Creación y administración de un clúster dedicado en los registros de Azure Monitor
La vinculación de un área de trabajo de Log Analytics a un clúster dedicado en Azure Monitor proporciona funcionalidades avanzadas y un uso más elevado de consultas. Los clústeres requieren un compromiso mínimo de ingesta de 100 GB al día. Puede vincular y desvincular áreas de trabajo desde un clúster dedicado sin ninguna pérdida de datos ni interrupción del servicio.
Capacidades avanzadas
Las funcionalidades que requieren clústeres dedicados son las siguientes:
- Claves administradas por el cliente: cifre los datos del clúster mediante claves que usted proporcione y controle.
- Caja de seguridad: controle las solicitudes de acceso a sus datos de los ingenieros de soporte técnico de Microsoft.
- Cifrado doble: proporcione protección en caso de que uno de los algoritmos o claves de cifrado se vean comprometidos. En este caso, la capa adicional de cifrado continúa protegiendo los datos.
- Optimización de consultas cruzadas: las consultas cruzadas se ejecutan más rápido cuando las áreas de trabajo están en el mismo clúster.
- Optimización de costos: vincule las áreas de trabajo de la misma región al clúster para obtener un descuento por nivel de compromiso para todas las áreas de trabajo, incluso para aquellas con baja ingesta que no son elegibles para el descuento por nivel de compromiso.
- Zonas de disponibilidad: proteja los datos de los errores del centro de datos apoyándose en los centros de datos de diferentes ubicaciones físicas, equipadas con alimentación, refrigeración y redes independientes. La infraestructura independiente y la separación física en zonas hace que un incidente sea mucho menos probable, ya que el área de trabajo puede depender de los recursos de cualquiera de las zonas. Las zonas de disponibilidad de Azure Monitor cubren partes más amplias del servicio y, si están disponibles en una región, aumentan la resistencia de Azure Monitor automáticamente. Azure Monitor crea clústeres dedicados como zonas de disponibilidad habilitadas (
isAvailabilityZonesEnabled
: "true") de forma predeterminada en las regiones admitidas. Actualmente, no se admiten zonas de disponibilidad de clústeres dedicados en todas las regiones. - Ingesta de Azure Event Hubs: permite ingerir datos directamente desde un centro de eventos en un área de trabajo de Log Analytics. El clúster dedicado permite usar la funcionalidad cuando la ingesta de todas las áreas de trabajo vinculadas combinadas cumplan el nivel de compromiso.
Modelo de precios de clúster
Los clústeres dedicados de Log Analytics usan un modelo de precios en un nivel de compromiso de al menos 100 GB/día. Cualquier uso por encima del nivel incurre en cargos según la tasa por GB de ese nivel de compromiso. Consulte los Detalles de los precios de registro de Azure Monitor para conocer los precios de los clústeres dedicados. Los niveles de compromiso tienen un período de compromiso de 31 días desde el momento en que se selecciona un nivel de compromiso.
Requisitos previos
- Los clústeres dedicados requieren un compromiso mínimo de ingesta de 100 GB al día.
- Al crear un clúster dedicado, no puede asignarle el mismo nombre que un clúster que se eliminó en las dos últimas semanas.
