Konfigurace potrubí Azure Monitor

Tento článek popisuje celkový proces nastavení pro kanál Azure Monitor a poskytuje podrobnosti o počátečním společném nastavení pro přípravu clusteru Kubernetes s podporou Arc pro kanál.

Dokončení toku nastavení

Úplné nasazení kanálu Azure Monitor zahrnuje následující kroky:

  1. Ověřte požadavky.
  2. Nainstalujte nástroj cert-manager do clusteru Kubernetes s podporou Arc.
  3. Dokončete nasazení potrubí pomocí některé z následujících metod:
  4. Pokud potřebujete filtrovat, agregovat nebo přetváření příchozích dat:
    1. Přidání transformací kanálu
  5. Pokud jsou zdroje dat klienta mimo cluster:
    1. Zpřístupnit potrubí přes bránu. Viz kanál Azure Monitor – Brána pro nasazení Kubernetes.
    2. Nakonfigurujte externí klienty tak, aby se připojili ke správné IP adrese a portu brány. Viz Konfigurování brány Kubernetes pro kanál Azure Monitor.
  6. Pokud potřebujete šifrovaný příjem dat:
    1. Nakonfigurujte protokol TLS. Začněte konfigurací protokolu TLS kanálu Azure Monitor.
  7. Pokud výchozí způsob umístění podů neodpovídá vašim požadavkům na výkon, izolaci nebo shodu s předpisy:
    1. Nakonfigurujte umístění podu pro kanál.

Diagram toku nastavení kanálu Azure Monitor s kroky pro požadavky, cert-manager, nasazení a rozhodovací body pro data, TLS, klienty a plánování.

Požadavky

Instalace nástroje cert-manager pro Kubernetes s podporou arc

Tato část popisuje, jak nainstalovat nástroj cert-manager jako rozšíření Azure Arc. Pro kanál Azure Monitor je potřeba nainstalovat nástroj cert-manager. Při instalaci cert-manageru jako rozšíření spravovaného clusterem (CME) zaregistruje služby cert-manager a trust-manager na vašem clusteru.

Aktuálně podporované distribuce a oblasti Kubernetes najdete v tématu Podporované konfigurace.

Odeberte existující instance cert-manager a trust-manager

Výstraha

Mezi odinstalací verze open source a instalací rozšíření Arc nedojde k obměně certifikátů a balíčky důvěryhodnosti se nedistribuují do nových jmenných prostorů. Zajistěte, aby toto období bylo co nejkratší, abyste minimalizovali potenciální rizika zabezpečení. Odinstalace nástroje open source cert-manager a trust-manager neodebere žádné existující certifikáty ani související prostředky, které jste vytvořili. Tyto prostředky zůstanou použitelné po instalaci Azure cert-manageru.

Odstraňte všechny existující instance cert-manager a trust-manager z clusteru. Před instalací verze Microsoft je nutné odebrat všechny verze open source. Konkrétní kroky pro odebrání závisí na vaší metodě instalace. Podrobné pokyny najdete v tématu Odinstalace nástroje cert-manager a odinstalace správce důvěryhodnosti. Pokud jste k instalaci použili Helm, pomocí následujícího příkazu zkontrolujte, které obory názvů používají cert-manager a trust-manager.

helm list -A | grep -E 'trust-manager|cert-manager'

Pokud máte nainstalované rozšíření cert-manager, odinstalujte ho pomocí následujících příkazů:

export RESOURCE_GROUP="<resource-group-name>"
export CLUSTER_NAME="<arc-enabled-cluster-name>"
export LOCATION="<arc-enabled-cluster-location>"

NAME_OF_OLD_EXTENSION=$(az k8s-extension list --resource-group ${RESOURCE_GROUP} --cluster-name ${CLUSTER_NAME})
az k8s-extension delete --name ${NAME_OF_OLD_EXTENSION} --cluster-name ${CLUSTER_NAME} \
  --resource-group ${RESOURCE_GROUP} --cluster-type connectedClusters

Instalace rozšíření cert-manager

Pomocí následujícího příkazu připojte cluster k Azure Arc, pokud ještě není připojený.

az connectedk8s connect --name ${CLUSTER_NAME} --resource-group ${RESOURCE_GROUP} --location ${LOCATION}

Pomocí následujícího příkazu nainstalujte rozšíření cert-manager:

az k8s-extension create \
  --resource-group ${RESOURCE_GROUP} \
  --cluster-name ${CLUSTER_NAME} \
  --cluster-type connectedClusters \
  --name "azure-cert-management" \
  --extension-type "microsoft.certmanagement" \
  --release-train stable \
  --config subcharts.zdtrcontroller.enabled=true

Volba metody konfigurace

Vyberte přístup, který vyhovuje vašim potřebám:

Metoda Kdy ho použít Klíčové funkce
portál Azure *Začínáme
* Jednoduché konfigurace
* Rychlé nasazení		 * Interaktivní uživatelské rozhraní
* Automatické vytváření komponent
* Integrované ověřování
CLI/šablony ARM * Pokročilé scénáře
* Vyžaduje se automatizace.
* Vlastní požadavky		 * Úplné řízení konfigurace
* Ukládání do vyrovnávací paměti na trvalý svazek
* Vlastní tabulky
* Infrastruktura jako kód

Návod

Začínáte pracovat s pipeline Azure Monitor? Začněte portálem. Můžete kdykoli přepnout na použití šablon příkazového řádku (CLI) nebo ARM pro pokročilé funkce.

