Vytvoření a správa vyhrazeného clusteru v protokolech služby Azure Monitor
Propojení pracovního prostoru služby Log Analytics s vyhrazeným clusterem ve službě Azure Monitor poskytuje pokročilé funkce a vyšší využití dotazů. Clustery vyžadují minimální závazek příjmu dat 100 GB za den. Pracovní prostory můžete propojit a zrušit jejich propojení z vyhrazeného clusteru bez ztráty dat nebo přerušení služeb.
Pokročilé možnosti
Možnosti, které vyžadují vyhrazené clustery:
- Klíče spravované zákazníkem – Šifrování dat clusteru pomocí klíčů, které poskytujete a řídíte.
- Lockbox – řízení žádostí o přístup techniků podpory Microsoftu k vašim datům
- Dvojité šifrování – Ochrana před scénářem, kdy může dojít k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V takovém případě další vrstva šifrování bude i nadále chránit vaše data.
- Optimalizace křížového dotazu – dotazy mezi pracovními prostory běží rychleji, když jsou pracovní prostory ve stejném clusteru.
- Optimalizace nákladů – Propojte pracovní prostory ve stejné oblasti s clusterem, abyste získali slevu na úroveň závazku pro všechny pracovní prostory, a to i s nízkým příjmem dat, které mají nárok na slevu na úroveň závazku.
- Zóny dostupnosti – Chraňte svá data před selháními datacentra tím, že se spoléháte na datacentra v různých fyzických umístěních vybavených nezávislým napájením, chlazením a sítěmi. Fyzické oddělení v zónách a nezávislé infrastruktuře je mnohem méně pravděpodobné, protože pracovní prostor může spoléhat na prostředky z jakékoli zóny. Zóny dostupnosti služby Azure Monitor pokrývají širší části služby a pokud jsou dostupné ve vaší oblasti, rozšiřuje odolnost služby Azure Monitor automaticky. Azure Monitor ve výchozím nastavení vytváří vyhrazené clustery jako povolené zóny dostupnosti (
isAvailabilityZonesEnabled: true) v podporovaných oblastech. Zóny dostupnosti vyhrazených clusterů se v současné době nepodporují ve všech oblastech. - Ingestování z Azure Event Hubs – Umožňuje ingestovat data přímo z centra událostí do pracovního prostoru služby Log Analytics. Vyhrazený cluster umožňuje používat funkce při příjmu ze všech propojených pracovních prostorů v kombinaci s úrovní závazku.
Cenový model clusteru
Vyhrazené clustery Log Analytics používají cenový model úrovně závazku nejméně 100 GB za den. Veškeré využití nad úrovní úrovně úrovně se účtují poplatky na základě sazby za GB dané úrovně závazku. Podrobnosti o cenách vyhrazených clusterů najdete v podrobnostech o cenách protokolů služby Azure Monitor. Úrovně závazku mají 31denní období závazku od okamžiku, kdy je vybraná úroveň závazku.
Požadavky
- Vyhrazené clustery vyžadují minimální závazek příjmu dat 100 GB za den.
- Při vytváření vyhrazeného clusteru ho nemůžete pojmenovat se stejným názvem jako cluster, který byl odstraněn během posledních dvou týdnů.
