Activer une liaison privée pour la surveillance Kubernetes dans Azure Monitor

Azure Private Link vous permet d’accéder aux ressources PaaS (Platform as a Service) Azure à votre réseau virtuel à l’aide de points de terminaison privés. Une étendue de liaison privée Azure Monitor (AMPLS) connecte un point de terminaison privé à un ensemble de ressources Azure Monitor pour définir les limites de votre réseau de surveillance. À l’aide de points de terminaison privés pour Managed Prometheus/Container Insights et espace de travail Azure Monitor/Espace de travail Log Analytics, vous pouvez autoriser les clients sur un réseau virtuel (VNet) à ingérer en toute sécurité des données via une liaison privée.

Cet article explique comment configurer Container Insights et Prometheus managé pour utiliser une liaison privée pour l’ingestion de données à partir de votre cluster Azure Kubernetes Service (AKS).

Prometheus managé (espace de travail Azure Monitor)

Suivez les étapes ci-dessous pour configurer l’ingestion des métriques Prometheus à partir d’un cluster AKS privé dans l’espace de travail Azure Monitor.

Vue d'ensemble conceptuelle

• Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel (VNet). Lorsque vous créez un point de terminaison privé pour votre espace de travail Azure Monitor, il fournit une connectivité sécurisée entre les clients sur votre réseau virtuel et votre espace de travail. Pour plus d’informations, consultez Point de terminaison privé.

• Azure Private Link vous permet de lier en toute sécurité des ressources PaaS (Platform as a Service) Azure à votre réseau virtuel à l’aide de points de terminaison privés. Azure Monitor utilise une connexion de liaison privée unique appelée Étendue de liaison privée Azure Monitor ou AMPLS, qui permet à chaque client du réseau virtuel de se connecter à toutes les ressources Azure Monitor telles que l’espace de travail Log Analytics, l’espace de travail Azure Monitor, etc. (au lieu de créer plusieurs liaisons privées). Pour plus d’informations, consultez l’étendue de liaison privée Azure Monitor (AMPLS)

Pour configurer l’ingestion des métriques Prometheus gérées à partir d’un réseau virtuel à l’aide de points de terminaison privés dans l’espace de travail Azure Monitor, procédez comme suit :

• Créez une étendue de liaison privée Azure Monitor (AMPLS) et connectez-la avec le point de terminaison de collecte de données de l’espace de travail Azure Monitor.
• Connectez l’AMPLS à un point de terminaison privé configuré pour le réseau virtuel de votre cluster AKS privé.

Prérequis

Un cluster AKS privé avec Prometheus géré activé. Dans le cadre de l’activation de Prometheus managé, vous disposez également d’un espace de travail Azure Monitor configuré. Pour plus d’informations, consultez Activer Prometheus managé dans AKS.

Configurer l’ingestion des données à partir d’un cluster AKS privé vers l’espace de travail Azure Monitor

1. Créer un AMPLS pour l’espace de travail Azure Monitor

Les métriques collectées avec Azure Managed Prometheus sont ingérées et stockées dans l’espace de travail Azure Monitor. Vous devez donc rendre l’espace de travail accessible via une liaison privée. Pour cela, créez une étendue de liaison privée Azure Monitor ou AMPLS.

1. Dans le portail Azure, recherchez les étendues de liaison privée Azure Monitor, puis cliquez sur Créer.

2. Entrez le groupe de ressources et le nom, sélectionnez Private Only for Ingestion Access Mode.

   

3. Cliquez sur « Vérifier + créer » pour créer l’AMPLS.

Pour plus d’informations sur la configuration d’AMPLS, consultez Configurer une liaison privée pour Azure Monitor.

2. Connecter l’AMPLS au point de terminaison de collecte de données de l’espace de travail Azure Monitor

Les liens privés pour l’ingestion de données pour Prometheus managé sont configurés sur les points de terminaison de collecte de données (DCE) de l’espace de travail Azure Monitor qui stocke les données. Pour identifier les Points de terminaison de collecte de données associés à votre espace de travail Azure Monitor, sélectionnez Points de terminaison de collecte de données dans votre espace de travail Azure Monitor dans le portail Azure.

1. Dans le portail Azure, recherchez l’espace de travail Azure Monitor que vous avez créé dans le cadre de l’activation de Prometheus managé pour votre cluster AKS privé. Notez le nom du point de terminaison de collecte de données.

