Habilitación del vínculo privado para la supervisión de máquinas virtuales y clústeres de Kubernetes en Azure Monitor

Azure Private Link permite acceder a los recursos de plataforma como servicio (PaaS) de Azure en la red virtual mediante puntos de conexión privados. Un ámbito de Azure Monitor Private Link (AMPLS) conecta un endpoint privado a un conjunto de recursos de Azure Monitor para definir los límites de la red de monitorización.

En este artículo se describe cómo configurar la supervisión de las máquinas virtuales (VMs) y los clústeres de Kubernetes con un Azure Monitor Private Link Scope (AMPLS) existente.

Prerrequisitos

• Habilite la supervisión de la máquina virtual o el clúster mediante instrucciones pertinentes.
  • Habilite la supervisión del clúster de Kubernetes mediante las instrucciones de Habilitación de las métricas de Prometheus y el registro de contenedores.
  • Habilite la supervisión de la máquina virtual mediante las instrucciones de Habilitación de VM Insights o Recopilación de datos del cliente de máquina virtual con Azure Monitor.
• Cree un AMPLS y conéctelo a la red virtual mediante el proceso descrito en Configuración de private link para Azure Monitor.

Información general conceptual

Las máquinas virtuales y los clústeres de Kubernetes supervisados por Azure Monitor usan el agente de Azure Monitor para la supervisión, por lo que su configuración para private link es similar. En función de su configuración, cada una enviará métricas a un área de trabajo o registros de Azure Monitor a un área de trabajo de Log Analytics.

El agente de Azure Monitor que se ejecuta en la máquina virtual o el clúster debe tener conectividad para las siguientes operaciones:

• Recupere la configuración de Azure Monitor. Esto incluye las reglas de recopilación de datos (DCR) asociadas al agente que definen qué datos de registro y métricas se van a recopilar y dónde enviarlos.
• Envíe datos al área de trabajo de Azure Monitor y al área de trabajo de Log Analytics.
• Consulte los datos del área de trabajo de Azure Monitor y del área de trabajo de Log Analytics.

Nota:

Las máquinas virtuales solo envían métricas a un área de trabajo de Azure Monitor si se han migrado a métricas de OpenTelemetry, como se describe en Migración a Vm Insights OpenTelemetry (versión preliminar). Si no es así, almacenan métricas en áreas de trabajo de Log Analytics. La misma guía de este artículo se aplica a una máquina virtual que no se ha migrado a las métricas de OpenTelemetry, pero solo se debe configurar el área de trabajo de Log Analytics.

Los puntos de conexión de recopilación de datos (DCE) se usan para distintas funciones al usar un vínculo privado con Azure Monitor, tal como se describe en Recursos de AMPLS. Usará una combinación de DCE existentes y nuevos DCE que cree en función de sus requisitos.

Habilitación de la configuración del agente

Tanto la máquina virtual como el clúster requieren puntos de conexión de recopilación de datos (DCE) en AMPLS para recuperar su configuración de Azure Monitor a través de un enlace privado. Solo se requiere una única DCE para que la máquina virtual o el clúster recuperen su configuración. Usará este DCE para obtener DCR para las métricas y los registros si ambos están habilitados. Cualquier DCE de la misma región que la máquina virtual o el clúster se puede usar, pero normalmente es mejor usar una DCE existente si está disponible.

Si usa un área de trabajo de Azure Monitor para métricas, puede usar el DCE creado automáticamente para el área de trabajo. Si no usa un área de trabajo de Azure Monitor o si la máquina virtual o el clúster se encuentra en una región diferente a la del área de trabajo de Azure Monitor, debe crear una nueva DCE en la misma región que la máquina virtual o el clúster. Siga las instrucciones de Creación de un punto de conexión de recopilación de datos para crear una nueva DCE en la misma región que la máquina virtual o el clúster si es necesario.

Asociar máquina virtual o clúster con DCE

Cree una asociación entre la máquina virtual o el clúster y un DCE para que la máquina virtual o el clúster recuperen su configuración de Azure Monitor mediante DCE. Cada máquina virtual o clúster solo puede tener una asociación con una sola DCE, por lo que si crea otra asociación, se reemplazará la existente.

Azure Portal

Si usa el DCE creado por el área de trabajo de Azure Monitor, puede identificarlo en la página Información general de Azure Portal.

En el menú Supervisión de Azure Portal, seleccione Puntos de conexión de recopilación de datos. Seleccione el DCE y, a continuación, la pestaña Recursos . Haga clic en Agregar y seleccione el clúster para crear la asociación.

CLI

Cree una asociación entre la máquina virtual o el clúster y el DCE mediante el siguiente comando:

az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id <dce-resource-id> --resource-uri <vm-resource-id/cluster-resource-id>

# Example VM
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/my-vm

# Example AKS
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.ContainerService/managedClusters/my-cluster

PowerShell

Cree una asociación entre la máquina virtual o el clúster y el DCE mediante el siguiente comando:

New-AzDataCollectionRuleAssociation -associationname configurationAccessEndpoint -DataCollectionEndpointId <dce-resource-id> -resourceuri <vm-resource-id/cluster-resource-id>  

# Example VM
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

# Example AKS
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

Agregar DCEs a AMPLS

Cada uno de los DCE creados para el acceso de configuración debe agregarse a AMPLS. Esto incluye el DCE creado por el área de trabajo de Azure Monitor y los nuevos DCE creados para clústeres en distintas regiones.