Požadována oprávnění
K provádění akcí souvisejících s clustery potřebujete tato oprávnění:
| Akce | Potřebná oprávnění nebo role |
|---|---|
| Vytvoření vyhrazeného clusteru | Microsoft.Resources/deployments/*a Microsoft.OperationalInsights/clusters/write oprávnění, která poskytuje předdefinovaná role Přispěvatel Log Analytics, například |
| Změna vlastností clusteru | Microsoft.OperationalInsights/clusters/write oprávnění, která poskytuje předdefinovaná role přispěvatele Log Analytics, například |
| Propojení pracovních prostorů s clusterem | Microsoft.OperationalInsights/clusters/write, Microsoft.OperationalInsights/workspaces/writea Microsoft.OperationalInsights/workspaces/linkedservices/write oprávnění, jak poskytuje předdefinovaná role přispěvatele Log Analytics, například |
| Kontrola stavu propojení pracovního prostoru | Microsoft.OperationalInsights/workspaces/read oprávnění k pracovnímu prostoru, jak poskytuje integrovaná role Čtenář log Analytics, například |
| Získání clusterů nebo kontrola stavu zřizování clusteru | Microsoft.OperationalInsights/clusters/read oprávnění, která poskytuje integrovaná role Log Analytics Reader, například |
| Aktualizace úrovně závazku nebo billingType v clusteru | Microsoft.OperationalInsights/clusters/write oprávnění, která poskytuje předdefinovaná role přispěvatele Log Analytics, například |
| Udělení požadovaných oprávnění | Role vlastníka nebo přispěvatele s */write oprávněními nebo předdefinovaná role Přispěvatel Log Analytics, která má Microsoft.OperationalInsights/* oprávnění |
| Zrušení propojení pracovního prostoru s clusterem | Microsoft.OperationalInsights/workspaces/linkedServices/delete oprávnění, která poskytuje předdefinovaná role přispěvatele Log Analytics, například |
| Odstranění vyhrazeného clusteru | Microsoft.OperationalInsights/clusters/delete oprávnění, která poskytuje předdefinovaná role přispěvatele Log Analytics, například |
Další informace o oprávněních Log Analytics najdete v tématu Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor.
Vytvoření vyhrazeného clusteru
Při vytváření nového vyhrazeného clusteru zadejte následující vlastnosti:
- Název clusteru: Musí být jedinečný pro skupinu prostředků.
- ResourceGroupName: Použijte centrální skupinu prostředků IT, protože mnoho týmů v organizaci obvykle sdílí clustery. Další aspekty návrhu najdete v tématu Návrh konfigurace pracovního prostoru služby Log Analytics.
- Místo
- SkuCapacity: Úroveň závazku můžete nastavit na 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB za den. Minimální úroveň závazku podporovaná v rozhraní příkazového řádku je v současné době 500. Pomocí REST můžete nakonfigurovat nižší úrovně závazku s minimálně 100. Další informace onákladechch
- Spravovaná identita: Clustery podporují dva typy spravovaných identit:
Spravovaná identita přiřazená systémem – Automaticky se vygeneruje při vytváření clusteru, když je identita
typenastavená na SystemAssigned. Tuto identitu můžete později použít k udělení přístupu k úložišti ke službě Key Vault pro operace zabalení a rozbalení.Identita ve volání REST clusteru
{ "identity": { "type": "SystemAssigned" } }Spravovaná identita přiřazená uživatelem – Umožňuje nakonfigurovat klíč spravovaný zákazníkem při vytváření clusteru při udělování oprávnění ve službě Key Vault před vytvořením clusteru.
Identita ve volání REST clusteru
{ "identity": { "type": "UserAssigned", "userAssignedIdentities": { "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>" } } }
Po vytvoření prostředku clusteru můžete upravit vlastnosti, jako jsou skladová položka, *keyVaultProperties nebo billingType. Další podrobnosti najdete níže.
Úplné odebrání odstraněných clusterů trvá dva týdny. V posledních dvou týdnech můžete mít až sedm clusterů na předplatné a oblast, pět aktivních a dvou.
Poznámka:
Vytváření clusteru aktivuje přidělení a zřizování prostředků. Dokončení této operace může trvat několik hodin. Vyhrazený cluster se účtuje po zřízení bez ohledu na příjem dat a doporučuje se připravit nasazení pro urychlení propojení zřizování a pracovních prostorů s clusterem. Zkontrolujte:
- Identifikuje se seznam počátečního pracovního prostoru, který se má propojit s clusterem.
- Máte oprávnění k předplatnému určenému pro cluster a všechny pracovní prostory, které se mají propojit.
