コンテナーの分析情報のレガシ認証

コンテナーの分析情報の既定値は、クラスターのマネージド ID を使用して Azure Monitor にデータを送信する監視エージェントがあるマネージド ID認証です。 レガシ証明書ベースのローカル認証が置き換えられ、クラスターに Monitoring Metrics Publisher ロールを追加する必要がなくなります。

この記事では、レガシ認証方法を使用してコンテナーの分析情報を有効にした場合にマネージド ID 認証に移行する方法と、その要件がある場合にレガシ認証を有効にする方法について説明します。

マネージド ID 認証に移行する

マネージド ID 認証が使用可能になる前にコンテナーの分析情報を有効にした場合は、次の方法を使用してクラスターを移行できます。

Azure Portal

マネージド ID 認証には、AKS クラスターの [モニター設定] パネルから移行できます。 [監視] セクションで、[分析情報] タブをクリックします。[分析情報] タブで、[モニター設定] オプションをクリックし、[マネージド ID の使用] チェック ボックスをオンにします。

[Use managed identity] (マネージド ID を使用する) オプションが表示されない場合は、SPN クラスターを使用しています。 その場合は、コマンド ライン ツールを使用して移行する必要があります。 移行手順とテンプレートについては、他のタブをご覧ください。

Azure CLI

AKS

AKS クラスターでは、最初にモニタリングを無効にしてから、マネージド ID にアップグレードする必要があります。 現在、この移行では、Azure パブリック クラウド、21Vianet が運営する Microsoft Azure クラウド、Azure Government クラウドのみがサポートされています。 ユーザー割り当て ID を持つクラスターでは、Azure パブリック クラウドのみがサポートされます。

Note

Azure CLI の最小バージョンは 2.49.0 以上です。

1. 構成された Log Analytics ワークスペースのリソース ID を取得します。

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. 次のコマンドを使用してモニタリングを無効にします。

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. クラスターでサービス プリンシパルを使用している場合は、次のコマンドを使用してシステム マネージド ID にアップグレードします。

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. ステップ 1 で取得した Log Analytics ワークスペース リソース ID を使用して、マネージド ID 認証オプションからモニタリング アドオンを有効にします。

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Arc 対応 Kubernetes

Note

マネージド ID 認証は、 ARO を使用した Arc 対応 Kubernetes クラスターではサポートされていません。

1. コンテナーの分析情報の拡張機能用に構成された Log Analytics ワークスペースを取得します。

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. 最初の手順で返されたワークスペースを使用して、[マネージド ID の認証] オプションで Container insights の拡張機能を有効にします。

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

タイムライン

作成中またはオンボード中の新しいクラスターはすべて、既定でマネージド ID 認証に設定されるようになりました。 ただし、従来のソリューション ベースの認証を使用する既存のクラスターは引き続きサポートされています。

次の手順

エージェントのアップグレード中に問題が発生した場合は、トラブルシューティング ガイドを参照してください。