Изменение конфигурации локального доступа на сайте
Вы можете использовать идентификатор Microsoft Entra или локальное имя пользователя и пароль для проверки подлинности доступа к распределенным панелям трассировки и ядра пакетов. Кроме того, вы можете использовать самозаверяющий сертификат или предоставить собственный для проверки доступа к локальным средствам диагностика.
Чтобы повысить безопасность развертывания, рекомендуется настроить проверку подлинности Microsoft Entra по локальным имени пользователям и паролям, а также предоставить сертификат, подписанный глобально известным и доверенным центром сертификации (ЦС).
В этом руководстве вы узнаете, как использовать портал Azure для изменения метода проверки подлинности и сертификата, используемого для защиты доступа к локальным средствам мониторинга сайта.
Совет
Вместо этого, если вы хотите изменить назначаемое пользователем удостоверение, настроенное для сертификатов HTTPS, создайте новое или измените существующее удостоверение, назначаемое пользователем, с помощью сведений, собранных в разделе "Сбор значений локального мониторинга".
Необходимые компоненты
- Выберите метод проверки подлинности для локальных средств мониторинга и соберите значения локального мониторинга, чтобы собрать необходимые значения и убедиться, что они в правильном формате.
- Если вы хотите добавить или обновить пользовательский сертификат HTTPS для доступа к локальным средствам мониторинга, вам потребуется сертификат, подписанный глобально известным и доверенным ЦС и хранящимся в Azure Key Vault. Сертификат должен использовать закрытый ключ типа RSA или EC, чтобы обеспечить его экспорт (дополнительные сведения см. в разделе "Экспортируемый или не экспортируемый ключ ").
- Если вы хотите обновить метод проверки подлинности локального мониторинга, убедитесь, что локальный компьютер имеет основной доступ kubectl к кластеру Kubernetes с поддержкой Azure Arc. Для этого требуется основной файл kubeconfig, который можно получить, выполнив доступ к пространству имен Core.
- Убедитесь, что вы можете войти в портал Azure с помощью учетной записи с доступом к активной подписке, используемой для создания частной мобильной сети. Эта учетная запись должна иметь встроенную роль участника или владельца в области подписки.
Просмотр конфигурации локального доступа
На этом шаге вы перейдете к ресурсу уровня управления "Ядро пакета", представляющего основной экземпляр пакета.
Войдите на портал Azure.
Найдите и выберите ресурс мобильной сети , представляющий частную мобильную сеть.
В меню ресурсов выберите "Сайты".
Выберите сайт, содержащий основной экземпляр пакета, который требуется изменить.
В заголовке сетевой функции выберите имя ресурса уровня управления "Ядро пакета", показанное рядом с пакетным ядром.
Проверьте поля в заголовке локального доступа , чтобы просмотреть текущую конфигурацию и состояние локального доступа.
Изменение конфигурации локального доступа
Выберите " Изменить локальный доступ".
В разделе "Тип проверки подлинности" выберите метод проверки подлинности, который вы хотите использовать.
В разделе сертификата HTTPS выберите, нужно ли предоставить пользовательский сертификат HTTPS для доступа к локальным средствам мониторинга.
Если вы выбрали "Да " для пользовательского сертификата HTTPS?используйте сведения, собранные в разделе "Сбор значений локального мониторинга", чтобы выбрать сертификат.
Выберите Далее.
Теперь Azure проверяет введенные вами значения конфигурации. Должно появиться сообщение о том, что значения прошли проверку.
Нажмите кнопку создания.
Теперь Azure повторно развернет основной экземпляр пакета с новой конфигурацией. После завершения развертывания портал Azure отобразится экран подтверждения.
Выберите Перейти к ресурсу. Убедитесь, что поля в локальном доступе содержат обновленные сведения о проверке подлинности и сертификате.
Если вы добавили или обновили пользовательский сертификат HTTPS, следуйте указаниям веб-графического интерфейса распределенной трассировки и доступу к панелям мониторинга ядра пакетов, чтобы проверить, доверяет ли браузер подключению к локальным средствам мониторинга. Обратите внимание на следующие условия.
- Для синхронизации изменений в Key Vault с пограничным расположением может потребоваться до четырех часов.
- Для наблюдения за изменениями может потребоваться очистить кэш браузера.
Настройка проверки подлинности доступа к локальному мониторингу
Выполните этот шаг, если вы изменили тип проверки подлинности для доступа к локальному мониторингу.
Если вы перешли с локальных имен пользователей и паролей на идентификатор Microsoft Entra ID, выполните действия, описанные в разделе "Включить идентификатор Microsoft Entra" для локальных средств мониторинга.
Если вы переключились с идентификатора Microsoft Entra на локальные имена пользователей и пароли:
Войдите в Azure Cloud Shell и выберите PowerShell. Если вы впервые обращается к кластеру с помощью Azure Cloud Shell, следуйте инструкциям по настройке доступа kubectl к кластеру .
Удалите секретные объекты Kubernetes:
kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n coreПерезапустите модули pod распределенной трассировки и ядра пакетов.
Получите имя панели мониторинга ядра пакетов pod:
kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"Скопируйте выходные данные предыдущего шага и замените его на следующую команду, чтобы перезапустить модули pod.
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
Следуйте указаниям веб-графического интерфейса распределенной трассировки и доступу к основным панелям мониторинга пакетов, чтобы проверить, можно ли получить доступ к локальным средствам мониторинга с помощью локальных имен пользователей и паролей.