Aktivieren eines privaten Links für die Kubernetes-Überwachung in Azure Monitor

Azure Private Link ermöglicht Ihnen über private Endpunkte den Zugriff auf Azure Platform-as-a-Service (PaaS)-Ressourcen in Ihrem virtuellen Netzwerk. Ein Azure Monitor Private Link-Bereich (AMPLS) verbindet einen privaten Endpunkt mit einem Satz von Azure Monitor-Ressourcen, um die Grenzen Ihres Überwachungsnetzwerks zu definieren. Mithilfe von privaten Endpunkten für Managed Prometheus/Container Insights und Azure Monitor-Arbeitsbereich/Log Analytics-Arbeitsbereich können Sie zulassen, dass Clients in einem virtuellen Netzwerk (VNet) Daten sicher über eine private Verbindung erfassen können.

In diesem Artikel wird beschrieben, wie Sie Containereinblicke und verwaltete Prometheus so konfigurieren, dass sie einen privaten Link für die Datenaufnahme aus Ihrem Azure Kubernetes Service (AKS)-Cluster verwenden.

Managed Prometheus (Azure Monitor-Arbeitsbereich)

Führen Sie die folgenden Schritte aus, um die Erfassung von Prometheus-Metriken aus dem privaten AKS-Cluster in Azure Monitor Workspace einzurichten.

Konzeptionelle Übersicht

• Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem virtuellen Netzwerk (VNet). Wenn Sie einen privaten Endpunkt für Ihren Azure Monitor-Arbeitsbereich erstellen, bietet es sichere Konnektivität zwischen Clients auf Ihrem VNet und Ihrem Arbeitsbereich. Weitere Informationen finden Sie unter Private Endpoint.

• Mit einem privaten Azure-Link können Sie Azure-Plattform as a Service -Ressourcen (PaaS) sicher mit Ihrem virtuellen Netzwerk verknüpfen, indem Sie private Endpunkte verwenden. Azure Monitor verwendet eine einzelne private Linkverbindung namens Azure Monitor Private Link Scope oder AMPLS, wodurch jeder Client im virtuellen Netzwerk eine Verbindung mit allen Azure Monitor-Ressourcen wie Log Analytics Workspace, Azure Monitor Workspace usw. herstellen kann (anstatt mehrere private Links zu erstellen). Weitere Informationen finden Sie unter Azure Monitor Private Link Scope (AMPLS)

Führen Sie die folgenden allgemeinen Schritte aus, um die Erfassung von verwalteten Prometheus-Metriken aus dem virtuellen Netzwerk mithilfe privater Endpunkte in Azure Monitor Workspace einzurichten:

• Erstellen Sie einen Azure Monitor Private Link Scope (AMPLS), und verbinden Sie ihn mit dem Datensammlungsendpunkt des Azure Monitor Workspace.
• Verbinden Sie die AMPLS mit einem privaten Endpunkt, der für das virtuelle Netzwerk Ihres privaten AKS-Clusters eingerichtet ist.

Voraussetzungen

Ein privater AKS-Cluster mit aktiviertem gemanagtem Prometheus. Im Rahmen der Aktivierung von Managed Prometheus wird ebenfalls ein Azure Monitor-Arbeitsbereich eingerichtet. Weitere Informationen finden Sie unter Enable Managed Prometheus in AKS.

Einrichten der Datenaufnahme aus dem privaten AKS-Cluster in Azure Monitor Workspace

1. Erstellen eines AMPLS für Azure Monitor Workspace

Metriken, die mit Azure Managed Prometheus gesammelt werden, werden in Azure Monitor-Arbeitsbereich aufgenommen und gespeichert, sodass Sie den Arbeitsbereich über einen privaten Link zugänglich machen müssen. Um dies zu tun, erstellen Sie eine Azure Monitor Private Link Scope, kurz AMPLS.

