Container Insights verwendet standardmäßig die verwaltete Identitätsauthentifizierung, die über einen Überwachungs-Agent verfügt, der die verwaltete Identität des Clusters verwendet, um Daten an Azure Monitor zu senden. Es ersetzt die auf Legacyzertifikaten basierende lokale Authentifizierung und macht das Hinzufügen einer Rolle vom Typ Überwachung des Metriken-Verlegers zum Cluster überflüssig.
In diesem Artikel wird beschrieben, wie Sie zur verwalteten Identitätsauthentifizierung migrieren, wenn Sie Containererkenntnisse mithilfe einer Legacyauthentifizierungs-Methode aktiviert haben und wie Sie die Legacyauthentifizierung aktivieren, wenn Sie diese Anforderung haben.
Migrieren zur Authentifizierung mit verwalteten Identitäten
Wenn Sie Containereinblicke aktiviert haben, bevor die verwaltete Identitätsauthentifizierung verfügbar war, können Sie die folgenden Methoden verwenden, um Ihre Cluster zu migrieren.
Sie können aus dem Monitoreinstellungen-Bereich für Ihren AKS-Cluster zur verwalteten Identitätsauthentifizierung migrieren. Klicken Sie vom Abschnitt Überwachung auf die Registerkarte Insights. Klicken Sie auf der Registerkarte Insights auf die Option Einstellungen überwachen, und aktivieren Sie das Kontrollkästchen für Verwaltete Identität verwenden
Wenn die Option Verwaltete Identität verwenden nicht angezeigt wird, verwenden Sie einen SPN-Cluster. In diesem Fall müssen Sie Befehlszeilentools für die Migration verwenden. Migrationsanweisungen und Vorlagen finden Sie auf anderen Registerkarten.
AKS
AKS-Cluster müssen zuerst die Überwachung deaktivieren und dann auf verwaltete Identitäten aktualisieren. Für diese Migration werden derzeit nur Azure Public Cloud, Microsoft Azure operated by 21Vianet Cloud und Azure Government Cloud unterstützt. Für Cluster mit benutzerseitig zugewiesener Identität wird nur die öffentliche Azure-Cloud unterstützt.
Hinweis
Azure CLI-Version 2.49.0 oder höher.
Rufen Sie die konfigurierte Ressourcen-ID des Log Analytics-Arbeitsbereichs ab:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
Deaktivieren Sie die Überwachung mit dem folgenden Befehl:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
Wenn der Cluster einen Dienstprinzipal verwendet, aktualisieren Sie ihn mit dem folgenden Befehl auf die vom System verwaltete Identität:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
Aktivieren Sie das Überwachungs-Add-On mit der Option „Authentifizierung mithilfe verwalteter Identitäten“ unter Verwendung der im ersten Schritt abgerufenen Ressourcen-ID des Log Analytics-Arbeitsbereichs:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Kubernetes mit Arc-Unterstützung
Hinweis
Die Authentifizierung verwalteter Identitäten wird für Arc-fähige Kubernetes-Cluster mit ARO nicht unterstützt.
Rufen Sie den Log Analytics-Arbeitsbereich ab, der für die Erweiterung „Containererkenntnisse“ konfiguriert ist.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
Aktivieren Sie die Erweiterung „Containererkenntnisse“ mit der Option „Authentifizierung mit verwalteten Identitäten“ unter Verwendung des Arbeitsbereichs, der im ersten Schritt zurückgegeben wird.
Alle neuen Cluster, die erstellt oder für die das Onboarding durchgeführt wird, verwenden jetzt standardmäßig die Authentifizierung mit verwalteter Identität. Vorhandene Cluster, deren Authentifizierung auf einer Legacy-Lösung beruht, werden jedoch weiterhin unterstützt.