Povolení privátního propojení pro monitorování Kubernetes ve službě Azure Monitor

Azure Private Link umožňuje přístup k prostředkům Azure jako služby (PaaS) k vaší virtuální síti pomocí privátních koncových bodů. Obor služby Azure Monitor Private Link (AMPLS) připojí privátní koncový bod k sadě prostředků služby Azure Monitor a definuje hranice vaší sítě monitorování. Pomocí privátních koncových bodů pro spravované služby Prometheus/ Container Insights a pracovního prostoru služby Azure Monitor nebo pracovního prostoru služby Log Analytics můžete klientům ve virtuální síti povolit bezpečné ingestování dat přes Službu Private Link.

Tento článek popisuje, jak připojit cluster k existujícímu oboru služby Azure Monitor Private Link (AMPLS). Pokud ještě nemáte ampls, vytvořte si ho pomocí pokynů v tématu Konfigurace privátního propojení pro Azure Monitor.

Spravovaný nástroj Prometheus (pracovní prostor Služby Azure Monitor)

Postupujte podle následujících kroků a nastavte příjem metrik Prometheus z privátního clusteru AKS do pracovního prostoru služby Azure Monitor.

Koncepční přehled

• Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když vytvoříte privátní koncový bod pro pracovní prostor služby Azure Monitor, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a pracovním prostorem. Další informace najdete v tématu Privátní koncový bod.

• Azure Private Link umožňuje bezpečně propojit prostředky Platformy Azure jako služby (PaaS) s virtuální sítí pomocí privátních koncových bodů. Azure Monitor používá jedno připojení privátního propojení označované jako Obor privátního propojení služby Azure Monitor nebo ampLS, které umožňuje každému klientovi ve virtuální síti připojit se všemi prostředky služby Azure Monitor, jako je pracovní prostor služby Log Analytics, pracovní prostor Služby Azure Monitor atd. (místo vytváření více privátních propojení). Další informace najdete v tématu Rozsah Private Link služby Azure Monitor (AMPLS)

Pokud chcete nastavit příjem dat spravovaných metrik Prometheus z virtuální sítě pomocí privátních koncových bodů do pracovního prostoru služby Azure Monitor, postupujte podle těchto kroků vysoké úrovně:

• Vytvořte obor služby Azure Monitor Private Link (AMPLS) a připojte ho ke koncovému bodu shromažďování dat pracovního prostoru služby Azure Monitor.
• Připojte ampls k privátnímu koncovému bodu, který je nastavený pro virtuální síť vašeho privátního clusteru AKS.

Požadavky

Privátní cluster AKS s povolenou spravovanou službou Prometheus Jako součást povolení spravovaného nástroje Prometheus máte také nastavený pracovní prostor služby Azure Monitor. Další informace najdete v tématu Povolení spravovaného prometheus v AKS.

Nastavení příjmu dat z privátního clusteru AKS do pracovního prostoru služby Azure Monitor

1. Vytvoření služby AMPLS pro pracovní prostor služby Azure Monitor

Metriky shromážděné pomocí Spravovaného Promethea Azure jsou ingestovány a ukládány v pracovním prostoru služby Azure Monitor, takže je třeba, aby pracovní prostor byl přístupný přes privátní propojení. Chcete-li tohoto dosáhnout, vytvořte obor Azure Monitor Private Link nebo AMPLS.

1. Na webu Azure Portal vyhledejte obory služby Azure Monitor Private Link a klikněte na Vytvořit.

2. Zadejte skupinu prostředků a název a vyberte privátní pouze pro režim přístupu k příjmu dat.

   

3. Kliknutím na "Zkontrolovat a vytvořit" vytvořte AMPLS.

Další informace o nastavení služby AMPLS najdete v tématu Konfigurace privátního propojení pro Azure Monitor.

2. Připojte AMPLS ke koncovému bodu shromažďování dat v pracovním prostoru Azure Monitor.

Privátní propojení pro příjem dat pro managed Prometheus se konfigurují v koncových bodech shromažďování dat (DCE) pracovního prostoru služby Azure Monitor, který data ukládá. Pokud chcete identifikovat řadiče domény přidružené k vašemu pracovnímu prostoru služby Azure Monitor, vyberte na webu Azure Portal koncové body shromažďování dat z pracovního prostoru služby Azure Monitor.