1. Suchen Sie im Azure-Portal nach Azure Monitor Private Link Scopes, und klicken Sie dann auf "Erstellen".

2. Geben Sie die Ressourcengruppe und den Namen ein, und wählen Sie „Nur privat“ für den Ingestionszugriffsmodus aus.

   

3. Klicken Sie auf "Überprüfen + Erstellen", um die AMPLS zu erstellen.

Weitere Informationen zum Einrichten von AMPLS finden Sie unter Konfigurieren eines privaten Links für Azure Monitor.

2. Verbinden der AMPLS mit dem Datensammlungsendpunkt von Azure Monitor Workspace

Private Verbindungen für die Datenerfassung für Managed Prometheus werden in den Datensammlungsendpunkten (Data Collection Endpoints, DCE) des Azure Monitor Arbeitsbereichs konfiguriert, in dem die Daten gespeichert werden. Um die dcEs zu identifizieren, die Ihrem Azure Monitor-Arbeitsbereich zugeordnet sind, wählen Sie Datensammlungsendpunkte aus Ihrem Azure Monitor-Arbeitsbereich im Azure-Portal aus.

1. Suchen Sie im Azure-Portal nach dem Azure Monitor-Arbeitsbereich, den Sie als Teil der Aktivierung von verwaltetem Prometheus für Ihren privaten AKS-Cluster erstellt haben. Notieren Sie sich den Namen des Datensammlungsendpunkts.

   

2. Suchen Sie nun im Azure-Portal nach den AMPLS, die Sie im vorherigen Schritt erstellt haben. Wechseln Sie zur AMPLS-Übersichtsseite, klicken Sie auf Azure Monitor-Ressourcen, klicken Sie auf "Hinzufügen", und verbinden Sie dann den DCE des Azure Monitor Workspace, den Sie im vorherigen Schritt angegeben haben.

   

2a. Konfigurieren von DCEs

Hinweis

Wenn Sich Ihr AKS-Cluster nicht in derselben Region wie Ihr Azure Monitor Workspace befindet, müssen Sie einen neuen Datensammlungsendpunkt für den Azure Monitor Workspace konfigurieren.

Führen Sie die folgenden Schritte nur aus, wenn sich Ihr AKS-Cluster nicht in derselben Region wie Ihr Azure Monitor Workspace befindet. Wenn sich Ihr Cluster in derselben Region befindet, überspringen Sie diesen Schritt, und wechseln Sie zu Schritt 3.

1. Erstellen Sie einen Datensammlungsendpunkt in derselben Region wie der AKS-Cluster.

2. Wechseln Sie zu Ihrem Azure Monitor Workspace, und klicken Sie auf der Seite "Übersicht" auf die Datensammlungsregel (Data Collection Rule, DCR). Diese DCR hat denselben Namen wie Ihr Azure Monitor-Arbeitsbereich.

   

3. Klicken Sie auf der Seite "DCR-Übersicht" auf "Ressourcen ->+ Hinzufügen", und wählen Sie dann den AKS-Cluster aus.

   

4. Nachdem der AKS-Cluster hinzugefügt wurde (möglicherweise müssen Sie die Seite aktualisieren), klicken Sie auf den AKS-Cluster, und bearbeiten Sie dann die Datensammlung von Endpunkt. Wählen Sie auf dem daraufhin geöffneten Blatt den Datensammlungsendpunkt aus, den Sie in Schritt 1 dieses Abschnitts erstellt haben. Dieser DCE sollte sich in derselben Region wie der AKS-Cluster befinden.

   

5. Wechseln Sie zur AMPLS-Übersichtsseite, klicken Sie auf Azure Monitor-Ressourcen, klicken Sie auf "Hinzufügen", und verbinden Sie dann das erstellte DCE.

3. Verbinden von AMPLS mit einem privaten Endpunkt des AKS-Clusters

Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem virtuellen Netzwerk (VNet). Wir erstellen nun einen privaten Endpunkt im VNet Ihres privaten AKS-Clusters und verbinden ihn mit den AMPLS, um eine sichere Erfassung von Metriken zu erhalten.

