Aktivera privat länk för Kubernetes-övervakning i Azure Monitor

Med Azure Private Link kan du komma åt PaaS-resurser (Plattform som en tjänst) i ditt virtuella nätverk med hjälp av privata slutpunkter. Ett Azure Monitor Private Link-omfång (AMPLS) ansluter en privat slutpunkt till en uppsättning Azure Monitor-resurser för att definiera gränserna för ditt övervakningsnätverk. Den här artikeln beskriver hur du konfigurerar Container Insights och Managed Prometheus för att använda privat länk för datainmatning från ditt AKS-kluster (Azure Kubernetes Service).

Kommentar

• Se Ansluta till en datakälla privat för mer information om hur du konfigurerar en privat länk för att fråga efter data från din Azure Monitor-arbetsyta med grafana.
• Mer information om hur du konfigurerar privat länk för att fråga data från din Azure Monitor-arbetsyta med hjälp av arbetsböcker finns i Använda privata slutpunkter för Hanterad Prometheus och Azure Monitor-arbetsyta .

Förutsättningar

• I den här artikeln beskrivs hur du ansluter klustret till ett befintligt Azure Monitor Private Link-omfång (AMPLS). Skapa en AMPLS enligt vägledningen i Konfigurera din privata länk.
• Azure CLI version 2.61.0 eller senare.

Hanterad Prometheus (Azure Monitor-arbetsyta)

Data för Managed Prometheus lagras på en Azure Monitor-arbetsyta, så du måste göra den här arbetsytan tillgänglig via en privat länk.

Konfigurera domänkontrollanter

Privata länkar för datainmatning för Hanterad Prometheus konfigureras på datainsamlingsslutpunkter (DCE) för Azure Monitor-arbetsytan som lagrar data. Om du vill identifiera de domänkontrollanter som är associerade med din Azure Monitor-arbetsyta väljer du Slutpunkter för datainsamling från din Azure Monitor-arbetsyta i Azure Portal.

Om ditt AKS-kluster inte finns i samma region som din Azure Monitor-arbetsyta måste du skapa en annan domänkontrollant i samma region som AKS-klustret. I det här fallet öppnar du den datainsamlingsregel (DCR) som skapades när du aktiverade Managed Prometheus. Denna DCR får namnet MSProm-clusterName-clusterRegion><<>. Klustret visas på sidan Resurser . I listrutan Datainsamlingsslutpunkt väljer du DCE i samma region som AKS-klustret.

Inmatning från ett privat AKS-kluster

Som standard kan ett privat AKS-kluster skicka data till Managed Prometheus och din Azure Monitor-arbetsyta via det offentliga nätverket med hjälp av en slutpunkt för offentlig datainsamling.

Om du väljer att använda en Azure Firewall för att begränsa utgående trafik från klustret kan du implementera något av följande:

• Öppna en sökväg till slutpunkten för offentlig inmatning. Uppdatera routningstabellen med följande två slutpunkter:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Aktivera Azure Firewall för att få åtkomst till Azure Monitor Private Link-omfånget och DCE som används för datainmatning.

Inmatning av privat länk för fjärrskrivning

Använd följande steg för att konfigurera fjärrskrivning för ett Kubernetes-kluster via ett virtuellt nätverk med privata länkar och ett Azure Monitor Private Link-omfång.

1. Skapa ditt virtuella Azure-nätverk.
2. Konfigurera det lokala klustret för att ansluta till ett virtuellt Azure-nätverk med hjälp av en VPN-gateway eller ExpressRoutes med privat peering.
3. Skapa ett Azure Monitor Private Link-omfång.
4. Anslut Azure Monitor Private Link-omfånget till en privat slutpunkt i det virtuella nätverk som används av det lokala klustret. Den här privata slutpunkten används för att komma åt dina domänkontrollanter.
5. Från Din Azure Monitor-arbetsyta i portalen väljer du Slutpunkter för datainsamling från Menyn För Azure Monitor-arbetsytor.
6. Du har minst en DCE som har samma namn som din arbetsyta. Klicka på DCE för att öppna dess information.
7. Välj sidan Nätverksisolering för DCE.
8. Klicka på Lägg till och välj ditt Azure Monitor Private Link-omfång. Det tar några minuter innan inställningarna sprids. När det är klart matas data från ditt privata AKS-kluster in i Azure Monitor-arbetsytan via den privata länken.

Containerinsikter (Log Analytics-arbetsyta)

Data för Container Insights lagras på en Log Analytics-arbetsyta, så du måste göra den här arbetsytan tillgänglig via en privat länk.

Kommentar

I det här avsnittet beskrivs hur du aktiverar privat länk för containerinsikter med hjälp av CLI. Mer information om hur du använder en ARM-mall finns i Aktivera containerinsikter och notera parametrarna useAzureMonitorPrivateLinkScope och azureMonitorPrivateLinkScopeResourceId.

Kluster med hanterad identitetsautentisering

Befintligt AKS-kluster med standardarbetsytan i Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exempel:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Befintligt AKS-kluster med befintlig Log Analytics-arbetsyta

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exempel:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nytt AKS-kluster

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Exempel:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Kluster med äldre autentisering

Använd följande procedurer för att aktivera nätverksisolering genom att ansluta klustret till Log Analytics-arbetsytan med Hjälp av Azure Private Link om klustret inte använder hanterad identitetsautentisering. Detta kräver ett privat AKS-kluster.

1. Skapa ett privat AKS-kluster enligt vägledningen i Skapa ett privat Azure Kubernetes Service-kluster.

2. Inaktivera offentlig inmatning på Log Analytics-arbetsytan.

   Använd följande kommando för att inaktivera offentlig inmatning på en befintlig arbetsyta.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Använd följande kommando för att skapa en ny arbetsyta med offentlig inmatning inaktiverad.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. Konfigurera privat länk genom att följa anvisningarna på Konfigurera din privata länk. Ange inmatningsåtkomst till offentlig och ange sedan till privat när den privata slutpunkten har skapats, men innan övervakning aktiveras. Resursregionen för den privata länken måste vara samma som AKS-klusterregionen.

4. Aktivera övervakning för AKS-klustret.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Nästa steg

• Om du får problem när du försöker registrera lösningen kan du läsa felsökningsguiden.
• Med övervakning aktiverat för att samla in hälsotillstånd och resursanvändning för ditt AKS-kluster och arbetsbelastningar som körs på dem, lär du dig hur du använder Container Insights.