Activer une liaison privée pour la surveillance des machines virtuelles et des clusters Kubernetes dans Azure Monitor

Azure Private Link vous permet d’accéder aux ressources PaaS (Platform as a Service) Azure à votre réseau virtuel à l’aide de points de terminaison privés. Une étendue de liaison privée Azure Monitor (AMPLS) connecte un point de terminaison privé à un ensemble de ressources Azure Monitor pour définir les limites de votre réseau de surveillance.

Cet article explique comment configurer la surveillance de vos machines virtuelles et clusters Kubernetes avec une Azure Monitor Private Link Scope existante (AMPLS).

Prerequisites

• Activez la surveillance de votre machine virtuelle ou de votre cluster à l’aide de conseils pertinents.
  • Activez la surveillance de votre cluster Kubernetes à l’aide des instructions fournies dans Activer les métriques Prometheus et la journalisation des conteneurs.
  • Activez la surveillance de votre machine virtuelle à l’aide des instructions fournies dans Activer VM Insights ou collecter des données à partir d’un client de machine virtuelle avec Azure Monitor.
• Créez un AMPLS et connectez-le à votre réseau virtuel à l’aide du processus décrit dans Configurer une liaison privée pour Azure Monitor.

Vue d'ensemble conceptuelle

Les machines virtuelles et les clusters Kubernetes surveillés par Azure Monitor utilisent tous deux l’agent Azure Monitor pour la supervision afin que leur configuration pour une liaison privée soit similaire. Selon leur configuration, chacun enverra des métriques vers un espace de travail Azure Monitor et/ou des journaux vers un espace de travail Log Analytics.

L’agent Azure Monitor s’exécutant sur la machine virtuelle ou le cluster doit disposer d’une connectivité pour les opérations suivantes :

• Récupérer la configuration à partir d’Azure Monitor. Cela inclut les règles de collecte de données associées à l’agent qui définissent les données de journal et de métrique à collecter et où les envoyer.
• Envoyer des données à l’espace de travail Azure Monitor et à l’espace de travail Log Analytics.
• Interroger des données à partir de l’espace de travail Azure Monitor et de l’espace de travail Log Analytics.

Note

Les machines virtuelles envoient uniquement des métriques à un espace de travail Azure Monitor s’ils ont été migrés vers des métriques OpenTelemetry, comme décrit dans Migrate to VM Insights OpenTelemetry (préversion). Si ce n’est pas le cas, ils stockent les métriques dans les espaces de travail Log Analytics. Les mêmes conseils de cet article s’appliquent à une machine virtuelle qui n’a pas été migrée vers les métriques OpenTelemetry, mais seul l’espace de travail Log Analytics doit être configuré.

Les points de terminaison de collecte de données sont utilisés pour différentes fonctions lors de l’utilisation d’une liaison privée avec Azure Monitor, comme décrit dans les ressources AMPLS. Vous allez utiliser une combinaison de contrôleurs de domaine existants et de nouveaux contrôleurs de domaine que vous créez en fonction de vos besoins.

Activer la configuration de l’agent

La machine virtuelle et le cluster nécessitent des points de terminaison de collecte de données (DCEs) dans l’AMPLS pour récupérer leur configuration à partir d’Azure Monitor via une liaison privée. Une seule DCE est requise pour que la machine virtuelle ou le cluster récupère sa configuration. Il utilisera ce DCE pour récupérer les DCR des journaux et des métriques si les deux sont activés. Toute DCE dans la même région que la machine virtuelle ou le cluster peut être utilisée, mais il est généralement préférable d’utiliser un DCE existant s’il est disponible.

Si vous utilisez un espace de travail Azure Monitor pour les métriques, vous pouvez utiliser la DCE créée automatiquement pour l’espace de travail. Si vous n’utilisez pas d’espace de travail Azure Monitor ou si votre machine virtuelle ou cluster se trouve dans une région différente de celle de votre espace de travail Azure Monitor, vous devez créer une DCE dans la même région que votre machine virtuelle ou votre cluster. Suivez les instructions fournies à l’adresse Créer un point de terminaison de collecte de données pour créer une DCE dans la même région que votre machine virtuelle ou votre cluster si nécessaire.

