你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
收集站点所需的信息
Azure 专用 5G 核心专用移动网络包含一个或多个站点。 每个站点代表一个实体企业位置(例如,Contoso Corporation 在芝加哥的工厂),其中包含一个托管数据包核心实例的 Azure Stack Edge 设备。 本操作指南将引导你完成收集创建新站点所需信息的过程。
可以使用此信息通过 Azure 门户在现有专用移动网络中创建站点。 还可将此信息用作 ARM 模板的一部分来部署新的专用移动网络和站点,或将新站点添加到现有的专用移动网络。
先决条件
- 必须完成完成部署专用移动网络的先决条件任务中的所有步骤。
- 记下包含你的专用移动网络的资源组,此信息是在收集部署专用移动网络所需的信息中收集的。 在此过程中创建的移动网络站点资源最好属于同一资源组。
- 如果你要为存储帐户提供 Azure 基于角色的访问控制 (Azure RBAC),请确保拥有帐户的相关权限。
选择服务计划
选择最符合要求的服务计划并确认定价和费用。 请参阅 Azure 专用 5G 核心定价。
收集移动网络站点资源值
收集下表中列出的、表示你的站点的移动网络站点资源的所有值。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 用于创建移动网络站点资源的 Azure 订阅。 必须对专用移动网络部署中的所有资源使用同一订阅。 | 项目详细信息:订阅 |
| 要在其中创建移动网络站点资源的 Azure 资源组。 建议使用已包含你的专用移动网络的同一资源组。 | 项目详细信息:资源组 |
| 站点的名称。 | 实例详细信息:名称 |
| 部署专用移动网络的区域。 | 实例详细信息:区域 |
| 要在其中创建移动网络站点资源的封包核心。 | 实例详细信息:封包核心名称 |
| 你部署专用移动网络的区域的代码名称。 仅当你要使用 ARM 模板创建站点,才需要收集此值。 |
不适用。 |
| 表示要将站点添加到的专用移动网络的移动网络资源。 仅当你要使用 ARM 模板创建站点,才需要收集此值。 |
不适用。 |
| 站点的服务计划。 请参阅 Azure 专用 5G 核心定价。 | 实例详细信息:服务计划 |
收集数据包核心配置值
为将在站点中运行的封包核心实例收集下表中的所有值。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 封包核心实例支持的核心技术类型:5G、4G 或两者的组合。 | 技术类型 |
| 表示站点中 Azure Stack Edge Pro 设备的 Azure Stack Edge 资源。 这是你在执行订购和设置 Azure Stack Edge Pro 设备中的步骤期间创建的资源。 如果要使用 Azure 门户创建站点,请收集 Azure Stack Edge 资源的名称。 如果要使用 ARM 模板创建站点,请收集 Azure Stack Edge 资源的完整资源 ID。 要执行此操作,可以导航到 Azure Stack Edge 资源,选择“JSON 视图”,然后复制资源 ID 字段的内容。 |
Azure Stack Edge 设备 |
| 自定义位置,该位置以站点中 Azure Stack Edge Pro 设备上 Azure Stack HCI (AKS-HCI) 群集中的 Azure Kubernetes 服务为目标。 你已在执行置备 AKS 群集所述步骤的过程中置备了 AKS-HCI 群集。 如果要使用 Microsoft Azure 门户创建站点,请收集自定义位置的名称。 如果要使用 ARM 模板创建站点,请收集自定义位置的完整资源 ID。 要执行此操作,可以导航到“自定义位置”资源,选择“JSON 视图”,然后复制资源 ID 字段的内容。 |
自定义位置 |
收集访问网络值
收集下表中的所有值,以定义数据包核心实例通过控制平面和用户平面接口与访问网络建立的连接。 Microsoft Azure 门户中显示的字段名称将取决于为技术类型选择的值,如收集封包核心配置值中所述。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 访问网络上控制平面接口的 IP 地址。 对于 5G,此接口是 N2 接口;对于 4G,此接口是 S1-MME 接口;对于 4G 和 5G 组合,此接口是 N2 和 S1-MME 接口。 你已在分配子网和 IP 地址中标识此地址。 此 IP 地址必须与你在 Azure Stack Edge Pro 设备上部署 AKS-HCI 群集时使用的值匹配。 这是你在执行订购和设置 Azure Stack Edge Pro 设备中的步骤期间使用的值。 |
