Aktivieren von Container Insights für AKS-Cluster (Azure Kubernetes Service)

In diesem Artikel erfahren Sie, wie Sie Container Insights einrichten, um einen Managed Kubernetes-Cluster zu überwachen, der in einem AKS-Cluster (Azure Kubernetes Service) gehostet wird.

Voraussetzungen

Wenn Sie einen vorhandenen AKS-Cluster mit einem Log Analytics-Arbeitsbereich in einem anderen Abonnement verbinden, muss der Ressourcenanbieter Microsoft.ContainerService im Abonnement mit dem Log Analytics-Arbeitsbereich registriert werden. Weitere Informationen finden Sie unter Registrieren des Ressourcenanbieters.

Neuer AKS-Cluster

Die Überwachung für einen AKS-Cluster kann bei der Erstellung des Clusters mithilfe einer der folgenden Methoden aktiviert werden:

• Azure CLI: Eine entsprechende Anleitung finden Sie unter Erstellen eines AKS-Clusters.
• Azure Policy: Eine entsprechende Anleitung finden Sie unter Aktivieren des Überwachungs-Add-Ons für AKS mithilfe von Azure Policy.
• Terraform: Wenn Sie einen neuen AKS-Cluster mit Terraform bereitstellen, geben Sie die Argumente an, die im Profil zum Erstellen eines Log Analytics-Arbeitsbereichs erforderlich sind, wenn Sie kein vorhandenes Argument angeben. Informationen zum Hinzufügen von Container Insights zum Arbeitsbereich finden Sie unter azurerm_log_analytics_solution. Vervollständigen Sie das Profil, indem Sie oms_agent einschließen.

Vorhandener AKS-Cluster

Für einen vorhandenen AKS-Cluster kann die Überwachung mithilfe einer der folgenden Methoden aktiviert werden:

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Hinweis

Für die Authentifizierung mithilfe verwalteter Identitäten ist mindestens Version 2.39.0 der Azure CLI erforderlich.

Verwenden eines Log Analytics-Standardarbeitsbereichs

Verwenden Sie den folgenden Befehl, um die Überwachung Ihres AKS-Clusters unter Verwendung eines Log Analytics-Standardarbeitsbereichs für die Ressourcengruppe zu aktivieren. Sollte in der Region des Clusters noch kein Standardarbeitsbereich vorhanden sein, wird ein entsprechender Arbeitsbereich mit einem Namen im Format DefaultWorkspace-<GUID>-<Region> erstellt.

az aks enable-addons -a monitoring -n <cluster-name> -g <cluster-resource-group-name>

Die Ausgabe ähnelt dem folgenden Beispiel:

provisioningState       : Succeeded

Angeben eines Log Analytics-Arbeitsbereichs

Verwenden Sie den folgenden Befehl, um die Überwachung Ihres AKS-Clusters für einen bestimmten Log Analytics-Arbeitsbereich zu aktivieren. Die Ressourcen-ID des Arbeitsbereichs hat das Format "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.OperationalInsights/workspaces/<WorkspaceName>".

az aks enable-addons -a monitoring -n <cluster-name> -g <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id>

Die Ausgabe ähnelt dem folgenden Beispiel:

provisioningState       : Succeeded

Terraform

1. Fügen Sie je nach Terraform AzureRM-Anbieterversion das oms_agent-Add-On-Profil zur vorhandenen azurerm_kubernetes_cluster-Ressource hinzu.

   • Wenn die Terraform AzureRM-Anbieterversion 3.0 oder höher lautet, fügen Sie Folgendes hinzu:

   oms_agent {
      log_analytics_workspace_id = "${azurerm_log_analytics_workspace.test.id}"
     }
   

   • Wenn Sie eine niedrigere Terraform AzureRM-Anbieterversion als Version 3.0 verwenden, fügen Sie Folgendes hinzu:

   addon_profile {
    oms_agent {
       enabled                    = true
       log_analytics_workspace_id = "${azurerm_log_analytics_workspace.test.id}"
      }
   }
   

2. Fügen Sie die azurerm_log_analytics_solution hinzu, wie in der Terraform-Dokumentation beschrieben.

3. Aktivieren Sie die Sammlung benutzerdefinierter Metriken anhand der Anweisungen unter Aktivieren von benutzerdefinierten Metriken.

Azure portal

Hinweis

Der gleiche Prozess kann auch im Azure-Portal über die Option Insights im AKS-Menü für Ihren Cluster initiiert werden.

