Autenticazione legacy per Container Insights

Per impostazione predefinita, Container Insights è l'autenticazione dell'identità gestita, che ha un agente di monitoraggio che usa l'identità gestita del cluster per inviare dati a Monitoraggio di Azure. Ha sostituito l'autenticazione locale basata su certificati legacy ed è stato rimosso il requisito di aggiungere un ruolo server di pubblicazione metriche di monitoraggio al cluster.

Questo articolo descrive come eseguire la migrazione all'autenticazione dell'identità gestita se sono state abilitate informazioni dettagliate sui contenitori usando il metodo di autenticazione legacy e come abilitare l'autenticazione legacy se si dispone di tale requisito.

Importante

Se si dispone di un cluster con autenticazione legacy e le chiavi dell'area di lavoro Log Analytics vengono ruotate, i dati di monitoraggio smetteranno di passare all'area di lavoro Log Analytics. È necessario disabilitare e quindi riabilitare il componente aggiuntivo Informazioni dettagliate contenitore per ottenere i dati di monitoraggio per avviare nuovamente il flusso con le nuove chiavi dell'area di lavoro ruotate.  È consigliabile eseguire la migrazione all'autenticazione dell'identità gestita di Informazioni dettagliate contenitore che non usa le chiavi dell'area di lavoro Log Analytics.

Eseguire la migrazione all'autenticazione dell'identità gestita

Se sono state abilitate informazioni dettagliate sui contenitori prima della disponibilità dell'autenticazione dell'identità gestita, è possibile usare i metodi seguenti per eseguire la migrazione dei cluster.

Azure portal

È possibile eseguire la migrazione all'autenticazione dell'identità gestita dal pannello Monitoraggio delle impostazioni per il cluster del servizio Azure Kubernetes. Nella sezione Monitoraggio fare clic sulla scheda Informazioni dettagliate. Nella scheda Informazioni dettagliate fare clic sull'opzione Impostazioni monitoraggio e selezionare la casella Usa identità gestita

Se non viene visualizzata l'opzione Usa identità gestita, si usa un cluster SPN. In tal caso, è necessario usare gli strumenti da riga di comando per eseguire la migrazione. Vedere altre schede per istruzioni e modelli di migrazione.

Interfaccia della riga di comando di Azure

Servizio Azure Kubernetes

I cluster del servizio Azure Kubernetes devono prima disabilitare il monitoraggio e quindi eseguire l'aggiornamento all'identità gestita. Per questa migrazione sono attualmente supportati solo il cloud pubblico di Azure, Microsoft Azure gestito dal cloud 21Vianet e Azure per enti pubblici cloud. Per i cluster con identità assegnata dall'utente, è supportato solo il cloud pubblico di Azure.

Nota

Versione minima dell'interfaccia della riga di comando di Azure 2.49.0 o successiva.

1. Ottenere l'ID risorsa dell'area di lavoro Log Analytics configurato:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Disabilitare il monitoraggio con il comando seguente:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Se il cluster usa un'entità servizio, aggiornarlo all'identità gestita dal sistema con il comando seguente:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Abilitare il componente aggiuntivo di monitoraggio con l'opzione di autenticazione dell'identità gestita usando l'ID risorsa dell'area di lavoro Log Analytics ottenuto nel passaggio 1:

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Kubernetes con abilitazione di Arc

Nota

L'autenticazione dell'identità gestita non è supportata per i cluster Kubernetes abilitati per Arc con ARO.

1. Recuperare l'area di lavoro Log Analytics configurata per l'estensione Informazioni dettagliate contenitore.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Abilitare l'estensione Informazioni dettagliate contenitore con l'opzione di autenticazione dell'identità gestita usando l'area di lavoro restituita nel primo passaggio.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Sequenza temporale

Tutti i nuovi cluster creati o di cui è in corso l'onboarding ora sono predefinito l'autenticazione dell'identità gestita. Tuttavia, i cluster esistenti con l'autenticazione basata su soluzioni legacy sono ancora supportati.

Passaggi successivi

Se si verificano problemi durante l'aggiornamento dell'agente, vedere la guida alla risoluzione dei problemi per il supporto.