N2 地址(信令)(适用于 5G)、S1-MME 地址(适用于 4G)或 S1-MME/N2 地址(信令)(适用于 4G 和 5G 的组合)。 |
| Azure Stack Edge Pro 设备上端口 5 上的虚拟网络名称,对应于访问网络上的控制平面接口。 对于 5G,此接口是 N2 接口;对于 4G,此接口是 S1-MME 接口;对于 4G 和 5G 的组合,此接口是 N2/S1-MME 接口。 对于 HA 部署,此 IP 地址不得位于任何控制平面或用户平面子网中;它用作访问网络网关路由器中的路由目标。 |
ASE N2 虚拟子网(适用于 5G)、ASE S1-MME 虚拟子网(适用于 4G)或 ASE N2/S1-MME 虚拟子网(适用于 4G 和 5G 的组合)。 |
| Azure Stack Edge Pro 设备端口 5 上的虚拟网络名称,对应于访问网络上的用户平面接口。 对于 5G,此接口是 N3 接口;对于 4G,此接口是 S1-U 接口;对于 4G 和 5G 组合,此接口是 N3/S1-U 接口。 对于 HA 部署,此 IP 地址不得位于任何控制平面或用户平面子网中;它用作访问网络网关路由器中的路由目标。 |
ASE N3 虚拟子网(适用于 5G)、ASE S1-U 虚拟子网(适用于 4G)或 ASE N3/S1-U 虚拟子网(适用于 4G 和 5G 的组合)。 |
| 值 | Azure 门户中的字段名称 |
|---|---|
| 访问网络上控制平面接口的 IP 地址。 对于 5G,此接口是 N2 接口;对于 4G,此接口是 S1-MME 接口;对于 4G 和 5G 组合,此接口是 N2 和 S1-MME 接口。 你已在分配子网和 IP 地址中标识此地址。 此 IP 地址必须与你在 Azure Stack Edge Pro 设备上部署 AKS-HCI 群集时使用的值匹配。 这是你在执行订购和设置 Azure Stack Edge Pro 设备中的步骤期间使用的值。 |
N2 地址(信令)(适用于 5G)、S1-MME 地址(适用于 4G)或 S1-MME/N2 地址(信令)(适用于 4G 和 5G 的组合)。 |
| Azure Stack Edge Pro 2 设备上端口 3 上的虚拟网络名称,对应于访问网络上的控制平面接口。 对于 5G,此接口是 N2 接口;对于 4G,此接口是 S1-MME 接口;对于 4G 和 5G 组合,此接口是 N2/S1-MME 接口。 对于 HA 部署,此 IP 地址不得位于任何控制平面或用户平面子网中;它用作访问网络网关路由器中的路由目标。 |
ASE N2 虚拟子网(适用于 5G)、ASE S1-MME 虚拟子网(适用于 4G)或 ASE N2/S1-MME 虚拟子网(适用于 4G 和 5G 的组合)。 |
| Azure Stack Edge Pro 2 设备上端口 3 上的虚拟网络名称,对应于访问网络上的用户平面接口。 对于 5G,此接口是 N3 接口;对于 4G,此接口是 S1-U 接口;对于 4G 和 5G 组合,此接口是 N3/S1-U 接口。 对于 HA 部署,此 IP 地址不得位于任何控制平面或用户平面子网中;它用作访问网络网关路由器中的路由目标。 |
ASE N3 虚拟子网(适用于 5G)、ASE S1-U 虚拟子网(适用于 4G)或 ASE N3/S1-U 虚拟子网(适用于 4G 和 5G 的组合)。 |
收集 UE 使用情况跟踪值
如果你要为站点配置 UE 使用情况跟踪,请收集下表中的所有值以定义封包核心实例的关联事件中心实例。 有关详细信息,请参阅使用事件中心监视 UE 使用情况。
注意
必须已有一个 Azure 事件中心实例,以及一个关联的、具有“资源策略参与者”角色的用户分配的托管标识,才能收集下表中的信息。
注意
Azure 专用 5G 核心不支持具有日志压缩删除清理策略的事件中心。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 由站点用来进行 UE 使用情况跟踪的 Azure 事件中心实例的命名空间。 | Azure 事件中心命名空间 |
| 由站点用来进行 UE 使用情况跟踪的 Azure 事件中心实例的名称。 | 事件中心名称 |
