Mengaktifkan tautan privat untuk pemantauan Kubernetes di Azure Monitor

Azure Private Link memungkinkan Anda mengakses sumber daya platform as a service (PaaS) Azure ke jaringan virtual Anda dengan menggunakan titik akhir privat. Azure Monitor Private Link Scope (AMPLS) menghubungkan titik akhir privat ke sekumpulan sumber daya Azure Monitor untuk menentukan batas jaringan pemantauan Anda. Artikel ini menjelaskan cara mengonfigurasi wawasan Kontainer dan Prometheus Terkelola untuk menggunakan tautan privat untuk penyerapan data dari kluster Azure Kubernetes Service (AKS).

Catatan

• Lihat Menyambungkan ke sumber data secara privat untuk detail tentang cara mengonfigurasi tautan privat untuk mengkueri data dari ruang kerja Azure Monitor Anda menggunakan Grafana.
• Lihat Menggunakan titik akhir privat untuk ruang kerja Prometheus Terkelola dan Azure Monitor untuk detail tentang cara mengonfigurasi tautan privat untuk mengkueri data dari ruang kerja Azure Monitor Anda menggunakan buku kerja.

Prasyarat

• Artikel ini menjelaskan cara menyambungkan kluster Anda ke Azure Monitor Private Link Scope (AMPLS) yang ada. Buat AMPLS dengan mengikuti panduan di Mengonfigurasi tautan privat Anda.
• Azure CLI versi 2.61.0 atau yang lebih tinggi.

Prometheus Terkelola (ruang kerja Azure Monitor)

Data untuk Prometheus Terkelola disimpan di ruang kerja Azure Monitor, jadi Anda harus membuat ruang kerja ini dapat diakses melalui tautan privat.

Mengonfigurasi DCEs

Tautan privat untuk penyerapan data untuk Prometheus Terkelola dikonfigurasi pada Titik Akhir Pengumpulan Data (DCE) ruang kerja Azure Monitor yang menyimpan data. Untuk mengidentifikasi DCEs yang terkait dengan ruang kerja Azure Monitor Anda, pilih Titik Akhir Pengumpulan Data dari ruang kerja Azure Monitor Anda di portal Azure.

Jika kluster AKS Anda tidak berada di wilayah yang sama dengan ruang kerja Azure Monitor Anda, maka Anda perlu membuat DCE lain di wilayah yang sama dengan kluster AKS. Dalam hal ini, buka aturan pengumpulan data (DCR) yang dibuat saat Anda mengaktifkan Prometheus Terkelola. DCR ini akan diberi nama MSProm-clusterName-clusterRegion><><. Kluster akan tercantum di halaman Sumber Daya . Pada menu dropdown Titik akhir pengumpulan data, pilih DCE di wilayah yang sama dengan kluster AKS.

Penyerapan dari kluster AKS privat

Secara default, kluster AKS privat dapat mengirim data ke Prometheus Terkelola dan ruang kerja Azure Monitor Anda melalui jaringan publik menggunakan Titik Akhir Pengumpulan Data publik.

Jika Anda memilih untuk menggunakan Azure Firewall untuk membatasi egress dari kluster, Anda dapat menerapkan salah satu hal berikut ini:

• Buka jalur ke titik akhir penyerapan publik. Perbarui tabel perutean dengan dua titik akhir berikut:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Aktifkan Azure Firewall untuk mengakses cakupan Azure Monitor Private Link dan DCE yang digunakan untuk penyerapan data.

Penyerapan tautan privat untuk penulisan jarak jauh

Gunakan langkah-langkah berikut untuk menyiapkan penulisan jarak jauh untuk kluster Kubernetes melalui jaringan virtual tautan privat dan cakupan Azure Monitor Private Link.

1. Buat jaringan virtual Azure Anda.
2. Konfigurasikan kluster lokal untuk menyambungkan ke Azure VNET menggunakan gateway VPN atau ExpressRoutes dengan peering privat.
3. Buat cakupan Azure Monitor Private Link.
4. Sambungkan cakupan Azure Monitor Private Link ke titik akhir privat di jaringan virtual yang digunakan oleh kluster lokal. Titik akhir privat ini digunakan untuk mengakses DCEs Anda.
5. Dari ruang kerja Azure Monitor Anda di portal, pilih Titik Akhir Pengumpulan Data dari menu ruang kerja Azure Monitor.
6. Anda akan memiliki setidaknya satu DCE yang akan memiliki nama yang sama dengan ruang kerja Anda. Klik DCE untuk membuka detailnya.
7. Pilih halaman Isolasi Jaringan untuk DCE.
8. Klik Tambahkan dan pilih cakupan Azure Monitor Private Link Anda. Dibutuhkan beberapa menit agar pengaturan disebarluaskan. Setelah selesai, data dari kluster AKS privat Anda diserap ke ruang kerja Azure Monitor Anda melalui tautan privat.

Wawasan kontainer (ruang kerja Analitik Log)

Data untuk wawasan Kontainer, disimpan di ruang kerja Analitik Log, sehingga Anda harus membuat ruang kerja ini dapat diakses melalui tautan privat.

Catatan

Bagian ini menjelaskan cara mengaktifkan tautan privat untuk wawasan Kontainer menggunakan CLI. Untuk detail tentang menggunakan templat ARM, lihat Mengaktifkan wawasan Kontainer dan mencatat parameter useAzureMonitorPrivateLinkScope dan azureMonitorPrivateLinkScopeResourceId.

Kluster menggunakan autentikasi identitas terkelola

Kluster AKS yang ada dengan ruang kerja Analitik Log default

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Contoh:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Kluster AKS yang ada dengan ruang kerja Analitik Log yang ada

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Contoh:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Kluster AKS baru

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Contoh:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Kluster menggunakan autentikasi warisan

Gunakan prosedur berikut untuk mengaktifkan isolasi jaringan dengan menyambungkan kluster Anda ke ruang kerja Analitik Log menggunakan Azure Private Link jika kluster Anda tidak menggunakan autentikasi identitas terkelola. Ini memerlukan kluster AKS privat.

1. Buat kluster AKS privat dengan mengikuti panduan dalam Membuat kluster Azure Kubernetes Service privat.

2. Nonaktifkan Penyerapan publik di ruang kerja Analitik Log Anda.

   Gunakan perintah berikut untuk menonaktifkan penyerapan publik pada ruang kerja yang sudah ada.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Gunakan perintah berikut untuk membuat ruang kerja baru dengan penyerapan publik dinonaktifkan.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. Konfigurasikan tautan privat dengan mengikuti instruksi di Mengonfigurasi tautan privat Anda. Atur akses penyerapan ke publik lalu atur ke privat setelah titik akhir privat dibuat tetapi sebelum pemantauan diaktifkan. Wilayah sumber daya tautan privat harus sama dengan wilayah kluster AKS.

4. Aktifkan pemantauan untuk kluster AKS.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Langkah berikutnya

• Jika Anda mengalami masalah saat mencoba onboarding solusi, tinjau panduan Pemecahan Masalah.
• Dengan pemantauan yang diaktifkan untuk mengumpulkan pemanfaatan kesehatan dan sumber kluster AKS dan beban kerja yang berjalan di atasnya, pelajari cara menggunakan insight Kontainer.