Permisos necesarios
Para realizar acciones relacionadas con el clúster, necesita estos permisos:
Acción | Permisos o roles necesarios |
---|---|
Creación de un clúster dedicado | Permisos Microsoft.Resources/deployments/* y Microsoft.OperationalInsights/clusters/write , como los proporcionados por el rol integrado de colaborador de Log Analytics, por ejemplo. |
Comprobación de las propiedades del clúster | Permisos Microsoft.OperationalInsights/clusters/write , como los proporcionados por el rol integrado de colaborador de Log Analytics, por ejemplo. |
Vincular áreas de trabajo a un clúster | Permisos Microsoft.OperationalInsights/clusters/write , Microsoft.OperationalInsights/workspaces/write y Microsoft.OperationalInsights/workspaces/linkedservices/write , como los proporcionados por el rol integrado de colaborador de Log Analytics, por ejemplo. |
Comprobación del estado de vinculación del área de trabajo | Permisos Microsoft.OperationalInsights/workspaces/read para el área de trabajo de Log Analytics, proporcionados por el rol integrado de lector de Log Analytics, por ejemplo. |
Obtención de clústeres o comprobación del estado de aprovisionamiento de un clúster | Permisos Microsoft.OperationalInsights/clusters/read , como los proporcionados por el rol integrado de lector de Log Analytics, por ejemplo. |
Actualizar el nivel de compromiso o billingType en un clúster | Permisos Microsoft.OperationalInsights/clusters/write , como los proporcionados por el rol integrado de colaborador de Log Analytics, por ejemplo. |
Conceder los permisos necesarios | Rol de propietario o colaborador, que tiene permisos */write , o el rol integrado de colaborador de Log Analytics, que tiene permisos Microsoft.OperationalInsights/* . |
Desvinculación de un área de trabajo de un clúster | Permisos Microsoft.OperationalInsights/workspaces/linkedServices/delete , como los proporcionados por el rol integrado de colaborador de Log Analytics, por ejemplo. |
Eliminación de un clúster dedicado | Permisos Microsoft.OperationalInsights/clusters/delete , como los proporcionados por el rol integrado de colaborador de Log Analytics, por ejemplo. |
Para obtener más información sobre los permisos de Log Analytics, consulte Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor.
Ejemplos de plantillas de Resource Manager
Este artículo incluye plantillas de ejemplo de Azure Resource Manager (ARM) para crear y configurar clústeres de Log Analytics en Azure Monitor. Cada ejemplo incluye un archivo de plantilla y un archivo de parámetros con valores de ejemplo para la plantilla.
Nota
Consulte ejemplos de Azure Resource Manager de Azure Monitor para obtener una lista de ejemplos disponibles y orientación sobre cómo implementarlos en la suscripción de Azure.
Referencias de plantilla
Creación de un clúster dedicado
Proporcione las siguientes propiedades al crear un nuevo clúster dedicado:
- ClusterName: debe ser único para el grupo de recursos.
- ResourceGroupName: use un grupo de recursos de TI central, ya que muchos equipos de la organización suelen compartir clústeres. Para más consideraciones sobre el diseño, revise la configuración del área de trabajo de Log Analytics.
- Ubicación
- SkuCapacity: es posible establecer el nivel de compromiso en 100, 200, 300, 400, 500, 1000, 2000, 5000, 10 000, 25 000 o 50 000 GB al día. El nivel de compromiso mínimo admitido en la CLI es de 500, actualmente. Use REST para configurar niveles de compromiso inferiores, con un mínimo de 100. Para más información sobre los costos del clúster, consulte Dedicación de clústeres.
- Identidad administrada: los clústeres admiten dos tipos de identidades administradas:
La identidad administrada asignada por el sistema: se genera automáticamente con la creación del clúster cuando la identidad
type
se establece en "SystemAssigned". Esta identidad se puede usar más adelante para conceder acceso de almacenamiento a su instancia de Key Vault para las operaciones de encapsulado y desencapsulado.Identidad en la llamada REST del clúster
{ "identity": { "type": "SystemAssigned" } }
La identidad administrada asignada por el usuario: le permite configurar una clave administrada por el cliente durante la creación del clúster, al concederle permisos en Key Vault antes de crearlo.
Identidad en la llamada REST del clúster
{ "identity": { "type": "UserAssigned", "userAssignedIdentities": { "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>" } } }
Después de crear el recurso de clúster, puede editar propiedades, como sku, *keyVaultProperties o billingType. Vea más detalles a continuación.
Los clústeres eliminados tardan dos semanas en quitarse por completo. Puede tener hasta siete clústeres por suscripción y región: cinco activos y dos eliminados en las últimas dos semanas.
Nota:
La creación de un clúster implica varios recursos y operaciones que normalmente se completan en dos horas. El clúster dedicado se factura una vez aprovisionado independientemente de la ingesta de datos y se recomienda preparar la implementación para acelerar el aprovisionamiento y el vínculo de las áreas de trabajo al clúster. Verifique lo siguiente:
- Se identifica una lista de áreas de trabajo iniciales que se van a vincular al clúster.
- Tiene permisos para la suscripción destinada al clúster y a cualquier área de trabajo que se va a vincular.
Haga clic en Crear en el menú clústeres dedicados de Log Analytics en Azure Portal. Se le pedirá información detallada, como el nombre del clúster y el nivel de compromiso.
