Yerel izleme araçları için Microsoft Entra Id'yi etkinleştirme

  • Makale

Azure Özel 5G Core, dağıtımınızı uçta izlemeye yönelik dağıtılmış izleme ve paket çekirdeği panoları araçları sağlar. Bu araçlara Microsoft Entra Id veya yerel kullanıcı adı ve parola kullanarak erişebilirsiniz. Dağıtımınızda güvenliği artırmak için Microsoft Entra kimlik doğrulamasını ayarlamanızı öneririz.

Bu nasıl yapılır kılavuzunda, yerel izleme araçlarınıza erişimin kimliğini doğrulamak için Microsoft Entra Id kullanan bir siteyi dağıtıp yapılandırdıktan sonra tamamlamanız gereken adımları gerçekleştireceksiniz. Dağıtılmış izleme ve paket çekirdeği panolarına erişmek için yerel kullanıcı adlarını ve parolaları kullanmaya karar verdiyseniz bunu izlemeniz gerekmez.

Dikkat

Yerel izleme araçları için Microsoft Entra Id, Azure Özel 5G Core'un çalıştığı Azure Stack Edge cihazında bir web proxy'si etkinleştirildiğinde desteklenmez. Web ara sunucusu aracılığıyla iletilen trafiği engelleyen bir güvenlik duvarı yapılandırdıysanız, Microsoft Entra Id'nin etkinleştirilmesi Azure Özel 5G Core yüklemesinin başarısız olmasına neden olur.

Önkoşullar

  • Özel mobil ağ dağıtmak için önkoşul görevlerini tamamlama ve Site için gerekli bilgileri toplama bölümünde yer alan adımları tamamlamış olmanız gerekir.
  • Kimlik doğrulama türü olarak Microsoft Entra Id ayarlanmış bir site dağıtmış olmanız gerekir.
  • Yönetim ağında ayarladığınız yerel izleme araçlarına erişmek için IP adresini belirleyin.
  • Özel mobil ağınızı oluşturmak için kullandığınız etkin aboneliğe erişimi olan bir hesap kullanarak Azure portalında oturum açabildiğinizden emin olun. Bu hesabın Microsoft Entra Id'de uygulamaları yönetme izni olmalıdır. Gerekli izinlere sahip Microsoft Entra yerleşik rolleri şunlardır: Uygulama yöneticisi, Uygulama geliştirici ve Bulut uygulaması yöneticisi. Bu erişime sahip değilseniz, Microsoft Entra Kimliği ile kullanıcı rolleri atama'yı izleyerek kullanıcınıza doğru rolün atandığını onay edebilmeleri için kiracı Microsoft Entra yöneticinize başvurun.
  • Yerel makinenizin Azure Arc özellikli Kubernetes kümesine çekirdek kubectl erişimi olduğundan emin olun. Bu, Çekirdek ad alanı erişimini izleyerek edinebileceğiniz bir çekirdek kubeconfig dosyası gerektirir.

Yerel izleme IP'si için etki alanı sistem adını (DNS) yapılandırma

Uygulamanızı kaydederken ve yeniden yönlendirme URI'lerini yapılandırırken, yeniden yönlendirme URI'lerinizin yerel izleme araçlarına erişmek için bir IP adresi yerine bir etki alanı adı içermesi gerekir.

DNS kaydını oluşturmak istediğiniz DNS bölgesinin yetkili DNS sunucusunda, etki alanı adını Yönetim ağında ayarladığınız yerel izleme araçlarına erişmek için kullanılan IP adresine çözümlemek için bir DNS kaydı yapılandırın.

Uygulamayı kaydet

Şimdi Microsoft kimlik platformu ile güven ilişkisi kurmak için Microsoft Entra Id'ye yeni bir yerel izleme uygulaması kaydedeceksiniz.

Dağıtımınız birden çok site içeriyorsa, tüm siteler için aynı iki yeniden yönlendirme URI'sini kullanabilir veya her site için farklı URI çiftleri oluşturabilirsiniz. Site başına en fazla iki yeniden yönlendirme URI'sini yapılandırabilirsiniz. Dağıtımınız için zaten bir uygulama kaydettiyseniz ve sitelerinizde aynı URI'leri kullanmak istiyorsanız, bu adımı atlayabilirsiniz.

Not

Bu yönergelerde hem dağıtılmış izleme hem de paket çekirdek panoları için tek bir uygulama kullandığınız varsayılır. Bu iki araç için farklı kullanıcı gruplarına erişim vermek istiyorsanız, bunun yerine paket çekirdek panoları rolleri için bir uygulama ve dağıtılmış izleme rolü için bir uygulama ayarlayabilirsiniz.