Kontrola stavu zřizování clusteru
Dokončení zřizování clusteru Log Analytics trvá nějakou dobu. Pomocí jedné z následujících metod zkontrolujte ProvisioningState vlastnost. Hodnota je ProvisioningAccount při zřizování a úspěšné po dokončení.
Propojení pracovního prostoru s clusterem
Poznámka:
- Propojení pracovního prostoru se dá provést až po dokončení zřizování clusteru Log Analytics.
- Propojení pracovního prostoru s clusterem zahrnuje synchronizaci několika back-endových komponent a hydrace mezipaměti, což může trvat až dvě hodiny.
- Při propojování pracovního prostoru služby Log Analytics se fakturační plán pracovního prostoru změnil na LACluster a měli byste odebrat skladovou položku v šabloně pracovního prostoru, abyste zabránili konfliktům během nasazování pracovního prostoru.
- Kromě fakturačních aspektů, které se řídí plánem clusteru, zůstanou všechny konfigurace a aspekty dotazů pracovního prostoru během a po propojení beze změny.
Pro operaci propojení pracovního prostoru a prostředku clusteru potřebujete oprávnění k zápisu:
- V pracovním prostoru: Microsoft.Operational Přehledy/workspaces/write
- V prostředku clusteru: Microsoft.Operational Přehledy/clusters/write
Jakmile je pracovní prostor služby Log Analytics propojený s vyhrazeným clusterem, nová data odesílaná do pracovního prostoru se ingestují do vašeho vyhrazeného clusteru, zatímco dříve ingestovaná data zůstávají v clusteru Log Analytics. Propojení pracovního prostoru nemá žádný vliv na operaci pracovního prostoru, včetně příjmu dat a dotazování. Dotazovací modul Log Analytics stehuje data ze starých a nových clusterů automaticky a výsledky dotazů jsou dokončené.
Když je vyhrazený cluster nakonfigurovaný s klíčem spravovaným zákazníkem (CMK), ingestovaná data se šifrují pomocí vašeho klíče, zatímco starší data zůstávají šifrovaná pomocí klíče spravovaného Microsoftem (MMK). Konfigurace klíče je abstrahována službou Log Analytics a dotaz napříč starými a novými šifrováními dat se provádí bez problémů.
Cluster je možné propojit s až 1 000 pracovními prostory umístěnými ve stejné oblasti s clusterem. Pracovní prostor nejde propojit s clusterem více než dvakrát měsíčně, aby se zabránilo fragmentaci dat.
Pracovní prostor a cluster můžou být v různých předplatných. Pracovní prostor a cluster mohou být v různých tenantech, pokud se Azure Lighthouse používá k mapování obou tenantů na jednoho tenanta.
Pomocí následujícího postupu propojte pracovní prostor s clusterem. Automatizaci můžete použít k propojení více pracovních prostorů:
Kontrola stavu propojení pracovního prostoru
Když je cluster nakonfigurovaný s klíči spravovanými zákazníkem, data ingestovaná do pracovních prostorů po dokončení operace propojení se uloží zašifrovaná pomocí spravovaného klíče. Dokončení operace propojení pracovního prostoru může trvat až 90 minut a stav můžete zkontrolovat odesláním požadavku Get do pracovního prostoru a sledovat, jestli je vlastnost clusterResourceId v odpovědi v rámci funkcí.
- Otevřete nabídku pracovních prostorů služby Log Analytics a pak vyberte pracovní prostor.
- Na stránce Přehled vyberte zobrazení JSON.
Změna vlastností clusteru
Po vytvoření prostředku clusteru a jeho plném zřízení můžete upravit vlastnosti clusteru pomocí rozhraní příkazového řádku, PowerShellu nebo rozhraní REST API. Mezi vlastnosti, které můžete nastavit po zřízení clusteru, patří:
- keyVaultProperties – Obsahuje klíč ve službě Azure Key Vault s následujícími parametry: KeyVaultUri, KeyName, KeyVersion. Viz Aktualizace clusteru s podrobnostmi o identifikátoru klíče.