Ověření konfigurace

Po dokončení konfigurace pomocí zvolené metody pomocí následujícího postupu ověřte, že kanál ve vašem prostředí běží správně.

Ověřte komponenty pipeline spuštěné v clusteru

Na portálu Azure přejděte do nabídky Kubernetes a vyberte cluster Kubernetes s podporou Azure Arc. Vyberte Služby a vstupy a zkontrolujte, že vidíte následující služby:

  • <název >potrubí – externí služba
  • < >název kanálu – služba

Screenshot komponent clusteru podporujících Azure Monitor Pipeline.

Ověřit signál srdce

Každý kanál, který nakonfigurujete v instanci kanálu, odešle záznam prezenčních signálů do tabulky Heartbeat v pracovním prostoru Log Analytics každou minutu. Obsah OSMajorVersion sloupce by se měl shodovat s názvem vaší instance kanálu. Pokud má instance kanálu více pracovních prostorů, použije se první nakonfigurovaný pracovní prostor.

K načtení záznamů heartbeat použijte dotaz v protokolu, jak ukazuje následující příklad:

Snímek obrazovky dotazu protokolu, který vrací záznamy srdečního tepu pro potrubí Azure Monitor.

Nakonfigurujte Azure Private Link pro připojení k Azure Monitor pomocí privátního koncového bodu. Podrobnosti o vytvoření rozsahu privátního propojení Azure Monitor a jeho připojení k pracovnímu prostoru Log Analytics najdete v tématu Konfigurování privátního propojení pro Azure Monitor.

Pokud používáte privátní propojení s kanálem Azure Monitor, mějte na paměti následující klíčové body architektury:

  • Instance pipeline běží v clusteru Kubernetes povoleném pro Azure Arc.
  • Cluster se připojí k virtuální síti Azure, která je hostitelem koncového bodu private.
  • Zakažte přístup k veřejné síti v koncovém bodu shromažďování dat (DCE). Potrubí exportuje telemetrii soukromě do Azure Monitor pomocí:

Poznámka:

Klienti můžou dál odesílat telemetrii do veřejného, interního nebo koncového bodu vyrovnávání zatížení potrubí. Private Link zabezpečuje pouze připojení z clusteru k Azure Monitoru.

Vytvoření virtuální sítě a podsítě pro privátní koncový bod

Vytvořte privátní koncový bod ve virtuální síti Azure spravované zákazníkem, ke které může cluster Kubernetes přistupovat.

Konfigurace privátních zón DNS

Propojte zóny DNS private s Azure virtuální sítí, která je hostitelem privátního koncového bodu, ne nutně samotný cluster Kubernetes. Ujistěte se, že každá zóna existuje a je propojená s virtuální sítí.

Poznámka:

Clustery Kubernetes (včetně clusterů s podporou Azure Arc) musí být schopné tyto názvy přeložit prostřednictvím konfigurace DNS virtuální sítě.

Po konfiguraci:

  • Pody pipeline přesměrují koncové body Azure Monitor na privátní IP adresy.
  • Telemetrie přichází do Log Analytics.
  • DCE blokuje přístup k veřejné síti.

U clusterů Kubernetes s podporou Azure Arc ověřte, že:

  • DNS resolution funguje uvnitř podů clusteru.
  • Směrování sítě umožňuje provoz do Azure privátního koncového bodu.

Řešení problémů

Pod operátoru v CrashLoopBackOff – Modul Správce certifikátů nebyl nalezen

Pokud se pod operátoru neustále restartuje ve stavu CrashLoopBackOff jak je uvedeno v následujícím příkladu:

kubectl get pods -n mon
NAME                                                              READY   STATUS             RESTARTS       AGE
edge-pipeline-pipeline-operator-controller-manager-6f847d4njwcn   1/2     CrashLoopBackOff   11 (24s ago)   31m

Pomocí následujícího příkazu zkontrolujte protokoly:

kubectl logs <operator-pod-name> -n mon

Může se zobrazit chyba podobná následující zprávě:

AttemptTlsBootstrap returned an error:  failed to apply resource: the server could not find the requested resource (patch clusterissuers.meta.k8s.io arc-amp-selfsigned-cluster-issuer)
Please ensure Azure Arc Cert Manager Extension is installed on the cluster.
panic: failed to apply resource: the server could not find the requested resource (patch clusterissuers.meta.k8s.io arc-amp-selfsigned-cluster-issuer)

Příčina: Operátor pipeline závisí na rozšíření Azure Arc Správce certifikátů, které poskytuje certifikační infrastrukturu (ClusterIssuer prostředky). Operátor nemůže spustit bez něj.

Řešení: Nejprve nainstalujte rozšíření Certificate Manager, aby se operátor kanálu úspěšně spustil. Pokyny k instalaci najdete v tématu Instalace nástroje cert-manager pro Kubernetes s podporou Arc.

Ověřte, že je nainstalované rozšíření Certificate Manager:

az k8s-extension list --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --query "[?extensionType=='microsoft.certmanagement'].{Name:name, State:provisioningState}" -o table

Rozšíření by mělo zobrazovat Succeeded stav zřizování.

  • Last updated on