  1. Hızlı Başlangıç: Yerel izleme araçlarınıza Microsoft kimlik platformu yeni bir uygulama kaydetmek için uygulamayı Microsoft kimlik platformu kaydedin.

    1. Yeniden yönlendirme URI'sini ekle bölümünde Web platformunu seçin ve aşağıdaki iki yeniden yönlendirme URI'sini ekleyin; burada< yerel izleme etki alanı>, Yerel izleme IP'sine yönelik etki alanı sistem adını (DNS) yapılandırma bölümünde ayarladığınız yerel izleme araçlarının etki alanı adıdır:

      • <https:// local monitoring domain>/sas/auth/aad/callback
      • <https:// local monitoral monitoring domain>/grafana/login/azuread

    2. Kimlik bilgileri ekle bölümünde, istemci gizli dizisi ekleme adımlarını izleyin. Bu alan yalnızca gizli dizi oluşturulduktan hemen sonra kullanılabilir olduğundan, gizli diziyi Değer sütunu altına kaydettiğinizden emin olun. Bu, bu yordamda daha sonra ihtiyacınız olacak İstemci gizli anahtarı değeridir.

  2. Uygulamanızın rollerini aşağıdaki yapılandırmayla oluşturmak için Uygulama rolleri kullanıcı arabirimini izleyin:

    • İzin verilen üye türleri bölümünde Kullanıcılar/Gruplar'ı seçin.
    • Değer'de, oluşturduğunuz her rol için Yönetici, Görüntüleyici ve Düzenleyici'yi girin. Dağıtılmış izleme için bir sas.user rolüne de ihtiyacınız vardır.
    • Bu uygulama rolünü etkinleştirmek istiyor musunuz? bölümünde onay kutusunun seçili olduğundan emin olun.

    Paket çekirdek panolarına ve dağıtılmış izleme aracına erişimi yönetirken bu rolleri kullanabilirsiniz.

  3. Kullanıcıları ve grupları oluşturduğunuz rollere atamak için Kullanıcıları ve grupları rollere atama'yı izleyin.

Kubernetes Gizli Nesneleri için bilgileri toplama

  1. Aşağıdaki tabloda yer alan değerleri toplayın.

    Değer Nasıl toplanır? Kubernetes gizli parametre adı
    Kiracı Kimliği Azure portalında Microsoft Entra Id için arama yapın. Kiracı Kimliği alanını Genel Bakış sayfasında bulabilirsiniz. tenant_id
    Uygulama (istemci) kimliği Yeni oluşturduğunuz yeni yerel izleme uygulaması kaydına gidin. Uygulama (istemci) Kimliği alanını Genel Bakış sayfasında, Temel Parçalar başlığının altında bulabilirsiniz. client_id
    Yetkilendirme URL'si Yerel izleme uygulaması kaydına Genel Bakış sayfasında Uç Noktalar'ı seçin. OAuth 2.0 yetkilendirme uç noktası (v2) alanının içeriğini kopyalayın.

    Not:
    Dize içeriyorsa organizationsdeğerini Kiracı Kimliği değeriyle değiştirin organizations . Örneğin
    https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
    Olur
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize.    		 auth_url
    Belirteç URL'si Yerel izleme uygulaması kaydına Genel Bakış sayfasında Uç Noktalar'ı seçin. OAuth 2.0 belirteç uç noktası (v2) alanının içeriğini kopyalayın.

    Not:
    Dize içeriyorsa organizationsdeğerini Kiracı Kimliği değeriyle değiştirin organizations . Örneğin
    https://login.microsoftonline.com/organizations/oauth2/v2.0/token
    Olur
    https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token.    		 token_url
    İstemci gizli anahtarı Önceki adımda istemci gizli dizisini oluştururken bunu topladınız. client_secret
    Dağıtılmış izleme yeniden yönlendirme URI kökü Yeniden yönlendirme URI'sinin aşağıdaki bölümünü not edin: https://< local monitoring domain>. redirect_uri_root
    Paket çekirdek panoları yeniden yönlendirme URI kökü Paket çekirdek panoları yeniden yönlendirme URI'sinin aşağıdaki bölümünü not edin: https://< local monitoring domain>/grafana. root_url

Yerel erişimi değiştirme

Azure portalına gidin ve sitenizin Paket Çekirdeği Denetim Düzlemi kaynağına gidin. Dikey penceredeki Yerel erişimi değiştir sekmesini seçin.

  1. Kimlik doğrulama türü Microsoft Entra Id olarak ayarlandıysa Kubernetes Gizli Nesneleri Oluştur'a geçin.
  2. Yoksa:
    1. Kimlik doğrulama türü açılan listesinden Microsoft Entra Id'yi seçin.
    2. İncele'yi seçin.
    3. Gönder'i seçin.