- Identita – identita použitá k ověření ve službě Key Vault. Toto může být přiřazené systémem nebo přiřazeno uživatelem.
- billingType – Přisuzování fakturace pro prostředek clusteru a jeho data Zahrnuje následující hodnoty:
- Cluster (výchozí) – náklady na cluster jsou přiřazeny k prostředku clusteru.
- Pracovní prostory – náklady na váš cluster se přiřazují úměrně pracovním prostorům v clusteru, přičemž prostředky clusteru se účtují některé z využití, pokud jsou celková ingestovaná data pro daný den pod úrovní závazku. Další informace o cenovém modelu clusteru najdete v tématu Věnovaném vyhrazeným clusterům Log Analytics.
Důležité
Aktualizace clusteru by neměla obsahovat podrobnosti o identifikátoru identity i klíče ve stejné operaci. Pokud potřebujete aktualizovat obojí, aktualizace by měla být ve dvou po sobě jdoucích operacích.
Poznámka:
Vlastnost billingType není v rozhraní příkazového řádku podporovaná.
Získání všech clusterů ve skupině prostředků
Získání všech clusterů v předplatném
Aktualizace úrovně závazku v clusteru
Když se datový svazek do propojených pracovních prostorů v průběhu času změní, můžete úroveň úrovně závazku odpovídajícím způsobem aktualizovat, aby se optimalizovaly náklady. Úroveň je zadaná v jednotkách gigabajtů (GB) a může mít hodnoty 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB za den. Nemusíte zadávat celý text požadavku REST, ale musíte zahrnout skladovou položku.
Během období závazku můžete přejít na vyšší úroveň závazku, která restartuje 31denní období závazku. Zpět na průběžné platby ani na nižší úroveň závazku se nemůžete přesunout, dokud neukončíte období závazku.
Aktualizace billingType v clusteru
Vlastnost billingType určuje přiřazení fakturace pro cluster a jeho data:
- Cluster (výchozí) – fakturace je přiřazena k prostředku clusteru.
- Pracovní prostory – fakturace se připisuje propojeným pracovním prostorům úměrně. Pokud je objem dat ze všech propojených pracovních prostorů nižší než úroveň úrovně závazku, faktura za zbývající svazek se přiřadí clusteru.
Zrušení propojení pracovního prostoru s clusterem
Pracovní prostor můžete kdykoli odpojit od clusteru. Cenová úroveň pracovního prostoru se změní na každou GB, data ingestovaná do clusteru před tím, než operace zrušení propojení zůstane v clusteru, a nová data do pracovního prostoru se ingestují do Log Analytics.
Upozorňující
Zrušení propojení pracovního prostoru nepřesune data pracovního prostoru z clusteru. Všechna data shromážděná pro pracovní prostor, která jsou propojená s clusterem, zůstávají v clusteru po dobu uchovávání definovanou v pracovním prostoru a jsou přístupná, pokud se cluster neodstraní.
Dotazy nejsou ovlivněny, pokud je pracovní prostor odpojený a služba bez problémů provádí dotazy napříč clustery. Pokud byl cluster nakonfigurovaný s klíčem spravovaným zákazníkem (CMK), data ingestovaná do pracovního prostoru během propojení zůstanou zašifrovaná pomocí vašeho klíče a jsou přístupná, zatímco klíč a oprávnění ke službě Key Vault zůstanou.
Poznámka:
- Existují omezení dvou operací propojení pro konkrétní pracovní prostor během měsíce, aby se zabránilo distribuci dat mezi clustery. Pokud dosáhnete limitu, kontaktujte podporu.
- Nepřipojené pracovní prostory se přesunou na cenovou úroveň s průběžnými platbami.
K zrušení propojení pracovního prostoru z clusteru použijte následující příkazy:
Odstranění clusteru
Musíte mít oprávnění k zápisu k prostředku clusteru.
