Abilitare il collegamento privato per il monitoraggio di Kubernetes in Monitoraggio di Azure

Collegamento privato di Azure consente di accedere alle risorse PaaS (Platform as a Service) di Azure nella rete virtuale usando endpoint privati. Un ambito collegamento privato di Monitoraggio di Azure (AMPLS) connette un endpoint privato a un set di risorse di Monitoraggio di Azure per definire i limiti della rete di monitoraggio. Questo articolo descrive come configurare Informazioni dettagliate sul contenitore e Prometheus gestito in modo da usare il collegamento privato per l'inserimento dati dal cluster del servizio Azure Kubernetes.

Nota

• Vedere Connettersi a un'origine dati privatamente per informazioni dettagliate su come configurare un collegamento privato per eseguire query sui dati dall'area di lavoro di Monitoraggio di Azure usando Grafana.
• Per informazioni dettagliate su come configurare un collegamento privato per eseguire query sui dati dell'area di lavoro di Monitoraggio di Azure tramite cartelle di lavoro, vedereUsare endpoint privati per Prometheus gestito e l'area di lavoro di Monitoraggio di Azure.

Prerequisiti

• Questo articolo descrive come connettere il cluster a un ambito di collegamento privato di Monitoraggio di Azure esistente. Creare un ambito di collegamento privato di Monitoraggio di Azure seguendo le indicazioni riportate in Configurare il collegamento privato.
• Interfaccia della riga di comando di Azure versione 2.61.0 o successiva.

Prometheus gestito (area di lavoro di Monitoraggio di Azure)

I dati per Prometheus gestito vengono archiviati in un'area di lavoro di Monitoraggio di Azure, quindi è necessario rendere accessibile questa area di lavoro tramite un collegamento privato.

Configurare gli endpoint di raccolta dati

I collegamenti privati per l'inserimento dati per Prometheus gestito vengono configurati negli endpoint di raccolta dati dell'area di lavoro di Monitoraggio di Azure che archivia i dati. Per identificare gli endpoint di raccolta dati associati all'area di lavoro di Monitoraggio di Azure, selezionare Endpoint di raccolta dati dall'area di lavoro di Monitoraggio di Azure nel portale di Azure.

Se il cluster del servizio Azure Kubernetes non si trova nella stessa area geografica dell'area di lavoro di Monitoraggio di Azure, è necessario creare un altro endpoint di raccolta dati nella stessa area del cluster del servizio Azure Kubernetes. In questo caso, aprire la regola di raccolta dati creata quando è stato abilitato Prometheus gestito. Questa regola di raccolta dati verrà denominata MSProm-<nomeCluster>-<areaCluster>. Il cluster verrà elencato nella pagina Risorse. Nell'elenco a discesa Endpoint di raccolta dati selezionare l'endpoint di raccolta dati nella stessa area del cluster del servizio Azure Kubernetes.

Inserimento da un cluster del servizio Azure Kubernetes privato

Per impostazione predefinita, un cluster del servizio Azure Kubernetes privato può inviare dati a Prometheus gestito e all'area di lavoro di Monitoraggio di Azure tramite la rete pubblica usando un endpoint di raccolta dati pubblico.

Se si sceglie di usare un'istanza di Firewall di Azure per limitare l'uscita dal cluster, è possibile implementare una delle opzioni seguenti:

• Aprire un percorso all'endpoint di inserimento pubblico. Aggiornare la tabella di routing con i due endpoint seguenti:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Consentire a Firewall di Azure di accedere all'ambito collegamento privato di Monitoraggio di Azure e all'endpoint di raccolta dati usato per l'inserimento dati.

Inserimento di collegamenti privati per la scrittura remota

Seguire questa procedura per configurare la scrittura remota per un cluster Kubernetes tramite una rete virtuale di collegamento privato e un ambito collegamento privato di Monitoraggio di Azure.

