O Container Insights assume como padrão a autenticação de identidade gerenciada, que tem um agente de monitoramento que usa a identidade gerenciada do cluster para enviar dados para o Azure Monitor. Ele substituiu a autenticação local baseada em certificado herdada e removeu o requisito de adicionar uma função de Editor de Métricas de Monitoramento ao cluster.
Este artigo descreve como migrar para a autenticação de identidade gerenciada se você habilitou o Container insights usando o método de autenticação herdado e também como habilitar a autenticação herdada se você tiver esse requisito.
Migrar para autenticação de identidade gerenciada
Se você habilitou o Container insights antes da autenticação de identidade gerenciada estar disponível, poderá usar os seguintes métodos para migrar seus clusters.
Pode migrar para a autenticação de Identidade Gerida a partir do painel de definições do Monitor para o seu cluster AKS. Na seção Monitoramento, clique na guia Insights. Na guia Insights, clique na opção Configurações do Monitor e marque a caixa Usar identidade gerenciada
Se não vir a opção Utilizar identidade gerida, está a utilizar um cluster SPN. Nesse caso, você deve usar ferramentas de linha de comando para migrar. Consulte outras guias para obter instruções e modelos de migração.
AKS
Os clusters AKS devem primeiro desativar o monitoramento e, em seguida, atualizar para a identidade gerenciada. Apenas a nuvem pública do Azure, o Microsoft Azure operado pela nuvem 21Vianet e a nuvem do Azure Government são atualmente suportados para esta migração. Para clusters com identidade atribuída pelo usuário, apenas a nuvem pública do Azure é suportada.
Nota
CLI mínima do Azure versão 2.49.0 ou superior.
Obtenha o ID de recurso do espaço de trabalho do Log Analytics configurado:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
Desative o monitoramento com o seguinte comando:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
Se o cluster estiver usando uma entidade de serviço, atualize-o para a identidade gerenciada do sistema com o seguinte comando:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
Habilite o complemento de monitoramento com a opção de autenticação de identidade gerenciada usando o ID do recurso do espaço de trabalho do Log Analytics obtido na etapa 1:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Kubernetes habilitado para arco
Nota
A autenticação de identidade gerenciada não é suportada para clusters Kubernetes habilitados para Arc com ARO.
Recupere o espaço de trabalho do Log Analytics configurado para a extensão Container insights.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
Habilite a extensão Insights de contêiner com a opção de autenticação de identidade gerenciada usando o espaço de trabalho retornado na primeira etapa.
Todos os novos clusters que estão sendo criados ou integrados agora usam como padrão a autenticação de Identidade Gerenciada. No entanto, os clusters existentes com autenticação baseada em solução herdada ainda são suportados.
Próximos passos
Se você tiver problemas ao atualizar o agente, consulte o guia de solução de problemas para obter suporte.
