Container Insights tiene como valor predeterminado la autenticación de identidad administrada, que tiene un agente de supervisión que usa la identidad administrada del clúster para enviar datos a Azure Monitor. Reemplazó la autenticación local basada en certificados heredada y quitó el requisito de agregar un rol publicador de métricas de supervisión al clúster.
En este artículo se describe cómo migrar a la autenticación de identidad administrada si ha habilitado Container Insights mediante el método de autenticación heredado y cómo habilitar la autenticación heredada si tiene ese requisito.
Migrar a autenticación mediante identidad administrada
Si ha habilitado Container Insights antes de que la autenticación de identidad administrada estuviera disponible, puede usar los métodos siguientes para migrar los clústeres.
Puede migrar a la autenticación de identidad administrada desde el panel de configuración de Monitor para el clúster de AKS. En la sección Supervisión, haga clic en la pestaña Insights. En la pestaña Insights, haga clic en la opción Configuración del monitor y active la casilla Usar identidad administrada
Si no ves la opción Usar identidad administrada, está usando un clúster de SPN. En ese caso, debes usar herramientas de línea de comandos para migrar. Consulte otras pestañas para obtener instrucciones y plantillas de migración.
AKS
Los clústeres de AKS deben deshabilitar primero la supervisión y, a continuación, actualizar a la identidad administrada. Actualmente solo se admiten para esta migración la nube pública Azure, la nube Microsoft Azure operada por 21Vianet y la nube Azure Government. En el caso de los clústeres con identidad asignada por el usuario, solo se admite la nube pública de Azure.
Nota
Mínimo CLI de Azure versión 2.49.0 o superior.
Obtenga el identificador de recurso del área de trabajo de Log Analytics configurada:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
Deshabilite la supervisión con el siguiente comando:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
Si el clúster usa una entidad de servicio, actualízelo a la identidad administrada del sistema con el siguiente comando:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
Habilite el complemento de supervisión con la opción de autenticación de identidad administrada mediante el id. de recurso del área de trabajo de Log Analytics obtenido en el paso 1:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Kubernetes habilitado para Arc
Nota:
No se admite la autenticación de identidad administrada para clústeres de Kubernetes habilitados para Arc con ARO.
Recupere el área de trabajo de Log Analytics configurada para la extensión Container Insights.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
Habilite la extensión Container Insights con la opción de autenticación de identidad administrada mediante el área de trabajo devuelta en el primer paso.
Los clústeres nuevos que se creen o se incorporen ahora tendrán como valor predeterminado la autenticación de identidad administrada. Sin embargo, todavía se admiten los clústeres existentes con autenticación heredada basada en la solución.