Comprobación del estado de aprovisionamiento del clúster
El aprovisionamiento del clúster de Log Analytics tarda un tiempo en completarse. Use alguno de los métodos siguientes para comprobar la propiedad ProvisioningState. El valor es ProvisioningAccount mientras se realiza el aprovisionamiento y Succeeded una vez que se completa.
El portal proporcionará un estado cuando se aprovisione el clúster.
Vinculación del área de trabajo a un clúster
Nota:
- Vincular un área de trabajo puede realizarse una vez completado el aprovisionamiento del clúster de Log Analytics.
- La vinculación de un área de trabajo a un clúster implica la sincronización de varios componentes de back-end y la hidratación de la caché, lo que puede tardar hasta dos horas.
- Al vincular un área de trabajo de Log Analytics, el plan de facturación del área de trabajo ha cambiado a LACluster y debe quitar el SKU de la plantilla del área de trabajo para evitar conflictos durante la implementación del área de trabajo.
- Aparte de los aspectos de facturación que se rigen por el plan de clúster, todas las configuraciones del área de trabajo y los aspectos de consulta permanecen sin cambios después del vínculo.
Para realizar la operación de vinculación del área de trabajo, debe tener permisos de "escritura" tanto en el área de trabajo como en el recurso de clúster:
- En el área de trabajo: Microsoft.OperationalInsights/workspaces/write
- En el recurso cluster: Microsoft.OperationalInsights/clusters/write
Una vez que el área de trabajo de Log Analytics está vinculada a un clúster dedicado, se ingieren nuevos datos enviados al área de trabajo en el clúster dedicado, mientras que los datos ingeridos previamente permanecen en el clúster de Log Analytics. La vinculación de un área de trabajo no tiene ningún efecto en el funcionamiento del área de trabajo, incluidas las experiencias de ingesta y consulta. El motor de consultas de Log Analytics une automáticamente datos de clústeres antiguos y nuevos, y los resultados de las consultas son completos.
Los clústeres son regionales y se pueden vincular a hasta 1000 áreas de trabajo ubicadas en la misma región que el clúster. Un área de trabajo no se puede vincular a un clúster más de dos veces al mes, a fin de evitar la fragmentación de datos.
Las áreas de trabajo vinculadas pueden estar en suscripciones diferentes a las de la suscripción en la que se encuentra el clúster. El área de trabajo y el clúster pueden estar en inquilinos diferentes si se usa Azure Lighthouse para asignar ambos a un solo inquilino.
Cuando el clúster dedicado se configura con una clave administrada por el cliente (CMK), los nuevos datos ingeridos se cifran con la clave, mientras que los datos más antiguos permanecen cifrados con la clave administrada por Microsoft (MMK). Log Analytics abstrae la configuración de clave y la consulta en cifrados de datos antiguos y nuevos se realiza sin problemas.
Use los pasos siguientes para vincular un área de trabajo a un clúster. Puede usar la automatización para vincular varias áreas de trabajo:
Seleccione el clúster en menú Clústeres dedicados de Log Analytics en Azure Portal y, a continuación, haga clic en Vincular áreas de trabajo para ver todas las áreas de trabajo vinculadas actualmente al clúster dedicado. Haga clic en Vincular áreas de trabajo para vincular áreas de trabajo adicionales.
Comprobación del estado de vinculación del área de trabajo
La operación de vínculo del área de trabajo puede tardar hasta 90 minutos en completarse. Puede comprobar el estado tanto en las áreas de trabajo vinculadas como en el clúster. Cuando haya finalizado, los recursos del área de trabajo incluirán clusterResourceId
propiedad en features
y el clúster incluirá áreas de trabajo vinculadas en associatedWorkspaces
sección.
Cuando un clúster está configurado con una clave administrada por el cliente, los datos ingeridos en las áreas de trabajo una vez completada la operación de vínculo se almacenarán cifrados con la clave.
En la página Información general del clúster dedicado, seleccione Vista JSON. En la sección associatedWorkspaces
se enumeran las áreas de trabajo vinculadas al clúster.
