Memecahkan masalah wawasan Kontainer
Saat mengonfigurasi pemantauan kluster Azure Kubernetes Service (AKS) dengan wawasan Kontainer, Anda mungkin mengalami masalah yang mencegah pengumpulan data atau status pelaporan. Artikel ini membahas beberapa masalah umum dan langkah-langkah pemecahan masalah.
Pesan kesalahan yang diketahui
Tabel berikut ini meringkas kesalahan yang diketahui yang mungkin Anda temui saat menggunakan wawasan Kontainer.
Pesan kesalahan | Perbuatan |
---|---|
Pesan kesalahan "Tidak ada data untuk filter yang dipilih" | Mungkin perlu waktu untuk menetapkan aliran data pemantauan untuk kluster yang baru dibuat. Biarkan setidaknya 10 hingga 15 menit agar data muncul untuk kluster Anda. Jika data masih tidak muncul, periksa apakah ruang kerja Analitik Log dikonfigurasi untuk disableLocalAuth = true . Jika ya, perbarui kembali ke disableLocalAuth = false .az resource show --ids "/subscriptions/[Your subscription ID]/resourcegroups/[Your resource group]/providers/microsoft.operationalinsights/workspaces/[Your workspace name]" az resource update --ids "/subscriptions/[Your subscription ID]/resourcegroups/[Your resource group]/providers/microsoft.operationalinsights/workspaces/[Your workspace name]" --api-version "2021-06-01" --set properties.features.disableLocalAuth=False |
Pesan kesalahan "Kesalahan mengambil data" | Saat kluster AKS disiapkan untuk pemantauan kesehatan dan performa, koneksi dibuat antara kluster dan ruang kerja Analitik Log. Ruang kerja Analitik Log digunakan untuk menyimpan semua data pemantauan untuk kluster Anda. Kesalahan ini mungkin terjadi saat ruang kerja Analitik Log Anda telah dihapus. Periksa jika ruang kerja telah terhapus. Jika ya, pemantauan kluster Anda yang dapat diperkenalkan dengan wawasan Kontainer. Kemudian tentukan ruang kerja yang sudah ada atau buat ruang kerja baru. Untuk mengaktifkan kembali, nonaktifkan pemantauan untuk kluster dan aktifkan wawasan Kontainer lagi. |
"Kesalahan mengambil data" setelah menambahkan wawasan Kontainer melalui az aks cli |
Saat Anda mengaktifkan pemantauan dengan menggunakan az aks cli , Wawasan kontainer mungkin tidak disebarkan dengan benar. Periksa apakah solusinya disebarkan. Untuk memverifikasi, buka ruang kerja Analitik Log Anda dan lihat apakah solusi tersedia dengan memilih Solusi warisan dari panel di sisi kiri. Untuk mengatasi masalah ini, sebarkan ulang solusinya. Ikuti instruksi di Mengaktifkan wawasan Kontainer. |
Pesan kesalahan "Pendaftaran langganan hilang" | Jika Anda menerima kesalahan "Pendaftaran langganan hilang untuk Microsoft.OperationsManagement," Anda dapat mengatasinya dengan mendaftarkan penyedia sumber daya Microsoft.OperationsManagement di langganan tempat ruang kerja ditentukan. Untuk langkah-langkahnya, lihat Mengatasi kesalahan untuk pendaftaran penyedia sumber daya. |
Pesan kesalahan "Url balasan yang ditentukan dalam permintaan tidak cocok dengan url balasan yang dikonfigurasi untuk aplikasi: '<ID> aplikasi'." | Anda mungkin melihat pesan kesalahan ini saat mengaktifkan log langsung. Untuk solusinya, lihat Menampilkan data kontainer secara real time dengan wawasan Kontainer. |
Untuk membantu mendiagnosis masalah, kami telah menyediakan skrip pemecahan masalah.
Kesalahan otorisasi selama operasi orientasi atau pembaruan
Saat Anda mengaktifkan wawasan Kontainer atau memperbarui kluster untuk mendukung pengumpulan metrik, Anda mungkin menerima kesalahan seperti "Klien <user's Identity>
dengan id <user's objectId>
objek tidak memiliki otorisasi untuk melakukan tindakan Microsoft.Authorization/roleAssignments/write
melalui cakupan."