So aktivieren Sie die Überwachung Ihres AKS-Clusters im Azure-Portal aus Azure Monitor:

1. Wählen Sie im Azure-Portal die Option Überwachen aus.

2. Wählen Sie in der Liste Container aus.

3. Wählen Sie auf der Seite Überwachung – Container die Option Nicht überwachte Cluster aus.

4. Suchen Sie in der Liste der nicht überwachten Cluster den Cluster, und wählen Sie Aktivieren aus.

5. Wählen Sie auf der Seite Konfigurieren von Container Insights die Option Konfigurieren aus.

   

6. Geben Sie auf der Seite Konfigurieren von Container Insights die folgenden Informationen an:

   Option	BESCHREIBUNG
   Log Analytics-Arbeitsbereich	Wählen Sie in der Dropdownliste einen Log Analytics-Arbeitsbereich aus, oder wählen Sie Neu erstellen aus, um einen Log Analytics-Standardarbeitsbereich zu erstellen. Der Log Analytics-Arbeitsbereich muss sich im gleichen Abonnement befinden wie der AKS-Container.
   Aktivieren von Prometheus-Metriken	Wählen Sie diese Option aus, um Prometheus-Metriken für den Cluster im verwalteten Azure Monitor-Dienst für Prometheus zu sammeln.
   Azure Monitor-Arbeitsbereich	Bei Auswahl von Prometheus-Metriken aktivieren müssen Sie einen Azure Monitor-Arbeitsbereich auswählen. Der Azure Monitor-Arbeitsbereich muss sich im gleichen Abonnement befinden wie der AKS-Container und der Log Analytics-Arbeitsbereich.
   Grafana-Arbeitsbereich	Wählen Sie einen Grafana-Arbeitsbereich aus, wenn Sie die gesammelten Prometheus-Metriken mit Dashboards in Azure Managed Grafana verwenden möchten. Der Grafana-Arbeitsbereich wird mit dem Azure Monitor-Arbeitsbereich verknüpft, sofern noch nicht geschehen.

7. Wählen Sie Verwaltete Identität verwenden aus, wenn Sie die Authentifizierung mithilfe verwalteter Identitäten mit dem Azure Monitor-Agent verwenden möchten.

Nach dem Aktivieren der Überwachung kann es ca. 15 Minuten dauern, bis Integritätsmetriken für den Cluster angezeigt werden.

Resource Manager: Vorlage

Hinweis

Die Vorlage muss in derselben Ressourcengruppe wie der Cluster bereitgestellt werden.

Erstellen oder Herunterladen von Vorlagen

Laden Sie entweder Vorlagen- und Parameterdateien herunter, oder erstellen Sie Ihre eigenen Dateien – je nachdem, welchen Authentifizierungsmodus Sie verwenden.

So aktivieren Sie die Authentifizierung mit verwalteten Identitäten (Vorschau):

1. Laden Sie die Vorlage in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterOnboarding.json.

2. Laden Sie die Parameterdatei in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterParam.json.

3. Bearbeiten Sie die Werte in der Parameterdatei:

   • aksResourceId: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.
   • aksResourceLocation: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.
   • workspaceResourceId: Verwenden Sie die Ressourcen-ID Ihres Log Analytics-Arbeitsbereichs.
   • resourceTagValues: Gleichen Sie die für die bestehende Regel für die Datensammlung (DCR) der Container Insights-Erweiterung des Clusters angegebenen vorhandenen Tagwerte mit dem Namen der DCR ab. Der Name lautet MSCI-<clusterName>-<clusterRegion> und diese in einer AKS-Clusterressourcengruppe erstellte Ressource. Ist dies das erste Onboarding, können Sie beliebige Tagwerte festlegen.

So aktivieren Sie die Authentifizierung mit verwalteten Identitäten (Vorschau):

1. Speichern Sie den folgenden JSON-Code unter existingClusterOnboarding.json.

   {
     "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "aksResourceId": {
         "type": "string",
         "metadata": {
           "description": "AKS Cluster Resource ID"
         }
       },
       "aksResourceLocation": {
         "type": "string",
         "metadata": {
           "description": "Location of the AKS resource e.g. \"East US\""
         }
       },
       "aksResourceTagValues": {
         "type": "object",
         "metadata": {
           "description": "Existing all tags on AKS Cluster Resource"
         }
       },
       "workspaceResourceId": {
         "type": "string",
         "metadata": {
           "description": "Azure Monitor Log Analytics Resource ID"
         }
       }
     },
     "resources": [
       {
         "name": "[split(parameters('aksResourceId'),'/')[8]]",
         "type": "Microsoft.ContainerService/managedClusters",
         "location": "[parameters('aksResourceLocation')]",
         "tags": "[parameters('aksResourceTagValues')]",
         "apiVersion": "2018-03-31",
         "properties": {
           "mode": "Incremental",
           "id": "[parameters('aksResourceId')]",
           "addonProfiles": {
             "omsagent": {
               "enabled": true,
               "config": {
                 "logAnalyticsWorkspaceResourceID": "[parameters('workspaceResourceId')]"
               }
             }
           }
         }
       }
     ]
   }
   

