Устаревшая проверка подлинности для Аналитики контейнеров

Служба Container Insights по умолчанию использует проверку подлинности управляемого удостоверения, которая использует управляемое удостоверение кластера для отправки данных в Azure Monitor. Он заменил устаревшую локальную проверку подлинности на основе сертификатов и удалил требование добавления роли издателя метрик мониторинга в кластер.

В этой статье описывается, как выполнить миграцию на проверку подлинности управляемого удостоверения, если вы включили аналитику контейнеров с помощью устаревшего метода проверки подлинности, а также как включить устаревшую проверку подлинности при наличии этого требования.

Внимание

Если у вас есть кластер с устаревшей проверкой подлинности и ключами рабочей области Log Analytics, мониторинг данных перестанет передаваться в рабочую область Log Analytics. Необходимо отключить и повторно добавить надстройку аналитики контейнеров, чтобы получить данные мониторинга, чтобы начать поток снова с новыми поворачиваемыми ключами рабочей области.  Необходимо перейти на проверку подлинности управляемого удостоверения Аналитики контейнеров, которая не использует ключи рабочей области Log Analytics.

Переход на проверку подлинности управляемого удостоверения

Если вы включили аналитику контейнеров до доступности проверки подлинности управляемого удостоверения, можно использовать следующие методы для переноса кластеров.

Портал Azure

Вы можете перейти на проверку подлинности управляемого удостоверения на панели параметров монитора для кластера AKS. В разделе "Мониторинг" щелкните вкладку "Аналитика". На вкладке "Аналитика" щелкните параметр "Параметры монитора" и установите флажок "Использовать управляемое удостоверение"

Если вы не видите параметр "Использовать управляемое удостоверение ", вы используете кластер субъекта-службы. В этом случае для миграции необходимо использовать средства командной строки. Другие вкладки для инструкций и шаблонов миграции.

Azure CLI

AKS

Кластеры AKS должны сначала отключить мониторинг, а затем обновить его до управляемого удостоверения. В настоящее время для этой миграции поддерживается только общедоступное облако Azure, Microsoft Azure, управляемый облаком 21Vianet и Azure для государственных организаций облаком. Для кластеров с удостоверением, назначаемого пользователем, поддерживается только общедоступное облако Azure.

Примечание.

Минимальная версия Azure CLI 2.49.0 или более поздняя.

1. Получите настроенный идентификатор ресурса рабочей области Log Analytics:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Отключите мониторинг, выполнив следующую команду:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Если кластер использует субъект-службу, обновите его до системного управляемого удостоверения с помощью следующей команды:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Включите надстройку мониторинга с параметром проверки подлинности управляемого удостоверения с помощью идентификатора ресурса рабочей области Log Analytics, полученного на шаге 1.

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Kubernetes с поддержкой Arc

Примечание.

Проверка подлинности управляемого удостоверения не поддерживается для кластеров Kubernetes с поддержкой Arc с помощью ARO.

1. Получите рабочую область Log Analytics, настроенную для расширения Аналитики контейнеров.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Включите расширение Аналитики контейнеров с параметром проверки подлинности управляемого удостоверения, используя рабочую область, возвращенную на первом шаге.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Временная шкала

Все новые кластеры, созданные или подключенные, теперь по умолчанию будут выполнять проверку подлинности управляемого удостоверения. Однако существующие кластеры с устаревшей проверкой подлинности на основе решений по-прежнему поддерживаются.

Следующие шаги

Если при обновлении агента возникают проблемы, ознакомьтесь с руководством по устранению неполадок для поддержки.