Aktivieren von Container Insights

In diesem Artikel finden Sie eine Übersicht der Voraussetzungen und verfügbaren Optionen für das Konfigurieren von Container Insights zum Überwachen der Leistung von Workloads, die in Kubernetes-Umgebungen bereitgestellt werden. Sie können Container Insights für eine neue Bereitstellung oder für eine oder mehrere vorhandene Bereitstellungen von Kubernetes aktivieren, indem Sie verschiedene unterstützte Methoden verwenden.

Unterstützte Konfigurationen

Container Insights unterstützt die folgenden Umgebungen:

Die Versionen von Kubernetes und Unterstützungsrichtlinien sind identisch mit denen, die in AKS unterstützt werden.

Unterschiede zwischen Windows- und Linux-Clustern

Die wichtigsten Unterschiede bei der Überwachung eines Windows Server-Clusters im Vergleich zu einem Linux-Cluster beinhalten:

  • Windows bietet keine RSS-Metrik für den Arbeitsspeicher. Folglich ist für Windows-Knoten und -Container keine entsprechende Metrik verfügbar. Die Metrik Arbeitssatz ist verfügbar.
  • Für Windows-Knoten sind keine Informationen zur Speicherkapazität des Datenträgers verfügbar.
  • Nur Pod-Umgebungen werden überwacht, nicht aber Docker-Umgebungen.
  • Mit der Vorschauversion werden maximal 30 Windows Server-Container unterstützt. Diese Einschränkung gilt nicht für Linux-Container.

Hinweis

Die Container Insights-Unterstützung für das Betriebssystem Windows Server 2022 befindet sich in der Vorschau.

Installationsoptionen

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Anforderungen erfüllt werden:

Log Analytics-Arbeitsbereich

Container Insights speichert Daten in einem Log Analytics-Arbeitsbereich. Es werden Arbeitsbereiche in den Regionen unterstützt, die unter Verfügbare Produkte nach Region aufgeführt sind. Eine Liste der unterstützten Zuordnungspaare für den Standardarbeitsbereich finden Sie unter Von Container Insights unterstützte Regionszuordnungen.

Sie können beim Onboarding einen Log Analytics-Arbeitsbereich in der Standardressourcengruppe des AKS-Clusterabonnements erstellen lassen. Wenn Sie bereits über einen Arbeitsbereich verfügen, möchten Sie diesen wahrscheinlich nutzen. Weitere Informationen finden Sie unter Entwerfen Ihrer Azure Monitor-Protokollbereitstellung.

Ein AKS-Cluster kann an einen Log Analytics-Arbeitsbereich in einem anderen Azure-Abonnement im selben Azure Active Directory-Mandanten angefügt werden. Dies ist derzeit nicht im Azure-Portal, aber mithilfe der Azure CLI oder einer Azure Ressource Manager-Vorlage möglich.

Azure Monitor-Arbeitsbereich (Vorschau)

Wenn Sie den Cluster so konfigurieren, dass Prometheus-Metriken mit dem verwalteten Azure Monitor-Dienst für Prometheus gesammelt werden, müssen Sie über einen Azure Monitor-Arbeitsbereich verfügen, in dem Prometheus-Metriken gespeichert werden. Sie können beim Onboarding einen Azure Monitor-Arbeitsbereich in der Standardressourcegruppe des AKS-Clusterabonnements erstellen lassen oder einen vorhandenen Azure Monitor-Arbeitsbereich verwenden.

Berechtigungen

Um die Containerüberwachung zu aktivieren, benötigen Sie die folgenden Berechtigungen:

Um Daten anzuzeigen, nachdem die Containerüberwachung aktiviert wurde, benötigen Sie die folgenden Berechtigungen:

Sicherer Kubelet-Port

Der containerisierte Linux-Agent (ReplicaSet-Pod) führt API-Aufrufe an alle Windows-Knoten am sicheren Kubelet-Port (10250) im Cluster aus, um Metriken zur Knoten- und Containerleistung zu erfassen. Der sichere Kubelet-Port (10250) sollte im virtuellen Netzwerk des Clusters ein- und ausgehend geöffnet sein, damit Metriken zur Leistung der Windows-Knoten und -Container erfasst werden können.

Wenn Sie über einen Kubernetes-Cluster mit Windows-Knoten verfügen, überprüfen und konfigurieren Sie die Netzwerksicherheitsgruppe und Netzwerkrichtlinien, um sicherzustellen, dass der sichere Kubelet-Port (10250) für ein- und ausgehenden Datenverkehr im virtuellen Netzwerk des Clusters geöffnet ist.

Authentifizierung

Container Insights unterstützt jetzt die Authentifizierung mithilfe verwalteter Identitäten (in der Vorschau). Dieses sichere und vereinfachte Authentifizierungsmodell verfügt über einen Überwachungs-Agent, der die verwaltete Identität des Clusters verwendet, um Daten an Azure Monitor zu senden. Es ersetzt die vorhandene auf Legacyzertifikaten basierende lokale Authentifizierung und macht das Hinzufügen einer Rolle vom Typ Überwachung des Metriken-Verlegers zum Cluster überflüssig.

Hinweis

Container Insights-Previewfunktionen stehen gemäß dem Self-Service- und Aktivierungsprinzip zur Verfügung. Vorschauversionen werden „wie besehen“ und „wie verfügbar“ bereitgestellt und sind von den Vereinbarungen zum Servicelevel und der beschränkten Gewährleistung ausgeschlossen. Container Insights-Vorschauversionen werden teilweise vom Kundensupport auf Basis des bestmöglichen Aufwands abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Azure Kubernetes Service.

Agent

Dieser Abschnitt bietet einen Überblick über die von Container Insights verwendeten Agents.

