Container Insights ve výchozím nastavení používá ověřování spravované identity, které má agenta monitorování, který používá spravovanou identitu clusteru k odesílání dat do služby Azure Monitor. Nahradila starší místní ověřování založené na certifikátech a odstranila požadavek na přidání role vydavatele metrik monitorování do clusteru.
Tento článek popisuje, jak migrovat na ověřování spravované identity, pokud jste povolili službu Container Insights pomocí starší metody ověřování a jak povolit starší ověřování, pokud máte tento požadavek.
Důležité
Pokud máte cluster se starší verzí ověřování a klíče pracovního prostoru služby Log Analytics se obměňují, data monitorování přestanou do pracovního prostoru služby Log Analytics přetékat. Pokud chcete, aby se data monitorování začala znovu spouštět pomocí nových klíčů otočného pracovního prostoru, musíte doplněk Container Insights zakázat a znovu povolit. Měli byste migrovat na ověřování spravované identity Container Insights, které nepoužívá klíče pracovního prostoru služby Log Analytics.
Migrace na ověřování spravovaných identit
Pokud jste povolili přehledy kontejnerů před zpřístupněním ověřování spravovaných identit, můžete k migraci clusterů použít následující metody.
Na ověřování spravované identity můžete migrovat z panelu nastavení monitorování pro váš cluster AKS. V části Monitorování klikněte na kartu Přehledy. Na kartě Přehledy klikněte na možnost Nastavení monitorování a zaškrtněte políčko Použít spravovanou identitu.
Pokud možnost Použít spravovanou identitu nevidíte, používáte cluster SPN. V takovém případě musíte k migraci použít nástroje příkazového řádku. Pokyny a šablony migrace najdete na dalších kartách.
AKS
Clustery AKS musí nejprve zakázat monitorování a pak upgradovat na spravovanou identitu. Pro tuto migraci se v současné době podporuje pouze veřejný cloud Azure, microsoft Azure provozovaný cloudem 21Vianet a cloudem Azure Government. Pro clustery s identitou přiřazenou uživatelem se podporuje jenom veřejný cloud Azure.
Poznámka:
Minimální verze Azure CLI 2.49.0 nebo vyšší.
Získejte nakonfigurované ID prostředku pracovního prostoru služby Log Analytics:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
Zakažte monitorování pomocí následujícího příkazu:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
Pokud cluster používá instanční objekt, upgradujte ho na systémovou spravovanou identitu pomocí následujícího příkazu:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
Povolte doplněk monitorování s možností ověřování spravované identity pomocí ID prostředku pracovního prostoru služby Log Analytics získaného v kroku 1:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Kubernetes s podporou arc
Poznámka:
Ověřování spravované identity se nepodporuje pro clustery Kubernetes s podporou Arc s ARO.
Načtěte pracovní prostor služby Log Analytics nakonfigurovaný pro rozšíření Container Insights.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
Povolte rozšíření Container Insights s možností ověřování spravované identity pomocí pracovního prostoru vráceného v prvním kroku.