   

2. À présent, dans le portail Azure, recherchez l’AMPLS que vous avez créée à l’étape précédente. Accédez à la page de présentation AMPLS, cliquez sur Ressources Azure Monitor, cliquez sur Ajouter, puis connectez la DCE de l’espace de travail Azure Monitor que vous avez notée à l’étape précédente.

   

2a. Configurer des contrôleurs de domaine

Remarque

Si votre cluster AKS ne se trouve pas dans la même région que votre espace de travail Azure Monitor, vous devez configurer un nouveau point de terminaison de collecte de données pour l’espace de travail Azure Monitor.

Suivez les étapes ci-dessous uniquement si votre cluster AKS n’est pas dans la même région que votre espace de travail Azure Monitor. Si votre cluster se trouve dans la même région, ignorez cette étape et passez à l’étape 3.

1. Créez un point de terminaison de collecte de données dans la même région que le cluster AKS.

2. Accédez à votre espace de travail Azure Monitor, puis cliquez sur la règle de collecte de données (DCR) dans la page Vue d’ensemble. Ce DCR porte le même nom que votre espace de travail Azure Monitor.

   

3. Dans la page vue d’ensemble de DCR, cliquez sur Ressources ->+ Ajouter, puis sélectionnez le cluster AKS.

   

4. Une fois le cluster AKS ajouté (vous devrez peut-être actualiser la page), cliquez sur le cluster AKS, puis modifiez la collecte de données du point de terminaison. Dans le panneau qui s’ouvre, sélectionnez le point de terminaison de collecte de données que vous avez créé à l’étape 1 de cette section. Cette DCE doit se trouver dans la même région que le cluster AKS.

   

5. Accédez à la page vue d’ensemble de AMPLS, cliquez sur Ressources Azure Monitor, cliquez sur Ajouter, puis connectez la DCE créée.

3. Connecter AMPLS au point de terminaison privé du cluster AKS

Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel (VNet). Nous créons maintenant un point de terminaison privé dans le réseau virtuel de votre cluster AKS privé et nous le connectons à l’AMPLS pour une ingestion sécurisée des métriques.

1. Dans le portail Azure, recherchez l’AMPLS que vous avez créée au cours des étapes précédentes. Accédez à la page de présentation AMPLS, cliquez sur Configurer - >Connexions de point de terminaison privé, puis sélectionnez + Point de terminaison privé.

2. Sélectionnez le groupe de ressources et entrez un nom du point de terminaison privé, puis cliquez sur Suivant.

3. Dans la section Ressource , sélectionnez Microsoft.Monitor/accounts comme type de ressource, l’espace de travail Azure Monitor en tant que ressource, puis sélectionnez prometheusMetrics. Cliquez sur Suivant.

   

4. Dans la section Réseau virtuel , sélectionnez le réseau virtuel de votre cluster AKS. Vous pouvez le trouver dans le portail sous vue d’ensemble d’AKS -> Paramètres -> Mise en réseau -> Intégration de réseau virtuel.

4. Vérifiez si les métriques sont ajoutées dans l’Azure Monitor Workspace

Vérifiez si les métriques Prometheus de votre cluster AKS privé sont ingérées dans l’espace de travail Azure Monitor :

1. Dans le portail Azure, recherchez l’espace de travail Azure Monitor et accédez à Monitoring ->Metrics.
2. Dans Metrics Explorer, effectuez une requête sur les métriques et vérifiez que vous pouvez bien le faire.

Remarque

• Consultez Se connecter à une source de données en privé pour plus d’informations sur la configuration d’une liaison privée pour interroger des données à partir de votre espace de travail Azure Monitor à l’aide de Grafana.
• Consultez Utiliser des points de terminaison privés pour l’espace de travail Prometheus managé et Azure Monitor pour plus d’informations sur la configuration d’une liaison privée pour interroger des données à partir de votre espace de travail Azure Monitor à l’aide de classeurs.

Ingestion à partir d’un cluster AKS privé

Si vous choisissez d’utiliser un Pare-feu Azure pour limiter la sortie de votre cluster, vous pouvez implémenter l’un des éléments suivants :

• Ouvrez un chemin d’accès au point de terminaison d’ingestion public. Mettez à jour la table de routage avec les deux points de terminaison suivants :
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Activez le Pare-feu Azure pour accéder à l’étendue Azure Monitor Private Link et à DCE utilisées pour l’ingestion de données.

