Autenticação herdada para Container Insights

O Container Insights assume como padrão a autenticação de identidade gerenciada, que tem um agente de monitoramento que usa a identidade gerenciada do cluster para enviar dados para o Azure Monitor. Ele substituiu a autenticação local baseada em certificado herdada e removeu o requisito de adicionar uma função de Editor de Métricas de Monitoramento ao cluster.

Este artigo descreve como migrar para a autenticação de identidade gerenciada se você habilitou o Container insights usando o método de autenticação herdado e também como habilitar a autenticação herdada se você tiver esse requisito.

Importante

Se você tiver um cluster com autenticação herdada e as chaves do espaço de trabalho do Log Analytics forem giradas, os dados de monitoramento deixarão de fluir para o espaço de trabalho do Log Analytics. Você deve desabilitar e reativar o complemento Container insights para obter dados de monitoramento para começar a fluir novamente com as novas chaves de espaço de trabalho giradas.  Você deve migrar para a autenticação de identidade gerenciada do Container insights, que não usa chaves de espaço de trabalho do Log Analytics.

Migrar para autenticação de identidade gerenciada

Se você habilitou o Container insights antes da autenticação de identidade gerenciada estar disponível, poderá usar os seguintes métodos para migrar seus clusters.

Portal do Azure

Pode migrar para a autenticação de Identidade Gerida a partir do painel de definições do Monitor para o seu cluster AKS. Na seção Monitoramento, clique na guia Insights. Na guia Insights, clique na opção Configurações do Monitor e marque a caixa Usar identidade gerenciada

Se não vir a opção Utilizar identidade gerida, está a utilizar um cluster SPN. Nesse caso, você deve usar ferramentas de linha de comando para migrar. Consulte outras guias para obter instruções e modelos de migração.

CLI do Azure

AKS

Os clusters AKS devem primeiro desativar o monitoramento e, em seguida, atualizar para a identidade gerenciada. Apenas a nuvem pública do Azure, o Microsoft Azure operado pela nuvem 21Vianet e a nuvem do Azure Government são atualmente suportados para esta migração. Para clusters com identidade atribuída pelo usuário, apenas a nuvem pública do Azure é suportada.

Nota

CLI mínima do Azure versão 2.49.0 ou superior.

1. Obtenha o ID de recurso do espaço de trabalho do Log Analytics configurado:

   az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
   

2. Desative o monitoramento com o seguinte comando:

   az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
   

3. Se o cluster estiver usando uma entidade de serviço, atualize-o para a identidade gerenciada do sistema com o seguinte comando:

   az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
   

4. Habilite o complemento de monitoramento com a opção de autenticação de identidade gerenciada usando o ID do recurso do espaço de trabalho do Log Analytics obtido na etapa 1:

   az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
   

Kubernetes habilitado para arco

Nota

A autenticação de identidade gerenciada não é suportada para clusters Kubernetes habilitados para Arc com ARO.

1. Recupere o espaço de trabalho do Log Analytics configurado para a extensão Container insights.

   az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers 
   

2. Habilite a extensão Insights de contêiner com a opção de autenticação de identidade gerenciada usando o espaço de trabalho retornado na primeira etapa.

   az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\> 
   

Linha Cronológica

Todos os novos clusters que estão sendo criados ou integrados agora usam como padrão a autenticação de Identidade Gerenciada. No entanto, os clusters existentes com autenticação baseada em solução herdada ainda são suportados.

Próximos passos

Se você tiver problemas ao atualizar o agente, consulte o guia de solução de problemas para obter suporte.