Os Insights do Contêiner usam como padrão a autenticação de identidade gerenciada, que tem um agente de monitoramento que usa a identidade gerenciada do cluster para enviar dados ao Azure Monitor. Ele substituiu a autenticação local baseada em certificado herdado e removeu o requisito de adicionar uma função de Editor de Métricas de Monitoramento ao cluster.
Este artigo descreve como migrar para a autenticação de identidade gerenciada se você habilitou os Insights de Contêiner usando o método de autenticação herdado e também como habilitar a autenticação herdada se você tiver esse requisito.
Migrar para a autenticação de identidade gerenciada
Se você habilitou os Insights de Contêiner antes da autenticação de identidade gerenciada estar disponível, poderá usar os métodos a seguir para migrar seus clusters.
Você pode migrar para a Autenticação de Identidade gerenciada no painel Configurações do Monitor do cluster do AKS. Na seção Monitoramento, clique na guia Insights. Na guia Insights, clique na opção Monitorar Configurações e marque a caixa para Usar identidade gerenciada
Se você não vir a opção Usar identidade gerenciada, você está usando clusters SPN. Nesse caso, você deve usar ferramentas de linha de comando para migrar. Consulte outras guias para obter instruções e modelos de migração.
AKS
Os clusters do AKS precisam primeiro desabilitar o monitoramento e, em seguida, fazer a atualização para a identidade gerenciada. No momento, somente a nuvem pública do Azure, o Microsoft Azure operado pela nuvem da 21Vianet e a nuvem do Azure Governamental são compatíveis com essa migração. Para clusters com identidade atribuída pelo usuário, há suporte apenas para a nuvem pública do Azure.
Observação
Versão mínima da CLI do Azure 2.49.0 ou superior.
Obtenha a ID de recurso do workspace do Log Analytics configurada:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
Desabilite o monitoramento com o seguinte comando:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
Se o cluster estiver usando uma entidade de serviço, atualize-a para a identidade gerenciada do sistema com o seguinte comando:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
Habilite o complemento de monitoramento com a opção de autenticação de identidade gerenciada usando a ID do recurso do workspace do Log Analytics obtida na etapa 1:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Kubernetes habilitado para Arc
Observação
Não há suporte para autenticação de identidade gerenciada para clusters Kubernetes habilitados para Arc com ARO.
Recupere o workspace do Log Analytics configurado para a extensão dos Insights do Contêiner.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
Habilite a extensão de insights de Contêiner com a opção de autenticação de identidade gerenciada, usando o workspace retornado na primeira etapa.
Todos os novos clusters que estão sendo criados ou integrados agora são padrão para autenticação de Identidade Gerenciada. No entanto, ainda há suporte para clusters existentes com autenticação baseada em solução herdada.
