Configuración de BYOS para Application Insights Profiler y Snapshot Debugger

Cuando se usa Application Insights Profiler o Snapshot Debugger, los artefactos generados por la aplicación se cargan de manera predeterminada en cuentas de Azure Storage a través de la red pública de Internet. Para estos artefactos y cuentas de almacenamiento, Microsoft controla y cubre el costo de:

• El procesamiento y análisis.
• Las directivas de administración de cifrado en reposo y vigencia.

Mientras tanto, al configurar su propia cuenta de almacenamiento (BYOS), los artefactos se cargan en una cuenta de almacenamiento que solo controla usted y cubre el costo de:

• La directiva de cifrado en reposo y la directiva de administración de vigencia.
• Acceso a la red.

Nota

BYOS es necesario si habilita Azure Private Link o claves administradas por el cliente.

• Más información sobre Private Link para Application Insights.
• Más información sobre las claves administradas por el cliente para Application Insights.

En esta guía, aprenderá a:

• Concesión de acceso a los servicios de diagnóstico a su cuenta de almacenamiento
• Vinculación de la cuenta de almacenamiento con el recurso de Application Insights
• Obtenga información sobre cómo se accede a la cuenta de almacenamiento.

Requisitos previos

• Compruebe que crea la cuenta de almacenamiento en la misma ubicación que el recurso de Application Insights.
• Si Private Link está habilitado, permita la conexión a nuestro servicio de confianza de Microsoft desde la red virtual.

Concesión de acceso a los servicios de diagnóstico a su cuenta de almacenamiento

Una cuenta de almacenamiento de BYOS está vinculada a un recurso de Application Insights. Para empezar, conceda el rol Storage Blob Data Contributor a la aplicación de Microsoft Entra llamada Diagnostic Services Trusted Storage Access a través de la página de Access Control (IAM) de la cuenta de almacenamiento.

1. Seleccione Access Control (IAM) .

2. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

3. Asigne el siguiente rol.

   Configuración	Valor
   Role	Colaborador de datos de blobs de almacenamiento
   Asignar acceso a	Usuario, grupo o entidad de servicio
   Miembros	Acceso a almacenamiento de confianza de servicios de diagnóstico

   

   Una vez asignado, puede ver el rol en la sección Asignaciones de roles.

Nota:

Si también está usando Private Link, se necesita una configuración adicional para permitir la conexión a nuestro servicio de confianza de Microsoft desde Virtual Network. Para obtener más información, consulte la documentación de seguridad de red de almacenamiento.

Vinculación de la cuenta de almacenamiento con el recurso de Application Insights

Tiene tres opciones para configurar BYOS para diagnósticos de nivel de código, como Profiler y Snapshot Debugger:

• Cmdlets de Azure PowerShell
• La CLI de Azure
• Plantillas del Administrador de recursos de Azure

PowerShell

Antes de comenzar, instale Azure PowerShell 4.2.0 o superior.

1. Instale la extensión de PowerShell para Application Insights.

   Install-Module -Name Az.ApplicationInsights -Force
   

2. Inicie sesión con su suscripción de cuenta de Azure.

   Connect-AzAccount -Subscription "{subscription_id}"
   

   Para obtener más información sobre cómo iniciar sesión, consulte la documentación de Connect-AzAccount.

3. Quite la cuenta de almacenamiento anterior vinculada al recurso de Application Insights.

   Patrón:

   Get-AzApplicationInsights -ResourceGroupName "{resource_group_name}" -Name "{application_insights_name}" | Remove-AzApplicationInsightsLinkedStorageAccount
   

   Ejemplo:

   Get-AzApplicationInsights -ResourceGroupName "byos-test" -Name "byos-test-westus2-ai" | Remove-AzApplicationInsightsLinkedStorageAccount
   

4. Conecte la cuenta de almacenamiento con el recurso de Application Insights.

   Patrón:

   $storageAccount = Get-AzStorageAccount -ResourceGroupName "{resource_group_name}" -Name "{storage_account_name}"
   Get-AzApplicationInsights -ResourceGroupName "{resource_group_name}" -Name "{application_insights_name}" | New-AzApplicationInsightsLinkedStorageAccount -LinkedStorageAccountResourceId $storageAccount.Id
   

   Ejemplo:

   $storageAccount = Get-AzStorageAccount -ResourceGroupName "byos-test" -Name "byosteststoragewestus2"
   Get-AzApplicationInsights -ResourceGroupName "byos-test" -Name "byos-test-westus2-ai" | New-AzApplicationInsightsLinkedStorageAccount -LinkedStorageAccountResourceId $storageAccount.Id
   

CLI de Azure

Antes de empezar, instale la CLI de Azure.

