzembe helyezés biztonságának javítása érdekében.

Ebben az útmutatóban végrehajtja a szükséges lépéseket egy Olyan webhely üzembe helyezése vagy konfigurálása után, amely a Microsoft Entra ID-t használja a helyi monitorozási eszközökhöz való hozzáférés hitelesítéséhez. Ezt nem kell követnie, ha úgy döntött, hogy helyi felhasználóneveket és jelszavakat használ az elosztott nyomkövetési és csomagmag-irányítópultok eléréséhez.

Figyelemfelhívás

A helyi monitorozási eszközök Microsoft Entra-azonosítója nem támogatott, ha egy webes proxy engedélyezve van azon az Azure Stack Edge-eszközön, amelyen az Azure Private 5G Core fut. Ha olyan tűzfalat konfigurált, amely blokkolja a webes proxyn keresztül nem továbbított forgalmat, akkor a Microsoft Entra ID engedélyezésével meghiúsul az Azure Private 5G Core telepítése.

Előfeltételek

  • A privát mobilhálózat üzembe helyezésének előfeltételeinek elvégzése és a helyekhez szükséges információk összegyűjtése című témakör lépéseit el kell végeznie.
  • Hitelesítési típusként egy Microsoft Entra-azonosítóval rendelkező webhelyet kell üzembe helyeznie.
  • Azonosítsa a Felügyeleti hálózatban beállított helyi monitorozási eszközök eléréséhez szükséges IP-címet.
  • Győződjön meg arról, hogy a privát mobilhálózat létrehozásához használt aktív előfizetéshez hozzáférő fiókkal bejelentkezhet az Azure Portalra. Ennek a fióknak engedéllyel kell rendelkeznie az alkalmazások Microsoft Entra-azonosítóban való kezeléséhez. A szükséges engedélyekkel rendelkező beépített Microsoft Entra-szerepkörök közé tartoznak például az alkalmazásadminisztrátor, az alkalmazásfejlesztő és a felhőalkalmazás-rendszergazda. Ha nem rendelkezik ezzel a hozzáféréssel, forduljon a bérlő Microsoft Entra rendszergazdájához, hogy meggyőződhessen arról, hogy a felhasználó a megfelelő szerepkörhöz lett rendelve. Ehhez kövesse a Felhasználói szerepkörök hozzárendelése Microsoft Entra-azonosítóval való hozzárendelését.
  • Győződjön meg arról, hogy a helyi gép alapvető kubectl-hozzáféréssel rendelkezik az Azure Arc-kompatibilis Kubernetes-fürthöz. Ehhez egy alapvető kubeconfig-fájlra van szükség, amelyet a Core névtér-hozzáférésének követésével szerezhet be.

Tartományrendszernév (DNS) konfigurálása a helyi figyelési IP-címhez

Az alkalmazás regisztrálásakor és az átirányítási URI-k konfigurálásakor az átirányítási URI-knak tartománynevet kell tartalmazniuk, és nem IP-címet a helyi monitorozási eszközök eléréséhez.

A dns-rekordot létrehozni kívánt DNS-zóna mérvadó DNS-kiszolgálójában konfiguráljon egy DNS-rekordot a tartománynévnek a felügyeleti hálózaton beállított helyi monitorozási eszközök eléréséhez használt IP-címre való feloldásához.

Alkalmazás regisztrálása

Most regisztrál egy új helyi monitorozási alkalmazást a Microsoft Entra-azonosítóval, hogy megbízhatósági kapcsolatot létesítsen a Microsoft Identitásplatform.

Ha az üzemelő példány több helyet tartalmaz, használhatja ugyanazt a két átirányítási URI-t az összes helyhez, vagy létrehozhat különböző URI-párokat mindegyik helyhez. Webhelyenként legfeljebb két átirányítási URI-t konfigurálhat. Ha már regisztrált egy alkalmazást az üzembe helyezéshez, és ugyanazokat az URI-kat szeretné használni a webhelyeken, kihagyhatja ezt a lépést.

Feljegyzés

Ezek az utasítások feltételezik, hogy egyetlen alkalmazást használ az elosztott nyomkövetéshez és a csomagmag-irányítópultokhoz is. Ha a két eszközhöz különböző felhasználói csoportokhoz szeretne hozzáférést biztosítani, ehelyett beállíthat egy alkalmazást a csomagmag-irányítópultok szerepköreihez, egyet pedig az elosztott nyomkövetési szerepkörhöz.