Comprobación de las propiedades del clúster
Después de crear el recurso de clúster y de que esté totalmente aprovisionado, puede editar propiedades adicionales del clúster mediante la CLI, PowerShell o la API REST. Las propiedades que puede establecer después de aprovisionar el clúster son:
- keyVaultProperties: contiene la clave de Azure Key Vault con los parámetros siguientes: KeyVaultUri, KeyName, KeyVersion. Consulte Actualización del clúster con detalles del identificador de clave.
- Identidad: identidad que se usa para autenticarse en la instancia de Key Vault. Puede ser asignada por el sistema o por el usuario.
- billingType: atribución de facturación para el recurso de clúster y sus datos. Incluye los valores siguientes:
- Cluster (predeterminado): los costos para el clúster se atribuyen al recurso de clúster.
- Workspaces: los costos del nivel de compromiso para el clúster se atribuyen proporcionalmente a las áreas de trabajo del clúster. En este caso, se factura una parte del uso del recurso de clúster si el total de datos ingeridos del día está por debajo del nivel de compromiso. Consulte Clústeres dedicados de Log Analytics para más información sobre el modelo de precios del clúster.
Importante
La actualización del clúster no debe incluir los detalles de identidad y de identificador de clave en la misma operación. Si necesita actualizar ambos valores, la actualización debe realizarse en dos operaciones consecutivas.
Obtención de todos los clústeres de un grupo de recursos
En el menú Clústeres dedicados de Log Analytics en Azure Portal, seleccione el filtro Grupo de recursos.
Obtención de todos los clústeres de una suscripción
En el menú Clústeres dedicados de Log Analytics de Azure Portal, seleccione el filtro de Suscripción.
Actualización del nivel de compromiso en el clúster
Cuando cambia el volumen de datos en las áreas de trabajo vinculadas con el tiempo, puede actualizar el nivel de compromiso adecuadamente para optimizar los costes. El nivel se especifica en unidades de gigabytes (GB) y puede tener valores de 100, 200, 300, 400, 500, 1000, 2000, 5000, 10 000, 25 000 o 50 000 GB al día. No tiene que proporcionar el cuerpo completo de la solicitud de REST, pero debe incluir la SKU.
Durante el período de compromiso, se puede cambiar a un nivel de compromiso superior, que restablece el período de compromiso de 31 días. Hasta que finalice el período de compromiso en curso, no es posible volver al nivel de pago por uso ni a un nivel de compromiso inferior.
Seleccione el clúster en el menú Clústeres dedicados de Log Analytics en Azure Portal y haga clic en Cambiar junto a Nivel de compromiso
Desvinculación de un área de trabajo de un clúster
Puede desvincular un área de trabajo de un clúster en cualquier momento. El plan de tarifa del área de trabajo cambia a por GB, los datos ingeridos en el clúster antes de la operación de desvinculación permanecen en el clúster y los nuevos datos del área de trabajo se ingieren en Log Analytics.
Advertencia
Al desvincular un área de trabajo no se mueven los datos del área de trabajo fuera del clúster. Los datos recopilados para el área de trabajo mientras está vinculada al clúster permanecen en el clúster durante el período de retención definido en el área de trabajo y son accesibles siempre y cuando no se elimine el clúster.
Las consultas no se ven afectadas cuando el área de trabajo se desvincula y el servicio realiza consultas entre clústeres sin problemas. Si el clúster se configuró con la clave administrada por el cliente (CMK), los datos ingeridos en el área de trabajo mientras esta estaba vinculada permanecen cifrados con la clave y son accesibles, mientras que la clave y los permisos de Key Vault permanezcan.
Nota:
- Para evitar la distribución de datos entre clústeres, hay un límite de dos operaciones de vinculación para un área de trabajo específica en un mes. Si alcanza el límite, póngase en contacto con el soporte técnico.
- Las áreas de trabajo no vinculadas se mueven al plan de tarifa de pago por uso.
Use los comandos siguientes para desvincular un área de trabajo del clúster:
Seleccione el clúster en menú Clústeres dedicados de Log Analytics en Azure Portal y, a continuación, haga clic en Vincular áreas de trabajo para ver todas las áreas de trabajo vinculadas actualmente al clúster dedicado. Seleccione las áreas de trabajo que quiera desvincular y haga clic en Desvincular.
Eliminación de clúster
Necesita permisos de escritura en el recurso de clúster.
