Aktivieren eines privaten Links für die Überwachung virtueller Computer und Kubernetes-Cluster in Azure Monitor

Azure Private Link ermöglicht Ihnen über private Endpunkte den Zugriff auf Azure Platform-as-a-Service (PaaS)-Ressourcen in Ihrem virtuellen Netzwerk. Ein Azure Monitor Private Link-Bereich (AMPLS) verbindet einen privaten Endpunkt mit einem Satz von Azure Monitor-Ressourcen, um die Grenzen Ihres Überwachungsnetzwerks zu definieren.

In diesem Artikel wird beschrieben, wie Sie die Überwachung Ihrer virtuellen Computer (VMs) und Kubernetes-Cluster mit einem vorhandenen Azure Monitor Private Link Scope (AMPLS) konfigurieren.

Voraussetzungen

• Aktivieren Sie die Überwachung Ihrer VM oder Ihres Clusters mithilfe relevanter Anleitungen.
  • Aktivieren Sie die Überwachung Ihres Kubernetes-Clusters mithilfe der Anleitung in "Prometheus-Metriken und Containerprotokollierung aktivieren".
  • Aktivieren Sie die Überwachung Ihrer VM mithilfe der Anleitung in "VM Insights aktivieren " oder "Sammeln von Daten vom Client für virtuelle Computer" mit Azure Monitor.
• Erstellen Sie eine AMPLS, und verbinden Sie es mit Ihrem VNet, indem Sie den unter "Privaten Link konfigurieren" für Azure Monitor beschriebenen Prozess verwenden.

Konzeptionelle Übersicht

VMs und Kubernetes-Cluster, die von Azure Monitor überwacht werden, verwenden beide den Azure Monitor-Agent für die Überwachung, sodass ihre Konfiguration für private Verknüpfungen ähnlich ist. Je nach Konfiguration sendet jede Metrik an einen Azure Monitor-Arbeitsbereich und/oder Protokolle an einen Log Analytics-Arbeitsbereich.

Der Azure Monitor-Agent, der auf dem virtuellen Computer oder Cluster ausgeführt wird, muss über Eine Verbindung für die folgenden Vorgänge verfügen:

• Rufen Sie die Konfiguration von Azure Monitor ab. Dazu gehören die Datensammlungsregeln (Data Collection Rules, DCRs), die dem Agent zugeordnet sind, die definieren, welche Protokoll- und Metrikdaten erfasst werden sollen und wo sie gesendet werden sollen.
• Senden von Daten an den Azure Monitor-Arbeitsbereich und den Log Analytics-Arbeitsbereich.
• Abfragen von Daten aus dem Azure Monitor-Arbeitsbereich und dem Log Analytics-Arbeitsbereich.

Hinweis

VMs senden Metriken nur an einen Azure Monitor-Arbeitsbereich, wenn sie zu OpenTelemetry-Metriken migriert wurden, wie in Migrate to VM Insights OpenTelemetry (Vorschau) beschrieben. Wenn nicht, speichern sie Metriken in Log Analytics-Arbeitsbereichen. Die gleiche Anleitung in diesem Artikel gilt für einen virtuellen Computer, der nicht zu OpenTelemetry-Metriken migriert wurde, aber nur der Log Analytics-Arbeitsbereich muss konfiguriert werden.

Datensammlungsendpunkte (DATA Collection Endpoints, DCEs) werden für unterschiedliche Funktionen verwendet, wenn sie private Verknüpfung mit Azure Monitor verwenden, wie in AMPLS-Ressourcen beschrieben. Sie verwenden eine Kombination aus vorhandenen DCEs und neuen DCEs, die Sie je nach Ihren Anforderungen erstellen.

Aktivieren der Agentkonfiguration

Sowohl der virtuelle Computer als auch der Cluster erfordern Datensammlungsendpunkte (DATA Collection Endpoints, DCEs) in ampLS, um ihre Konfiguration von Azure Monitor über einen privaten Link abzurufen. Es ist nur ein einzelner DCE erforderlich, damit die VM oder der Cluster seine Konfiguration abrufen kann. Dieser DCE wird verwendet, um DCRs für Protokolle und Metriken abzurufen, wenn beide aktiviert sind. Jeder DCE in derselben Region wie der virtuelle Computer oder Cluster kann verwendet werden, es ist jedoch in der Regel am besten, einen vorhandenen DCE zu verwenden, wenn er verfügbar ist.

Wenn Sie einen Azure Monitor-Arbeitsbereich für Metriken verwenden, können Sie den automatisch für den Arbeitsbereich erstellten DCE verwenden. Wenn Sie keinen Azure Monitor-Arbeitsbereich verwenden oder sich Ihr virtueller Computer oder Cluster in einer anderen Region befindet als Ihr Azure Monitor-Arbeitsbereich, müssen Sie einen neuen DCE in derselben Region wie Ihre VM oder Ihren Cluster erstellen. Befolgen Sie die Anweisungen beim Erstellen eines Datensammlungsendpunkts , um bei Bedarf einen neuen DCE in derselben Region wie Ihre VM oder Ihren Cluster zu erstellen.