1. Instale la extensión de la CLI de Application Insights.

   az extension add -n application-insights
   

2. Conecte la cuenta de almacenamiento con el recurso de Application Insights.

   Patrón:

   az monitor app-insights component linked-storage link --resource-group "{resource_group_name}" --app "{application_insights_name}" --storage-account "{storage_account_name}"
   

   Ejemplo:

   az monitor app-insights component linked-storage link --resource-group "byos-test" --app "byos-test-westus2-ai" --storage-account "byosteststoragewestus2"
   

   Resultado esperado:

   {
     "id": "/subscriptions/{subscription}/resourcegroups/byos-test/providers/microsoft.insights/components/byos-test-westus2-ai/linkedstorageaccounts/serviceprofiler",
     "linkedStorageAccount": "/subscriptions/{subscription}/resourceGroups/byos-test/providers/Microsoft.Storage/storageAccounts/byosteststoragewestus2",
     "name": "serviceprofiler",
     "resourceGroup": "byos-test",
     "type": "microsoft.insights/components/linkedstorageaccounts"
   }
   

   Nota

   Para realizar actualizaciones en las cuentas de almacenamiento vinculadas al recurso de Application Insights, consulte la documentación de la CLI de Application Insights.

Plantilla de Resource Manager

1. Cree un archivo de plantilla de Azure Resource Manager con el siguiente contenido (byos.template.json):

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "applicationinsights_name": {
         "type": "String"
       },
       "storageaccount_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "name": "[concat(parameters('applicationinsights_name'), '/serviceprofiler')]",
         "type": "Microsoft.Insights/components/linkedStorageAccounts",
         "apiVersion": "2020-03-01-preview",
         "properties": {
           "linkedStorageAccount": "[resourceId('Microsoft.Storage/storageAccounts', parameters('storageaccount_name'))]"
         }
       }
     ],
     "outputs": {}
   }
   

2. Ejecute el siguiente comando de PowerShell para implementar la plantilla anterior:

   Sintaxis:

   New-AzResourceGroupDeployment -ResourceGroupName "{your_resource_name}" -TemplateFile "{local_path_to_arm_template}"
   

   Ejemplo:

   New-AzResourceGroupDeployment -ResourceGroupName "byos-test" -TemplateFile "D:\Docs\byos.template.json"
   

3. Proporcione los siguientes parámetros cuando se le solicite en la consola de PowerShell:

   Parámetro	Descripción
   application_insights_name	Nombre del recurso de Application Insights para habilitar BYOS.
   storage_account_name	Nombre del recurso de la cuenta de almacenamiento que usará como BYOS.

   Resultado esperado:

   Supply values for the following parameters:
   (Type !? for Help.)
   application_insights_name: byos-test-westus2-ai
   storage_account_name: byosteststoragewestus2
   
   DeploymentName          : byos.template
   ResourceGroupName      : byos-test
   ProvisioningState       : Succeeded
   Timestamp               : 4/16/2020 1:24:57 AM
   Mode                    : Incremental
   TemplateLink            :
   Parameters              :
                             Name                            Type                       Value
                             ==============================  =========================  ==========
                             application_insights_name        String                     byos-test-westus2-ai
                             storage_account_name             String                     byosteststoragewestus2
   
   Outputs                 :
   DeploymentDebugLogLevel :
   

4. Habilite Profiler o Snapshot Debugger en la carga de trabajo de interés a través de Azure Portal. En este ejemplo, App Service>Application Insights.

   

Solucionar problemas

En esta sección se ofrecen sugerencias para solucionar problemas comunes en la configuración de BYOS.

• Para solucionar problemas generales de Profiler, consulte la documentación de solución de problemas de Profiler.
• Para la solución de problemas generales de Snapshot Debugger, consulte la documentación de solución de problemas de Snapshot Debugger.

Escenario: No se admite el esquema de plantilla "{schema_uri}"

Ha recibido un error similar al ejemplo siguiente:

New-AzResourceGroupDeployment : 11:53:49 AM - Error: Code=InvalidTemplate; Message=Deployment template validation failed: 'Template schema
'https://schema.management.azure.com/schemas/2020-01-01/deploymentTemplate.json#' is not supported. Supported versions are
'2014-04-01-preview,2015-01-01,2018-05-01,2019-04-01,2019-08-01'. Please see https://aka.ms/arm-template for usage details.'.

