Privát kapcsolat engedélyezése Kubernetes-monitorozáshoz az Azure Monitorban
Az Azure Private Link lehetővé teszi az Azure-platform szolgáltatásként (PaaS)-erőforrások elérését a virtuális hálózathoz privát végpontok használatával. Az Azure Monitor Private Link Scope (AMPLS) egy privát végpontot csatlakoztat az Azure Monitor-erőforrások egy készletéhez a monitorozási hálózat határainak meghatározásához. Ez a cikk azt ismerteti, hogyan konfigurálhatja a Container Insightst és a felügyelt Prometheust az Azure Kubernetes Service-fürtből (AKS) származó adatok betöltésére szolgáló privát hivatkozás használatára.
Feljegyzés
- Az Azure Monitor-munkaterület adatainak a Grafana használatával történő lekérdezéséhez való privát kapcsolat konfigurálásához tekintse meg a Privát csatlakozás adatforráshoz című témakört.
- A Privát végpontok használata felügyelt Prometheushoz és Azure Monitor-munkaterülethez című cikkből megtudhatja, hogyan konfigurálhat privát hivatkozást az Azure Monitor-munkaterületről származó adatok munkafüzetek használatával történő lekérdezéséhez.
Előfeltételek
- Ez a cikk azt ismerteti, hogyan csatlakoztathatja a fürtöt egy meglévő Azure Monitor privát kapcsolati hatókörhöz (AMPLS). Hozzon létre egy AMPLS-t a privát hivatkozás konfigurálása című útmutatót követve.
- Az Azure CLI 2.61.0-s vagy újabb verziója.
Felügyelt Prometheus (Azure Monitor-munkaterület)
A felügyelt Prometheus-adatok egy Azure Monitor-munkaterületen tárolódnak, ezért ezt a munkaterületet elérhetővé kell tennie egy privát kapcsolaton keresztül.
Tartományvezérlők konfigurálása
A felügyelt Prometheus adatbetöltési privát hivatkozásai az adatokat tároló Azure Monitor-munkaterület adatgyűjtési végpontjaikon (DCE) vannak konfigurálva. Az Azure Monitor-munkaterülethez társított DCE-k azonosításához válassza az Azure Monitor-munkaterület adatgyűjtési végpontjait az Azure Portalon.
Ha az AKS-fürt nem ugyanabban a régióban található, mint az Azure Monitor-munkaterület, akkor egy másik DCE-t kell létrehoznia ugyanabban a régióban, mint az AKS-fürt. Ebben az esetben nyissa meg a felügyelt Prometheus engedélyezésekor létrehozott adatgyűjtési szabályt (DCR). Ez a DCR neve MSProm-clusterName-clusterRegion<><> lesz. A fürt megjelenik az Erőforrások lapon. Az adatgyűjtési végpont legördülő listájában válassza ki a DCE-t az AKS-fürtvel azonos régióban.
Betöltés privát AKS-fürtből
A privát AKS-fürtök alapértelmezés szerint egy nyilvános adatgyűjtési végpont használatával küldhetnek adatokat a felügyelt Prometheusnak és az Azure Monitor-munkaterületnek a nyilvános hálózaton keresztül.
Ha úgy dönt, hogy az Azure Firewall használatával korlátozza a fürtből érkező kimenő forgalmat, az alábbiak egyikét implementálhatja:
- Nyisson meg egy elérési utat a nyilvános betöltési végponthoz. Frissítse az útválasztási táblát a következő két végponttal:
*.handler.control.monitor.azure.com
*.ingest.monitor.azure.com
- Engedélyezze az Azure Firewall számára, hogy hozzáférjen az adatbetöltéshez használt Azure Monitor Private Link-hatókörhöz és DCE-hez.
Privát kapcsolat betöltése távoli íráshoz
Az alábbi lépésekkel beállíthat távoli írást egy Kubernetes-fürthöz egy privát kapcsolatú virtuális hálózaton és egy Azure Monitor Private Link-hatókörön keresztül.