1. Suchen Sie im Azure-Portal nach den AMPLS, die Sie in den vorherigen Schritten erstellt haben. Wechseln Sie zur AMPLS-Übersichtsseite, klicken Sie auf "Konfigurieren –>Private Endpunktverbindungen", und wählen Sie dann +Privater Endpunkt aus.

2. Wählen Sie die Ressourcengruppe aus, und geben Sie einen Namen des privaten Endpunkts ein, und klicken Sie dann auf "Weiter".

3. Wählen Sie im Abschnitt "Ressource " "Microsoft.Monitor/accounts " als Ressourcentyp, den Azure Monitor-Arbeitsbereich als Ressource aus, und wählen Sie dann prometheusMetrics aus. Klicke auf Weiter.

   

4. Wählen Sie im Abschnitt "Virtuelles Netzwerk " das virtuelle Netzwerk Ihres AKS-Clusters aus. Dies finden Sie im Portal unter AKS-Übersicht -> Einstellungen - Netzwerk ->> Virtuelle Netzwerkintegration.

4. Überprüfen, ob Metriken in Azure Monitor Workspace aufgenommen werden

Überprüfen Sie, ob Prometheus-Metriken aus Ihrem privaten AKS-Cluster in Azure Monitor Workspace aufgenommen werden:

1. Suchen Sie im Azure-Portal nach dem Azure Monitor Workspace, und wechseln Sie zu "Monitoring ->Metrics".
2. Fragen Sie im Metrik-Explorer nach Metriken ab, und stellen Sie sicher, dass Sie abfragen können.

Hinweis

• Informationen zum Konfigurieren einer privaten Verbindung zum Abfragen von Daten aus Ihrem Azure Monitor-Arbeitsbereich mithilfe von Grafana finden Sie unter Herstellen einer privaten Verbindung mit einer Datenquelle.
• Ausführliche Informationen zum Konfigurieren privater Verknüpfungen zum Abfragen von Daten aus Ihrem Azure Monitor-Arbeitsbereich mithilfe von Arbeitsmappen finden Sie unter Verwenden privater Endpunkte für verwaltete Prometheus- und Azure Monitor-Arbeitsbereiche.

Erfassung aus einem privaten AKS-Cluster

Wenn Sie eine Azure Firewall verwenden, um den ausgehenden Datenverkehr aus Ihrem Cluster einzuschränken, können Sie Folgendes implementieren:

• Öffnen Sie einen Pfad zum öffentlichen Erfassungsendpunkt. Aktualisieren Sie die Routingtabelle mit den folgenden beiden Endpunkten:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Aktivieren Sie die Azure Firewall für den Zugriff auf den Azure Monitor-Private Link-Bereich und den DCE, der für die Datenerfassung verwendet wird.

Erfassung über eine private Verbindung für Remoteschreibvorgänge

Die folgenden Schritte zeigen, wie Sie Remoteschreibvorgänge für einen Kubernetes-Cluster über ein VNET mit privater Verbindung und einen Azure Monitor-Private Link-Bereich einrichten.

1. Erstellen Sie ein virtuelles Netzwerk in Azure.
2. Konfigurieren Sie den lokalen Cluster für die Verbindung mit einem Azure-VNET über ein VPN-Gateway oder ExpressRoutes mit privatem Peering.
3. Erstellen Sie einen Azure Monitor-Private Link-Bereich.
4. Verbinden Sie den Azure Monitor-Private Link-Bereich mit einem privaten Endpunkt im virtuellen Netzwerk, das vom lokalen Cluster verwendet wird. Dieser private Endpunkt wird für den Zugriff auf Ihre DCEs verwendet.
5. Wählen Sie in Ihrem Azure Monitor-Arbeitsbereich im Portal die Option Datensammlungsendpunkte aus dem Azure Monitor-Arbeitsbereichsmenü aus.
6. Sie haben mindestens einen DCE, der denselben Namen wie Ihr Arbeitsbereich hat. Klicken Sie auf das DCE, um die Details zu öffnen.
7. Wählen Sie die Seite Netzwerkisolation für den DCE aus.
8. Klicken Sie auf Hinzufügen, und wählen Sie den Azure Monitor Private Link-Bereich aus. Es dauert einige Minuten, bis die Einstellungen übernommen werden. Nach Abschluss des Vorgangs werden Daten aus Ihrem privaten AKS-Cluster über die private Verbindung in Ihrem Azure Monitor-Arbeitsbereich erfasst.