1. Na portálu Azure vyhledejte pracovní prostor služby Azure Monitor, který jste vytvořili jako součást povolení spravovaného Prometheus pro váš privátní cluster AKS. Poznamenejte si název koncového bodu shromažďování dat.

   

2. Teď v Azure portálu vyhledejte AMPLS, které jste vytvořili v předchozím kroku. Přejděte na stránku přehledu služby AMPLS, klikněte na prostředky služby Azure Monitor, klikněte na Přidat a pak připojte DCE pracovního prostoru služby Azure Monitor, který jste si poznamenali v předchozím kroku.

   

2a. Konfigurace řadičů domény

Poznámka:

Pokud váš cluster AKS není ve stejné oblasti jako pracovní prostor služby Azure Monitor, musíte pro pracovní prostor služby Azure Monitor nakonfigurovat nový koncový bod shromažďování dat.

Postupujte podle následujících kroků jenom v případě, že váš cluster AKS není ve stejné oblasti jako váš pracovní prostor služby Azure Monitor. Pokud je váš cluster ve stejné oblasti, přeskočte tento krok a přejděte ke kroku 3.

1. Vytvořte koncový bod shromažďování dat ve stejné oblasti jako cluster AKS.

2. Přejděte do pracovního prostoru služby Azure Monitor a na stránce Přehled klikněte na pravidlo shromažďování dat (DCR). Toto DCR má stejný název jako váš pracovní prostor Azure Monitor.

   

3. Na stránce přehledu DCR klikněte na Prostředky –>+ Přidat a pak vyberte cluster AKS.

   

4. Po přidání clusteru AKS (možná budete muset aktualizovat stránku), klikněte na cluster AKS a pak upravte shromažďování dat koncového bodu. V okně, které se otevře, vyberte koncový bod shromažďování dat, který jste vytvořili v kroku 1 této části. Tento DCE by měl být ve stejné oblasti jako cluster AKS.

   

5. Přejděte na stránku přehledu služby AMPLS, klikněte na prostředky služby Azure Monitor, klikněte na Přidat a pak připojte vytvořenou databázi DCE.

3. Připojení AMPLS k privátnímu koncovému bodu clusteru AKS

Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Teď ve virtuální síti vašeho privátního clusteru AKS vytvoříme privátní koncový bod a připojíme ho k ampLS pro zabezpečený příjem metrik.

1. Na webu Azure Portal vyhledejte ampls, které jste vytvořili v předchozích krocích. Přejděte na stránku přehledu služby AMPLS, klikněte na Konfigurovat>koncového bodu a pak vyberte + Privátní koncový bod.

2. Vyberte skupinu prostředků a zadejte název privátního koncového bodu a klikněte na Další.

3. V části Prostředek vyberte jako typ prostředku Microsoft.Monitor/accounts , pracovní prostor služby Azure Monitor jako prostředek a pak vyberte prometheusMetrics. Klikněte na tlačítko Další.

   

4. V části Virtuální síť vyberte virtuální síť vašeho clusteru AKS. Najdete ho na portálu v části Přehled AKS –> Nastavení –> Sítě –> Integrace virtuální sítě.

4. Ověřte, jestli se metriky ingestují do pracovního prostoru služby Azure Monitor.

Ověřte, jestli se metriky Prometheus z privátního clusteru AKS ingestují do pracovního prostoru služby Azure Monitor:

1. Na webu Azure Portal vyhledejte pracovní prostor služby Azure Monitor a přejděte do části Monitorování –>Metriky.
2. V Průzkumníku metrik zadejte dotaz na metriky a ověřte, zda jste schopni dotazovat.

Poznámka:

• Podrobnosti o konfiguraci privátního propojení pro dotazování dat z pracovního prostoru služby Azure Monitor pomocí Grafany najdete v tématu Připojení ke zdroji dat.
• Podrobnosti o tom, jak nakonfigurovat privátní propojení pro dotazování dat z pracovního prostoru Azure Monitor pomocí sešitů, najdete v tématu Použití privátních koncových bodů pro spravovaný Prometheus a pracovní prostor Azure Monitor.

Příjem dat z privátního clusteru AKS

Pokud se rozhodnete použít Azure Firewall k omezení výchozího přenosu dat z clusteru, můžete implementovat jednu z těchto možností:

• Otevřete cestu ke koncovému bodu veřejného příjmu dat. Aktualizujte směrovací tabulku následujícími dvěma koncovými body:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Povolte bráně Azure Firewall přístup k oblasti Azure Monitor Private Link a DCE, které se používají pro příjem dat.

