Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете использовать идентификатор Microsoft Entra или локальное имя пользователя и пароль для проверки подлинности доступа к распределенным панелям трассировки и ядра пакетов. Кроме того, вы можете использовать самоподписанный сертификат или предоставить свой собственный для подтверждения доступа к вашим локальным средствам диагностики.
Чтобы повысить безопасность развертывания, рекомендуется настроить проверку подлинности Microsoft Entra по локальным имени пользователям и паролям, а также предоставить сертификат, подписанный глобально известным и доверенным центром сертификации (ЦС).
В этом руководстве вы узнаете, как использовать портал Azure для изменения метода проверки подлинности и сертификата, используемого для защиты доступа к локальным средствам мониторинга сайта.
Совет
Вместо этого, если вы хотите изменить назначаемое пользователем удостоверение, настроенное для сертификатов HTTPS, создайте новое или измените существующее удостоверение, назначаемое пользователем, с помощью сведений, собранных в разделе "Сбор значений локального мониторинга".
Предварительные условия
- Выберите метод проверки подлинности для локальных средств мониторинга и соберите значения локального мониторинга, чтобы собрать необходимые значения и убедиться, что они в правильном формате.
- Если вы хотите добавить или обновить пользовательский сертификат HTTPS для доступа к локальным средствам мониторинга, вам потребуется сертификат, подписанный глобально известным и доверенным ЦС и хранящимся в Azure Key Vault. Сертификат должен использовать закрытый ключ типа RSA или EC, чтобы обеспечить его экспорт (дополнительные сведения см. в разделе "Экспортируемый или не экспортируемый ключ ").
- Если вы хотите обновить метод проверки подлинности локального мониторинга, убедитесь, что локальный компьютер имеет основной доступ kubectl к кластеру Kubernetes с поддержкой Azure Arc. Для этого требуется основной файл kubeconfig, который можно получить, выполнив доступ к пространству имен Core.
- Убедитесь, что вы можете войти в портал Azure с помощью учетной записи с доступом к активной подписке, используемой для создания частной мобильной сети. Учетная запись должна иметь встроенную роль "Участник" или "Владелец" на уровне подписки.
Просмотр конфигурации локального доступа
На этом шаге вы перейдете к ресурсу уровня управления "Ядро пакета", представляющего основной экземпляр пакета.
Войдите на портал Azure.
Найдите и выберите ресурс мобильной сети , представляющий частную мобильную сеть.
В меню ресурсов выберите "Сайты".
Выберите сайт, содержащий основной экземпляр пакета, который требуется изменить.
Под заголовком функции сети, выберите название ресурса плоскости управления "Ядро пакета", показанное рядом с пакетным ядром.
Проверьте поля в заголовке локального доступа , чтобы просмотреть текущую конфигурацию и состояние локального доступа.
Изменение конфигурации локального доступа
Выберите " Изменить локальный доступ".
В разделе "Тип проверки подлинности" выберите метод проверки подлинности, который вы хотите использовать.
В разделе сертификата HTTPS выберите, нужно ли предоставить пользовательский сертификат HTTPS для доступа к локальным средствам мониторинга.
Если вы выбрали «Да» для предоставления пользовательского сертификата HTTPS, используйте сведения, собранные в разделе «Сбор значений локального мониторинга», чтобы выбрать сертификат.
Выберите Далее.
Теперь Azure проверяет введенные вами значения конфигурации. Должно появиться сообщение о том, что значения прошли проверку.
Нажмите кнопку создания.
Теперь Azure повторно развернет основной экземпляр пакета с новой конфигурацией. Портал Azure отобразит экран подтверждения после завершения развертывания.
Выберите Перейти к ресурсу. Убедитесь, что поля в локальном доступе содержат обновленные сведения о проверке подлинности и сертификате.
Если вы добавили или обновили пользовательский сертификат HTTPS, выполните инструкции в разделах Доступ к веб-интерфейсу распределенной трассировки и Доступ к панелям мониторинга ядра пакетов, чтобы проверить, доверяет ли ваш браузер подключению к локальным средствам мониторинга. Обратите внимание на следующие условия.
- Для синхронизации изменений в Key Vault с пограничным расположением может потребоваться до четырех часов.
- Для наблюдения за изменениями может потребоваться очистить кэш браузера.
Настройка проверки подлинности доступа к локальному мониторингу
Выполните этот шаг, если вы изменили тип проверки подлинности для доступа к локальному мониторингу.
Если вы перешли с локальных имен пользователей и паролей на идентификатор Microsoft Entra ID, выполните действия, описанные в разделе "Включить идентификатор Microsoft Entra" для локальных средств мониторинга.
Если вы переключились с идентификатора Microsoft Entra на локальные имена пользователей и пароли:
Войдите в Azure Cloud Shell и выберите PowerShell. Если вы впервые обращаетесь к кластеру с помощью Azure Cloud Shell, следуйте ссылке по настройке доступа kubectl к кластеру.
Удалите секретные объекты Kubernetes:
kubectl delete secrets sas-auth-secrets grafana-auth-secrets --kubeconfig=<core kubeconfig> -n coreПерезапустите pods панелей мониторинга распределенной трассировки и пакетного ядра.
Получите имя панели мониторинга ядра пакетов pod:
kubectl get pods -n core --kubeconfig=<core kubeconfig> | grep "grafana"Скопируйте выходные данные предыдущего шага и вставьте их в следующую команду, чтобы перезапустить поды.
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
Доступ к веб-интерфейсу распределенной трассировки и к панелям мониторинга ядра пакетов, чтобы проверить, можно ли использовать локальные имена пользователей и пароли для входа в локальные инструменты мониторинга.