Soluciones

• Asegúrese de que la propiedad $schema de la plantilla es válida. Debe seguir el siguiente patrón:

  https://schema.management.azure.com/schemas/{schema_version}/deploymentTemplate.json#
  

• Asegúrese de que schema_version en la plantilla esté dentro de los valores válidos: 2014-04-01-preview, 2015-01-01, 2018-05-01, 2019-04-01, 2019-08-01.

Escenario: No se encontró ningún proveedor de recursos registrado para la ubicación "{location}"

Ha recibido un error similar al ejemplo siguiente:

New-AzResourceGroupDeployment : 6:18:03 PM - Resource microsoft.insights/components 'byos-test-westus2-ai' failed with message '{
  "error": {
    "code": "NoRegisteredProviderFound",
    "message": "No registered resource provider found for location 'westus2' and API version '2020-03-01-preview' for type 'components'. The supported api-versions are '2014-04-01,
2014-08-01, 2014-12-01-preview, 2015-05-01, 2018-05-01-preview'. The supported locations are ', eastus, southcentralus, northeurope, westeurope, southeastasia, westus2, uksouth,
canadacentral, centralindia, japaneast, australiaeast, koreacentral, francecentral, centralus, eastus2, eastasia, westus, southafricanorth, northcentralus, brazilsouth, switzerlandnorth,
australiasoutheast'."
  }
}'

Soluciones

• Asegúrese de que apiVersion del recurso microsoft.insights/components es 2015-05-01.
• Asegúrese de que apiVersion del recurso linkedStorageAccount es 2020-03-01-preview.

Escenario: la ubicación de la cuenta de almacenamiento debe coincidir con la ubicación del componente de Application Insights

Ha recibido un error similar al ejemplo siguiente:

New-AzResourceGroupDeployment : 1:01:12 PM - Resource microsoft.insights/components/linkedStorageAccounts 'byos-test-centralus-ai/serviceprofiler' failed with message '{
  "error": {
    "code": "BadRequest",
    "message": "Storage account location should match AI component location",
    "innererror": {
      "trace": [
        "System.ArgumentException"
      ]
    }
  }
}'

Solución

Asegúrese de que la ubicación del recurso de Application Insights sea la misma que la de la cuenta de almacenamiento.

Preguntas más frecuentes

En esta sección se proporcionan respuestas a preguntas comunes sobre la configuración de BYOS para Profiler y Snapshot Debugger.

Si tengo habilitado Profiler/Snapshot Debugger y BYOS, ¿se migrarán mis datos a mi cuenta de almacenamiento?

No, no lo harán.

¿Funciona BYOS con el cifrado en reposo y las claves administradas por el cliente?

Sí. Para ser precisos, BYOS es un requisito para tener Profiler/Snapshot Debugger habilitado con las claves administradas por el cliente.

¿Funciona BYOS en un entorno aislado de Internet?

Sí. BYOS es un requisito para escenarios de redes aisladas.

¿Funciona BYOS cuando se hayan habilitado tanto las claves administradas por el cliente como Private Link?

Sí, es posible.

Si tengo habilitado BYOS, ¿puedo volver a usar las cuentas de almacenamiento de servicios de diagnóstico para almacenar los datos recopilados?

Sí, pero actualmente no se admite la migración de datos desde BYOS.

Después de habilitar BYOS, ¿me haré cargo de todos los costos relacionados con el almacenamiento y las redes?

Sí.

¿Cómo se accede a la cuenta de almacenamiento?

1. Los agentes que se ejecutan en máquinas virtuales o App Service cargan artefactos (perfiles, instantáneas y símbolos) en los contenedores de blobs de la cuenta.

   Este proceso implica ponerse en contacto con el servicio Profiler o Snapshot Debugger para obtener un token de firma de acceso compartido para un nuevo blob en la cuenta de almacenamiento.

2. Profiler o Snapshot Debugger:

   • Analiza el blob entrante.
   • Reescribir los resultados del análisis y los archivos de registro en Blob Storage.

   Dependiendo de la capacidad de proceso disponible, este proceso puede producirse en cualquier momento después de la carga.

3. Al ver los seguimientos de Profiler o el análisis de Snapshot Debugger, el servicio captura los resultados del análisis del almacenamiento de blobs.

Pasos siguientes

• Más información sobre Application Insights Profiler
• Más información acerca de Snapshot Debugger