2. Speichern Sie den folgenden JSON-Code unter existingClusterParam.json.

   {
     "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "aksResourceId": {
         "value": "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroup>/providers/Microsoft.ContainerService/managedClusters/<ResourceName>"
       },
       "aksResourceLocation": {
         "value": "<aksClusterLocation>"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroup>/providers/Microsoft.OperationalInsights/workspaces/<workspaceName>"
       },
       "aksResourceTagValues": {
         "value": {
           "<existing-tag-name1>": "<existing-tag-value1>",
           "<existing-tag-name2>": "<existing-tag-value2>",
           "<existing-tag-nameN>": "<existing-tag-valueN>"
         }
       }
     }
   }
   

3. Laden Sie die Parameterdatei in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterParam.json.

4. Bearbeiten Sie die Werte in der Parameterdatei:

   • aksResourceId: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.
   • aksResourceLocation: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.
   • workspaceResourceId: Verwenden Sie die Ressourcen-ID Ihres Log Analytics-Arbeitsbereichs.
   • resourceTagValues: Verwenden Sie die für den AKS-Cluster angegebenen vorhandenen Tagwerte.

Bereitstellen der Vorlage

Stellen Sie die Vorlage mit der Parameterdatei mithilfe einer beliebigen zulässigen Methode für die Bereitstellung von Resource Manager-Vorlagen bereit. Beispiele für verschiedene Methoden finden Sie unter Bereitstellen der Beispielvorlagen.

Bereitstellen mit Azure PowerShell

New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json

Die Änderung der Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird eine Meldung, die dem folgenden Beispiel ähnelt und das Ergebnis enthält, anzeigt:

provisioningState       : Succeeded

Bereitstellen über die Azure-Befehlszeilenschnittstelle

az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json

Die Änderung der Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird eine Meldung, die dem folgenden Beispiel ähnelt und das Ergebnis enthält, anzeigt:

provisioningState       : Succeeded

Nach dem Aktivieren der Überwachung kann es ca. 15 Minuten dauern, bis Integritätsmetriken für den Cluster angezeigt werden.

Überprüfen der Agent- und Lösungsbereitstellung

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Agent erfolgreich bereitgestellt wurde.

kubectl get ds ama-logs --namespace=kube-system

Die Ausgabe sollte wie im folgenden Beispiel aussehen, was auf eine ordnungsgemäße Bereitstellung hinweist:

User@aksuser:~$ kubectl get ds ama-logs --namespace=kube-system
NAME       DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR                 AGE
ama-logs   2         2         2         2            2           beta.kubernetes.io/os=linux   1d

Wenn der Cluster Windows Server-Knoten enthält, führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Agent erfolgreich bereitgestellt wurde:

kubectl get ds ama-logs-windows --namespace=kube-system

Die Ausgabe sollte wie im folgenden Beispiel aussehen, was auf eine ordnungsgemäße Bereitstellung hinweist:

User@aksuser:~$ kubectl get ds ama-logs-windows --namespace=kube-system
NAME                   DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR                   AGE
ama-logs-windows           2         2         2         2            2           beta.kubernetes.io/os=windows   1d

Um die Bereitstellung der Lösung zu überprüfen, führen Sie den folgenden Befehl aus:

kubectl get deployment ama-logs-rs -n=kube-system

Die Ausgabe sollte wie im folgenden Beispiel aussehen, was auf eine ordnungsgemäße Bereitstellung hinweist:

User@aksuser:~$ kubectl get deployment ama-logs-rs -n=kube-system
NAME       DESIRED   CURRENT   UP-TO-DATE   AVAILABLE    AGE
ama-logs-rs   1         1         1            1            3h

Anzeigen der Konfiguration mit der Befehlszeilenschnittstelle

Verwenden Sie den aks show-Befehl, um herauszufinden, ob die Lösung aktiviert ist oder nicht, und die Ressourcen-ID des Log Analytics-Arbeitsbereichs sowie zusammenfassende Informationen zum Cluster anzuzeigen.

az aks show -g <resourceGroupofAKSCluster> -n <nameofAksCluster>

Nach wenigen Minuten ist die Ausführung des Befehls abgeschlossen, und es werden Informationen zur Lösung im JSON-Format zurückgegeben. In den Ergebnissen des Befehls sollte das Profil des Überwachungs-Add-Ons angezeigt werden, ähnlich der folgenden Beispielausgabe:

"addonProfiles": {
    "omsagent": {
      "config": {
        "logAnalyticsWorkspaceResourceID": "/subscriptions/<WorkspaceSubscription>/resourceGroups/<DefaultWorkspaceRG>/providers/Microsoft.OperationalInsights/workspaces/<defaultWorkspaceName>"
      },
      "enabled": true
    }
  }

Migrieren zur Authentifizierung mit verwalteten Identitäten

In diesem Abschnitt werden zwei Methoden für die Migration zur Authentifizierung mit verwalteten Identitäten erläutert.