  1. Kövesse a rövid útmutatót: Alkalmazás regisztrálása a Microsoft Identitásplatform új alkalmazás regisztrálásához a helyi monitorozási eszközökhöz a Microsoft Identitásplatform.

    1. Átirányítási URI hozzáadásakor válassza ki a webplatformot, és adja hozzá a következő két átirányítási URI-t, ahol< a helyi monitorozási tartomány> a helyi monitorozási eszközök tartományneve, amelyet a tartománynév (DNS) helyi figyelési IP-címhez való beállításakor állított be:

      • <https:// local monitoring domain>/sas/auth/aad/callback
      • <https:// local monitoring domain>/grafana/login/azuread

    2. A Hitelesítő adatok hozzáadása területen kövesse az ügyfél titkos kódjának hozzáadásához szükséges lépéseket. Mindenképpen rögzítse a titkos kulcsot az Érték oszlopban, mivel ez a mező csak közvetlenül a titkos kód létrehozása után érhető el. Ez az ügyfél titkos kódjának értéke, amelyet az eljárás későbbi részében szüksége lesz.

  2. Az alkalmazásszerepkörök felhasználói felületének követésével hozza létre az alkalmazás szerepköreit a következő konfigurációval:

    • Az Engedélyezett tagtípusokban válassza a Felhasználók/Csoportok lehetőséget.
    • Az Érték mezőben adja meg a Rendszergazda, a Megtekintő és a Szerkesztő egyikét minden létrehozott szerepkörhöz. Az elosztott nyomkövetéshez sas.user szerepkörre is szükség van.
    • A Do you want to enable this app role? (Szeretné engedélyezni ezt az alkalmazásszerepkört?) területen ellenőrizze, hogy be van-e jelölve a jelölőnégyzet.

    Ezeket a szerepköröket használhatja a csomagmag-irányítópultokhoz és az elosztott nyomkövetési eszközhöz való hozzáférés kezelésekor.

  3. Kövesse a Felhasználók és csoportok hozzárendelése szerepkörökhöz parancsot, hogy felhasználókat és csoportokat rendeljen a létrehozott szerepkörökhöz.

A Kubernetes titkos objektumainak adatainak összegyűjtése

  1. Gyűjtse össze az alábbi táblázatban szereplő értékeket.

    Érték Hogyan gyűjtsük össze? Kubernetes titkos paraméter neve
    Bérlőazonosító Az Azure Portalon keresse meg a Microsoft Entra-azonosítót. A Bérlőazonosító mezőt az Áttekintés lapon találja. tenant_id
    Alkalmazás (ügyfél) azonosítója Lépjen az imént létrehozott új helyi figyelési alkalmazásregisztrációra. Az Alkalmazás (ügyfél) azonosító mezőjét az Áttekintés lapon, az Alapvető adatok fejléc alatt találja. client_id
    Engedélyezési URL-cím A helyi monitorozási alkalmazásregisztráció áttekintési lapján válassza a Végpontok lehetőséget. Másolja ki az OAuth 2.0 engedélyezési végpont (v2) mezőjének tartalmát.

    Megjegyzés:
    Ha a sztring tartalmaz organizations, cserélje le organizations a bérlőazonosító értékét. Például:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    Lesz
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    Jogkivonat URL-címe A helyi monitorozási alkalmazásregisztráció áttekintési lapján válassza a Végpontok lehetőséget. Másolja ki az OAuth 2.0 tokenvégpont (v2) mező tartalmát.

    Megjegyzés:
    Ha a sztring tartalmaz organizations, cserélje le organizations a bérlőazonosító értékét. Például:
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    Lesz
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    Titkos ügyfélkód Ezt az előző lépésben az ügyfélkulcs létrehozásakor gyűjtötte össze. client_secret
    Elosztott nyomkövetés átirányítási URI-gyökér Jegyezze fel az átirányítási URI következő részét: https://< lokális figyelési tartomány>. redirect_uri_root
    Csomagmag-irányítópultok átirányítása az URI-gyökérre Jegyezze fel a csomagmag-irányítópultok átirányítási URI következő részét: https://< local monitoring domain>/grafana. root_url

Helyi hozzáférés módosítása

Lépjen az Azure Portalra, és keresse meg a webhely Csomagmag vezérlősík-erőforrását. Válassza a panel Helyi hozzáférés módosítása lapját.