Azure Portal

En el menú Monitor del Portal de Azure, seleccione Ámbitos de enlace privado de Azure Monitor. Seleccione el AMPLS y, a continuación, la pestaña Recursos de Azure Monitor . Haga clic en Agregar y seleccione el DCE para agregarlo a AMPLS.

CLI

Agregue un DCE a AMPLS mediante el comando siguiente:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Agregue un DCE a AMPLS mediante el comando siguiente:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Habilitación de la ingesta de datos

La máquina virtual o el clúster requieren un DCE en AMPLS para enviar datos a un área de trabajo de Azure Monitor mediante private link. No se requiere DCE para enviar datos de registro al área de trabajo de Log Analytics, ya que el área de trabajo de Log Analytics se agrega directamente a AMPLS.

Configuración del área de trabajo de Azure Monitor

Se crea una DCE automáticamente para cada clúster cuando se habilitan las métricas de Prometheus. Esta DCE tendrá un nombre similar a MSProm-<region>-<cluster> y se usa para la incorporación de datos desde el clúster. Solo tiene que agregarse a AMPLS.

Azure Portal

En el menú Monitor del Portal de Azure, seleccione Ámbitos de enlace privado de Azure Monitor. Seleccione el AMPLS y, a continuación, la pestaña Recursos de Azure Monitor . Haga clic en Agregar y seleccione el DCE para agregarlo a AMPLS.

CLI

Agregue un DCE a AMPLS mediante el comando siguiente:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Agregue un DCE a AMPLS mediante el comando siguiente:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Configuración del área de trabajo de Log Analytics

No se requiere DCE para la ingesta en el área de trabajo de Log Analytics, ya que se agrega directamente a AMPLS, tal como se describe en Recursos de AMPLS. Agregue un área de trabajo de Log Analytics a AMPLS para admitir la ingesta de datos de clústeres y máquinas virtuales en la red virtual conectada.

Azure Portal

En el menú Monitor del Portal de Azure, seleccione Ámbitos de enlace privado de Azure Monitor. Seleccione el AMPLS y, a continuación, la pestaña Recursos de Azure Monitor . Haga clic en Agregar y seleccione el área de trabajo de Log Analytics para agregarla a AMPLS.

CLI

Agregue un área de trabajo de Log Analytics a AMPLS mediante el comando siguiente:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <workspace-name> --linked-resource <workspace-resource-id>

# Example VM
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

# Example AKS
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Agregue un área de trabajo de Log Analytics a AMPLS mediante el comando siguiente:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <workspace-name> -LinkedResourceId <workspace-resource-id>

# Example VM
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

# Example AKS
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

Habilitación de la consulta para el área de trabajo de Azure Monitor

Se requiere un punto de conexión privado adicional para admitir consultas en el área de trabajo de Azure Monitor a través de private link. Esto es similar al punto de conexión privado creado para AMPLS, pero este punto de conexión privado es específicamente para el área de trabajo de Azure Monitor para admitir consultas a través de private link. Para más información sobre este punto de conexión privado y los registros DNS creados para él, consulte Uso de puntos de conexión privados para el área de trabajo de Prometheus y Azure Monitor administrados.

Siga las mismas instrucciones de Conexión de AMPLS a un punto de conexión privado para crear una nueva conexión de punto de conexión privado, pero use la siguiente configuración para que el recurso se conecte a:

Propiedad	Description
Subscription	Suscripción que contiene tus AMPLS.
Tipo de recurso	Microsoft.Monitor/accounts
Resource	Nombre del vínculo
Recurso secundario de destino	prometheusMetrics

Ingesta desde un clúster de AKS privado

Si decide usar Azure Firewall para limitar la salida del clúster, puede implementar una de las siguientes opciones:

• Abra una ruta de acceso al punto de conexión de ingesta pública. Actualice la tabla de enrutamiento con los dos puntos de conexión siguientes:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Habilite Azure Firewall para acceder al ámbito de la vinculación privada de Azure Monitor y al DCE que se utiliza para la ingestión de datos.

Ingesta de vínculo privado para escritura remota

Siga estos pasos para configurar la escritura remota para las métricas de Prometheus para un clúster de Kubernetes a través de una red virtual de vínculo privado y un AMPLS.

1. Configure el clúster local para conectarse a una red virtual de Azure mediante una puerta de enlace de VPN o ExpressRoutes con emparejamiento privado.
2. Conecte el AMPLS a un punto de conexión privado en la red virtual utilizada por el clúster en las instalaciones. Este punto de conexión privado se usa para acceder a los DCE.
3. En la página Información general del área de trabajo de Azure Monitor en Azure Portal, haga clic en el punto de conexión de recopilación de datos.
4. Seleccione la página Aislamiento de red para el DCE.
5. Haga clic en Agregar y seleccione su AMPLS. Espere unos minutos para que la configuración se propague y los datos del clúster de AKS local deben ingerirse en el área de trabajo de Azure Monitor a través del vínculo privado.

Comprobación de la ingesta de datos

Hay varios métodos para comprobar que los datos se ingieren desde el clúster a través del vínculo privado. Un método consiste en comprobar el menú Supervisión de uno de los clústeres o máquinas virtuales. Debería ver que se recopilan métricas y eventos.

Pasos siguientes

• Consulte Conexión a un origen de datos de forma privada para más información sobre cómo configurar un vínculo privado para consultar datos desde el área de trabajo de Azure Monitor mediante Grafana.
• Consulte Habilitación de la consulta desde el área de trabajo de Azure Monitor mediante un vínculo privado para obtener más información sobre cómo configurar un vínculo privado para consultar datos desde el área de trabajo de Azure Monitor utilizando hojas de trabajo.