Authentification héritée pour Container Insights

Container Insights utilise par défaut l’authentification d’identité managée, qui dispose d’un agent de surveillance qui utilise l’identité managée du cluster pour envoyer des données à Azure Monitor. Il a remplacé l’authentification locale basée sur un certificat hérité et a supprimé l’obligation d’ajouter au cluster un rôle de Serveur de publication de mesures de supervision.

Cet article explique comment migrer vers l’authentification d’identité managée si vous avez activé Container Insights à l’aide de la méthode d’authentification héritée, et comment activer l’authentification héritée si cette condition est requise.

Important

Si vous disposez d’un cluster avec authentification héritée et que les clés de l’espace de travail Log Analytics sont modifiées, les données de surveillance cesseront d’être envoyées à l’espace de travail Log Analytics. Vous devez désactiver puis réactiver le module complémentaire Information du conteneur pour que les données de supervision recommencent à circuler avec les nouvelles clés tournantes de l’espace de travail.  Vous devez migrer vers l’authentification d’identité managée d’Information du conteneur qui n’utilise pas les clés d’espace de travail Log Analytics.

Migrer vers l’authentification par identité managée

Si vous avez activé Container Insights avant que l’authentification d’identité managée ne soit disponible, vous pouvez utiliser les méthodes suivantes pour migrer vos clusters.

Azure portal

Vous pouvez migrer vers l’authentification d’identité managée à partir du panneau Paramètres de surveillance de votre cluster AKS. Dans la section Supervision, cliquez sur l’onglet Aperçus. Dans l’onglet Aperçus, cliquez sur l’option Paramètres de surveillance et cochez la case pour Utiliser l’identité managée

Si vous ne voyez pas l’option Utiliser une identité managée, vous utilisez un cluster SPN. Dans ce cas, vous devez utiliser des outils de ligne de commande pour effectuer la migration. Consultez les autres onglets pour obtenir des instructions et des modèles de migration.

Azure CLI

AKS

Les clusters AKS doivent d’abord désactiver la supervision, puis effectuer une mise à niveau vers une identité managée. Seuls le cloud public Azure, le cloud Microsoft Azure opéré par 21Vianet et le cloud Azure Government sont actuellement pris en charge pour cette migration. Pour les clusters avec une identité affectée par l’utilisateur, seul le cloud public Azure est pris en charge.

Remarque

Azure CLI version 2.49.0 minimale ou ultérieure.

1. Obtenez l’ID de ressource de l’espace de travail Log Analytics configuré :

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Désactivez la supervision avec la commande suivante :

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Si le cluster utilise un principal de service, effectuez la mise à niveau vers l’identité managée système avec la commande suivante :

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Activez le module complémentaire de monitoring avec l’option d’authentification d’identité managée à l’aide de l’ID de ressource de l’espace de travail Log Analytics que vous avez obtenu à l’étape 1 :

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Kubernetes avec Arc

Remarque

L’authentification de l’identité managée n’est pas prise en charge pour les clusters Kubernetes compatibles Arc avec ARO.

1. Récupérer l’espace de travail Log Analytics configuré pour l’extension Container Insights.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Activez l’extension Container Insights avec l’option d’authentification d’identité managée à l’aide de l’espace de travail retourné à la première étape.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Durée

Tous les nouveaux clusters en cours de création ou d’intégration utilisent désormais par défaut l’authentification par identité managée. Toutefois, les clusters existants utilisant l’authentification basée sur la solution héritée restent pris en charge.

Étapes suivantes

Si vous rencontrez des problèmes lors de la mise à niveau de l'agent, consultez le guide de résolution des problèmes.