La operación de eliminación del clúster debe realizarse con precaución, ya que la operación no es recuperable. Todos los datos ingeridos en el clúster de áreas de trabajo vinculadas se eliminan permanentemente.
La facturación del clúster se detiene cuando se elimina el clúster, independientemente del nivel de compromiso de 31 días definido en el clúster.
Si elimina un clúster que tiene áreas de trabajo vinculadas, las áreas de trabajo se desvinculan automáticamente del clúster, se mueven al plan de tarifa de pago por uso y, en su lugar, los nuevos datos para las áreas de trabajo se ingieren en clústeres de Log Analytics. Se puede consultar el área de trabajo relativa al intervalo de tiempo anterior a su vinculación con el clúster y posterior a la desvinculación; el servicio realiza consultas entre clústeres sin problemas.
Nota
- Hay un límite de siete clústeres por suscripción y región: cinco activos, más dos que se eliminaron en las últimas dos semanas.
- El nombre del clúster permanece reservado durante dos semanas después de la eliminación y no se puede usar para crear un nuevo clúster.
Use los comandos siguientes para eliminar un clúster:
Seleccione el clúster en el menú Clústeres dedicados de Log Analytics en Azure Portal y haga clic en Eliminar.
Cambiar tipo de identidad administrada
El tipo de identidad se puede cambiar después de crear el clúster sin interrupciones en la ingesta o las consultas con las siguientes consideraciones:
- Actualización de SystemAssigned a UserAssigned: conceda la identidad UserAssign en Key Vault y, después, actualice el tipo de identidad en el clúster
- Actualización de UserAssigned a SystemAssigned: dado que la identidad administrada asignada por el sistema creada después de actualizar el tipo de identidad del clúster con SystemAssigned, se deben seguir los pasos siguientes
- Actualice el clúster y quite la clave: establezca keyVaultUri, keyName y keyVersion con el valor ""
- Actualizar el tipo de identidad del clúster a SystemAssigned
- Actualización de Key Vault y concesión de permisos a la identidad
- Actualice la clave en el clúster
Límites y restricciones
Se puede crear un máximo de cinco clústeres activos en cada región y suscripción.
Se permiten siete clústeres por suscripción y región como máximo: cinco activos, más dos que se eliminaron en las últimas dos semanas.
Se pueden vincular un máximo de 1000 áreas de trabajo de Log Analytics a un clúster.
Se permite un máximo de dos operaciones de vinculación de áreas de trabajo en un área de trabajo determinada en un período de 30 días.
Actualmente no se admite el traslado de un clúster a otro grupo de recursos o a otra suscripción.
No se admite el traslado de un clúster a otra región.
La actualización del clúster no debe incluir los detalles de identidad y de identificador de clave en la misma operación. En caso de que deba actualizar ambos valores, la actualización debe realizarse en dos operaciones consecutivas.
La caja de seguridad no está disponible actualmente en China.
Lockbox no se puede aplicar actualmente a tablas con el Plan auxiliar.
El cifrado doble se configura automáticamente para los clústeres creados a partir de octubre de 2020 en las regiones compatibles. Puede comprobar si el clúster está configurado para el cifrado doble mediante el envío de una solicitud GET en el clúster y observando que el valor
isDoubleEncryptionEnabled
seatrue
para los clústeres con el cifrado doble habilitado.- Si crea un clúster y recibe un error que indica que la región no admite el cifrado doble para clústeres, puede crear el clúster sin cifrado doble si agrega
"properties": {"isDoubleEncryptionEnabled": false}
en el cuerpo de la solicitud REST. - La configuración de cifrado doble no se puede cambiar después de crear el clúster.
- Si crea un clúster y recibe un error que indica que la región no admite el cifrado doble para clústeres, puede crear el clúster sin cifrado doble si agrega
La eliminación de un área de trabajo se permite mientras se vincula al clúster. Si decide recuperar el área de trabajo durante el período de eliminación temporal, el área de trabajo vuelve al estado anterior y permanece vinculada al clúster.
Durante el período de compromiso, se puede cambiar a un nivel de compromiso superior, que restablece el período de compromiso de 31 días. Hasta que finalice el período de compromiso en curso, no es posible volver al nivel de pago por uso ni a un nivel de compromiso inferior.
