Privát kapcsolat engedélyezése Kubernetes-monitorozáshoz az Azure Monitorban

Az Azure Private Link lehetővé teszi az Azure-platform szolgáltatásként (PaaS)-erőforrások elérését a virtuális hálózathoz privát végpontok használatával. Az Azure Monitor Private Link Scope (AMPLS) egy privát végpontot csatlakoztat az Azure Monitor-erőforrások egy készletéhez a monitorozási hálózat határainak meghatározásához. Ez a cikk azt ismerteti, hogyan konfigurálhatja a Container Insightst és a felügyelt Prometheust az Azure Kubernetes Service-fürtből (AKS) származó adatok betöltésére szolgáló privát hivatkozás használatára.

Feljegyzés

• Az Azure Monitor-munkaterület adatainak a Grafana használatával történő lekérdezéséhez való privát kapcsolat konfigurálásához tekintse meg a Privát csatlakozás adatforráshoz című témakört.
• A Privát végpontok használata felügyelt Prometheushoz és Azure Monitor-munkaterülethez című cikkből megtudhatja, hogyan konfigurálhat privát hivatkozást az Azure Monitor-munkaterületről származó adatok munkafüzetek használatával történő lekérdezéséhez.

Előfeltételek

• Ez a cikk azt ismerteti, hogyan csatlakoztathatja a fürtöt egy meglévő Azure Monitor privát kapcsolati hatókörhöz (AMPLS). Hozzon létre egy AMPLS-t a privát hivatkozás konfigurálása című útmutatót követve.
• Az Azure CLI 2.61.0-s vagy újabb verziója.

Felügyelt Prometheus (Azure Monitor-munkaterület)

A felügyelt Prometheus-adatok egy Azure Monitor-munkaterületen tárolódnak, ezért ezt a munkaterületet elérhetővé kell tennie egy privát kapcsolaton keresztül.

Tartományvezérlők konfigurálása

A felügyelt Prometheus adatbetöltési privát hivatkozásai az adatokat tároló Azure Monitor-munkaterület adatgyűjtési végpontjaikon (DCE) vannak konfigurálva. Az Azure Monitor-munkaterülethez társított DCE-k azonosításához válassza az Azure Monitor-munkaterület adatgyűjtési végpontjait az Azure Portalon.

Ha az AKS-fürt nem ugyanabban a régióban található, mint az Azure Monitor-munkaterület, akkor egy másik DCE-t kell létrehoznia ugyanabban a régióban, mint az AKS-fürt. Ebben az esetben nyissa meg a felügyelt Prometheus engedélyezésekor létrehozott adatgyűjtési szabályt (DCR). Ez a DCR neve MSProm-clusterName-clusterRegion<><> lesz. A fürt megjelenik az Erőforrások lapon. Az adatgyűjtési végpont legördülő listájában válassza ki a DCE-t az AKS-fürtvel azonos régióban.

Betöltés privát AKS-fürtből

A privát AKS-fürtök alapértelmezés szerint egy nyilvános adatgyűjtési végpont használatával küldhetnek adatokat a felügyelt Prometheusnak és az Azure Monitor-munkaterületnek a nyilvános hálózaton keresztül.

Ha úgy dönt, hogy az Azure Firewall használatával korlátozza a fürtből érkező kimenő forgalmat, az alábbiak egyikét implementálhatja:

• Nyisson meg egy elérési utat a nyilvános betöltési végponthoz. Frissítse az útválasztási táblát a következő két végponttal:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Engedélyezze az Azure Firewall számára, hogy hozzáférjen az adatbetöltéshez használt Azure Monitor Private Link-hatókörhöz és DCE-hez.

Privát kapcsolat betöltése távoli íráshoz

Az alábbi lépésekkel beállíthat távoli írást egy Kubernetes-fürthöz egy privát kapcsolatú virtuális hálózaton és egy Azure Monitor Private Link-hatókörön keresztül.

