Autenticación heredada para Container Insights

Container Insights tiene como valor predeterminado la autenticación de identidad administrada, que tiene un agente de supervisión que usa la identidad administrada del clúster para enviar datos a Azure Monitor. Reemplazó la autenticación local basada en certificados heredada y quitó el requisito de agregar un rol publicador de métricas de supervisión al clúster.

En este artículo se describe cómo migrar a la autenticación de identidad administrada si ha habilitado Container Insights mediante el método de autenticación heredado y cómo habilitar la autenticación heredada si tiene ese requisito.

Importante

Si tiene un clúster con autenticación heredada y se rotan las claves del área de trabajo de Log Analytics, la supervisión de los datos dejará de fluir al área de trabajo de Log Analytics. Debe deshabilitar y volver a habilitar el complemento de Container Insights para obtener datos de supervisión para empezar a fluir de nuevo con las nuevas claves de área de trabajo rotadas.  Debe migrar a la autenticación de identidad administrada de Container Insights que no usa claves de área de trabajo de Log Analytics.

Migrar a autenticación mediante identidad administrada

Si ha habilitado Container Insights antes de que la autenticación de identidad administrada estuviera disponible, puede usar los métodos siguientes para migrar los clústeres.

Azure Portal

Puede migrar a la autenticación de identidad administrada desde el panel de configuración de Monitor para el clúster de AKS. En la sección Supervisión, haga clic en la pestaña Insights. En la pestaña Insights, haga clic en la opción Configuración del monitor y active la casilla Usar identidad administrada

Si no ves la opción Usar identidad administrada, está usando un clúster de SPN. En ese caso, debes usar herramientas de línea de comandos para migrar. Consulte otras pestañas para obtener instrucciones y plantillas de migración.

CLI de Azure

AKS

Los clústeres de AKS deben deshabilitar primero la supervisión y, a continuación, actualizar a la identidad administrada. Actualmente solo se admiten para esta migración la nube pública Azure, la nube Microsoft Azure operada por 21Vianet y la nube Azure Government. En el caso de los clústeres con identidad asignada por el usuario, solo se admite la nube pública de Azure.

Nota

Mínimo CLI de Azure versión 2.49.0 o superior.

1. Obtenga el identificador de recurso del área de trabajo de Log Analytics configurada:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Deshabilite la supervisión con el siguiente comando:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Si el clúster usa una entidad de servicio, actualízelo a la identidad administrada del sistema con el siguiente comando:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Habilite el complemento de supervisión con la opción de autenticación de identidad administrada mediante el id. de recurso del área de trabajo de Log Analytics obtenido en el paso 1:

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Kubernetes habilitado para Arc

Nota:

No se admite la autenticación de identidad administrada para clústeres de Kubernetes habilitados para Arc con ARO.

1. Recupere el área de trabajo de Log Analytics configurada para la extensión Container Insights.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Habilite la extensión Container Insights con la opción de autenticación de identidad administrada mediante el área de trabajo devuelta en el primer paso.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Escala de tiempo

Los clústeres nuevos que se creen o se incorporen ahora tendrán como valor predeterminado la autenticación de identidad administrada. Sin embargo, todavía se admiten los clústeres existentes con autenticación heredada basada en la solución.

Pasos siguientes

Si experimenta problemas al actualizar el agente, revise la guía de solución de problemas para obtener ayuda.