Selama proses onboarding atau pembaruan, pemberian penetapan peran Penerbit Metrik Pemantauan akan dicoba pada sumber daya kluster. Pengguna yang memulai proses untuk mengaktifkan Container insight atau pembaruan untuk mendukung pengumpulan metrik harus memiliki akses ke izin Microsoft.Authorization/roleAssignments/write pada cakupan sumber daya kluster AKS. Hanya anggota peran bawaan Pemilik dan Admin Akses Pengguna yang diberikan akses ke izin ini. Jika kebijakan keamanan mengharuskan Anda menetapkan izin tingkat granular, lihat Peran kustom Azure dan menetapkan izin kepada pengguna yang memerlukannya.
Anda juga dapat memberikan peran ini secara manual dari portal Azure: Tetapkan peran Penerbit ke cakupan Metrik Pemantauan. Untuk langkah yang lebih detail, lihat Menetapkan peran Azure dengan menggunakan portal Azure.
Container insight diaktifkan tetapi tidak melaporkan informasi apa pun
Untuk mendiagnosis masalah jika Anda tidak dapat menampilkan informasi status atau tidak ada hasil yang dikembalikan dari kueri log:
Periksa status agen dengan menjalankan perintah berikut:
kubectl get ds ama-logs --namespace=kube-system
Jumlah pod harus sama dengan jumlah simpul Linux pada kluster. Output harus menyerupai contoh berikut, yang menunjukkan bahwa output tersebut disebarkan dengan benar:
User@aksuser:~$ kubectl get ds ama-logs --namespace=kube-system NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE ama-logs 2 2 2 2 2 <none> 1d
Jika Anda memiliki simpul Windows Server, periksa status agen dengan menjalankan perintah berikut:
kubectl get ds ama-logs-windows --namespace=kube-system
Jumlah pod harus sama dengan jumlah simpul Windows pada kluster. Output harus menyerupai contoh berikut, yang menunjukkan bahwa output tersebut disebarkan dengan benar:
User@aksuser:~$ kubectl get ds ama-logs-windows --namespace=kube-system NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE ama-logs-windows 2 2 2 2 2 <none> 1d
Periksa status penyebaran dengan menggunakan perintah berikut:
kubectl get deployment ama-logs-rs --namespace=kube-system
Output harus menyerupai contoh berikut, yang menunjukkan bahwa output tersebut disebarkan dengan benar:
User@aksuser:~$ kubectl get deployment ama-logs-rs --namespace=kube-system NAME READY UP-TO-DATE AVAILABLE AGE ama-logs-rs 1/1 1 1 24d
Periksa status pod untuk memverifikasi bahwa pod berjalan dengan menggunakan perintah
kubectl get pods --namespace=kube-system
.Output harus menyerupai contoh berikut dengan status
Running
untuk ama-logs:User@aksuser:~$ kubectl get pods --namespace=kube-system NAME READY STATUS RESTARTS AGE aks-ssh-139866255-5n7k5 1/1 Running 0 8d azure-vote-back-4149398501-7skz0 1/1 Running 0 22d azure-vote-front-3826909965-30n62 1/1 Running 0 22d ama-logs-484hw 1/1 Running 0 1d ama-logs-fkq7g 1/1 Running 0 1d ama-logs-windows-6drwq 1/1 Running 0 1d
Jika pod dalam keadaan berjalan, tetapi tidak ada data di Analitik Log atau data yang tampaknya hanya dikirim selama bagian tertentu dalam sehari, itu mungkin merupakan indikasi bahwa batas harian telah terpenuhi. Ketika batas ini terpenuhi setiap hari, data berhenti menyerap ke ruang kerja Analitik Log dan mengatur ulang pada waktu reset. Untuk informasi selengkapnya, lihat Batas Harian Analitik Log.
Jika wawasan Containter diaktifkan menggunakan Terraform dan
msi_auth_for_monitoring_enabled
diatur ketrue
, pastikan bahwa sumber daya DCR dan DCRA juga disebarkan untuk mengaktifkan pengumpulan log. Untuk langkah-langkah terperinci, lihat mengaktifkan wawasan Kontainer.