Operace odstranění clusteru by se měla provádět opatrně, protože operace není obnovitelná. Všechna přijatá data do clusteru z propojených pracovních prostorů se trvale odstraní.
Fakturace clusteru se zastaví při odstranění clusteru bez ohledu na úroveň závazku 31 dnů definovanou v clusteru.
Pokud odstraníte cluster s propojenými pracovními prostory, pracovní prostory se automaticky odpojí od clusteru, pracovní prostory se přesunou na cenovou úroveň průběžných plateb a nová data do pracovních prostorů se místo toho ingestují do clusterů Log Analytics. Pracovní prostor můžete dotazovat na časový rozsah předtím, než byl propojený s clusterem, a po odpojení a služba bez problémů provádí dotazy napříč clustery.
Poznámka:
- Existuje limit sedmi clusterů na předplatné a oblast, pět aktivních plus dvě, které byly odstraněny za poslední dva týdny.
- Název clusteru zůstane po odstranění rezervovaný dva týdny a nedá se použít k vytvoření nového clusteru.
K odstranění clusteru použijte následující příkazy:
Limity a omezení
V každé oblasti a předplatném je možné vytvořit maximálně pět aktivních clusterů.
Maximálně sedm clusterů povolených pro každé předplatné a oblast, pět aktivních a dva, které byly odstraněny za posledních 2 týdny.
S clusterem je možné propojit maximálně 1 000 pracovních prostorů služby Log Analytics.
Maximální počet dvou operací propojení pracovního prostoru s konkrétním pracovním prostorem je povolen v 30denním období.
Přesun clusteru do jiné skupiny prostředků nebo předplatného se v současné době nepodporuje.
Přesun clusteru do jiné oblasti se nepodporuje.
Aktualizace clusteru by neměla obsahovat podrobnosti o identifikátoru identity i klíče ve stejné operaci. V případě, že potřebujete aktualizovat obojí, by aktualizace měla být ve dvou po sobě jdoucích operacích.
Lockbox není momentálně k dispozici v Číně.
Dvojité šifrování se konfiguruje automaticky pro clustery vytvořené z října 2020 v podporovaných oblastech. Pokud je cluster nakonfigurovaný pro dvojité šifrování, můžete ověřit odesláním požadavku GET v clusteru a zjištěním, že
isDoubleEncryptionEnabledhodnota jetruepro clustery s povoleným dvojitým šifrováním.- Pokud vytvoříte cluster a zobrazí se chyba "Název oblasti nepodporuje dvojité šifrování pro clustery", můžete cluster vytvořit bez dvojitého šifrování přidáním
"properties": {"isDoubleEncryptionEnabled": false}do textu požadavku REST. - Nastavení dvojitého šifrování nelze po vytvoření clusteru změnit.
- Pokud vytvoříte cluster a zobrazí se chyba "Název oblasti nepodporuje dvojité šifrování pro clustery", můžete cluster vytvořit bez dvojitého šifrování přidáním
Odstranění pracovního prostoru je povoleno při propojení s clusterem. Pokud se rozhodnete obnovit pracovní prostor během období obnovitelného odstranění, pracovní prostor se vrátí do předchozího stavu a zůstane propojený s clusterem.
Během období závazku můžete přejít na vyšší úroveň závazku, která restartuje 31denní období závazku. Zpět na průběžné platby ani na nižší úroveň závazku se nemůžete přesunout, dokud neukončíte období závazku.
Řešení problému
Pokud při vytváření clusteru dojde k chybě konfliktu, je možné, že se během posledních 2 týdnů a v procesu odstranění odstranil. Název clusteru zůstane rezervovaný během 2 týdnů odstranění a nemůžete vytvořit nový cluster s tímto názvem.
Pokud cluster aktualizujete v době, kdy je cluster ve stavu zřizování nebo aktualizace, aktualizace se nezdaří.
