Partekatu honen bidez:


Habilitación de un vínculo privado para la supervisión de Kubernetes en Azure Monitor

Azure Private Link permite acceder a los recursos de plataforma como servicio (PaaS) de Azure en la red virtual mediante puntos de conexión privados. Un ámbito de Private Link de Azure Monitor (AMPLS) conecta un punto de conexión privado a un conjunto de recursos de Azure Monitor para definir los límites de la red de supervisión. En este artículo se describe cómo configurar Container Insights y Prometheus administrado a fin de usar un vínculo privado para la ingesta de datos desde el clúster de Azure Kubernetes Service (AKS).

Nota:

Requisitos previos

  • En este artículo se describe cómo conectar el clúster a un ámbito de Private Link de Azure Monitor (AMPLS) existente. Cree un AMPLS siguiendo las instrucciones de Configuración de un vínculo privado.
  • CLI de Azure, versión 2.61.0 o superior.

Prometheus administrado (área de trabajo de Azure Monitor)

Los datos de Prometheus administrado se almacenan en un área de trabajo de Azure Monitor, por lo que debe hacer que esta área de trabajo sea accesible a través de un vínculo privado.

Configuración de DCE

Los vínculos privados para la ingesta de datos para Prometheus administrado se configuran en los puntos de conexión de recopilación de datos (DCE) del área de trabajo de Azure Monitor que almacena los datos. Para identificar los DCE asociados al área de trabajo de Azure Monitor, seleccione Puntos de conexión de recopilación de datos en el área de trabajo de Azure Monitor en Azure Portal.

Captura de pantalla que muestra la página de puntos de conexión de recopilación de datos para un área de trabajo de Azure Monitor.

Si el clúster de AKS no está en la misma región que el área de trabajo de Azure Monitor, debe crear otro DCE en la misma región que el clúster de AKS. En este caso, abra la regla de recopilación de datos (DCR) creada al habilitar Prometheus administrado. Este DCR se denominará MSProm-<clusterName>-<clusterRegion>. El clúster aparecerá en la página Recursos. En la lista desplegable Punto de conexión de recopilación de datos, seleccione el DCE en la misma región que el clúster de AKS.

Captura de pantalla que muestra la página de reglas de conexión de recopilación de datos para un área de trabajo de Azure Monitor.

Ingesta desde un clúster de AKS privado

De manera predeterminada, un clúster de AKS privado puede enviar datos a Prometheus administrado y al área de trabajo de Azure Monitor a través de la red pública mediante un punto de conexión de recopilación de datos público.

Si decide usar Azure Firewall para limitar la salida del clúster, puede implementar una de las siguientes opciones:

  • Abra una ruta de acceso al punto de conexión de ingesta pública. Actualice la tabla de enrutamiento con los dos puntos de conexión siguientes:
    • *.handler.control.monitor.azure.com
    • *.ingest.monitor.azure.com
  • Habilite Azure Firewall para acceder al ámbito de Private Link de Azure Monitor y al DCE que se usa para la ingesta de datos.

Use los pasos siguientes para configurar la escritura remota para un clúster de Kubernetes a través de una red virtual de vínculo privado y un ámbito de Private Link de Azure Monitor.

  1. Cree una red virtual de Azure.
  2. Configure el clúster local para conectarse a una red virtual de Azure mediante una puerta de enlace de VPN o ExpressRoutes con emparejamiento privado.
  3. Cree un ámbito de Private Link de Azure Monitor.
  4. Conecte el ámbito de Private Link de Azure Monitor a un punto de conexión privado de la red virtual que usa el clúster local. Este punto de conexión privado se usa para acceder a los DCE.
  5. En el área de trabajo de Azure Monitor del portal, seleccione Puntos de conexión de recopilación de datos en el menú Área de trabajo de Azure Monitor.
  6. Tendrá al menos un DCE con el mismo nombre que el área de trabajo. Haga clic en el DCE para abrir sus detalles.
  7. Seleccione la página Aislamiento de red para el DCE.
  8. Haga clic en Agregar y seleccione el ámbito de Private Link de Azure Monitor. La configuración tarda unos minutos en propagarse. Una vez completada, los datos del clúster de AKS privado se ingieren en el área de trabajo de Azure Monitor a través del vínculo privado.

Container Insights (área de trabajo de Log Analytics)

Los datos de Container Insights se almacenan en un área de trabajo de Log Analytics, por lo que debe hacer que esta área de trabajo sea accesible a través de un vínculo privado.

Nota:

En esta sección se describe cómo habilitar un vínculo privado para Container Insights mediante la CLI. Para más información sobre el uso de una plantilla de ARM, consulte Habilitación de Container Insights y tenga en cuenta los parámetros useAzureMonitorPrivateLinkScope y azureMonitorPrivateLinkScopeResourceId.

Clúster mediante la autenticación de identidad administrada

Clúster de AKS existente con el área de trabajo de Log Analytics predeterminada

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Ejemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Clúster de AKS existente con el área de trabajo de Log Analytics existente

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Ejemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nuevo clúster de AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Ejemplo:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Clúster mediante autenticación heredada

Use los procedimientos siguientes para habilitar el aislamiento de red mediante la conexión del clúster al área de trabajo de Log Analytics mediante Azure Private Link si el clúster no usa la autenticación de identidad administrada. Esto requiere un clúster de AKS privado.

  1. Cree un clúster de AKS privado siguiendo las instrucciones de Creación de un clúster de Azure Kubernetes Service privado.

  2. Deshabilite la ingesta pública en el área de trabajo de Log Analytics.

    Use el siguiente comando para deshabilitar la ingesta pública en un área de trabajo existente.

    az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
    

    Use el comando siguiente para crear un área de trabajo con ingesta pública deshabilitada.

    az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
    
  3. Configure un vínculo privado siguiendo las instrucciones de Configuración de un vínculo privado. Establezca el acceso de ingesta en público y, a continuación, establézcalo en privado después de crear el punto de conexión privado, pero antes de habilitar la supervisión. La región de recursos de vínculo privado debe ser la misma que la región del clúster de AKS.

  4. Habilitar la supervisión del clúster de AKS.

    az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
    

Pasos siguientes

  • Si experimenta problemas al intentar incorporar la solución, consulte la Guía de solución de problemas.
  • Con la supervisión habilitada para recopilar el estado y la utilización de recursos del clúster de AKS y las cargas de trabajo que se ejecutan en estos, aprenda cómo usar Container Insights.