Pod ReplicaSet agen wawasan kontainer tidak dijadwalkan pada kluster non-AKS
Pod ReplicaSet agen container insights memiliki dependensi pada pemilih simpul berikut pada simpul pekerja (atau agen) untuk penjadwalan:
nodeSelector:
beta.kubernetes.io/os: Linux
kubernetes.io/role: agent
Jika simpul pekerja Anda tidak memiliki label node yang terpasang, Pod ReplicaSet agen tidak akan dijadwalkan. Untuk petunjuk tentang cara melampirkan label, lihat Kubernetes menetapkan pemilih label.
Bagan kinerja tidak menampilkan CPU atau memori node dan kontainer pada kluster non-Azure
Pod agen wawasan kontainer menggunakan titik akhir cAdvisor pada agen simpul untuk mengumpulkan metrik performa. Verifikasi agen kontainer pada simpul dikonfigurasi untuk mengizinkan cAdvisor secure port: 10250
atau cAdvisor unsecure port: 10255
dibuka pada semua simpul dalam kluster untuk mengumpulkan metrik performa. Lihat prasyarat untuk kluster Kubernetes hibrid untuk informasi selengkapnya.
Kluster non-AKS tidak ditampilkan dalam wawasan Kontainer
Untuk melihat kluster non-AKS dalam wawasan Kontainer, akses baca diperlukan di ruang kerja Analitik Log yang mendukung wawasan ini dan pada sumber daya solusi wawasan Kontainer ContainerInsights (ruang kerja).
Metrik tidak ada yang dikumpulkan
Verifikasi bahwa penetapan peran Penerbit Metrik Pemantauan ada dengan menggunakan perintah CLI berikut:
az role assignment list --assignee "SP/UserassignedMSI for Azure Monitor Agent" --scope "/subscriptions/<subid>/resourcegroups/<RG>/providers/Microsoft.ContainerService/managedClusters/<clustername>" --role "Monitoring Metrics Publisher"
Untuk kluster dengan MSI, ID klien yang ditetapkan pengguna untuk Agen Azure Monitor berubah setiap kali pemantauan diaktifkan dan dinonaktifkan, sehingga penetapan peran harus ada pada ID klien MSI saat ini.
Untuk kluster dengan identitas pod Microsoft Entra diaktifkan dan menggunakan MSI:
Verifikasi bahwa label yang diperlukan kubernetes.azure.com/managedby: aks ada di pod Agen Azure Monitor dengan menggunakan perintah berikut:
kubectl get pods --show-labels -n kube-system | grep ama-logs
Verifikasi bahwa pengecualian diaktifkan ketika identitas pod diaktifkan dengan menggunakan salah satu metode yang didukung di https://github.com/Azure/aad-pod-identity#1-deploy-aad-pod-identity.
Jalankan perintah berikut ini untuk memverifikasi:
kubectl get AzurePodIdentityException -A -o yaml
Anda harus menerima output yang mirip dengan contoh berikut:
apiVersion: "aadpodidentity.k8s.io/v1" kind: AzurePodIdentityException metadata: name: mic-exception namespace: default spec: podLabels: app: mic component: mic --- apiVersion: "aadpodidentity.k8s.io/v1" kind: AzurePodIdentityException metadata: name: aks-addon-exception namespace: kube-system spec: podLabels: kubernetes.azure.com/managedby: aks
Penginstalan Ekstensi Kontainer Azure Monitor gagal pada kluster Kubernetes dengan dukungan Azure Arc
Kesalahan "manifes berisi sumber daya yang sudah ada" menunjukkan bahwa sumber daya agen wawasan Kontainer sudah ada di kluster Kubernetes dengan dukungan Azure Arc. Kesalahan ini menunjukkan bahwa agen wawasan Kontainer sudah diinstal. Ini diinstal baik melalui bagan Helm kontainer azuremonitor atau Add-on Pemantauan jika itu adalah kluster AKS yang terhubung melalui Azure Arc.