Některé operace jsou dlouhé a dokončení může chvíli trvat. Jedná se o vytvoření clusteru, aktualizaci klíče clusteru a odstranění clusteru. Stav operace můžete zkontrolovat odesláním požadavku GET do clusteru nebo pracovního prostoru a sledovat odpověď. Například nepřipojený pracovní prostor nebude mít clusterResourceId v rámci funkcí.
Pokud se pokusíte propojit pracovní prostor služby Log Analytics, který je již propojený s jiným clusterem, operace selže.
Chybové zprávy
Vytvoření clusteru
- 400--Cluster name není platný. Název clusteru může obsahovat znaky a-z, A-Z, 0-9 a délku 3-63.
- 400 – Text požadavku má hodnotu null nebo je ve špatném formátu.
- 400--SKU název je neplatný. Nastavte název skladové položky na capacityReservation.
- 400 – Kapacita byla poskytována, ale skladová položka není kapacitaReservation. Nastavte název skladové položky na capacityReservation.
- 400 – Chybějící kapacita v SKU Nastavte hodnotu kapacity na 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB za den.
- 400 – Kapacita je uzamčená po dobu 30 dnů. Snížení kapacity je povoleno 30 dní po aktualizaci.
- 400 --No SKU was set. Nastavte název skladové položky na hodnotu capacityReservation a Capacity na 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB za den.
- 400 - Identita je null nebo prázdná. Nastavte identitu s typem systemAssigned.
- 400--KeyVaultProperties se nastaví při vytváření. Po vytvoření clusteru aktualizujte keyVaultProperties.
- 400 – Operaci teď nejde spustit. Asynchronní operace je v jiném stavu, než je úspěšné. Cluster musí dokončit svou operaci před provedením jakékoli operace aktualizace.
Aktualizace clusteru
- 400 – Cluster je ve stavu odstranění. Probíhá asynchronní operace. Cluster musí dokončit svou operaci před provedením jakékoli operace aktualizace.
- 400--KeyVaultProperties není prázdný, ale má chybný formát. Viz aktualizace identifikátoru klíče.
- 400 – Nepodařilo se ověřit klíč ve službě Key Vault. Příčinou může být nedostatek oprávnění nebo pokud klíč neexistuje. Ověřte, že jste ve službě Key Vault nastavili zásady klíče a přístupu.
- 400 --Key není možné obnovit. Key Vault musí být nastavený na obnovitelné odstranění a vyprázdnění. Viz dokumentace ke službě Key Vault
- 400 – Operaci teď nejde spustit. Počkejte, až se asynchronní operace dokončí, a zkuste to znovu.
- 400 – Cluster je ve stavu odstranění. Počkejte, až se asynchronní operace dokončí, a zkuste to znovu.
Získání clusteru
- 404 – Cluster nebyl nalezen, pravděpodobně byl odstraněn. Pokud se pokusíte vytvořit cluster s tímto názvem a dojde ke konfliktu, cluster je v procesu odstranění.
Odstranění clusteru
- 409 – Nejde odstranit cluster v době zřizování. Počkejte, až se asynchronní operace dokončí, a zkuste to znovu.
Odkaz na pracovní prostor
- 404 – Pracovní prostor nebyl nalezen. Zadaný pracovní prostor neexistuje nebo byl odstraněn.
- 409 – propojení pracovního prostoru nebo zrušení propojení v procesu.
- 400 – Cluster nebyl nalezen, zadaný cluster neexistuje nebo byl odstraněn.
Zrušení propojení pracovního prostoru
- 404 – Pracovní prostor nebyl nalezen. Zadaný pracovní prostor neexistuje nebo byl odstraněn.
- 409 – propojení pracovního prostoru nebo zrušení propojení v procesu.
Další kroky
- Informace o fakturaci vyhrazeného clusteru Log Analytics
- Informace o správném návrhu pracovních prostorů služby Log Analytics