  1. Ha a hitelesítés típusa Microsoft Entra-azonosítóra van állítva, folytassa a Kubernetes titkos objektumainak létrehozásával.
  2. Egyébként:
    1. Válassza ki a Microsoft Entra-azonosítót a Hitelesítés típusa legördülő listából.
    2. Válassza a Véleményezés lehetőséget.
    3. Válassza a Küldés lehetőséget.

Kubernetes titkos objektumok létrehozása

Ha támogatni szeretné a Microsoft Entra-azonosítót az Azure Private 5G Core-alkalmazásokban, szüksége lesz egy Kubernetes-titkos kódokat tartalmazó YAML-fájlra.

  1. Konvertálja a Kubernetes titkos objektumainak adatainak gyűjtése során összegyűjtött összes értéket Base64 formátumba. Futtathatja például a következő parancsot egy Azure Cloud Shell Bash-ablakban :

    echo -n <Value> | base64

  2. Hozzon létre egy base64 kódolású értékeket tartalmazó secret-azure-ad-local-monitoring.yaml fájlt az elosztott nyomkövetés és a csomagmag-irányítópultok konfigurálásához. Az elosztott nyomkövetés titkos kódjának sas-auth-secrets névvel kell rendelkeznie, a csomagmag-irányítópultok titkos kódjának pedig grafana-auth-secrets névvel kell rendelkeznie.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
    GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
    GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
    GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
    GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>

Kubernetes titkos objektumok alkalmazása

A Kubernetes titkos objektumait akkor kell alkalmaznia, ha engedélyezi a Microsoft Entra-azonosítót egy webhelyhez, a csomagmag leállása vagy a Kubernetes Titkos objektum YAML-fájljának frissítése után.

  1. Jelentkezzen be az Azure Cloud Shellbe, és válassza a PowerShellt. Ha először fér hozzá a fürthöz az Azure Cloud Shellen keresztül, kövesse az Accesst a fürthöz a kubectl-hozzáférés konfigurálásához.

  2. Alkalmazza a titkos objektumot az elosztott nyomkövetéshez és a csomagmag-irányítópultokhoz is, megadva az alapvető kubeconfig fájlnevet.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Az alábbi parancsokkal ellenőrizheti, hogy a titkos kulcsobjektumok helyesen lettek-e alkalmazva, megadva az alapvető kubeconfig fájlnevet. A kódolt értékek méretével együtt meg kell jelennie a megfelelő Név, Névtér és Típus értéknek.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Indítsa újra az elosztott nyomkövetési és csomagmag-irányítópultok podjait.

    1. Szerezze be a csomagmag-irányítópultok podjának nevét:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Másolja ki az előző lépés kimenetét, és cserélje le a következő parancsra a podok újraindításához.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Hozzáférés ellenőrzése

Kövesse az Accesst az elosztott nyomkövetési webes grafikus felhasználói felületen , és a csomagmag-irányítópultok eléréséhez ellenőrizze, hogy hozzáfér-e a helyi monitorozási eszközökhöz a Microsoft Entra ID használatával.

Kubernetes titkos objektumainak frissítése

Kövesse ezt a lépést, ha frissítenie kell a meglévő Kubernetes titkos objektumokat; például az átirányítási URI-k frissítése vagy egy lejárt ügyfélkód megújítása után.

  1. Végezze el a szükséges módosításokat a Kubernetes Titkos objektum létrehozása yaML-fájlban , amelyet a Kubernetes titkos objektumainak létrehozása során hozott létre.
  2. Kubernetes Titkos objektumok alkalmazása.
  3. Ellenőrizze a hozzáférést.

Következő lépések

Ha még nem tette meg, most már meg kell terveznie a privát mobilhálózat házirend-vezérlési konfigurációját. Ez lehetővé teszi annak testreszabását, hogy a csomagmagpéldányok hogyan alkalmazzák a szolgáltatásminőségi (QoS-) jellemzőket a forgalomra. Bizonyos folyamatokat blokkolhat vagy korlátozhatja is.