Associer une machine virtuelle ou un cluster à DCE

Créez une association entre la machine virtuelle ou le cluster et une DCE pour la machine virtuelle/cluster afin de récupérer sa configuration à partir d’Azure Monitor à l’aide de la DCE. Chaque machine virtuelle ou cluster ne peut avoir qu’une association avec une seule DCE. Par conséquent, si vous créez une autre association, celle existante sera remplacée.

portail Azure

Si vous utilisez la DCE créée par l’espace de travail Azure Monitor, identifiez-la à partir de sa page Vue d’ensemble dans le portail Azure.

Dans le menu Monitor du portail Azure, sélectionnez Points de terminaison de collecte de données. Sélectionnez la DCE, puis l’onglet Ressources . Cliquez sur Ajouter et sélectionnez le cluster pour créer l’association.

CLI

Créez une association entre la machine virtuelle ou le cluster et la DCE à l’aide de la commande suivante :

az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id <dce-resource-id> --resource-uri <vm-resource-id/cluster-resource-id>

# Example VM
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/my-vm

# Example AKS
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.ContainerService/managedClusters/my-cluster

PowerShell

Créez une association entre la machine virtuelle ou le cluster et la DCE à l’aide de la commande suivante :

New-AzDataCollectionRuleAssociation -associationname configurationAccessEndpoint -DataCollectionEndpointId <dce-resource-id> -resourceuri <vm-resource-id/cluster-resource-id>  

# Example VM
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

# Example AKS
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

Ajouter des DCEs à AMPLS

Chacun des contrôleurs de domaine créés pour l’accès à la configuration doit être ajouté à l’AMPLS. Cela inclut la DCE créée par l’espace de travail Azure Monitor et les nouveaux contrôleurs de domaine créés pour les clusters dans différentes régions.

portail Azure

Dans le menu Monitor du portail Azure, sélectionnez Étendues de liaison privée Azure Monitor. Sélectionnez votre AMPLS, puis l’onglet Ressources Azure Monitor . Cliquez sur Ajouter et sélectionnez la DCE pour l’ajouter à l’AMPLS.

CLI

Ajoutez une DCE à l’AMPLS à l’aide de la commande suivante :

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Ajoutez une DCE à l’AMPLS à l’aide de la commande suivante :

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Activer l’ingestion des données

La machine virtuelle ou le cluster nécessite une DCE dans l’AMPLS pour envoyer des données à un espace de travail Azure Monitor à l’aide d’une liaison privée. Aucune DCE n’est nécessaire pour envoyer des données de journal à l’espace de travail Log Analytics, car l’espace de travail Log Analytics est ajouté directement à l’AMPLS.

Configurer l’espace de travail Azure Monitor

Une DCE est créée automatiquement pour chaque cluster lorsque les métriques Prometheus sont activées. Ce DCE aura un nom similaire à MSProm-<region>-<cluster> et est utilisé pour l’ingestion depuis le cluster. Il doit simplement être ajouté à l’AMPLS.

portail Azure

Dans le menu Monitor du portail Azure, sélectionnez Étendues de liaison privée Azure Monitor. Sélectionnez votre AMPLS, puis l’onglet Ressources Azure Monitor . Cliquez sur Ajouter et sélectionnez la DCE pour l’ajouter à l’AMPLS.

CLI

Ajoutez une DCE à l’AMPLS à l’aide de la commande suivante :

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Ajoutez une DCE à l’AMPLS à l’aide de la commande suivante :

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Configurer l’espace de travail Log Analytics

Aucune DCE n’est requise pour l’ingestion dans l’espace de travail Log Analytics, car elle est ajoutée directement à l’AMPLS, comme décrit dans les ressources AMPLS. Ajoutez un espace de travail Log Analytics à l’AMPLS pour prendre en charge l’ingestion des données à partir de clusters et de machines virtuelles dans le réseau virtuel connecté.

portail Azure

Dans le menu Monitor du portail Azure, sélectionnez Étendues de liaison privée Azure Monitor. Sélectionnez votre AMPLS, puis l’onglet Ressources Azure Monitor . Cliquez sur Ajouter et sélectionnez l’espace de travail Log Analytics pour l’ajouter à l’AMPLS.