| 用户分配的托管标识,具有事件中心实例的“资源策略参与者”角色。 注意:该托管标识必须已分配到站点的封包核心控制平面,并已通过实例的“身份验证和访问控制管理(IAM)”边栏选项卡分配到事件中心实例。 注意:仅向网站分配一个托管标识。 在升级和修改站点配置之后,该托管标识必须用于站点的任何 UE 使用情况跟踪。 有关托管标识的详细信息,请参阅使用用户分配的托管标识捕获事件。 |
用户分配的托管标识 |
收集数据网络值
每个站点最多可以配置 10 个数据网络。 在创建站点期间,可以选择是附加现有数据网络还是创建新的数据网络。
对于要配置的每个数据网络,请收集下表中的所有值。 这些值定义数据包核心实例通过用户平面接口与数据网络的连接,因此,无论是创建数据网络还是使用现有数据网络,都需要收集它们。
| 值 | Azure 门户中的字段名称 |
|---|---|
| 数据网络的名称。 这可以是现有数据网络,也可以是在数据包核心配置期间创建的新数据网络。 | 数据网络名称 |
| Azure Stack Edge Pro GPU 设备上与数据网络上的用户平面接口对应的端口 6(或端口 5,如果你打算使用六个以上的数据网络)上的虚拟网络名称。 对于 5G,此接口是 N6 接口;对于 4G,此接口是 SGi 接口;对于 4G 和 5G 组合,此接口是 N6/SGi 接口。 | ASE N6 虚拟子网(适用于 5G)、ASE SGi 虚拟子网(适用于 4G)或 ASE N6/SGi 虚拟子网(适用于 4G 和 5G 的组合)。 |
以 CIDR 表示法表示的子网网址,必须将其中的动态 IP 地址分配给用户设备 (UE)。 如果你不想为此站点支持动态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 192.0.2.0/24请注意,UE 子网与访问子网无关。 |
动态 UE IP 池前缀 |
以 CIDR 表示法表示的子网网络地址,必须将其中的静态 IP 地址分配给用户设备 (UE)。 如果你不想为此站点支持静态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 203.0.113.0/24请注意,UE 子网与访问子网无关。 |
静态 UE IP 池前缀 |
| 要提供给连接到此数据网络的 UE 的域名系统 (DNS) 服务器地址。 你已在分配子网和 IP 地址中标识此地址。 如果你不想为此数据网络配置 DNS 服务器,则此值可以为空列表。 在这种情况下,该数据网络中的 UE 将无法解析域名。 |
DNS 地址 |
| 是否应为此数据网络启用网络地址和端口转换 (NAPT)。 使用 NAPT 可将 UE 的较大专用 IP 地址池转换为少量的公共 IP 地址。 这种转换是在流量进入数据网络时执行的,可以最大程度地利用有限的公共 IP 地址。 禁用 NAPT 后,必须在数据网络路由器中配置通过相应附加数据网络的适当用户平面数据 IP 地址到 UE IP 池的静态路由。 如果你要在此数据网络中使用 UE 到 UE 的流量,请将 NAPT 保留禁用状态。 |
NAPT |
| 值 | Azure 门户中的字段名称 |
|---|---|
| 数据网络的名称。 这可以是现有数据网络,也可以是在数据包核心配置期间创建的新数据网络。 | 数据网络名称 |
| Azure Stack Edge Pro 2 设备上与数据网络上的用户平面接口对应的端口 4(或端口 3,如果你打算使用六个以上的数据网络)上的虚拟网络名称。 对于 5G,此接口是 N6 接口;对于 4G,此接口是 SGi 接口;对于 4G 和 5G 组合,此接口是 N6/SGi 接口。 | ASE N6 虚拟子网(适用于 5G)、ASE SGi 虚拟子网(适用于 4G)或 ASE N6/SGi 虚拟子网(适用于 4G 和 5G 的组合)。 |
以 CIDR 表示法表示的子网网址,必须将其中的动态 IP 地址分配给用户设备 (UE)。 如果你不想为此站点支持动态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 192.0.2.0/24请注意,UE 子网与访问子网无关。 |
动态 UE IP 池前缀 |
以 CIDR 表示法表示的子网网络地址,必须将其中的静态 IP 地址分配给用户设备 (UE)。 如果你不想为此站点支持静态 IP 地址分配,则不需要此地址。 已在分配用户设备 (UE) IP 地址池中确定此网址。 以下示例显示了网络地址格式。 203.0.113.0/24请注意,UE 子网与访问子网无关。 |