Zuordnen eines virtuellen Computers oder Clusters zu DCE

Erstellen Sie eine Zuordnung zwischen dem virtuellen Computer oder Cluster und einem DCE für den virtuellen Computer/Cluster, um seine Konfiguration mithilfe des DCE von Azure Monitor abzurufen. Jeder virtuelle Computer oder Cluster kann nur eine Zuordnung mit einem einzelnen DCE haben. Wenn Sie also eine andere Zuordnung erstellen, wird die vorhandene ersetzt.

Azure-Portal

Wenn Sie den vom Azure Monitor-Arbeitsbereich erstellten DCE verwenden, identifizieren Sie ihn auf der Seite "Übersicht " im Azure-Portal.

Wählen Sie im Menü "Überwachen" im Azure-Portal die Option "Datensammlungsendpunkte" aus. Wählen Sie den DCE und dann die Registerkarte "Ressourcen " aus. Klicken Sie auf "Hinzufügen" , und wählen Sie den Cluster aus, um die Zuordnung zu erstellen.

CLI

Erstellen Sie mithilfe des folgenden Befehls eine Zuordnung zwischen dem virtuellen Computer oder Cluster und dem DCE:

az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id <dce-resource-id> --resource-uri <vm-resource-id/cluster-resource-id>

# Example VM
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/my-vm

# Example AKS
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.ContainerService/managedClusters/my-cluster

PowerShell

Erstellen Sie mithilfe des folgenden Befehls eine Zuordnung zwischen dem virtuellen Computer oder Cluster und dem DCE:

New-AzDataCollectionRuleAssociation -associationname configurationAccessEndpoint -DataCollectionEndpointId <dce-resource-id> -resourceuri <vm-resource-id/cluster-resource-id>  

# Example VM
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

# Example AKS
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

Fügen Sie DCEs zu AMPLS hinzu

Jede der für den Konfigurationszugriff erstellten DCEs muss zur AMPLS hinzugefügt werden. Dazu gehören das dcE, das vom Azure Monitor-Arbeitsbereich erstellt wurde, und alle neuen DCEs, die für Cluster in verschiedenen Regionen erstellt wurden.

Azure-Portal

Wählen Sie im Menü "Monitor" im Azure-Portal die Option "Azure Monitor Private Link Scopes" aus. Wählen Sie Ihre AMPLS und dann die Registerkarte "Azure Monitor-Ressourcen " aus. Klicken Sie auf "Hinzufügen" , und wählen Sie den DCE aus, um ihn der AMPLS hinzuzufügen.

CLI

Fügen Sie dem AMPLS mit dem folgenden Befehl einen DCE hinzu:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Fügen Sie dem AMPLS mit dem folgenden Befehl einen DCE hinzu:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Aktivieren der Datenaufnahme

Für den virtuellen Computer oder Cluster ist ein DCE im AMPLS erforderlich, um Daten mithilfe eines privaten Links an einen Azure Monitor-Arbeitsbereich zu senden. Es ist kein DCE erforderlich, um Protokolldaten an den Log Analytics-Arbeitsbereich zu senden, da der Log Analytics-Arbeitsbereich dem AMPLS direkt hinzugefügt wird.

Konfigurieren des Azure Monitor-Arbeitsbereichs

Ein DCE wird automatisch für jeden Cluster erstellt, wenn Prometheus-Metriken aktiviert sind. Dieser DCE wird einen Namen ähnlich wie MSProm-<region>-<cluster> haben und wird zur Datenaufnahme aus dem Cluster verwendet. Es muss nur der AMPLS hinzugefügt werden.

Azure-Portal

Wählen Sie im Menü "Monitor" im Azure-Portal die Option "Azure Monitor Private Link Scopes" aus. Wählen Sie Ihre AMPLS und dann die Registerkarte "Azure Monitor-Ressourcen " aus. Klicken Sie auf "Hinzufügen" , und wählen Sie den DCE aus, um ihn der AMPLS hinzuzufügen.

CLI

Fügen Sie dem AMPLS mit dem folgenden Befehl einen DCE hinzu:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Fügen Sie dem AMPLS mit dem folgenden Befehl einen DCE hinzu:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Konfigurieren des Log Analytics-Arbeitsbereichs

Für die Aufnahme in den Log Analytics-Arbeitsbereich ist kein DCE erforderlich, da es der AMPLS direkt hinzugefügt wird, wie in AMPLS-Ressourcen beschrieben. Fügen Sie dem AMPLS einen Log Analytics-Arbeitsbereich hinzu, um die Datenaufnahme von Clustern und VMs im verbundenen VNet zu unterstützen.