CLI

Ajoutez un espace de travail Log Analytics à l’AMPLS à l’aide de la commande suivante :

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <workspace-name> --linked-resource <workspace-resource-id>

# Example VM
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

# Example AKS
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

PowerShell

Ajoutez un espace de travail Log Analytics à l’AMPLS à l’aide de la commande suivante :

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <workspace-name> -LinkedResourceId <workspace-resource-id>

# Example VM
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

# Example AKS
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

Activer la requête pour l’espace de travail Azure Monitor

Un point de terminaison privé supplémentaire est nécessaire pour prendre en charge les requêtes sur l’espace de travail Azure Monitor via une liaison privée. Cela est similaire au point de terminaison privé créé pour l’AMPLS, mais ce point de terminaison privé est spécifiquement destiné à l’espace de travail Azure Monitor pour prendre en charge les requêtes sur une liaison privée. Pour plus d’informations sur ce point de terminaison privé et les enregistrements DNS créés pour celui-ci, consultez Utiliser des points de terminaison privés pour l’espace de travail Prometheus managé et Azure Monitor.

Suivez les mêmes instructions sur Connecter AMPLS à un point de terminaison privé pour créer une connexion de point de terminaison privé, mais utilisez les paramètres suivants pour la ressource à laquelle se connecter :

Propriété	Descriptif
Abonnement	Abonnement qui contient votre AMPLS.
Type de ressource	Microsoft.Monitor/accounts
Resource	Nom du lien
Sous-ressource cible	prometheusMetrics

Ingestion à partir d’un cluster AKS privé

Si vous choisissez d’utiliser un Pare-feu Azure pour limiter la sortie de votre cluster, vous pouvez implémenter l’un des éléments suivants :

• Ouvrez un chemin d’accès au point de terminaison d’ingestion public. Mettez à jour la table de routage avec les deux points de terminaison suivants :
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Activez le Pare-feu Azure pour accéder à l’étendue Azure Monitor Private Link et à DCE utilisées pour l’ingestion de données.

Ingestion de liaison privée pour l’écriture à distance

Procédez comme suit pour configurer l’écriture à distance pour les métriques Prometheus pour un cluster Kubernetes sur un réseau virtuel de liaison privée et un AMPLS.

1. Configurez le cluster local pour le connecter à un réseau virtuel Azure à l’aide d’une passerelle VPN ou d’ExpressRoutes avec un appairage privé.
2. Connectez l’AMPLS à un point de terminaison privé dans le réseau virtuel utilisé par le cluster local. Ce point de terminaison privé est utilisé pour accéder à vos contrôleurs de domaine.
3. Dans la page Vue d’ensemble de votre espace de travail Azure Monitor dans le portail Azure, cliquez sur le point de terminaison de collecte de données.
4. Sélectionnez la page isolation réseau pour la DCE.
5. Cliquez sur Ajouter et sélectionnez votre AMPLS. Patientez quelques minutes pour que les paramètres se propagent, et les données de votre cluster AKS local doivent être ingérées dans votre espace de travail Azure Monitor via la liaison privée.

Vérifier l’ingestion de données

Il existe plusieurs méthodes pour vérifier que les données sont bien ingérées depuis votre cluster via le lien privé. Une méthode consiste à vérifier le menu Surveiller pour l’un de vos clusters ou machines virtuelles. Vous devez voir les métriques et les événements collectés.

Prochaines étapes

• Consultez Se connecter à une source de données en privé pour plus d’informations sur la configuration d’une liaison privée pour interroger des données à partir de votre espace de travail Azure Monitor à l’aide de Grafana.
• Consultez Activer la requête à partir de l’espace de travail Azure Monitor à l’aide d’une liaison privée pour plus d’informations sur la configuration d’une liaison privée pour interroger des données à partir de votre espace de travail Azure Monitor à l’aide de classeurs.