Autenticação herdada para Container Insights

O Container Insights assume como padrão a autenticação de identidade gerenciada, que tem um agente de monitoramento que usa a identidade gerenciada do cluster para enviar dados para o Azure Monitor. Ele substituiu a autenticação local baseada em certificado herdada e removeu o requisito de adicionar uma função de Editor de Métricas de Monitoramento ao cluster.

Este artigo descreve como migrar para a autenticação de identidade gerenciada se você habilitou o Container insights usando o método de autenticação herdado e também como habilitar a autenticação herdada se você tiver esse requisito.

Importante

Se você tiver um cluster com autenticação herdada e as chaves do espaço de trabalho do Log Analytics forem giradas, os dados de monitoramento deixarão de fluir para o espaço de trabalho do Log Analytics. Você deve desativar e, em seguida, reativar o complemento Container Insights para que os dados de monitorização voltem a fluir corretamente com as novas chaves rotacionadas do espaço de trabalho.  Você deve migrar para a autenticação de identidade gerenciada do Container insights, que não usa chaves de espaço de trabalho do Log Analytics.

Migrar para autenticação de identidade gerenciada

Se você habilitou o Container insights antes da autenticação de identidade gerenciada estar disponível, poderá usar os seguintes métodos para migrar seus clusters.

Portal do Azure

Pode migrar para a autenticação de Identidade Gerida no painel Definições do Monitor para o seu cluster AKS. Na seção Monitoramento, clique na guia Insights. Na guia Insights, clique na opção Configurações do Monitor e marque a caixa Usar identidade gerenciada

Se não vir a opção Utilizar identidade gerida, está a utilizar um cluster SPN. Nesse caso, você deve usar ferramentas de linha de comando para migrar. Consulte outras guias para obter instruções e modelos de migração.

CLI do Azure

Azure Kubernetes Service (AKS)

Os clusters AKS devem primeiro desativar o monitoramento e, em seguida, atualizar para a identidade gerenciada. Apenas a nuvem pública do Azure, o Microsoft Azure operado pela nuvem 21Vianet e a nuvem do Azure Government são atualmente suportados para esta migração. Para clusters com identidade atribuída pelo usuário, apenas a nuvem pública do Azure é suportada.

Nota

Versão mínima do CLI do Azure 2.49.0 ou superior.

1. Obtenha o ID de recurso do espaço de trabalho do Log Analytics configurado:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Desative o monitoramento com o seguinte comando:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Se o cluster estiver usando uma entidade de serviço, atualize-o para a identidade gerenciada do sistema com o seguinte comando:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Habilite o complemento de monitoramento com a opção de autenticação de identidade gerenciada usando o ID do recurso do espaço de trabalho do Log Analytics obtido na etapa 1:

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Kubernetes com suporte de Arc

Nota

A autenticação de identidade gerida não é suportada para clusters Kubernetes com suporte a Arc com ARO.

1. Recupere o espaço de trabalho do Log Analytics configurado para a extensão Container insights.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Habilite a extensão de insights do contêiner com a opção de autenticação de identidade gerida usando o espaço de trabalho retornado no primeiro passo.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Habilitar autenticação herdada

Se precisar de autenticação herdada, consulte Ativar insights de contentor, que apresenta exemplos de diferentes opções para ativar insights de contentor.

Próximos passos

Se você tiver problemas ao atualizar o agente, consulte o guia de solução de problemas para obter suporte.