- Hozza létre az Azure-beli virtuális hálózatot.
- Konfigurálja a helyszíni fürtöt úgy, hogy vpn-átjáró vagy ExpressRoutes használatával csatlakozzon egy Azure-beli virtuális hálózathoz privát társviszony-létesítéssel.
- Azure Monitor Private Link-hatókör létrehozása.
- Csatlakoztassa az Azure Monitor Private Link hatókörét a helyszíni fürt által használt virtuális hálózat egy privát végpontjára. Ez a privát végpont a DCE-k elérésére szolgál.
- A portál Azure Monitor-munkaterületén válassza az Adatgyűjtési végpontok lehetőséget az Azure Monitor-munkaterület menüjében.
- Legalább egy DCE-nek ugyanaz a neve lesz, mint a munkaterületnek. Kattintson a DCE-ra a részletek megnyitásához.
- Válassza a DCE Hálózatelkülönítés lapjának kiválasztását.
- Kattintson a Hozzáadás gombra, és válassza ki az Azure Monitor Private Link hatókörét. A beállítások propagálása néhány percet vesz igénybe. Miután elkészült, a privát AKS-fürt adatai a privát kapcsolaton keresztül kerülnek az Azure Monitor-munkaterületre.
Tárolóelemzések (Log Analytics-munkaterület)
A Container Insights adatai egy Log Analytics-munkaterületen tárolódnak, ezért ezt a munkaterületet elérhetővé kell tennie egy privát hivatkozáson keresztül.
Feljegyzés
Ez a szakasz azt ismerteti, hogyan engedélyezheti a privát hivatkozást a Container Insightshoz a parancssori felület használatával. Az ARM-sablon használatával kapcsolatos részletekért tekintse meg a Tárolóelemzések engedélyezése című témakört, és jegyezze fel a paramétereket useAzureMonitorPrivateLinkScope
és azureMonitorPrivateLinkScopeResourceId
a .
Fürt felügyelt identitáshitelesítéssel
Meglévő AKS-fürt alapértelmezett Log Analytics-munkaterülettel
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"
Példa:
az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"
Meglévő AKS-fürt meglévő Log Analytics-munkaterülettel
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"
Példa:
az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"
Új AKS-fürt
az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"
Példa:
az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"
Régi hitelesítést használó fürt
Az alábbi eljárásokkal engedélyezheti a hálózatelkülönítést, ha a fürtöt a Log Analytics-munkaterülethez csatlakoztatja az Azure Private Link használatával, ha a fürt nem használ felügyelt identitáshitelesítést. Ehhez privát AKS-fürtre van szükség.
Hozzon létre egy privát AKS-fürtöt a Privát Azure Kubernetes Service-fürt létrehozása című útmutatót követve.
Tiltsa le a nyilvános betöltést a Log Analytics-munkaterületen.
A következő paranccsal letilthatja a nyilvános betöltési funkciót egy meglévő munkaterületen.
az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
Az alábbi paranccsal hozzon létre egy új munkaterületet, amely le van tiltva a nyilvános betöltéssel.
az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
A privát kapcsolat konfigurálásához kövesse a privát hivatkozás konfigurálásával kapcsolatos utasításokat. Állítsa be a betöltési hozzáférést a nyilvánoshoz, majd állítsa be privátra a privát végpont létrehozása után, de a figyelés engedélyezése előtt. A privát kapcsolat erőforrásrégiójának meg kell egyeznie az AKS-fürtrégióval.
Engedélyezze az AKS-fürt figyelését.
az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
Következő lépések
- Ha problémákat tapasztal a megoldás előkészítése során, tekintse át a hibaelhárítási útmutatót.
- Ha a monitorozás lehetővé teszi az AKS-fürt állapotának és erőforrás-kihasználtságának gyűjtését, valamint a rajtuk futó számítási feladatokat, megtudhatja , hogyan használhatja a Container Insightst.