Azure Monitor-Agent

Bei Verwendung der Authentifizierung mithilfe verwalteter Identitäten (in der Vorschau) nutzt Container Insights einen containerisierten Azure Monitor-Agent für Linux. Dieser spezialisierte Agent erfasst Leistungs- und Ereignisdaten von allen Knoten im Cluster. Der Agent wird während der Bereitstellung automatisch bereitgestellt und beim angegebenen Log Analytics-Arbeitsbereich registriert.

Log Analytics-Agent

Wird nicht die Authentifizierung mithilfe verwalteter Identitäten verwendet, nutzt Container Insights einen containerisierten Log Analytics-Agent für Linux. Dieser spezialisierte Agent erfasst Leistungs- und Ereignisdaten von allen Knoten im Cluster. Der Agent wird während der Bereitstellung automatisch bereitgestellt und beim angegebenen Log Analytics-Arbeitsbereich registriert.

Der Agent sollte mindestens die Version microsoft/oms:ciprod04202018 aufweisen. Die Versionsnummer wird durch eine Datumsangabe im folgenden Format dargestellt: mmttjjjj. Wenn eine neue Version des Agents veröffentlicht wird, wird er in Ihren Managed Kubernetes-Clustern, die unter AKS gehostet werden, automatisch aktualisiert. Informationen dazu, welche Versionen veröffentlicht wurden, finden Sie unter Agent-Releaseankündigungen.

Mit der allgemeinen Verfügbarkeit von Windows Server-Unterstützung für AKS verfügt ein AKS-Cluster mit Windows Server-Knoten über einen Vorschau-Agent, der als DaemonSet-Pod auf jedem einzelnen Windows Server-Knoten installiert ist, um Protokolle zu erfassen und an Log Analytics weiterzuleiten. Ein Linux-Knoten, der als Teil der Standardbereitstellung automatisch im Cluster bereitgestellt wird, erfasst die Daten der Leistungsmetriken und leitet diese für alle Windows-Knoten im Cluster an Azure Monitor weiter.

Hinweis

Wenn Sie bereits einen AKS-Cluster bereitgestellt und die Überwachung mithilfe der Azure CLI oder einer Resource Manager-Vorlage aktiviert haben, können Sie kubectl nicht verwenden, um den Agent zu aktualisieren, zu löschen, erneut bereitzustellen oder bereitzustellen. Die Vorlage muss in derselben Ressourcengruppe wie der Cluster bereitgestellt werden.

Netzwerkfirewallanforderungen

In der folgenden Tabelle sind die Proxy- und Firewallkonfigurationsinformationen aufgelistet, die für den containerisierten Agent zur Kommunikation mit Container Insights benötigt werden. Der gesamte Netzwerkdatenverkehr vom Agent ist ausgehender Datenverkehr an Azure Monitor.

Öffentliche Azure-Cloud

Agent-Ressource Port
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
dc.services.visualstudio.com 443
*.monitoring.azure.com 443
login.microsoftonline.com 443

In der folgenden Tabelle sind zusätzliche Einstellungen für die Firewallkonfiguration aufgeführt, die für die Authentifizierung mit verwalteten Identitäten erforderlich sind.

Agent-Ressource Zweck Port
global.handler.control.monitor.azure.com Zugriffssteuerungsdienst 443
<cluster-region-name>.ingest.monitor.azure.com Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) 443
<cluster-region-name>.handler.control.monitor.azure.com Abrufen von Datensammlungsregeln für einen bestimmten AKS-Cluster 443

Azure China 21Vianet Cloud

In der folgenden Tabelle sind die Proxy- und Firewallkonfigurationsinformationen für Azure China 21Vianet aufgeführt.

Agent-Ressource Zweck Port
*.ods.opinsights.azure.cn Datenerfassung 443
*.oms.opinsights.azure.cn OMS-Onboarding 443
dc.services.visualstudio.com Für Agent-Telemetrie, die Application Insights in der öffentlichen Azure-Cloud verwendet. 443

In der folgenden Tabelle sind zusätzliche Einstellungen für die Firewallkonfiguration aufgeführt, die für die Authentifizierung mit verwalteten Identitäten erforderlich sind.

Agent-Ressource Zweck Port
global.handler.control.monitor.azure.cn Zugriffssteuerungsdienst 443
<cluster-region-name>.handler.control.monitor.azure.cn Abrufen von Datensammlungsregeln für einen bestimmten AKS-Cluster 443

Azure Government-Cloud

In der folgenden Tabelle sind die Proxy- und Firewallkonfigurationsinformationen für Azure US Government aufgeführt.

Agent-Ressource Zweck Port
*.ods.opinsights.azure.us Datenerfassung 443
*.oms.opinsights.azure.us OMS-Onboarding 443
dc.services.visualstudio.com Für Agent-Telemetrie, die Application Insights in der öffentlichen Azure-Cloud verwendet. 443

In der folgenden Tabelle sind zusätzliche Einstellungen für die Firewallkonfiguration aufgeführt, die für die Authentifizierung mit verwalteten Identitäten erforderlich sind.

Agent-Ressource Zweck Port
global.handler.control.monitor.azure.us Zugriffssteuerungsdienst 443
<cluster-region-name>.handler.control.monitor.azure.us Abrufen von Datensammlungsregeln für einen bestimmten AKS-Cluster 443

Nächste Schritte

Nachdem Sie die Überwachung aktiviert haben, können Sie mit der Analyse der Leistung Ihrer Kubernetes-Cluster beginnen, die in AKS, Azure Stack oder in einer anderen Umgebung gehostet werden.

Informationen zur Verwendung von Container Insights finden Sie unter Anzeigen der Leistung von Kubernetes-Clustern.