Starsze uwierzytelnianie dla usługi Container Insights

Usługa Container Insights domyślnie używa uwierzytelniania tożsamości zarządzanej, który ma agenta monitorowania, który używa tożsamości zarządzanej klastra do wysyłania danych do usługi Azure Monitor. Zastąpiono starsze uwierzytelnianie lokalne oparte na certyfikatach i usunięto wymaganie dodania roli Wydawca metryk monitorowania do klastra.

W tym artykule opisano sposób migracji do uwierzytelniania tożsamości zarządzanej, jeśli włączono usługę Container Insights przy użyciu starszej metody uwierzytelniania, a także sposób włączania starszego uwierzytelniania, jeśli jest to wymagane.

Ważne

Jeśli masz klaster ze starszym uwierzytelnianiem, a klucze obszaru roboczego usługi Log Analytics zostaną obrócone, dane monitorowania przestaną przepływać do obszaru roboczego usługi Log Analytics. Należy wyłączyć, a następnie ponownie włączyć dodatek Container Insights, aby uzyskać dane monitorowania, aby rozpocząć przepływ ponownie przy użyciu nowych obróconych kluczy obszaru roboczego.  Należy przeprowadzić migrację do uwierzytelniania tożsamości zarządzanej usługi Container Insights, które nie korzysta z kluczy obszaru roboczego usługi Log Analytics.

Migrowanie do uwierzytelniania tożsamości zarządzanej

Jeśli usługa Container Insights została włączona przed udostępnieniem uwierzytelniania tożsamości zarządzanej, możesz użyć następujących metod migracji klastrów.

Witryna Azure Portal

Uwierzytelnianie tożsamości zarządzanej można przeprowadzić z poziomu panelu Monitorowanie ustawień klastra usługi AKS. W sekcji Monitorowanie kliknij kartę Szczegółowe informacje. Na karcie Szczegółowe informacje kliknij opcję Monitorowanie ustawień i zaznacz pole wyboru Użyj tożsamości zarządzanej

Jeśli nie widzisz opcji Użyj tożsamości zarządzanej, używasz klastra SPN. W takim przypadku do migracji należy użyć narzędzi wiersza polecenia. Zobacz inne karty, aby uzyskać instrukcje i szablony migracji.

Interfejs wiersza polecenia platformy Azure

AKS

Klastry usługi AKS muszą najpierw wyłączyć monitorowanie, a następnie uaktualnić do tożsamości zarządzanej. Na potrzeby tej migracji jest obecnie obsługiwana tylko chmura publiczna platformy Azure, platforma Microsoft Azure obsługiwana przez chmurę 21Vianet i chmurę Azure Government. W przypadku klastrów z tożsamością przypisaną przez użytkownika obsługiwana jest tylko chmura publiczna platformy Azure.

Uwaga

Minimalna wersja interfejsu wiersza polecenia platformy Azure w wersji 2.49.0 lub nowszej.

1. Pobierz skonfigurowany identyfikator zasobu obszaru roboczego usługi Log Analytics:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Wyłącz monitorowanie za pomocą następującego polecenia:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Jeśli klaster używa jednostki usługi, uaktualnij go do tożsamości zarządzanej przez system za pomocą następującego polecenia:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Włącz dodatek monitorowania z opcją uwierzytelniania tożsamości zarządzanej przy użyciu identyfikatora zasobu obszaru roboczego usługi Log Analytics uzyskanego w kroku 1:

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Platforma Kubernetes z obsługą usługi Arc

Uwaga

Uwierzytelnianie tożsamości zarządzanej nie jest obsługiwane w przypadku klastrów Kubernetes z obsługą usługi Arc z usługą ARO.

1. Pobierz obszar roboczy usługi Log Analytics skonfigurowany dla rozszerzenia usługi Container Insights.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Włącz rozszerzenie container insights z opcją uwierzytelniania tożsamości zarządzanej przy użyciu obszaru roboczego zwróconego w pierwszym kroku.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Oś czasu

Wszystkie nowe klastry tworzone lub dołączane są teraz domyślnie do uwierzytelniania tożsamości zarządzanej. Jednak istniejące klastry ze starszym uwierzytelnianiem opartym na rozwiązaniach są nadal obsługiwane.

Następne kroki

Jeśli podczas uaktualniania agenta wystąpią problemy, zapoznaj się z przewodnikiem rozwiązywania problemów, aby uzyskać pomoc techniczną.