Solusi untuk masalah ini adalah membersihkan sumber daya yang ada dari agen wawasan Kontainer jika ada. Kemudian aktifkan Ekstensi Kontainer Azure Monitor.
Untuk kluster non-AKS
Terhadap kluster K8s yang tersambung ke Azure Arc, jalankan perintah berikut untuk memverifikasi apakah
azmon-containers-release-1
rilis bagan Helm ada atau tidak:helm list -A
Jika output perintah sebelumnya menunjukkan bahwa
azmon-containers-release-1
ada, hapus rilis bagan Helm:helm del azmon-containers-release-1
Untuk kluster AKS
Jalankan perintah berikut dan cari profil add-on Agen Azure Monitor untuk memverifikasi apakah Add-on Pemantauan AKS diaktifkan:
az account set -s <clusterSubscriptionId> az aks show -g <clusterResourceGroup> -n <clusterName>
Jika output menyertakan konfigurasi profil add-on Agen Azure Monitor dengan ID sumber daya ruang kerja Analitik Log, informasi ini menunjukkan bahwa Add-on Pemantauan AKS diaktifkan dan harus dinonaktifkan:
az aks disable-addons -a monitoring -g <clusterResourceGroup> -n <clusterName>
Jika langkah-langkah sebelumnya tidak menyelesaikan penginstalan masalah Ekstensi Kontainer Azure Monitor, buat tiket dukungan untuk dikirim ke Microsoft untuk penyelidikan lebih lanjut.
Pemberitahuan duplikat sedang diterima
Anda mungkin telah mengaktifkan aturan pemberitahuan Prometheus tanpa menonaktifkan pemberitahuan yang direkomendasikan wawasan Kontainer. Lihat Migrasi dari pemberitahuan yang direkomendasikan wawasan Kontainer ke aturan pemberitahuan yang direkomendasikan Prometheus (pratinjau).
Saya melihat banner info "Anda tidak memiliki izin kluster yang tepat yang akan membatasi akses Anda ke fitur Container Insights. Silakan hubungi admin kluster Anda untuk mendapatkan izin yang tepat"
Container Insights secara historis mengizinkan pengguna untuk mengakses pengalaman portal Azure berdasarkan izin akses ruang kerja Analitik Log. Sekarang memeriksa izin tingkat kluster untuk memberikan akses ke pengalaman portal Azure. Anda mungkin memerlukan admin kluster untuk menetapkan izin ini.
Untuk akses tingkat kluster baca-saja dasar, tetapkan peran Pembaca Pemantauan untuk jenis kluster berikut.
- AKS tanpa otorisasi kontrol akses berbasis peran (RBAC) Kubernetes diaktifkan
- AKS diaktifkan dengan akses menyeluruh berbasis Microsoft Entra SAML
- AKS diaktifkan dengan otorisasi RBAC Kubernetes
- AKS dikonfigurasi dengan kluster pengikatan peran clusterMonitoringUser
- Kluster Kubernetes dengan dukungan Azure Arc
Lihat Menetapkan izin peran ke pengguna atau grup untuk detail tentang cara menetapkan peran ini untuk opsi AKS dan Akses dan identitas untuk Azure Kubernetes Service (AKS) untuk mempelajari lebih lanjut tentang penetapan peran.
Saya tidak melihat nilai properti Gambar dan Nama diisi saat saya mengkueri tabel ContainerLog
Untuk versi agen ciprod12042019 dan yang lebih baru, secara default kedua properti ini tidak diisi untuk setiap baris log guna meminimalkan biaya yang timbul pada data log yang dikumpulkan. Ada dua opsi untuk mengkueri tabel yang menyertakan properti ini dengan nilainya:
Opsi 1
Gabungkan tabel lain untuk menyertakan nilai properti ini dalam hasil.
Ubah kueri Anda untuk menyertakan Image
dan properti dari ContainerInventory
tabel dengan bergabung pada ContainerID
ImageTag
properti . Anda dapat menyertakan Name
properti (seperti yang sebelumnya muncul dalam ContainerLog
tabel) dari KubepodInventory
bidang tabel ContainerName
dengan bergabung pada ContainerID
properti . Kami merekomendasikan opsi ini.
