Starsze uwierzytelnianie dla usługi Container Szczegółowe informacje
Artykuł
Kontener Szczegółowe informacje domyślne uwierzytelnianie tożsamości zarządzanej, który ma agenta monitorowania, który używa tożsamości zarządzanej klastra do wysyłania danych do usługi Azure Monitor. Zastąpiono starsze uwierzytelnianie lokalne oparte na certyfikatach i usunięto wymaganie dodania roli Wydawca metryk monitorowania do klastra.
W tym artykule opisano sposób migracji do uwierzytelniania tożsamości zarządzanej, jeśli włączono usługę Container Insights przy użyciu starszej metody uwierzytelniania, a także sposób włączania starszego uwierzytelniania, jeśli jest to wymagane.
Migrowanie do uwierzytelniania tożsamości zarządzanej
Jeśli usługa Container Insights została włączona przed udostępnieniem uwierzytelniania tożsamości zarządzanej, możesz użyć następujących metod migracji klastrów.
Uwierzytelnianie tożsamości zarządzanej można przeprowadzić z poziomu panelu Monitorowanie ustawień klastra usługi AKS. W sekcji Monitorowanie kliknij kartę Szczegółowe informacje. Na karcie Szczegółowe informacje kliknij opcję Monitorowanie Ustawienia i zaznacz pole wyboru Użyj tożsamości zarządzanej
Jeśli nie widzisz opcji Użyj tożsamości zarządzanej, używasz klastra SPN. W takim przypadku do migracji należy użyć narzędzi wiersza polecenia. Zobacz inne karty, aby uzyskać instrukcje i szablony migracji.
AKS
Klastry usługi AKS muszą najpierw wyłączyć monitorowanie, a następnie uaktualnić do tożsamości zarządzanej. Na potrzeby tej migracji jest obecnie obsługiwana tylko chmura publiczna platformy Azure, platforma Microsoft Azure obsługiwana przez chmurę 21Vianet i chmurę Azure Government. W przypadku klastrów z tożsamością przypisaną przez użytkownika obsługiwana jest tylko chmura publiczna platformy Azure.
Uwaga
Minimalna wersja interfejsu wiersza polecenia platformy Azure w wersji 2.49.0 lub nowszej.
Pobierz skonfigurowany identyfikator zasobu obszaru roboczego usługi Log Analytics:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
Wyłącz monitorowanie za pomocą następującego polecenia:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
Jeśli klaster używa jednostki usługi, uaktualnij go do tożsamości zarządzanej przez system za pomocą następującego polecenia:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
Włącz dodatek monitorowania z opcją uwierzytelniania tożsamości zarządzanej przy użyciu identyfikatora zasobu obszaru roboczego usługi Log Analytics uzyskanego w kroku 1:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Platforma Kubernetes z obsługą usługi Arc
Uwaga
Uwierzytelnianie tożsamości zarządzanej nie jest obsługiwane w przypadku klastrów Kubernetes z obsługą usługi Arc z usługą ARO.
Pobierz obszar roboczy usługi Log Analytics skonfigurowany dla rozszerzenia usługi Container Insights.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
Włącz rozszerzenie container insights z opcją uwierzytelniania tożsamości zarządzanej przy użyciu obszaru roboczego zwróconego w pierwszym kroku.
Wszystkie nowe klastry tworzone lub dołączane są teraz domyślnie do uwierzytelniania tożsamości zarządzanej. Jednak istniejące klastry ze starszym uwierzytelnianiem opartym na rozwiązaniach są nadal obsługiwane.
Następne kroki
Jeśli podczas uaktualniania agenta wystąpią problemy, zapoznaj się z przewodnikiem rozwiązywania problemów, aby uzyskać pomoc techniczną.