Solución de problemas
Si recibe un error de conflicto al crear un clúster, es posible que se haya eliminado en las últimas 2 semanas y que esté en el proceso de eliminación todavía. El nombre del clúster permanece reservado durante el período de eliminación de dos semanas y no se puede crear un nuevo clúster con ese nombre.
Si actualiza el clúster mientras este está en el estado de aprovisionamiento o actualización, se producirá un error en la actualización.
Algunas operaciones son prolongadas y pueden tardar un tiempo en completarse. Estas son: cluster create, cluster key update y cluster delete. Para comprobar el estado de funcionamiento, envíe una solicitud GET al clúster o al área de trabajo y observe la respuesta. Por ejemplo, un área de trabajo desvinculada no tendrá el elemento clusterResourceId en la sección features.
Si intenta vincular un área de trabajo de Log Analytics que ya está vinculada a otro clúster, se producirá un error en la operación.
Mensajes de error
Creación de un clúster
- 400: El nombre del clúster no es válido. El nombre del clúster puede contener los caracteres a-z, A-Z, 0-9 y una longitud de 3 a 63.
- 400: El cuerpo de la solicitud es NULL o tiene un formato incorrecto.
- 400: El nombre de SKU no es válido. Establezca el nombre de SKU en capacityReservation.
- 400: Se proporcionó capacidad, pero la SKU no tiene la propiedad capacityReservation. Establezca el nombre de SKU en capacityReservation.
- 400: Falta la capacidad en la SKU. Establezca el valor de Capacidad en 100, 200, 300, 400, 500, 1000, 2000, 5000, 10 000, 25 000 o 50 000 GB/día.
- 400: La capacidad está bloqueada durante 30 días. Se permite la reducción de la capacidad 30 días después de la actualización.
- 400: No se estableció ninguna SKU. Establezca el nombre de la SKU en capacityReservation y el valor de Capacidad en 100, 200, 300, 400, 500, 1000, 2000, 5000, 10 000, 25 000 o 50 000 GB/día.
- 400: No se puede ejecutar la operación ahora. La operación asincrónica está en un estado distinto del correcto. El clúster debe completar su operación antes de realizar cualquier operación de actualización.
Actualización del clúster:
- 400: El clúster está en estado de eliminación. La operación asincrónica está en curso. El clúster debe completar su operación antes de realizar cualquier operación de actualización.
- 400: KeyVaultProperties no está vacío, pero tiene un formato incorrecto. Consulte actualización de identificador de clave.
- 400: No se pudo validar la clave en Key Vault. Podría deberse a la falta de permisos o a que la clave no existe. Verifique que estableció la clave y la directiva de acceso en Key Vault.
- 400: La clave no se puede recuperar. Key Vault debe establecerse para la eliminación temporal y protección de purga. Consulte la documentación de Key Vault.
- 400: No se puede ejecutar la operación ahora. Espere a que se complete la operación asincrónica e inténtelo de nuevo.
- 400: El clúster está en estado de eliminación. Espere a que se complete la operación asincrónica e inténtelo de nuevo.
Obtención del clúster
- 404: No se encontró el clúster; es posible que se haya eliminado. Si intenta crear un clúster con ese nombre y obtiene un conflicto, el clúster se encuentra en proceso de eliminación.
Eliminación del clúster:
- 409: No se puede eliminar un clúster mientras está en estado de aprovisionamiento. Espere a que se complete la operación asincrónica e inténtelo de nuevo.
Vinculación del área de trabajo
- 404: No se encuentra el área de trabajo. El área de trabajo que especificó no existe o se eliminó.
- 409: Operación en curso de vinculación o desvinculación del área de trabajo.
- 400: No se encontró el clúster, el clúster que especificó no existe o se eliminó.
Desvinculación del área de trabajo
- 404: No se encuentra el área de trabajo. El área de trabajo que especificó no existe o se eliminó.
- 409: Operación en curso de vinculación o desvinculación del área de trabajo.
Pasos siguientes
- Obtenga más información sobre la facturación de clústeres dedicados de Log Analytics.
- Obtenga más información sobre el diseño adecuado de áreas de trabajo de Log Analytics.
- Ver otras plantillas de ejemplo para Azure Monitor.