Kubernetes Gizli Nesneleri Oluşturma

Azure Özel 5G Core uygulamalarında Microsoft Entra Kimliğini desteklemek için Kubernetes gizli dizilerini içeren bir YAML dosyası gerekir.

  1. Kubernetes Gizli Nesneleri için bilgileri toplama bölümünde topladığınız değerlerin her birini Base64 biçimine dönüştürün. Örneğin, bir Azure Cloud Shell Bash penceresinde aşağıdaki komutu çalıştırabilirsiniz:

    echo -n <Value> | base64

  2. Dağıtılmış izlemeyi ve paket çekirdeği panolarını yapılandırmak için Base64 ile kodlanmış değerleri içeren bir secret-azure-ad-local-monitoring.yaml dosyası oluşturun. Dağıtılmış izleme gizli dizisi sas-auth-secrets, paket çekirdek panolarının gizli dizisi ise grafana-auth-secrets olarak adlandırılmalıdır.

    apiVersion: v1
kind: Secret
metadata:
    name: sas-auth-secrets
    namespace: core
type: Opaque
data:
    client_id: <Base64-encoded client ID>
    client_secret: <Base64-encoded client secret>
    redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
    tenant_id: <Base64-encoded tenant ID>

---

apiVersion: v1
kind: Secret
metadata:
    name: grafana-auth-secrets
    namespace: core
type: Opaque
data:
    GF_AUTH_AZUREAD_CLIENT_ID: <Base64-encoded client ID>
    GF_AUTH_AZUREAD_CLIENT_SECRET: <Base64-encoded client secret>
    GF_AUTH_AZUREAD_AUTH_URL: <Base64-encoded authorization URL>
    GF_AUTH_AZUREAD_TOKEN_URL: <Base64-encoded token URL>
    GF_SERVER_ROOT_URL: <Base64-encoded packet core dashboards redirect URI root>

Kubernetes Gizli Dizi Nesnelerini Uygulama

Bir site için Microsoft Entra Id'yi etkinleştiriyorsanız, paket çekirdek kesintisi sonrasında veya Kubernetes Gizli Nesne YAML dosyasını güncelleştirdikten sonra Kubernetes Gizli Nesnelerinizi uygulamanız gerekir.

  1. Azure Cloud Shell'de oturum açın ve PowerShell'i seçin. Azure Cloud Shell üzerinden kümenize ilk kez erişiyorsanız kubectl erişimini yapılandırmak için Kümenize erişme'yi izleyin.

  2. Hem dağıtılmış izleme hem de paket çekirdeği panoları için, çekirdek kubeconfig dosya adını belirterek Gizli Nesne'yi uygulayın.

    kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>

  3. Çekirdek kubeconfig dosya adını belirterek Gizli Dizi Nesnelerinin doğru uygulanıp uygulanmadığını doğrulamak için aşağıdaki komutları kullanın. Kodlanmış değerlerin boyutuyla birlikte doğru Ad, Ad Alanı ve Tür değerlerini görmeniz gerekir.

    kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>

    kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>

  4. Dağıtılmış izleme ve paket çekirdek panoları podlarını yeniden başlatın.

    1. Paket çekirdek panoları podunuzun adını alın:

      kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"

    2. Podlarınızı yeniden başlatmak için önceki adımın çıktısını kopyalayın ve aşağıdaki komutla değiştirin.

      kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>

Erişimi doğrulama

Microsoft Entra Id kullanarak yerel izleme araçlarınıza erişip erişemediğini denetlemek için Access dağıtılmış izleme web GUI'sini ve Paket çekirdeği panolarına eriş'i izleyin.

Kubernetes Gizli Dizi Nesnelerini Güncelleştirme

Mevcut Kubernetes Gizli Nesnelerinizi güncelleştirmeniz gerekiyorsa bu adımı izleyin; örneğin, yeniden yönlendirme URI'lerinizi güncelleştirdikten veya süresi dolmuş bir istemci gizli dizisini yeniledikten sonra.

  1. Kubernetes Gizli Dizi Nesneleri Oluşturma bölümünde oluşturduğunuz Kubernetes Gizli Nesne YAML dosyasında gerekli değişiklikleri yapın.
  2. Kubernetes Gizli Dizi Nesneleri uygulama.
  3. Erişimi doğrulayın.

Sonraki adımlar

Henüz yapmadıysanız, artık özel mobil ağınız için ilke denetimi yapılandırmasını tasarlamanız gerekir. Bu sayede paket çekirdeği örneklerinizin trafiğe hizmet kalitesi (QoS) özelliklerini nasıl uygulayacağını özelleştirebilirsiniz. Ayrıca belirli akışları engelleyebilir veya sınırlayabilirsiniz.