Ingestion de liaison privée pour l’écriture à distance

Procédez comme suit pour configurer l’écriture à distance pour un cluster Kubernetes sur un réseau virtuel de liaison privée et une étendue Azure Monitor Private Link.

1. Créez un réseau virtuel Azure.
2. Configurez le cluster local pour le connecter à un réseau virtuel Azure à l’aide d’une passerelle VPN ou d’ExpressRoutes avec un appairage privé.
3. Créez une étendue de liaison privée Azure Monitor.
4. Connectez l’étendue de liaison privée Azure Monitor à un point de terminaison privé dans le réseau virtuel utilisé par le cluster local. Ce point de terminaison privé est utilisé pour accéder à vos contrôleurs de domaine.
5. Dans votre espace de travail Azure Monitor dans le portail, sélectionnez points de terminaison de collecte de données dans le menu de l’espace de travail Azure Monitor.
6. Vous avez au moins un DCE portant le même nom que votre espace de travail. Cliquez sur la DCE pour ouvrir ses détails.
7. Sélectionnez la page isolation réseau pour la DCE.
8. Cliquez sur Ajouter et sélectionnez votre étendue Azure Monitor Private Link. La diffusion des paramètres prend quelques minutes. Une fois terminé, les données de votre cluster AKS privé sont ingérées dans votre espace de travail Azure Monitor via la liaison privée.

Container Insights (espace de travail Log Analytique)

Les données pour Container Insights sont stockées dans un espace de travail Log Analytique. Vous devez donc rendre cet espace de travail accessible via une liaison privée.

Remarque

Cette section explique comment activer une liaison privée pour Container Insights à l’aide de l’interface CLI. Pour plus d’informations sur l’utilisation d’un modèle ARM, consultez Activer Container Insights et notez les paramètres useAzureMonitorPrivateLinkScope et azureMonitorPrivateLinkScopeResourceId.

Prérequis

• Cet article explique comment connecter votre cluster à une étendue AMPLS (Private Link Scope) Azure Monitor existante. Créez un AMPLS en suivant les instructions de Configurer votre liaison privée.
• Azure CLI version 2.61.0 ou ultérieure.

Cluster à l’aide de l’authentification d’identité managée

Cluster AKS existant avec espace de travail Log Analytics par défaut

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exemple :

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster AKS existant avec espace de travail Log Analytics existant

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exemple :

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nouveau cluster AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Exemple :

az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster à l’aide de l’authentification héritée

Utilisez les procédures suivantes pour activer l’isolation réseau en connectant votre cluster à l’espace de travail Log Analytics à l’aide d’Azure Private Link si votre cluster n’utilise pas l’authentification d’identité managée. Cela nécessite un cluster AKS privé.

1. Créez un cluster AKS privé en suivant les instructions fournies dans Créer un cluster Azure Kubernetes Service privé.

2. Désactivez l’ingestion publique sur votre espace de travail Log Analytics.

   Utilisez la commande suivante pour désactiver l’ingestion publique sur un espace de travail existant.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

   Utilisez la commande suivante pour créer un espace de travail avec l’ingestion publique désactivée.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

3. Configurez une liaison privée en suivant les instructions fournies dans Configurer votre liaison privée. Définissez l’accès d’ingestion sur Public, puis sur Privé après la création du point de terminaison privé mais avant l’activation du monitoring. La région de la ressource de liaison privée doit être identique à la région du cluster AKS.

4. Activez le monitoring du cluster AKS.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Étapes suivantes

• Si vous rencontrez des problèmes quand vous tentez d’intégrer la solution, consultez le guide de résolution des problèmes.
• Une fois la supervision activée pour collecter l’intégrité et l’utilisation des ressources de votre cluster AKS et des charges de travail s’exécutant sur celles-ci, découvrez comment utiliser Container Insights.
• Interroger des données à partir d’Azure Managed Grafana à l’aide d’un point de terminaison privé managé.
• Utilisez des points de terminaison privés pour l’espace de travail Prometheus managé et Azure Monitor pour plus d’informations sur la configuration d’une liaison privée pour interroger des données à partir de votre espace de travail Azure Monitor à l’aide de classeurs.
• Configuration DNS des points de terminaison privés Azure