1. Creare la rete virtuale di Azure.
2. Configurare il cluster locale per la connessione a una rete virtuale di Azure tramite un gateway VPN o ExpressRoutes con peering privato.
3. Creare un ambito collegamento privato di Monitoraggio di Azure.
4. Connettere l'ambito collegamento privato di Monitoraggio di Azure a un endpoint privato nella rete virtuale usata dal cluster locale. Questo endpoint privato viene usato per accedere agli endpoint di raccolta dati.
5. Nell'area di lavoro di Monitoraggio di Azure nel portale selezionare Endpoint di raccolta dati dal menu dell'area di lavoro di Monitoraggio di Azure.
6. Si avrà almeno un endpoint di raccolta dati con lo stesso nome dell'area di lavoro. Fare clic sull'endpoint di raccolta dati per aprire i relativi dettagli.
7. Selezionare la pagina Isolamento rete per l'endpoint di raccolta dati.
8. Fare clic su Aggiungi e selezionare l'ambito collegamento privato di Monitoraggio di Azure. La propagazione delle impostazioni richiede alcuni minuti. Al termine, i dati del cluster del servizio Azure Kubernetes privato vengono inseriti nell'area di lavoro di Monitoraggio di Azure tramite il collegamento privato.

Informazioni dettagliate sul contenitore (area di lavoro Log Analytics)

I dati per Informazioni dettagliate sul contenitore vengono archiviati in un'area di lavoro Log Analytics, quindi è necessario rendere questa area di lavoro accessibile tramite un collegamento privato.

Nota

Questa sezione descrive come abilitare il collegamento privato per Informazioni dettagliate sul contenitore tramite l'interfaccia della riga di comando. Per informazioni dettagliate sull'uso di un modello di Resource Manager, vedere Abilitare le Informazioni dettagliate sul contenitore e prendere nota dei parametri useAzureMonitorPrivateLinkScope e azureMonitorPrivateLinkScopeResourceId.

Cluster con autenticazione dell'identità gestita

Cluster del servizio Azure Kubernetes esistente con l'area di lavoro Log Analytics predefinita

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Esempio:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster del servizio Azure Kubernetes esistente con l'area di lavoro Log Analytics esistente

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Esempio:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nuovo cluster del servizio Azure Kubernetes

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Esempio:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster che utilizza l'autenticazione legacy

Usare le procedure seguenti per abilitare l'isolamento di rete connettendo il cluster all'area di lavoro Log Analytics usando il collegamento privato di Azure se il cluster non usa l'autenticazione dell'identità gestita. Ciò richiede un cluster del servizio Azure Kubernetes privato.

1. Creare un cluster del servizio Azure Kubernetes privato seguendo le indicazioni riportate in Creare un cluster del servizio Azure Kubernetes privato.

2. Disabilitare l'inserimento pubblico nell'area di lavoro Log Analytics.

   Usare il comando seguente per disabilitare l'inserimento pubblico in un'area di lavoro esistente.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Usare il comando seguente per creare una nuova area di lavoro con inserimento pubblico disabilitato.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. Configurare il collegamento privato seguendo le istruzioni riportate in Configurare il collegamento privato. Impostare l'accesso di inserimento su pubblico, quindi impostarlo su privato dopo la creazione dell'endpoint privato, ma prima dell'abilitazione del monitoraggio. L'area della risorsa del collegamento privato deve corrispondere all’area del cluster del servizio Azure Kubernetes.

4. Abilitare il monitoraggio per il cluster del servizio Azure Kubernetes.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Passaggi successivi

• Se si verificano problemi durante il tentativo di onboarding della soluzione, esaminare la Guida per la risoluzione dei problemi.
• Una volta abilitato il monitoraggio per rilevare l'integrità e l'utilizzo delle risorse del cluster e dei carichi di lavoro del servizio Azure Kubernetes in esecuzione, è possibile trovare informazioni su come usare Dati analitici sui contenitori.