Azure-Portal

Wählen Sie im Menü "Monitor" im Azure-Portal die Option "Azure Monitor Private Link Scopes" aus. Wählen Sie Ihre AMPLS und dann die Registerkarte "Azure Monitor-Ressourcen " aus. Klicken Sie auf "Hinzufügen" , und wählen Sie den Log Analytics-Arbeitsbereich aus, um ihn der AMPLS hinzuzufügen.

CLI

Fügen Sie dem AMPLS mithilfe des folgenden Befehls einen Log Analytics-Arbeitsbereich hinzu:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <workspace-name> --linked-resource <workspace-resource-id>

# Example VM
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

# Example AKS
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Fügen Sie dem AMPLS mithilfe des folgenden Befehls einen Log Analytics-Arbeitsbereich hinzu:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <workspace-name> -LinkedResourceId <workspace-resource-id>

# Example VM
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

# Example AKS
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

Aktivieren der Abfrage für den Azure Monitor-Arbeitsbereich

Ein zusätzlicher privater Endpunkt ist erforderlich, um Abfragen für den Azure Monitor-Arbeitsbereich über einen privaten Link zu unterstützen. Dies ähnelt dem privaten Endpunkt, der für die AMPLS erstellt wurde, aber dieser private Endpunkt ist speziell für den Azure Monitor-Arbeitsbereich vorgesehen, um Abfragen über private Verknüpfungen zu unterstützen. Weitere Informationen zu diesem privaten Endpunkt und den dafür erstellten DNS-Einträgen finden Sie unter Verwenden privater Endpunkte für verwaltete Prometheus- und Azure Monitor-Arbeitsbereiche.

Befolgen Sie die gleichen Anweisungen bei Connect AMPLS mit einem privaten Endpunkt , um eine neue private Endpunktverbindung zu erstellen, verwenden Sie jedoch die folgenden Einstellungen für die Ressource, um eine Verbindung herzustellen:

Eigentum	Description
Subscription	Abonnement, das Ihre AMPLS enthält.
Ressourcentyp	Microsoft.Monitor/accounts
Resource	Name für den Link
Zielunterressource	Prometheus-Metriken

Erfassung aus einem privaten AKS-Cluster

Wenn Sie eine Azure Firewall verwenden, um den ausgehenden Datenverkehr aus Ihrem Cluster einzuschränken, können Sie Folgendes implementieren:

• Öffnen Sie einen Pfad zum öffentlichen Erfassungsendpunkt. Aktualisieren Sie die Routingtabelle mit den folgenden beiden Endpunkten:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Aktivieren Sie die Azure Firewall für den Zugriff auf den Azure Monitor-Private Link-Bereich und den DCE, der für die Datenerfassung verwendet wird.

Erfassung über eine private Verbindung für Remoteschreibvorgänge

Führen Sie die folgenden Schritte aus, um den Remote-Schreibzugriff für Prometheus-Metriken für einen Kubernetes-Cluster über ein Private-Link-Virtualnetzwerk und ein AMPLS einzurichten.

1. Konfigurieren Sie den lokalen Cluster für die Verbindung mit einem Azure-VNET über ein VPN-Gateway oder ExpressRoutes mit privatem Peering.
2. Verbinden Sie die AMPLS mit einem privaten Endpunkt im virtuellen Netzwerk, das vom lokalen Cluster verwendet wird. Dieser private Endpunkt wird für den Zugriff auf Ihre DCEs verwendet.
3. Klicken Sie auf der Seite "Übersicht" für Ihren Azure Monitor-Arbeitsbereich im Azure-Portal auf den Endpunkt der Datensammlung.
4. Wählen Sie die Seite Netzwerkisolation für den DCE aus.
5. Klicken Sie auf "Hinzufügen" , und wählen Sie Ihre AMPLS aus. Warten Sie einige Minuten, bis die Einstellungen weitergegeben werden, und Daten aus Ihrem lokalen AKS-Cluster sollten über den privaten Link in Ihren Azure Monitor-Arbeitsbereich aufgenommen werden.

Überprüfen der Datenerfassung

Es gibt mehrere Methoden, um zu überprüfen, ob Daten aus Ihrem Cluster über den privaten Link aufgenommen werden. Eine Methode besteht darin, das Menü "Monitor" auf einen Ihrer Cluster oder VMs zu überprüfen. Sie sollten Metriken und Ereignisse sehen, die gesammelt werden.

Nächste Schritte

• Informationen zum Konfigurieren einer privaten Verbindung zum Abfragen von Daten aus Ihrem Azure Monitor-Arbeitsbereich mithilfe von Grafana finden Sie unter Herstellen einer privaten Verbindung mit einer Datenquelle.
• Ausführliche Informationen zum Konfigurieren von privaten Verknüpfungen zum Abfragen von Daten aus Ihrem Azure Monitor-Arbeitsbereich mithilfe von Arbeitsmappen finden Sie unter Aktivieren der Abfrage aus dem Azure Monitor-Arbeitsbereich mithilfe eines privaten Links .