Contoh berikut adalah sampel kueri terperinci yang menjelaskan cara mendapatkan nilai bidang ini dengan gabungan.
//Let's say we're querying an hour's worth of logs
let startTime = ago(1h);
let endTime = now();
//Below gets the latest Image & ImageTag for every containerID, during the time window
let ContainerInv = ContainerInventory | where TimeGenerated >= startTime and TimeGenerated < endTime | summarize arg_max(TimeGenerated, *) by ContainerID, Image, ImageTag | project-away TimeGenerated | project ContainerID1=ContainerID, Image1=Image ,ImageTag1=ImageTag;
//Below gets the latest Name for every containerID, during the time window
let KubePodInv = KubePodInventory | where ContainerID != "" | where TimeGenerated >= startTime | where TimeGenerated < endTime | summarize arg_max(TimeGenerated, *) by ContainerID2 = ContainerID, Name1=ContainerName | project ContainerID2 , Name1;
//Now join the above 2 to get a 'jointed table' that has name, image & imagetag. Outer left is safer in case there are no kubepod records or if they're latent
let ContainerData = ContainerInv | join kind=leftouter (KubePodInv) on $left.ContainerID1 == $right.ContainerID2;
//Now join ContainerLog table with the 'jointed table' above and project-away redundant fields/columns and rename columns that were rewritten
//Outer left is safer so you don't lose logs even if we can't find container metadata for loglines (due to latency, time skew between data types, etc.)
ContainerLog
| where TimeGenerated >= startTime and TimeGenerated < endTime
| join kind= leftouter (
ContainerData
) on $left.ContainerID == $right.ContainerID2 | project-away ContainerID1, ContainerID2, Name, Image, ImageTag | project-rename Name = Name1, Image=Image1, ImageTag=ImageTag1
Opsi 2
Koleksi yang dapat diperbaharui untuk properti ini untuk setiap baris log kontainer.
Jika opsi pertama tidak nyaman karena perubahan kueri yang terlibat, Anda dapat mengaktifkan kembali pengumpulan bidang ini. Aktifkan pengaturan log_collection_settings.enrich_container_logs
di peta konfigurasi agen seperti yang dijelaskan dalam pengaturan konfigurasi pengumpulan data.
Catatan
Kami tidak merekomendasikan opsi kedua untuk kluster besar yang memiliki lebih dari 50 simpul. Ini menghasilkan panggilan server API dari setiap node dalam kluster untuk melakukan pengayaan ini. Opsi ini juga meningkatkan ukuran data untuk setiap baris log yang dikumpulkan.
Saya tidak dapat meningkatkan kluster setelah onboarding
Berikut skenarionya: Anda mengaktifkan wawasan Kontainer untuk kluster Azure Kubernetes Service. Kemudian Anda menghapus ruang kerja Analitik Log tempat kluster mengirim datanya. Sekarang ketika Anda mencoba meningkatkan kluster, kluster gagal. Untuk mengatasi masalah ini, Anda harus menonaktifkan pemantauan lalu mengaktifkannya kembali dengan merujuk ruang kerja valid yang berbeda di langganan Anda. Saat Anda mencoba untuk melakukan peningkatan kluster lagi, ini harus diproses dan diselesaikan dengan sukses.
Tidak mengumpulkan log pada kluster Azure Stack HCI
Jika Anda mendaftarkan kluster dan/atau mengonfigurasi HCI Insights sebelum November 2023, fitur yang menggunakan agen Azure Monitor di HCI, seperti Arc for Servers Insights, VM Insights, Container Insights, Defender untuk Cloud, atau Microsoft Sentinel mungkin tidak mengumpulkan log dan data peristiwa dengan benar. Lihat Memperbaiki agen AMA untuk HCI untuk langkah-langkah mengonfigurasi ulang agen dan Wawasan HCI.
Langkah berikutnya
Saat pemantauan diaktifkan untuk menangkap metrik kesehatan untuk node dan pod kluster AKS, metrik kesehatan ini tersedia di portal Azure. Untuk mempelajari cara menggunakan Container insight, lihat Melihat kesehatan Azure Kubernetes Service.