Container Insights (Log Analytics-Arbeitsbereich)

Daten für Containereinblicke werden in einem Log Analytics-Arbeitsbereich gespeichert, daher müssen Sie diesen Arbeitsbereich über einen privaten Link zugänglich machen.

Hinweis

In diesem Abschnitt wird beschrieben, wie Sie private Links für Containereinblicke mit CLI aktivieren. Ausführliche Informationen zur Verwendung einer ARM-Vorlage finden Sie unter Containereinblicke aktivieren und beachten Sie die Parameter useAzureMonitorPrivateLinkScope und azureMonitorPrivateLinkScopeResourceId.

Voraussetzungen

• In diesem Artikel wird beschrieben, wie Sie Ihren Cluster mit einem vorhandenen Azure Monitor Private Link Scope (AMPLS) verbinden. Erstellen Sie eine AMPLS, die den Anweisungen unter Konfigurieren Ihres privaten Links folgt.
• Mindestens Version 2.61.0 der Azure CLI

Cluster mit Authentifizierung der verwalteten Identität

Vorhandener AKS-Cluster mit standardmäßigem Log Analytics-Arbeitsbereich

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Beispiel:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Vorhandener AKS-Cluster mit vorhandenem Log Analytics-Arbeitsbereich

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Beispiel:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Neuer AKS-Cluster

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Beispiel:

az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster mit Legacyauthentifizierung

Verwenden Sie die folgenden Verfahren, um die Netzwerkisolation zu aktivieren, indem Sie Ihren Cluster mithilfe von Azure Private Link mit dem Log Analytics-Arbeitsbereich verbinden, wenn Ihr Cluster keine verwaltete Identitätsauthentifizierung verwendet. Hierzu ist ein privater AKS-Cluster erforderlich.

1. Erstellen Sie einen privaten AKS-Cluster, wie unter Erstellen eines privaten Azure Kubernetes Service-Clusters beschrieben.

2. Deaktivieren Sie die öffentliche Erfassung in Ihrem Log Analytics-Arbeitsbereich.

   Verwenden Sie den folgenden Befehl, um die öffentliche Erfassung für einen vorhandenen Arbeitsbereich zu deaktivieren:

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

   Verwenden Sie den folgenden Befehl, um einen neuen Arbeitsbereich mit deaktivierter öffentlicher Erfassung zu erstellen:

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

3. Konfigurieren Sie eine private Verbindung, wie unter Konfigurieren einer privaten Verbindung beschrieben. Legen Sie den Erfassungszugriff auf „Öffentlich“ fest, und ändern Sie die Einstellung in „Privat“, nachdem der private Endpunkt erstellt wurde, aber bevor die Überwachung aktiviert wird. Die Region der Private Link-Ressource muss der AKS-Clusterregion entsprechen.

4. Aktivieren Sie die Überwachung für den AKS-Cluster.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Nächste Schritte

• Wenn beim Onboarding der Lösung Probleme auftreten, lesen Sie den Leitfaden zur Problembehandlung.
• Wenn die Überwachung aktiviert ist, um Integrität und Ressourcennutzung Ihres AKS-Clusters und der darauf ausgeführten Workloads zu erfassen, informieren Sie sich über die Verwendung von Container Insights.
• Abfragen von Daten aus Azure Managed Grafana mithilfe des verwalteten privaten Endpunkts.
• Verwenden Sie private Endpunkte für verwaltete Prometheus- und Azure Monitor-Arbeitsbereiche , um Details zum Konfigurieren eines privaten Links zum Abfragen von Daten aus Ihrem Azure Monitor-Arbeitsbereich mithilfe von Arbeitsmappen zu erhalten.
• DNS-Konfiguration für private Azure-Endpunkte