Azure Private 5G Core 提供
分散式追蹤
和
封包核心儀錶板
工具,以監視您在邊緣的部署。 您可以使用 Microsoft Entra ID
或本機使用者名稱和密碼來存取這些工具
。 建議您設定 Microsoft Entra 驗證,以改善部署的安全性。
在本操作指南中,您將執行部署或設定使用 Microsoft Entra ID 來驗證本機監視工具存取權的網站之後完成所需的步驟。 如果您決定使用本機使用者名稱和密碼來存取分散式追蹤和封包核心儀錶板,則不需要遵循此指示。
在 Azure Private 5G Core 執行所在的 Azure Stack Edge 裝置上啟用 Web Proxy 時,不支援本機監視工具的 Microsoft Entra ID。 如果您已設定防火牆來封鎖未透過 Web Proxy 傳輸的流量,則啟用 Microsoft Entra ID 會導致 Azure Private 5G Core 安裝失敗。
您必須完成完成部署私人行動網路
的必要工作和
收集月
臺所需資訊中的步驟。
您必須已部署網站,並將 Microsoft Entra 識別碼設定為驗證類型。
識別IP位址,以存取您在管理網路中
設定
的本機監視工具。
請確定您可以使用帳戶來登入 Azure 入口網站,並存取您用來建立私人行動網路的使用中訂用帳戶。 此帳戶必須具有管理 Microsoft Entra 識別符中應用程式的許可權。
具有必要許可權的 Microsoft Entra 內建角色
包括應用程式管理員、應用程式開發人員和雲端應用程式管理員。 如果您沒有此存取權,請連絡租使用者 Microsoft Entra 系統管理員,以便確認您的使用者已指派正確的角色,方法是遵循
使用 Microsoft Entra ID
指派使用者角色。
請確定您的本機電腦具有已啟用 Azure Arc 的 Kubernetes 叢集核心 kubectl 存取權。 這需要核心 kubeconfig 檔案,您可以透過下列
Core 命名空間存取
來取得該檔案。
設定本機監視 IP 的功能變數名稱 (DNS)
註冊應用程式並設定重新導向 URI 時,您需要重新導向 URI 來包含功能變數名稱,而不是用來存取本機監視工具的 IP 位址。
在您要在其中建立 DNS 記錄之 DNS 區域的授權 DNS 伺服器中,設定 DNS 記錄,將功能變數名稱解析為用來存取管理網路中
所設定之本機監視工具的
IP 位址。
註冊應用程式
您現在會向 Microsoft Entra ID 註冊新的本機監視應用程式,以建立與 Microsoft 身分識別平台 的信任關係。
如果您的部署包含多個網站,您可以針對所有月臺使用相同的兩個重新導向 URI,或為每個月臺建立不同的 URI 組。 您可以為每個月台設定最多兩個重新導向 URI。 如果您已註冊部署的應用程式,而且想要跨網站使用相同的 URI,您可以略過此步驟。
請遵循
快速入門:使用 Microsoft 身分識別平台
註冊應用程式,向 Microsoft 身分識別平台 註冊本機監視工具的新應用程式。
在
[新增重新導向 URI
] 中,選取
Web
平臺並新增下列兩個重新導向 URI,其中
<本機監視網域>
是您設定本機監視 IP
中
設定之本機監視工具的功能變數名稱:
https://
< local monitoring domain>
/sas/auth/aad/callback
https://
< local monitoring domain>
/grafana/login/azuread
在
[新增認證
] 中,依照步驟新增客戶端密碼。 請務必記錄 [
值
] 數據行底下的秘密,因為此字段只能在建立秘密之後立即使用。 這是
您稍後在此程式中需要的客戶端密碼
值。
遵循
應用程式角色 UI
,使用下列設定為您的應用程式建立三個角色(管理員、查看器和編輯器):
在
[允許的成員類型
] 中,選取 [
使用者/群組
]。
在 [
值
] 中,輸入您要建立之每個角色的
其中一個 管理員
、查看器
和
編輯器
。
在
[您要啟用此應用程式角色嗎?
] 中,確定已選取複選框。
管理封包核心儀錶板的存取權時,您將能夠使用這些角色。
遵循
將使用者和群組指派給角色
,將使用者和群組指派給您建立的角色。
收集下表中的值。
Kubernetes 秘密參數名稱
應用程式 (用戶端) 識別碼
流覽至您剛才建立的新本機監視應用程式註冊。 您可以在 [概觀] 頁面的 [基本資訊
] 標題下
,找到
[應用程式][用戶端] 識別符
字段。
client_id
授權 URL
在 [本機監視應用程式註冊概觀] 頁面中,選取
[端點
]。 複製 [OAuth 2.0 授權端點 (v2)]
字段的內容
。
注意
:
如果字串包含
organizations
,請將 取代
organizations
為租用戶識別碼值。 例如,
https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
成為
https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/authorize
.