1. Hozza létre az Azure-beli virtuális hálózatot.
2. Konfigurálja a helyszíni fürtöt úgy, hogy vpn-átjáró vagy ExpressRoutes használatával csatlakozzon egy Azure-beli virtuális hálózathoz privát társviszony-létesítéssel.
3. Azure Monitor Private Link-hatókör létrehozása.
4. Csatlakoztassa az Azure Monitor Private Link hatókörét a helyszíni fürt által használt virtuális hálózat egy privát végpontjára. Ez a privát végpont a DCE-k elérésére szolgál.
5. A portál Azure Monitor-munkaterületén válassza az Adatgyűjtési végpontok lehetőséget az Azure Monitor-munkaterület menüjében.
6. Legalább egy DCE-nek ugyanaz a neve lesz, mint a munkaterületnek. Kattintson a DCE-ra a részletek megnyitásához.
7. Válassza a DCE Hálózatelkülönítés lapjának kiválasztását.
8. Kattintson a Hozzáadás gombra, és válassza ki az Azure Monitor Private Link hatókörét. A beállítások propagálása néhány percet vesz igénybe. Miután elkészült, a privát AKS-fürt adatai a privát kapcsolaton keresztül kerülnek az Azure Monitor-munkaterületre.

Tárolóelemzések (Log Analytics-munkaterület)

A Container Insights adatai egy Log Analytics-munkaterületen tárolódnak, ezért ezt a munkaterületet elérhetővé kell tennie egy privát hivatkozáson keresztül.

Feljegyzés

Ez a szakasz azt ismerteti, hogyan engedélyezheti a privát hivatkozást a Container Insightshoz a parancssori felület használatával. Az ARM-sablon használatával kapcsolatos részletekért tekintse meg a Tárolóelemzések engedélyezése című témakört, és jegyezze fel a paramétereket useAzureMonitorPrivateLinkScope és azureMonitorPrivateLinkScopeResourceIda .

Fürt felügyelt identitáshitelesítéssel

Meglévő AKS-fürt alapértelmezett Log Analytics-munkaterülettel

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Példa:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Meglévő AKS-fürt meglévő Log Analytics-munkaterülettel

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Példa:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Új AKS-fürt

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Példa:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Régi hitelesítést használó fürt

Az alábbi eljárásokkal engedélyezheti a hálózatelkülönítést, ha a fürtöt a Log Analytics-munkaterülethez csatlakoztatja az Azure Private Link használatával, ha a fürt nem használ felügyelt identitáshitelesítést. Ehhez privát AKS-fürtre van szükség.

1. Hozzon létre egy privát AKS-fürtöt a Privát Azure Kubernetes Service-fürt létrehozása című útmutatót követve.

2. Tiltsa le a nyilvános betöltést a Log Analytics-munkaterületen.

   A következő paranccsal letilthatja a nyilvános betöltési funkciót egy meglévő munkaterületen.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Az alábbi paranccsal hozzon létre egy új munkaterületet, amely le van tiltva a nyilvános betöltéssel.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. A privát kapcsolat konfigurálásához kövesse a privát hivatkozás konfigurálásával kapcsolatos utasításokat. Állítsa be a betöltési hozzáférést a nyilvánoshoz, majd állítsa be privátra a privát végpont létrehozása után, de a figyelés engedélyezése előtt. A privát kapcsolat erőforrásrégiójának meg kell egyeznie az AKS-fürtrégióval.

4. Engedélyezze az AKS-fürt figyelését.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Következő lépések

• Ha problémákat tapasztal a megoldás előkészítése során, tekintse át a hibaelhárítási útmutatót.
• Ha a monitorozás lehetővé teszi az AKS-fürt állapotának és erőforrás-kihasználtságának gyűjtését, valamint a rajtuk futó számítási feladatokat, megtudhatja , hogyan használhatja a Container Insightst.