Příjem soukromého odkazu pro vzdálený zápis

Pomocí následujících kroků nastavte vzdálený zápis pro cluster Kubernetes přes virtuální síť privátního propojení a obor služby Azure Monitor Private Link.

1. Vytvořte virtuální síť Azure.
2. Nakonfigurujte místní cluster pro připojení k virtuální síti Azure pomocí brány VPN nebo ExpressRoute s privátním peeringem.
3. Vytvořte obor služby Azure Monitor Private Link.
4. Připojte obor služby Azure Monitor Private Link k privátnímu koncovému bodu ve virtuální síti používaném místním clusterem. Tento privátní koncový bod se používá pro přístup k vašim DCE.
5. V pracovním prostoru Azure Monitor v portálu vyberte Koncové body pro shromažďování dat v nabídce Azure Monitor.
6. Máte aspoň jeden DCE, který má stejný název jako váš pracovní prostor. Kliknutím na DCE otevřete jeho podrobnosti.
7. Vyberte stránku Izolace sítě pro DCE.
8. Klikněte na Přidat a vyberte obor služby Azure Monitor Private Link. Nastavení se projeví během několika minut. Po dokončení se data z privátního clusteru AKS ingestují do pracovního prostoru služby Azure Monitor přes privátní propojení.

Container Insights (pracovní prostor Služby Log Analytics)

Data pro přehledy kontejnerů jsou uložená v pracovním prostoru služby Log Analytics, takže tento pracovní prostor musíte zpřístupnit přes privátní propojení.

Poznámka:

Tato část popisuje, jak povolit privátní propojení pro přehledy kontejnerů pomocí rozhraní příkazového řádku. Podrobnosti o použití šablony ARM najdete v tématu Povolení metrik Prometheus a protokolování kontejneru a poznamenejte si parametry useAzureMonitorPrivateLinkScope a azureMonitorPrivateLinkScopeResourceId.

Požadavky

• Tento článek popisuje, jak připojit cluster k existujícímu oboru služby Azure Monitor Private Link (AMPLS). Vytvořte AMPLS podle pokynů v Konfiguraci privátního propojení.
• Azure CLI verze 2.61.0 nebo vyšší.

Cluster využívající ověřování spravovanou identitou

Existující cluster AKS s výchozím pracovním prostorem služby Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Příklad:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Existující cluster AKS s existujícím pracovním prostorem služby Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Příklad:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nový cluster AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Příklad:

az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster s využitím starší verze ověřování

Pomocí následujících postupů povolte izolaci sítě připojením clusteru k pracovnímu prostoru služby Log Analytics pomocí služby Azure Private Link , pokud váš cluster nepoužívá ověřování spravované identity. To vyžaduje privátní AKS cluster.

1. Vytvořte privátní cluster AKS dle pokynů v Vytvoření privátního clusteru Azure Kubernetes Service.

2. Zakažte veřejný příjem dat v pracovním prostoru služby Log Analytics.

   Pomocí následujícího příkazu zakažte veřejné příjem dat v existujícím pracovním prostoru.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

   Pomocí následujícího příkazu vytvořte nový pracovní prostor se zakázaným veřejným příjmem dat.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

3. Nakonfigurujte privátní propojení podle pokynů v části Konfigurace privátního propojení. Nastavte přístup pro příjem dat k veřejnému a po vytvoření privátního koncového bodu nastavte na privátní, ale před povolením monitorování. Oblast prostředků privátního propojení musí být stejná jako oblast clusteru AKS.

4. Povolte monitorování clusteru AKS.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Další kroky

• Pokud při pokusu o připojení řešení dojde k problémům, projděte si průvodce odstraňováním potíží.
• Díky monitorování, které umožňuje shromažďovat informace o stavu a využití prostředků clusteru AKS a úloh spuštěných na nich, se dozvíte , jak používat Přehledy kontejnerů.
• Dotazování dat ze spravované grafany Azure pomocí spravovaného privátního koncového bodu
• Podrobné informace o tom, jak konfigurovat privátní propojení k dotazování dat z vašeho pracovního prostoru Azure Monitor pomocí sešitů, najdete v části s využitím privátních koncových bodů u spravovaného systému Prometheus a pracovního prostoru Azure Monitor.
• Konfigurace DNS privátního koncového bodu v Azure