auth_url
令牌 URL
在 [本機監視應用程式註冊概觀] 頁面中,選取
[端點
]。 複製 [OAuth 2.0 令牌端點 (v2)]
字段的內容
。
注意
:
如果字串包含
organizations
,請將 取代
organizations
為租用戶識別碼值。 例如,
https://login.microsoftonline.com/organizations/oauth2/v2.0/token
成為
https://login.microsoftonline.com/72f998bf-86f1-31af-91ab-2d7cd001db56/oauth2/v2.0/token
.
token_url
用戶端密碼
您在上一個步驟中建立客戶端密碼時收集此密碼。
client_secret
分散式追蹤重新導向 URI 根目錄
記下重新導向 URI 的下列部分:
https://
本機監視網域>
。<
redirect_uri_root
封包核心儀錶板重新導向 URI 根目錄
記下封包核心儀錶板重新導向 URI 的下列部分:
https://
< local monitoring domain>
/grafana
。
root_url
移至 Azure 入口網站,並流覽至網站的
封包核心控制平面
資源。 選取刀鋒視窗的
[修改本機存取]
索引標籤。
如果驗證
類型設定為
Microsoft Entra ID
,請繼續建立
Kubernetes 秘密物件
。
從 [驗證類型
] 下拉式清單中選取
[Microsoft 項目標識符
]。
選取
審查
。
選取 [提交]
。
建立 Kubernetes 秘密物件
若要在 Azure 私人 5G 核心應用程式上支援 Microsoft Entra 識別碼,您需要包含 Kubernetes 秘密的 YAML 檔案。
將您在收集 Kubernetes 秘密物件
的資訊中
收集的每個值轉換成 Base64 格式。 例如,您可以在 Azure Cloud Shell
Bash
視窗中執行下列命令:
echo -n <Value> | base64
建立 secret-azure-ad-local-monitoring.yaml 檔案,其中包含 Base64 編碼的值,以設定分散式追蹤和封包核心儀錶板。 分散式追蹤的秘密必須命名為 sas-auth-secrets,封包核心儀錶板的秘密必須命名為 grafana-auth-secrets。
apiVersion: v1
kind: Secret
metadata:
name: sas-auth-secrets
namespace: core
type: Opaque
data:
client_id: <Base64-encoded client ID>
client_secret: <Base64-encoded client secret>
redirect_uri_root: <Base64-encoded distributed tracing redirect URI root>
tenant_id: <Base64-encoded tenant ID>
apiVersion: v1
kind: Secret
metadata:
name: grafana-auth-secrets
namespace: core
type: Opaque
data:
client_id: <Base64-encoded client ID>
client_secret: <Base64-encoded client secret>
auth_url: <Base64-encoded authorization URL>
token_url: <Base64-encoded token URL>
root_url: <Base64-encoded packet core dashboards redirect URI root>
套用 Kubernetes 秘密物件
如果您要為網站啟用 Microsoft Entra ID、封包核心中斷或更新 Kubernetes 秘密物件 YAML 檔案之後,則必須套用 Kubernetes 秘密物件。
登入 Azure Cloud Shell ,然後選取 [PowerShell]。 如果這是您第一次透過 Azure Cloud Shell 存取叢集,請遵循 存取您的叢集 來設定 kubectl 存取。
針對分散式追蹤和封包核心儀錶板套用 Secret 物件,並指定核心 kubeconfig 檔名。
kubectl apply -f $HOME/secret-azure-ad-local-monitoring.yaml --kubeconfig=<core kubeconfig>
使用下列命令來確認秘密物件是否已正確套用,並指定核心 kubeconfig 檔名。 您應該會看到正確的 Name、 Namespace 和 Type 值,以及編碼值的大小。
kubectl describe secrets -n core sas-auth-secrets --kubeconfig=<core kubeconfig>
kubectl describe secrets -n core grafana-auth-secrets --kubeconfig=<core kubeconfig>
重新啟動分散式追蹤和封包核心儀錶板 Pod。
取得封包核心儀錶板 Pod 的名稱:
kubectl get pods -n core --kubeconfig=<core kubeconfig>" | grep "grafana"
將上一個步驟的輸出複製到下列命令中,以重新啟動Pod。
kubectl delete pod sas-core-search-0 <packet core dashboards pod> -n core --kubeconfig=<core kubeconfig>
驗證存取權
請遵循 存取分散式追蹤 Web GUI 和 存取封包核心儀錶板 ,以檢查您是否可以使用 Microsoft Entra ID 存取本機監視工具。
更新 Kubernetes 秘密物件
如果您需要更新現有的 Kubernetes 秘密物件,請遵循此步驟;例如,更新您的重新導向 URI 或更新過期的用戶端密碼之後。
對您在建立 Kubernetes 秘密物件中建立的 Kubernetes 秘密物件 YAML 檔案進行必要的變更。
套用 Kubernetes 秘密物件。
確認存取權。
如果您尚未這麼做,則現在應該為私人行動網路設計原則控制組態。 這可讓您自定義封包核心實例如何將服務品質 (QoS) 特性套用至流量。 您也可以封鎖或限制特定流程。
深入瞭解如何為私人行動網路設計原則控制設定