Vorhandene Cluster mit einem Dienstprinzipal

AKS-Cluster mit einem Dienstprinzipal müssen zuerst die Überwachung deaktivieren und dann auf verwaltete Identitäten aktualisieren. Für diese Migration werden derzeit nur die öffentliche Azure-Cloud, die Azure-Cloud in China und die Azure Government-Cloud unterstützt.

1. Rufen Sie die konfigurierte Ressourcen-ID des Log Analytics-Arbeitsbereichs ab:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Deaktivieren Sie die Überwachung mit dem folgenden Befehl:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Aktualisieren Sie den Cluster mit dem folgenden Befehl auf die systemseitig verwaltete Identität:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Aktivieren Sie das Überwachungs-Add-On mit der Option „Authentifizierung mithilfe verwalteter Identitäten“ unter Verwendung der im ersten Schritt abgerufenen Ressourcen-ID des Log Analytics-Arbeitsbereichs:

   az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Vorhandene Cluster mit system- oder benutzerseitig zugewiesener Identität

AKS-Cluster mit dienstseitig zugewiesener Identität müssen zuerst die Überwachung deaktivieren und dann auf verwaltete Identitäten aktualisieren. Für Cluster mit Systemidentität werden derzeit nur die öffentliche Azure-Cloud, die Azure-Cloud in China und die Azure Government-Cloud unterstützt. Für Cluster mit benutzerseitig zugewiesener Identität wird nur die öffentliche Azure-Cloud unterstützt.

1. Rufen Sie die konfigurierte Ressourcen-ID des Log Analytics-Arbeitsbereichs ab:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Deaktivieren Sie die Überwachung mit dem folgenden Befehl:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
   

3. Aktivieren Sie das Überwachungs-Add-On mit der Option „Authentifizierung mithilfe verwalteter Identitäten“ unter Verwendung der im ersten Schritt abgerufenen Ressourcen-ID des Log Analytics-Arbeitsbereichs:

   az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Private Link

Um die Netzwerkisolation zu aktivieren, indem Sie Ihren Cluster über Azure Private Link mit dem Log Analytics-Arbeitsbereich verbinden, muss Ihr Cluster die Authentifizierung mithilfe verwalteter Identitäten mit dem Azure Monitor-Agent verwenden.

1. Führen Sie die Schritte unter Aktivieren der Netzwerkisolation für den Azure Monitor-Agent aus, um einen Endpunkt für die Datensammlung zu erstellen und zu Ihrem Private Link-Dienst von Azure Monitor hinzuzufügen.

2. Erstellen Sie eine Zuordnung zwischen dem Cluster und dem Endpunkt für die Datensammlung mithilfe des folgenden API-Aufrufs. Weitere Informationen zu diesem Aufruf finden Sie unter Regelzuordnungen für die Datensammlung – Erstellen. Der Name der DCR-Zuordnung muss configurationAccessEndpoint lauten, und resourceUri ist die Ressourcen-ID des AKS-Clusters.

   PUT https://management.azure.com/{cluster-resource-id}/providers/Microsoft.Insights/dataCollectionRuleAssociations/configurationAccessEndpoint?api-version=2021-04-01
   {
   "properties": {
       "dataCollectionEndpointId": "{data-collection-endpoint-resource-id}"
       }
   }
   

   Der folgende Codeschnipsel ist ein Beispiel für diesen API-Aufruf:

   PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/managedClusters/my-aks-cluster/providers/Microsoft.Insights/dataCollectionRuleAssociations/configurationAccessEndpoint?api-version=2021-04-01
   
   {
   "properties": {
       "dataCollectionEndpointId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionEndpoints/myDataCollectionEndpoint"
       }
   }
   

3. Aktivieren Sie die Überwachung mit der Option „Authentifizierung mithilfe verwalteter Identitäten“ unter Verwendung der Schritte in Migrieren zur Authentifizierung mithilfe verwalteter Identitäten.

Einschränkungen

• Das Aktivieren der Authentifizierung mithilfe verwalteter Identitäten (Vorschau) wird derzeit nicht mithilfe von Terraform oder Azure Policy unterstützt.
• Wenn Sie die Authentifizierung mithilfe verwalteter Identitäten (Vorschau) aktivieren, wird eine Datensammlungsregel mit dem Namen MSCI-<cluster-name>-<cluster-region> erstellt. Dieser Name kann derzeit nicht geändert werden.

Nächste Schritte

• Wenn beim Onboarding der Lösung Probleme auftreten, lesen Sie den Leitfaden zur Problembehandlung.
• Wenn die Überwachung aktiviert ist, um Integrität und Ressourcennutzung Ihres AKS-Clusters und der darauf ausgeführten Workloads zu erfassen, informieren Sie sich über die Verwendung von Container Insights.