静态 UE IP 池前缀 |
| 要提供给连接到此数据网络的 UE 的域名系统 (DNS) 服务器地址。 你已在分配子网和 IP 地址中标识此地址。 如果你不想为此数据网络配置 DNS 服务器,则此值可以为空列表。 在这种情况下,该数据网络中的 UE 将无法解析域名。 |
DNS 地址 |
| 是否应为此数据网络启用网络地址和端口转换 (NAPT)。 使用 NAPT 可将 UE 的较大专用 IP 地址池转换为少量的公共 IP 地址。 这种转换是在流量进入数据网络时执行的,可以最大程度地利用有限的公共 IP 地址。 禁用 NAPT 后,必须在数据网络路由器中配置通过相应附加数据网络的适当用户平面数据 IP 地址到 UE IP 池的静态路由。 如果你要在此数据网络中使用 UE 到 UE 的流量,请将 NAPT 保留禁用状态。 |
NAPT |
收集诊断包收集的值
可以使用存储帐户和用户分配的托管标识(对存储帐户具有写入访问权限)来收集站点的诊断包。
如果你不想在此阶段配置诊断包收集,则无需收集任何内容。 可以在创建站点后配置此设置。
如果你要在创建站点期间配置诊断包收集,请参阅收集诊断包收集的值。
选择本地监视工具的身份验证方法
Azure 专用 5G 核心提供用于监视部署的仪表板,以及用于收集详细信号跟踪的 Web GUI。 可以使用 Microsoft Entra ID 或本地用户名和密码访问这些工具。 建议设置 Microsoft Entra 身份验证以提高部署的安全性。
如果你要使用 Microsoft Entra ID 访问本地监视工具,请在创建站点后,按照为本地监视工具启用 Microsoft Entra ID 中的步骤操作。
如果你要使用本地用户名和密码访问本地监视工具,则无需设置任何额外配置。 部署站点后,请按照访问分布式跟踪 Web GUI 和访问封包核心仪表板设置用户名和密码。
稍后可以按照修改站点中的本地访问配置更改身份验证方法。
注意
在断开连接模式下,无法更改本地监视身份验证方法或使用 Microsoft Entra ID 登录。 如果你预期在 ASE 断开连接时需要访问本地监视工具,请考虑使用本地用户名和密码身份验证方法。
收集本地监视值
可以使用自签名证书或自定义证书来保护对边缘分布式跟踪和数据包核心仪表板的访问。 建议提供自己的 HTTPS 证书,并且证书由全球已知且受信任的证书颁发机构 (CA) 签名,因为这样可以为部署提供额外的安全性,并允许浏览器识别证书签名者。
如果不想在此阶段提供自定义 HTTPS 证书,则无需收集任何内容。 稍后可以按照修改站点中的本地访问配置来更改此配置。
如果要在创建站点时提供自定义 HTTPS 证书,请执行以下步骤。
创建 Azure 密钥保管库或选择现有的 Azure 密钥保管库来托管证书。 确保为密钥保管库配置了“用于部署的 Azure 虚拟机”资源访问权限。
确保证书存储在密钥保管库中。 可以生成密钥保管库证书,或将现有证书导入密钥保管库。 证书必须:
- 由全球知名且受信任的 CA 签订。
- 使用 RSA 或 EC 类型的私钥才能确保其可导出(有关详细信息,请参阅可导出或不可导出的密钥)。
我们还建议为证书设置 DNS 名称。
如果要将证书配置为自动续订,请参阅教程:在密钥保管库中配置证书自动轮换,了解有关启用自动轮换的信息。
注意
- 证书验证将始终针对密钥保管库中最新版本的本地访问证书执行。
- 如果你启用了自动轮换,密钥保管库中的证书更新可能需要四个小时才能与边缘位置同步。
确定要如何提供对证书的访问权限。 可以使用密钥保管库访问策略或 Azure 基于角色的访问控制 (Azure RBAC)。
分配密钥保管库访问策略。 在“机密权限”和“证书权限”下向“Azure 专用 MEC”服务主体提供“获取”和“列出”权限。
使用 Azure 基于角色的访问控制 (RBAC) 提供对密钥保管库密钥、证书和机密的访问权限。 向“Azure 专用 MEC”服务主体提供“密钥保管库读取者”和“密钥保管库机密用户”权限。
如果需要,请将密钥保管库访问策略或 Azure RBAC 分配到用户分配的标识。
- 如果配置了现有的用户分配的标识用于诊断收集,可对其进行修改。
- 否则,可以新建用户分配的标识。
收集下表中的值。
值 Azure 门户中的字段名称 包含自定义 HTTPS 证书的 Azure 密钥保管库的名称。 密钥保管库 Azure 密钥保管库中 CA 签名的自定义 HTTPS 证书的名称。 证书
后续步骤
使用收集的信息来创建站点: