Ativar monitorização para Azure Kubernetes Service (AKS) clusters

Como descrito em Kubernetes em Azure Monitor, várias funcionalidades do Azure Monitor colaboram para proporcionar uma monitorização completa dos seus clusters do Azure Kubernetes Service (AKS). Este artigo descreve como habilitar os seguintes recursos para clusters AKS:

• Métricas Prometheus
• Grafana Gerido
• Registro de contêineres
• Registos do plano de controlo

Pré-requisitos

• Precisas pelo menos de acesso de Contribuidor ao cluster para a integração.
• Para ligar um Azure Monitor Workspace a um espaço de trabalho Managed Grafana existente como parte do processo de integração, precisa de acesso de Proprietário ou pelo menos das funções de Contribuidor e Administrador de Acesso de Utilizador.
• Precisas de funções de Leitor de Monitorização ou Contribuidor de Monitorização para ver os dados depois de a monitorização estar ativada.

Importante

Se os seus clusters se conectarem ao espaço de trabalho do Azure Monitor ou ao Log Analytics usando a ligação privada do Azure, veja Ative a ligação privada para monitorizar máquinas virtuais e clusters Kubernetes no Azure Monitor.

Criar áreas de trabalho

A tabela seguinte descreve os espaços de trabalho necessários para suportar as funcionalidades do Azure Monitor ativadas neste artigo. Se você ainda não tiver um espaço de trabalho existente de cada tipo, poderá criá-los como parte do processo de integração. Consulte Desenhar uma arquitetura de espaço de trabalho do Log Analytics para orientações sobre quantos espaços de trabalho criar e onde devem ser colocados.

Caraterística	Área de trabalho	Notas
Serviço Gerido de Prometheus	Espaço de trabalho do Azure Monitor	Se não especificar um espaço de trabalho Azure Monitor existente durante o onboarding, é usado o espaço de trabalho predefinido para o grupo de recursos. Se ainda não existir um espaço de trabalho predefinido na região do cluster, um com um nome no formato DefaultAzureMonitorWorkspace-<mapped_region> é criado num grupo de recursos com o nome DefaultRG-<cluster_region>. Contributor permissão é suficiente para permitir que o addon envie dados para o espaço de trabalho Azure Monitor. Precisarás de permissão ao nível Owner para ligar o teu Azure Monitor Workspace a fim de ver métricas no Azure Managed Grafana. Isto é necessário porque o utilizador que executa a etapa de integração precisa de ser capaz de atribuir a função de Identidade do Sistema Azure Managed Grafana Monitoring Reader no Azure Monitor Workspace para consultar as métricas.
Registro de contêineres Registos do plano de controlo Informações sobre contêineres	Log Analytics Ambiente de Trabalho	Pode anexar um cluster a um espaço de trabalho do Log Analytics numa subscrição diferente do Azure no mesmo tenant do Microsoft Entra, mas deve usar o CLI do Azure ou um modelo do Azure Resource Manager. Atualmente, não consegues fazer esta configuração com o portal do Azure. Se estiver a ligar um cluster existente a um espaço de trabalho Log Analytics noutra subscrição, o fornecedor de recursos Microsoft.ContainerService deve estar registado na subscrição com o espaço de trabalho Log Analytics. Para obter mais informações, consulte Registar fornecedor de recursos. Se não especificar um espaço de trabalho Log Analytics existente, é usado o espaço de trabalho padrão para o grupo de recursos. Se ainda não existir um workspace predefinido na região do cluster, é criado um com um nome no formato DefaultWorkspace-<GUID>-<Region>. Para obter uma lista dos pares de mapeamento suportados a serem usados para o espaço de trabalho padrão, consulte Mapeamentos de região suportados pelo Container insights. Consulte Configure Azure Monitor com o Perímetro de Segurança de Rede para orientações sobre como configurar o espaço de trabalho com perímetro de segurança de rede.
Grafana Gerido	Espaço de trabalho do Azure Managed Grafana	Liga o teu espaço de trabalho Grafana ao teu espaço de trabalho Azure Monitor para disponibilizar os indicadores Prometheus recolhidos do teu cluster nos dashboards Grafana.

Métricas Prometheus e informações sobre contentores

Nota

Utilizar o Application Insights para monitorizar as aplicações que estão a correr no seu cluster AKS, utilizando o Protocolo OpenTelemetry (OTLP) para instrumentação e recolha de dados, está agora em visualização pública. Veja Monitorizar aplicações AKS com OpenTelemetry Protocol (OTLP) em Versão Preliminar Limitada.

Quando ativas o Prometheus e o Container Insights num cluster, instala-se uma versão containerizada do agente Azure Monitor no cluster. Você pode configurar esses recursos ao mesmo tempo em um cluster novo ou existente ou habilitar cada recurso separadamente.

Habilite o Managed Grafana para seu cluster ao mesmo tempo em que habilita a raspagem das métricas do Prometheus. Consulte Ligar um espaço de trabalho Grafana para opções para conectar o seu espaço de trabalho Azure Monitor e o espaço de trabalho Azure Managed Grafana.

Pré-requisitos

CLI do Azure

• O cluster tem de utilizar a autenticação de identidade gerida.
• Os seguintes fornecedores de recursos devem estar registados na subscrição do cluster e no espaço de trabalho do Azure Monitor:
  • Microsoft. ContainerService
  • Microsoft.Insights
  • Microsoft. AlertsManagement
  • Microsoft.Monitor
• Os seguintes provedores de recursos devem estar registrados na assinatura do espaço de trabalho Grafana:
  • Microsoft.Dashboard
• A autenticação de identidade gerenciada é padrão na CLI versão 2.49.0 ou superior.
• A aks-preview extensão deve ser desinstalada dos clusters AKS usando o comando az extension remove --name aks-preview.

Bicep/ARM

• O cluster tem de utilizar a autenticação de identidade gerida.
• Os seguintes fornecedores de recursos devem estar registados na subscrição do cluster e no espaço de trabalho do Azure Monitor:
  • Microsoft. ContainerService
  • Microsoft.Insights
  • Microsoft. AlertsManagement
  • Microsoft.Monitor
• Os seguintes provedores de recursos devem estar registrados na assinatura do espaço de trabalho Grafana:
  • Microsoft.Dashboard
• O espaço de trabalho Azure Monitor e a instância Azure Managed Grafana já devem estar criados.
• O template deve ser implementado no mesmo grupo de recursos da instância Azure Managed Grafana.
• Se a instância do Azure Managed Grafana estiver numa subscrição diferente da subscrição do workspace do Azure Monitor, registe a subscrição do workspace do Azure Monitor com o fornecedor de recursos Microsoft.Dashboard seguindo as orientações em Register resource provider.
• Os utilizadores com a User Access Administrator função na subscrição do cluster AKS podem habilitar a Monitoring Reader função diretamente ao implantar o modelo.

Nota

Atualmente, no Bicep, não há como delimitar explicitamente a atribuição de funções num parâmetro de string "resource ID" para um espaço de trabalho do Azure Monitor tal como num modelo ARM. Bicep espera um valor do tipo resource | tenant. Também não existe API REST spec para um espaço de trabalho Azure Monitor.

Portanto, o escopo padrão para a Monitoring Reader função está no grupo de recursos. A função é aplicada no mesmo espaço de trabalho do Azure Monitor por herança, que é o comportamento esperado. Depois de implementares este modelo de Bicep, a instância do Grafana recebe permissões Monitoring Reader para todos os espaços de trabalho Azure Monitor desse grupo de recursos.

Terraforma

• O cluster tem de utilizar a autenticação de identidade gerida.
• Os seguintes fornecedores de recursos devem estar registados na subscrição do cluster e no espaço de trabalho do Azure Monitor:
  • Microsoft. ContainerService
  • Microsoft.Insights
  • Microsoft. AlertsManagement
  • Microsoft.Monitor
• Os seguintes provedores de recursos devem estar registrados na assinatura do espaço de trabalho Grafana:
  • Microsoft.Dashboard
• O espaço de trabalho Azure Monitor e o Azure Managed Grafana já devem ter sido criados.
• O template precisa de ser implementado no mesmo grupo de recursos do workspace Azure Managed Grafana.
• Os usuários com a função de Administrador de Acesso de Usuário na assinatura do cluster AKS podem habilitar a função Leitor de Monitoramento diretamente implantando o modelo.
• Se a instância Azure Managed Grafana estiver numa subscrição diferente da subscrição Azure Monitor Workspaces, registe a subscrição Azure Monitor Workspaces junto do fornecedor de recursos seguindo esta documentação .

Portal do Azure

• O cluster tem de utilizar a autenticação de identidade gerida.
• Os seguintes fornecedores de recursos devem estar registados na subscrição do cluster e no espaço de trabalho do Azure Monitor:
  • Microsoft. ContainerService
  • Microsoft.Insights
  • Microsoft. AlertsManagement
  • Microsoft.Monitor
• Os seguintes provedores de recursos devem estar registrados na assinatura do espaço de trabalho Grafana:
  • Microsoft.Dashboard

Azure Policy

• O cluster tem de utilizar a autenticação de identidade gerida.
• Os seguintes fornecedores de recursos devem estar registados na subscrição do cluster e no espaço de trabalho do Azure Monitor:
  • Microsoft. ContainerService
  • Microsoft.Insights
  • Microsoft. AlertsManagement
  • Microsoft.Monitor
• Os seguintes provedores de recursos devem estar registrados na assinatura do espaço de trabalho Grafana:
  • Microsoft.Dashboard

Ativar métricas Prometheus para um cluster AKS

CLI do Azure

Ative as métricas Prometheus num cluster AKS usando a --enable-azure-monitor-metrics opção com o az aks create comando para um novo cluster ou o az aks update comando para um cluster existente. Esta opção utiliza a configuração descrita na configuração padrão de métricas Prometheus no Azure Monitor. Para modificar esta configuração, veja Personalizar a raspagem de métricas do Prometheus no serviço gerido para Prometheus do Azure Monitor.

Comandos de exemplo:

### Use default Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group>

### Use existing Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <azure-monitor-workspace-name-resource-id> --grafana-resource-id  <grafana-workspace-name-resource-id>

### Use optional parameters
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --ksm-metric-labels-allow-list "namespaces=[k8s-label-1,k8s-label-n]" --ksm-metric-annotations-allow-list "pods=[k8s-annotation-1,k8s-annotation-n]"

Parâmetros opcionais

Os comandos de exemplo permitem os seguintes parâmetros opcionais. O nome do parâmetro é diferente para cada um, mas seu uso é o mesmo.

Parâmetro	Nome e descrição
Teclas de anotação	--ksm-metric-annotations-allow-list Lista de chaves de anotações do Kubernetes, separadas por vírgulas, usadas na métrica do kube_resource_annotations recurso. Por exemplo, kube_pod_annotations é a métrica de anotações para o recurso pods. Por padrão, essa métrica contém apenas rótulos de nome e namespace. Para incluir mais anotações, forneça uma lista de nomes de recursos em sua forma plural e chaves de anotação do Kubernetes que você deseja permitir para eles. Pode ser fornecido um único * para cada recurso, permitindo quaisquer anotações, mas isso tem sérias implicações de desempenho. Por exemplo, pods=[kubernetes.io/team,...],namespaces=[kubernetes.io/team],....
Teclas de rótulos	--ksm-metric-labels-allow-list Lista separada por vírgulas de mais chaves de rótulo do Kubernetes que são usadas na métrica kube_resource_labels do recurso. Por exemplo, kube_pod_labels é a métrica de rótulos para o recurso pods. Por padrão, essa métrica contém apenas rótulos de nome e namespace. Para incluir mais rótulos, forneça uma lista de nomes de recursos em sua forma plural e chaves de rótulo do Kubernetes que você deseja permitir para eles Um único * pode ser fornecido para cada recurso para permitir quaisquer rótulos, mas isso tem graves implicações de desempenho. Por exemplo, pods=[app],namespaces=[k8s-label-1,k8s-label-n,...],....
Regras de gravação	--enable-windows-recording-rules Permite-te ativar os grupos de regras de gravação necessários para o bom funcionamento dos dashboards do Windows.

Nota

Os parâmetros definidos usando --ksm-metric-annotations-allow-list e --ksm-metric-labels-allow-list podem ser sobrepostos ou, alternativamente, definidos usando o ama-metrics-settings-configmap.

Bicep/ARM

Recuperar valores necessários para o recurso Grafana

Se a instância Azure Managed Grafana já estiver ligada a um espaço de trabalho do Azure Monitor, então deve incluir esta lista no modelo ou será sobrescrevida. Na página Overview para a instância Azure Managed Grafana no portal Azure, selecione JSON view e copie o valor de azureMonitorWorkspaceIntegrations que é parecido com o seguinte exemplo. Se não existir, então a instância não foi ligada a nenhum espaço de trabalho do Azure Monitor.

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Baixar e editar modelo e arquivo de parâmetro

1. Transfira os ficheiros necessários.

   Bicep

   • Arquivo de modelo: https://aka.ms/azureprometheus-enable-bicep-template
   • Arquivo de parâmetros: https://aka.ms/azureprometheus-enable-bicep-template-parameters
   • Módulo DCRA: https://aka.ms/nested_azuremonitormetrics_dcra_clusterResourceId
   • Módulo de perfil: https://aka.ms/nested_azuremonitormetrics_profile_clusterResourceId
   • Módulo de Atribuição de Funções do Azure Managed Grafana: https://aka.ms/nested_grafana_amw_role_assignment

   JSON

   • Arquivo de modelo: https://aka.ms/azureprometheus-enable-arm-template
   • Arquivo de parâmetros: https://aka.ms/azureprometheus-enable-arm-template-parameters

2. Edite os seguintes valores no arquivo de parâmetro. O mesmo conjunto de valores é usado tanto para os modelos ARM como para os modelos Bicep. Obtenha o ID dos recursos a partir da visualização JSON na página de Visão geral.

   Parâmetro	Valor
   azureMonitorWorkspaceResourceId	ID de recurso para o espaço de trabalho do Azure Monitor. Recuperar da vista JSON na página de Visão Geral para o espaço de trabalho do Azure Monitor.
   azureMonitorWorkspaceLocation	Localização do espaço de trabalho do Azure Monitor. Recuperar da vista JSON na página de Visão Geral para o espaço de trabalho do Azure Monitor.
   clusterResourceId	Identificador de recurso para o cluster AKS. Recupere da Visualização JSON na Página de Visão Geral do cluster.
   clusterLocation	Localização do cluster AKS. Recupere da Visualização JSON na Página de Visão Geral do cluster.
   metricLabelsAllowlist	Lista separada por vírgulas de chaves de rótulos do Kubernetes a serem usadas na métrica de rótulos do recurso.
   metricAnnotationsAllowList	Lista separada por vírgulas de chaves de rótulo adicionais do Kubernetes a serem utilizadas na métrica de anotações do recurso.
   grafanaResourceId	ID do recurso para a instância gerenciada do Grafana. Recupere a partir da vista JSON na página Visão geral da instância Grafana.
   grafanaLocation	Localização da instância gerida do Grafana. Recupere a partir da vista JSON na página Visão geral da instância Grafana.
   grafanaSku	SKU para a instância gerenciada do Grafana. Recupere a partir da vista JSON na página Visão geral da instância Grafana. Utilize o sku.name.

3. Abra o arquivo de modelo e atualize a grafanaIntegrations propriedade no final do arquivo com os valores recuperados da instância Grafana. Isto é semelhante às amostras seguintes. Nestes exemplos, full_resource_id_1 e full_resource_id_2 já estavam no recurso JSON Azure Managed Grafana. A entrada final azureMonitorWorkspaceResourceId já está no template e é usada para ligar ao ID de recurso do Azure Monitor workspace fornecido no ficheiro de parâmetros.

   Bicep

       resource grafanaResourceId_8 'Microsoft.Dashboard/grafana@2022-08-01' = {
           name: split(grafanaResourceId, '/')[8]
           sku: {
               name: grafanaSku
           }
           identity: {
               type: 'SystemAssigned'
           }
           location: grafanaLocation
           properties: {
               grafanaIntegrations: {
                   azureMonitorWorkspaceIntegrations: [
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_1'
                       }
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_2'
                       }
                       {
                           azureMonitorWorkspaceResourceId: azureMonitorWorkspaceResourceId
                       }
                   ]
               }
           }
       }
   

   JSON

   {
       "type": "Microsoft.Dashboard/grafana",
       "apiVersion": "2022-08-01",
       "name": "[split(parameters('grafanaResourceId'),'/')[8]]",
       "sku": {
           "name": "[parameters('grafanaSku')]"
       },
       "location": "[parameters('grafanaLocation')]",
       "properties": {
           "grafanaIntegrations": {
           "azureMonitorWorkspaceIntegrations": [
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_1"
               },
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_2"
               },
               {
                   "azureMonitorWorkspaceResourceId": "[parameters('azureMonitorWorkspaceResourceId')]"
               }
           ]
           }
       }
   }
   

4. Implemente o modelo com o ficheiro de parâmetros usando qualquer método válido para implementar templates do Resource Manager. Para obter exemplos de métodos diferentes, consulte Implantar os modelos de exemplo.

Terraforma

Recuperar valores necessários para o recurso Grafana

Se a instância Azure Managed Grafana já estiver ligada a um espaço de trabalho do Azure Monitor, então deve incluir esta lista no modelo ou será sobrescrevida. Na página Overview para a instância Azure Managed Grafana no portal Azure, selecione JSON view e copie o valor de azureMonitorWorkspaceIntegrations que é parecido com o seguinte exemplo. Se não existir, então a instância não foi ligada a nenhum espaço de trabalho do Azure Monitor.

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Atualize o azure_monitor_workspace_integrations bloco main.tf com a lista de integrações do Grafana.

  azure_monitor_workspace_integrations {
    resource_id  = var.monitor_workspace_id[var.monitor_workspace_id1, var.monitor_workspace_id2]
  }

Baixar e editar modelos

Novo grupo AKS

1. Baixe todos os arquivos em AddonTerraformTemplate.
2. Edite as variáveis em variables.tf arquivo com os valores de parâmetro corretos.
3. Execute terraform init -upgrade para inicializar a implantação do Terraform.
4. Execute terraform plan -out main.tfplan para inicializar a implantação do Terraform.
5. Execute terraform apply main.tfplan para aplicar o plano de execução à sua infraestrutura de nuvem.

Passe as variáveis para as chaves annotations_allowed e para labels_allowed em main.tf apenas quando esses valores existirem. Estes blocos são opcionais.

Nota

Edite o arquivo main.tf adequadamente antes de executar o modelo terraform. Adicione quaisquer valores existentes de azure_monitor_workspace_integrations ao recurso Grafana antes de processar o modelo. Caso contrário, os valores mais antigos são excluídos e substituídos pelo que está lá no modelo durante a implantação. Os usuários com a função 'Administrador de Acesso de Usuário' na assinatura do cluster AKS podem habilitar a função 'Leitor de Monitoramento' diretamente implantando o modelo. Edite o parâmetro grafanaSku se estiver usando um SKU não padrão e, finalmente, execute este modelo no grupo de recursos do Recurso Grafana.

Portal do Azure

Pode ativar métricas Prometheus e registos de contentores ao criar um novo cluster AKS ou num cluster existente no portal Azure. Em ambos os casos, a experiência de configuração é a mesma.

Novo cluster AKS

Quando criares um novo cluster AKS no portal Azure, configura a monitorização no separador Monitorização.

Cluster existente

Navegue até ao seu cluster no portal Azure. No menu de serviço, selecione Monitor e, em seguida, Configurações do monitor.

Opções de configuração

As opções de configuração são as mesmas para clusters novos e existentes. A única diferença é que pode ser necessário selecionar definições avançadas para ver todas as opções de um cluster existente.

Métricas Prometheus, Grafana e Registos de Contentores e Eventos foram selecionados para si. Se já tiveres um espaço de trabalho do Azure Monitor, do Grafana e do Log Analytics, então eles são selecionados para ti. Selecione Configurações avançadas se quiser selecionar espaços de trabalho alternativos ou criar novos.

Para registos de contentores, deve selecionar um perfil de registos, que define quais os registos recolhidos e com que frequência. Os perfis disponíveis estão listados na tabela a seguir.

Predefinição de custos	Frequência da recolha	Filtros de namespace	Coleção Syslog	Dados recolhidos
Registos e Eventos (Padrão)	1m	Nenhum	Não ativado	ContainerLogV2 KubeEvents KubePodInventory
Syslog	1m	Nenhum	Ativado por padrão	Todas as tabelas de insights de contêiner padrão
Standard	1m	Nenhum	Não ativado	Todas as tabelas de insights de contêiner padrão
Otimização de custos	5 metros	Exclui kube-system, gatekeeper-system, azure-arc	Não ativado	Todas as tabelas de insights de contêiner padrão

Se quiseres personalizar as definições, seleciona Editar definições da coleção. Cada uma dessas configurações é descrita na tabela a seguir.

Nome	Descrição
Frequência da recolha	Determina a frequência com que o agente coleta dados. Os valores válidos são 1m - 30m em intervalos de 1m O valor padrão é 1m. Esta opção não pode ser configurada através do ConfigMap.
Filtragem de namespace	Desativado: Coleta dados em todos os namespaces. Include: Coleta apenas dados dos valores no campo namespaces . Excluir: recolhe dados de todos os namespaces, exceto pelos valores no campo de namespaces. Matriz de namespaces Kubernetes separados por vírgulas para coletar dados de inventário e perf com base no namespaceFilteringMode. Por exemplo, namespaces = ["kube-system", "default"] com uma configuração Include coleta apenas esses dois namespaces. Com uma configuração Exclude , o agente coleta dados de todos os outros namespaces, exceto kube-system e default.
Dados Recolhidos	Define quais tabelas de insights de contêiner coletar. Consulte a tabela seguinte para uma descrição de cada agrupamento.
Ativar ContainerLogV2	Sinalizador booleano para habilitar o esquema ContainerLogV2. Se definido como true, os logs stdout/stderr são ingeridos na tabela ContainerLogV2. Caso contrário, os logs de contêiner são ingeridos na tabela ContainerLog , a menos que especificado de outra forma no ConfigMap. Ao especificar os fluxos individuais, você deve incluir a tabela correspondente para ContainerLog ou ContainerLogV2. Desmarcar esta definição não desativa a recolha de dados. Especifica apenas para qual tabela os dados recolhidos são enviados.
Habilitar a coleção Syslog	Habilita a coleta Syslog do cluster.

A opção Dados coletados permite selecionar as tabelas que são preenchidas para o cluster. As tabelas são agrupadas pelos cenários mais comuns.

Grouping	Tables	Notas
Tudo (predefinição)	Todas as tabelas de insights de contêiner padrão	Necessário para habilitar as visualizações padrão do Container insights
Performance	Perf, InsightsMetrics
Logs e eventos	ContainerLog ou ContainerLogV2, KubeEvents, KubePodInventory	Recomendado se você tiver ativado as métricas gerenciadas do Prometheus
Cargas de trabalho, implementações e HPAs	InsightsMetrics, KubePodInventory, KubeEvents, ContainerInventory, ContainerNodeInventory, KubeNodeInventory, KubeServices
Volumes Persistentes	InsightsMetrics, KubePVInventory

Azure Policy

1. Descarregue templates e ficheiros de parâmetros do Azure Policy.

   • Arquivo de modelo: https://aka.ms/AddonPolicyMetricsProfile
   • Arquivo de parâmetros: https://aka.ms/AddonPolicyMetricsProfile.parameters

2. Crie a definição de política usando o seguinte comando da CLI:

   az policy definition create --name "Prometheus Metrics addon" --display-name "Prometheus Metrics addon" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules AddonPolicyMetricsProfile.rules.json --params AddonPolicyMetricsProfile.parameters.json`
   

3. Depois de criar a definição da política, no portal Azure, selecione Política e depois Definições. Selecione a definição de política que criou.

4. Selecione Atribuir e preencha os detalhes no separador Parâmetros. Selecione Rever e Criar.

5. Se desejar aplicar a política a um cluster existente, crie uma tarefa de Correção para esse recurso de cluster a partir da Atribuição de Política.

Depois que a política for atribuída à assinatura, sempre que você criar um novo cluster sem o Prometheus habilitado, a política será executada e implantada para habilitar o monitoramento do Prometheus.

Ativar monitorização de contentores e registo de logs num cluster AKS

CLI do Azure

Ative insights de contentores e registo de contentores num cluster AKS usando a --addon monitoring opção com o az aks create comando para um novo cluster ou o az aks enable-addon comando para atualizar um cluster existente.

Comandos de exemplo:

### Use default Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name>

### Use existing Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id>

### Use custom log configuration file
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --data-collection-settings dataCollectionSettings.json

Arquivo de configuração de log

Para personalizar as configurações de coleta de log para o cluster, você pode fornecer a configuração como um arquivo JSON usando o seguinte formato. Se não fornecer um ficheiro de configuração, são usadas as definições padrão identificadas na tabela.

{
  "interval": "1m",
  "namespaceFilteringMode": "Include",
  "namespaces": ["kube-system"],
  "enableContainerLogV2": true, 
  "streams": ["Microsoft-Perf", "Microsoft-ContainerLogV2"]
}

A tabela seguinte descreve cada uma das definições no ficheiro de configuração do log:

Nome	Descrição
interval	Determina a frequência com que o agente coleta dados. Valores válidos são 1m - 30m em intervalos de 1m. Se o valor estiver fora do intervalo permitido, então por defeito será definido como 1m. Padrão: 1m.
namespaceFilteringMode	Include: Coleta apenas dados dos valores no campo namespaces . Excluir: recolhe dados de todos os namespaces, exceto pelos valores no campo de namespaces. Desativado: ignora todas as seleções de namespace e coleta dados em todos os namespaces. Padrão: Desativado
namespaces	Matriz de namespaces Kubernetes separados por vírgulas para coletar dados de inventário e perf com base no namespaceFilteringMode. Por exemplo, namespaces = ["kube-system", "default"] com uma configuração Include coleta apenas esses dois namespaces. Com uma configuração Exclude , o agente coleta dados de todos os outros namespaces, exceto kube-system e default. Com uma configuração Off , o agente coleta dados de todos os namespaces, incluindo kube-system e default. Namespaces inválidos e não reconhecidos são ignorados. Nenhum.
enableContainerLogV2	Sinalizador booleano para habilitar o esquema ContainerLogV2. Se definido como true, os logs stdout/stderr são ingeridos na tabela ContainerLogV2. Caso contrário, os logs de contêiner são ingeridos na tabela ContainerLog , a menos que especificado de outra forma no ConfigMap. Ao especificar os fluxos individuais, você deve incluir a tabela correspondente para ContainerLog ou ContainerLogV2. Padrão: True
streams	Uma matriz de fluxos de tabela para recolher. Consulte Valores de fluxo para obter uma lista dos fluxos válidos e suas tabelas correspondentes. Padrão: Microsoft-ContainerInsights-Group-Default

Bicep/ARM

Importante

O modelo deve ser implantado no mesmo grupo de recursos que o cluster.

Baixar e instalar modelo

1. Baixe e edite o modelo e o arquivo de parâmetros.

   Bicep

   • Arquivo de modelo (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-template
   • Arquivo de parâmetro (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-parameters
   • Arquivo de modelo (No Syslog): https://aka.ms/enable-monitoring-msi-bicep-template
   • Arquivo de parâmetro (No Syslog): https://aka.ms/enable-monitoring-msi-bicep-parameters

   ARM

   • Arquivo de modelo: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
   • Arquivo de parâmetros: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

2. Edite os seguintes valores no arquivo de parâmetro. O mesmo conjunto de valores é usado tanto para os modelos ARM como para os modelos Bicep. Obtenha o ID dos recursos a partir da visualização JSON na página de Visão geral.

   Parâmetro	Descrição
   aksResourceId	ID do recurso do cluster.
   aksResourceLocation	A localização do cluster.
   workspaceResourceId	ID de recurso do espaço de trabalho Log Analytics.
   resourceTagValues	Valores de tag especificados para a regra de coleta de dados (DCR) da extensão existente do Container insights do cluster e o nome do DCR. O nome será MSCI-<clusterName>-<clusterRegion> e este recurso será criado em um grupo de recursos de clusters AKS. Para a primeira integração, você pode definir valores de tag arbitrários.
   enableRetinaNetworkFlowLogs	Sinalizador para indicar se os logs de fluxo de rede do Retina devem ser ativados.
   enableContainerLogV2	Sinalizador booleano para habilitar o esquema ContainerLogV2. Se definido como true, os logs stdout/stderr são enviados para a tabela ContainerLogV2 . Caso contrário, os logs de contêiner são enviados para a tabela ContainerLog , a menos que especificado de outra forma no ConfigMap. Ao especificar os fluxos individuais, você deve incluir a tabela correspondente para ContainerLog ou ContainerLogV2.
   enableSyslog	Especifica se a coleção Syslog deve ser habilitada.
   syslogLevels	Se a Syslog collection estiver ativada, especifica os níveis de log a recolher.
   dataCollectionInterval	Determina a frequência com que o agente coleta dados. Os valores válidos são 1m - 30m em intervalos de 1m O valor padrão é 1m. Se o valor estiver fora do intervalo permitido, então por defeito é 1m.
   namespaceFilteringModeForDataCollection	Include: Coleta apenas dados dos valores no campo namespaces . Excluir: recolhe dados de todos os namespaces, exceto pelos valores no campo de namespaces. Desligado: Ignora quaisquer escolhas de namespace e recolhe dados em todos os namespaces.
   namespacesForDataCollection	Matriz de namespaces Kubernetes separados por vírgulas para coletar dados de inventário e perf com base no namespaceFilteringMode. Por exemplo, namespaces = ["kube-system", "default"] com uma configuração Include coleta apenas esses dois namespaces. Com uma configuração Exclude , o agente coleta dados de todos os outros namespaces, exceto kube-system e default. Com uma configuração Off , o agente coleta dados de todos os namespaces, incluindo kube-system e default. Namespaces inválidos e não reconhecidos são ignorados.
   streams	Uma matriz de fluxos de tabelas. Consulte Valores de fluxo para obter uma lista dos fluxos válidos e suas tabelas correspondentes.
   useAzureMonitorPrivateLinkScope	Especifica se deve usar ligação privada para a ligação do cluster ao Azure Monitor.
   azureMonitorPrivateLinkScopeResourceId	Quando se utiliza um link privado, o ID do recurso do escopo do link privado.

3. Implemente o modelo com o ficheiro de parâmetros usando qualquer método válido para implementar templates do Resource Manager. Para obter exemplos de métodos diferentes, consulte Implantar os modelos de exemplo.

Terraforma

Novo grupo AKS

1. Baixe o arquivo de modelo Terraform dependendo se você deseja habilitar a coleção Syslog.

   • Syslog: https://aka.ms/enable-monitoring-msi-syslog-terraform
   • Sem Syslog: https://aka.ms/enable-monitoring-msi-terraform

2. Com base nas configurações do seu cluster, ajuste o azurerm_kubernetes_cluster recurso em main.tf.

3. Atualize os parâmetros em variables.tf para substituir os valores em "<>":

   Parâmetro	Descrição
   aks_resource_group_name	Use os valores na página Visão geral do AKS para o grupo de recursos.
   resource_group_location	Use os valores na página Visão geral do AKS para o grupo de recursos.
   cluster_name	Defina o nome do cluster que você gostaria de criar.
   workspace_resource_id	Use o ID de recurso do seu espaço de trabalho Log Analytics.
   workspace_region	Use a localização do seu espaço de trabalho Log Analytics.
   resource_tag_values	Corresponder os valores de tag existentes especificados para a regra de coleta de dados (DCR) de extensão de Container insights do cluster existente e para o nome do DCR. O nome MSCI-<clusterName>-<clusterRegion> coincide e este recurso é criado no mesmo grupo de recursos que os clusters AKS. Para a primeira integração, você pode definir os valores de tag arbitrários.
   enabledContainerLogV2	Defina esse valor de parâmetro como true para usar o padrão recomendado ContainerLogV2.
   Parâmetros de otimização de custos	Consulte Parâmetros de coleta de dados
   streams	Fluxos para recolha de dados. Consulte Valores de fluxo.
   use_azure_monitor_private_link_scope	Indicador para indicar se deve configurar o Azure Monitor Private Link Scope.
   azure_monitor_private_link_scope_resource_id	ID de recurso do Azure do "Azure Monitor Private Link Scope".

4. Execute terraform init -upgrade para inicializar a implantação do Terraform.

5. Execute terraform plan -out main.tfplan para inicializar a implantação do Terraform.

6. Execute terraform apply main.tfplan para aplicar o plano de execução à sua infraestrutura de nuvem.

Cluster AKS existente

1. Importa primeiro o recurso existente do cluster com o comando: terraform import azurerm_kubernetes_cluster.k8s <aksResourceId>.

2. Adicione o perfil de complemento oms_agent ao recurso azurerm_kubernetes_cluster existente.

   oms_agent {
       log_analytics_workspace_id = var.workspace_resource_id
       msi_auth_for_monitoring_enabled = true
     }
   

3. Copie os recursos DCR e DCRA dos templates Terraform.

4. Execute terraform plan -out main.tfplan e verifique se a alteração está adicionando a propriedade oms_agent. Nota: Se o azurerm_kubernetes_cluster recurso definido for diferente durante o plano de terraformação, o cluster existente é destruído e recriado.

5. Execute terraform apply main.tfplan para aplicar o plano de execução à sua infraestrutura de nuvem.

Gorjeta

• Antes de executar o template do Terraform, edite o ficheiro main.tf de forma adequada.
• Os dados começam a fluir após 10 minutos, pois o cluster tem de estar pronto primeiro.
• O WorkspaceID precisa de corresponder ao formato /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-resource-group/providers/Microsoft.OperationalInsights/workspaces/workspaceValue.
• Se o grupo de recursos já existir, execute terraform import azurerm_resource_group.rg /subscriptions/<Subscription_ID>/resourceGroups/<Resource_Group_Name> antes do comando terraform plan.

Portal do Azure

Pode ativar métricas Prometheus e registos de contentores ao criar um novo cluster AKS ou num cluster existente no portal Azure. Em ambos os casos, a experiência de configuração é a mesma.

Novo cluster AKS

Quando criares um novo cluster AKS no portal Azure, configura a monitorização no separador Monitorização.

Cluster existente

Navegue até ao seu cluster no portal Azure. No menu de serviço, selecione Monitor e, em seguida, Configurações do monitor.

Opções de configuração

As opções de configuração são as mesmas para clusters novos e existentes. A única diferença é que pode ser necessário selecionar definições avançadas para ver todas as opções de um cluster existente.

Métricas Prometheus, Grafana e Registos de Contentores e Eventos foram selecionados para si. Se já tiveres um espaço de trabalho do Azure Monitor, do Grafana e do Log Analytics, então eles são selecionados para ti. Selecione Configurações avançadas se quiser selecionar espaços de trabalho alternativos ou criar novos.

Para registos de contentores, deve selecionar um perfil de registos, que define quais os registos recolhidos e com que frequência. Os perfis disponíveis estão listados na tabela a seguir.

Predefinição de custos	Frequência da recolha	Filtros de namespace	Coleção Syslog	Dados recolhidos
Registos e Eventos (Padrão)	1m	Nenhum	Não ativado	ContainerLogV2 KubeEvents KubePodInventory
Syslog	1m	Nenhum	Ativado por padrão	Todas as tabelas de insights de contêiner padrão
Standard	1m	Nenhum	Não ativado	Todas as tabelas de insights de contêiner padrão
Otimização de custos	5 metros	Exclui kube-system, gatekeeper-system, azure-arc	Não ativado	Todas as tabelas de insights de contêiner padrão

Se quiseres personalizar as definições, seleciona Editar definições da coleção. Cada uma dessas configurações é descrita na tabela a seguir.

Nome	Descrição
Frequência da recolha	Determina a frequência com que o agente coleta dados. Os valores válidos são 1m - 30m em intervalos de 1m O valor padrão é 1m. Esta opção não pode ser configurada através do ConfigMap.
Filtragem de namespace	Desativado: Coleta dados em todos os namespaces. Include: Coleta apenas dados dos valores no campo namespaces . Excluir: recolhe dados de todos os namespaces, exceto pelos valores no campo de namespaces. Matriz de namespaces Kubernetes separados por vírgulas para coletar dados de inventário e perf com base no namespaceFilteringMode. Por exemplo, namespaces = ["kube-system", "default"] com uma configuração Include coleta apenas esses dois namespaces. Com uma configuração Exclude , o agente coleta dados de todos os outros namespaces, exceto kube-system e default.
Dados Recolhidos	Define quais tabelas de insights de contêiner coletar. Consulte a tabela seguinte para uma descrição de cada agrupamento.
Ativar ContainerLogV2	Sinalizador booleano para habilitar o esquema ContainerLogV2. Se definido como true, os logs stdout/stderr são ingeridos na tabela ContainerLogV2. Caso contrário, os logs de contêiner são ingeridos na tabela ContainerLog , a menos que especificado de outra forma no ConfigMap. Ao especificar os fluxos individuais, você deve incluir a tabela correspondente para ContainerLog ou ContainerLogV2.
Habilitar a coleção Syslog	Habilita a coleta Syslog do cluster.

A opção Dados coletados permite selecionar as tabelas que são preenchidas para o cluster. As tabelas são agrupadas pelos cenários mais comuns.

Grouping	Tables	Notas
Tudo (predefinição)	Todas as tabelas de insights de contêiner padrão	Necessário para habilitar as visualizações padrão do Container insights
Performance	Perf, InsightsMetrics
Logs e eventos	ContainerLog ou ContainerLogV2, KubeEvents, KubePodInventory	Recomendado se você tiver ativado as métricas gerenciadas do Prometheus
Cargas de trabalho, implementações e HPAs	InsightsMetrics, KubePodInventory, KubeEvents, ContainerInventory, ContainerNodeInventory, KubeNodeInventory, KubeServices
Volumes Persistentes	InsightsMetrics, KubePVInventory

Azure Policy

1. Descarregue templates e ficheiros de parâmetros do Azure Policy.

   • Arquivo de modelo: https://aka.ms/enable-monitoring-msi-azure-policy-template
   • Arquivo de parâmetros: https://aka.ms/enable-monitoring-msi-azure-policy-parameters

2. Crie a definição de política usando o seguinte comando da CLI:

   az policy definition create --name "AKS-Monitoring-Addon-MSI" --display-name "AKS-Monitoring-Addon-MSI" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules azure-policy.rules.json --params azure-policy.parameters.json
   

3. Depois de criar a definição da política, no portal Azure, selecione Política e depois Definições. Selecione a definição de política que criou.

4. Selecione Atribuir e preencha os detalhes no separador Parâmetros. Selecione Rever e Criar.

5. Se desejar aplicar a política a um cluster existente, crie uma tarefa de Correção para esse recurso de cluster a partir da Atribuição de Política.

Valores de fluxo

Quando especifica as tabelas a recolher usando CLI ou BICEP/ARM, especifica nomes de fluxos que correspondem a tabelas específicas no espaço de trabalho do Log Analytics. A tabela seguinte lista os nomes dos cursos de água e a respetiva tabela.

Nota

Se você estiver familiarizado com a estrutura de uma regra de coleta de dados, os nomes de fluxo nesta tabela serão especificados na seção Fluxos de dados do DCR.

Stream	Tabela de informações do contêiner
Microsoft-ContainerInventory	ContainerInventory
Microsoft-ContainerLog	ContainerLog
Microsoft-ContainerLogV2	ContainerLogV2
Microsoft-ContainerLogV2-HighScale	ContainerLogV2 (modo de alta escala)1
Microsoft-ContainerNodeInventory	Inventário do Nó de Contêiner
Microsoft-InsightsMetrics	InsightsMetrics
Microsoft-KubeEvents	KubeEvents
Microsoft-KubeMonAgentEvents	KubeMonAgentEventos
Microsoft-KubeNodeInventory	KubeNodeInventory
Microsoft-KubePodInventory	KubePodInventory
Microsoft-KubePVInventory	KubePVInventory
Microsoft-KubeServices	KubeServices
Microsoft-Perf	Perf
Microsoft-ContainerInsights-Group-Default	Fluxo de grupo que abrange todos os fluxos acima. 2

¹ Não uses Microsoft-ContainerLogV2 e Microsoft-ContainerLogV2-HighScale juntos. Isso resultará em dados duplicados. ² Use o fluxo de grupo como abreviação para especificar todos os fluxos individuais. Se quiseres recolher um conjunto específico de streams, então especifica cada stream individualmente em vez de usares o stream de grupo.

Tabelas e métricas aplicáveis

As configurações de frequência de coleta e filtragem de namespace não se aplicam a todos os dados de log. As tabelas seguintes listam as tabelas no espaço de trabalho Log Analytics, juntamente com as definições aplicáveis a cada uma.

Nome da tabela	Intervalo?	Namespaces?	Observações
ContainerInventory	Yes	Yes
Inventário do Nó de Contêiner	Yes	Não	A configuração de coleta de dados para namespaces não é aplicável, pois o Nó do Kubernetes não é um recurso com escopo de namespace
KubeNodeInventory	Yes	Não	A configuração de coleta de dados para namespaces não é aplicável. O nó Kubernetes não é um recurso vinculado a um namespace.
KubePodInventory	Yes	Yes
KubePVInventory	Yes	Yes
KubeServices	Yes	Yes
KubeEvents	Não	Yes	A configuração de coleta de dados para intervalo não é aplicável aos Eventos do Kubernetes
Perf	Yes	Yes	A configuração de coleta de dados para namespaces não é aplicável para as métricas relacionadas ao Nó Kubernetes, pois o Nó Kubernetes não é um objeto com escopo de namespace.
InsightsMetrics	Yes	Yes	As definições de recolha de dados são aplicáveis apenas para as métricas que recolhem os seguintes namespaces: container.azm.ms/kubestate, container.azm.ms/pv, e container.azm.ms/gpu.

Nota

A filtragem de namespace não se aplica aos registos do agente do ama-logs. Como resultado, mesmo que o namespace kube-system esteja listado entre namespaces excluídos, os registos associados ao contentor do agente ama-logs continuam a ser ingeridos.

Espaço de nomes de métricas	Intervalo?	Namespaces?	Observações
Insights.container/nós	Yes	Não	O nó não é um recurso com escopo de namespace
Insights.contentor/pods	Yes	Yes
Insights.contenedor/contenedores	Yes	Yes
Insights.container/persistentvolumes	Yes	Yes

Cenários especiais

Utilize os seguintes recursos para requisitos de configuração para cenários específicos:

• Se estiver a usar ligação privada, veja Ativar ligação privada para monitorizar o Kubernetes no Azure Monitor.
• Para permitir o registo de contentores com perímetro de segurança de rede, veja Configure Azure Monitor com o Perímetro de Segurança de Rede para configurar o seu espaço de trabalho Log Analytics.
• Para habilitar o modo de alta escala, siga o processo de integração em Habilitar modo de alta escala para o complemento Monitoramento. Também deve atualizar o ConfigMap conforme descrito em Update ConfigMap, e o fluxo DCR precisa de ser alterado de Microsoft-ContainerLogV2 para Microsoft-ContainerLogV2-HighScale.

Ativar os registos do plano de controlo num cluster AKS

Os registos do plano de controlo são implementados como registos recursos no Azure Monitor. Para coletar esses logs, crie uma configuração de diagnóstico para o cluster. Envie-os para o mesmo espaço de trabalho do Log Analytics que os seus registos de contentores.

CLI do Azure

Use o comando az monitor diagnostic-settings create para criar uma definição de diagnóstico com o CLI do Azure. Consulte a documentação deste comando para obter descrições de seus parâmetros.

O exemplo seguinte cria uma definição de diagnóstico que envia todas as categorias do Kubernetes para um espaço de trabalho Log Analytics. Isto inclui o modo específico de recursos para enviar os registos para tabelas específicas listadas nos registos de recursos suportados para Microsoft.ContainerService/fleets.

az monitor diagnostic-settings create \
--name 'Collect control plane logs' \
--resource  /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ContainerService/managedClusters/<cluster-name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--logs '[{"category": "karpenter-events","enabled": true},{"category": "kube-audit","enabled": true},
{"category": "kube-apiserver","enabled": true},{"category": "kube-audit-admin","enabled": true},{"category": "kube-controller-manager","enabled": true},{"category": "kube-scheduler","enabled": true},{"category": "cluster-autoscaler","enabled": true},{"category": "cloud-controller-manager","enabled": true},{"category": "guard","enabled": true},{"category": "csi-azuredisk-controller","enabled": true},{"category": "csi-azurefile-controller","enabled": true},{"category": "csi-snapshot-controller","enabled": true},{"category": "fleet-member-agent","enabled": true},{"category": "fleet-member-net-controller-manager","enabled": true},{"category": "fleet-mcs-controller-manager","enabled": true}]'
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--export-to-resource-specific true

Bicep/ARM

A seguir estão exemplos de modelos e arquivos de parâmetros para criar uma configuração de diagnóstico para logs de plano de controle. Modifique os modelos para coletar categorias diferentes ou enviar os logs para um destino diferente.

Bicep

param clusterName string
param workspaceId string
param settingName string

resource cluster 'Microsoft.ContainerService/managedClusters@2021-05-01-preview' existing = {
  name: clusterName
}

resource setting 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
  name: settingName
  scope: cluster
  properties: {
    workspaceId: workspaceId
    logs: [
      {
        category: 'kube-apiserver'
        enabled: true
      }
      {
        category: 'kube-audit'
        enabled: true
      }
      {
        category: 'kube-audit-admin'
        enabled: true
      }
      {
        category: 'kube-controller-manager'
        enabled: true
      }
      {
        category: 'kube-scheduler'
              }
      {
        category: 'cluster-autoscaler'
        enabled: true
      }
      {
        category: 'guard'
        enabled: true
      }
    ]
  }
}

JSON

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "clusterName": {
            "type": "String"
        },
        "workspaceId": {
            "type": "String"
        },
        "settingName": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[format('Microsoft.ContainerService/managedClusters/{0}', parameters('clusterName'))]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": "kube-apiserver",
                        "enabled": true
                    },
                    {
                        "category": "kube-audit",
                        "enabled": true
                    },
                    {
                        "category": "kube-audit-admin",
                        "enabled": true
                    },
                    {
                        "category": "kube-controller-manager",
                        "enabled": true
                    },
                    {
                        "category": "kube-scheduler",
                        "enabled": false
                    },
                    {
                        "category": "cluster-autoscaler",
                        "enabled": true
                    },
                    {
                        "category": "guard",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "<cluster-name>"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Terraforma

Use o modelo abaixo para criar uma configuração de diagnóstico para os registos do plano de controlo. Modifique o modelo para coletar categorias diferentes ou enviar os logs para um destino diferente.

  features {}
}

variable "setting_name" {
  type        = string
  description = "Name for the diagnostic setting."
}

variable "workspace_id" {
  type        = string
  description = "Resource ID of the Log Analytics workspace."
}

variable "cluster_id" {
  type        = string
  description = "Resource ID of the AKS cluster to attach diagnostics to."
}

resource "azurerm_monitor_diagnostic_setting" "aks" {
  name                       = var.setting_name
  target_resource_id         = var.cluster_id
  log_analytics_workspace_id = var.workspace_id

  log {
    category = "kube-apiserver"
    enabled  = true
  }

  log {
    category = "kube-audit"
    enabled  = true
  }

  log {
    category = "kube-audit-admin"
    enabled  = true
  }

  log {
    category = "kube-controller-manager"
    enabled  = true
  }

  log {
    category = "kube-scheduler"
    enabled  = false
  }

  log {
    category = "cluster-autoscaler"
    enabled  = true
  }

  log {
    category = "guard"
    enabled  = true
  }
}

Portal do Azure

Selecione Configurações de diagnóstico na seção Monitoramento do menu do cluster. Em seguida, selecione + Adicionar configuração de diagnóstico.

Selecione Enviar para o espaço de trabalho do Log Analytics e selecione o mesmo espaço de trabalho onde envia os logs de contentor. Em seguida, selecione as diferentes Categorias que deseja coletar. Dê ao nome da configuração de Diagnóstico um nome descritivo, como Recolher Registos do Plano de Controlo.

Dentro de alguns minutos após habilitar o monitoramento, você poderá usar os seguintes métodos para verificar se os recursos de monitoramento estão habilitados.

• O cluster deve ser movido da vista Clusters não monitorados para a vista Clusters monitorados na vista multicluster do Container Insights.
• A visualização Monitor para o cluster deve começar a ser preenchida com dados e não fornecer mais uma opção para habilitar o monitoramento. Isso inclui as guias Nodos, Cargas de trabalho e Contentores.

Azure Policy

Consulte Criar definições de diagnóstico em escala usando Políticas do Azure para obter detalhes sobre como usar Política do Azure para criar definições de diagnóstico em escala.

Ativar métricas do Windows (Pré-visualização)

A recolha métrica do Windows está ativada para clusters AKS a partir da versão 6.4.0-main-02-22-2023-3ee44b9e do contentor de addons Managed Prometheus. A integração do complemento Azure Monitor Metrics permite que os pods DaemonSet do Windows comecem a executar nos seus pools de nós. Tanto o Windows Server 2019 como o Windows Server 2022 são suportados. Siga os seguintes passos para ativar os pods na recolha de métricas dos seus grupos de nós do Windows.

Nota

Não há limite de CPU/Memória em windows-exporter-daemonset.yaml, por isso pode sobreprovisionar os nós Windows. Para obter detalhes, consulte Reserva de recursos

À medida que você implanta cargas de trabalho, defina a memória de recursos e os limites de CPU em contêineres. Isso também subtrai do NodeAllocatable e ajuda o agendador de todo o cluster a determinar quais pods colocar em quais nós. Agendar pods sem limites pode sobrecarregar os nós do Windows e, em casos extremos, torná-los instáveis.

Instalar o exportador do Windows

Instale manualmente o windows-exporter nos nós AKS para aceder a métricas Windows implementando o ficheiro windows-exporter-daemonset YAML. Habilite os seguintes coletores. Para mais coletores, veja Prometheus exporter para métricas do Windows.

• [defaults]
  • container
  • memory
  • process
  • cpu_info

Desdobre o ficheiro YAML windows-exporter-daemonset. Se houver alguma mancha aplicada no nó, você precisa aplicar as tolerâncias apropriadas.

kubectl apply -f windows-exporter-daemonset.yaml

Ativar métricas do Windows

Defina o windowsexporter e windowskubeproxy Booleans como true em suas configurações de métricas ConfigMap e aplique-o ao cluster. Consulte Personalize a recolha de métricas do Prometheus do seu cluster Kubernetes usando ConfigMap.

Ativar regras de gravação

Habilite as regras de gravação necessárias para os painéis prontos para uso:

• Se a integração estiver usando CLI, inclua a opção --enable-windows-recording-rules.
• Se for integrado usando um template ARM, Bicep ou Azure Policy, defina enableWindowsRecordingRules para true no ficheiro de parâmetros.
• Se o cluster já estiver integrado, use this ARM template e this parameter file para criar os grupos de regras. Isso adiciona as regras de gravação necessárias e não é uma operação ARM no cluster e não afeta o estado atual de monitoramento do cluster.

Verificar a implementação

Utilize a ferramenta de linha de comando kubectl para verificar se o agente está implantado corretamente.

Serviço Gerido de Prometheus

Verifique se o DaemonSet foi implantado corretamente nos pools de nós do Linux

kubectl get ds ama-metrics-node --namespace=kube-system

O número de pods deve ser igual ao número de nós Linux no cluster. A saída deve ser semelhante ao seguinte exemplo:

User@aksuser:~$ kubectl get ds ama-metrics-node --namespace=kube-system
NAME               DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-metrics-node   1         1         1       1            1           <none>          10h

Verifique se os nodes do Windows foram implementados corretamente

kubectl get ds ama-metrics-win-node --namespace=kube-system

O número de pods deve ser igual ao número de nós do Windows no cluster. A saída deve ser semelhante ao seguinte exemplo:

User@aksuser:~$ kubectl get ds ama-metrics-node --namespace=kube-system
NAME                   DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-metrics-win-node   3         3         3       3            3           <none>          10h

Verifique se os dois ReplicaSets foram implantados para o Prometheus

kubectl get rs --namespace=kube-system

A saída deve ser semelhante ao seguinte exemplo:

User@aksuser:~$kubectl get rs --namespace=kube-system
NAME                            DESIRED   CURRENT   READY   AGE
ama-metrics-5c974985b8          1         1         1       11h
ama-metrics-ksm-5fcf8dffcd      1         1         1       11h

Análise e registo de contentores

Verifique se os DaemonSets foram implantados corretamente nos pools de nós do Linux

kubectl get ds ama-logs --namespace=kube-system

O número de pods deve ser igual ao número de nós Linux no cluster. A saída deve ser semelhante ao seguinte exemplo:

User@aksuser:~$ kubectl get ds ama-logs --namespace=kube-system
NAME       DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-logs   2         2         2         2            2           <none>          1d

Verifique se os nodes do Windows foram implementados corretamente

kubectl get ds ama-logs-windows --namespace=kube-system

O número de pods deve ser igual ao número de nós do Windows no cluster. A saída deve ser semelhante ao seguinte exemplo:

User@aksuser:~$ kubectl get ds ama-logs-windows --namespace=kube-system
NAME                   DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR     AGE
ama-logs-windows           2         2         2         2            2       <none>            1d

Verificar a implantação da solução de log de contêiner

kubectl get deployment ama-logs-rs --namespace=kube-system

A saída deve ser semelhante ao seguinte exemplo:

User@aksuser:~$ kubectl get deployment ama-logs-rs --namespace=kube-system
NAME          READY   UP-TO-DATE   AVAILABLE   AGE
ama-logs-rs   1/1     1            1           24d

Ver configuração com CLI

Use o comando aks show para saber se a solução está ativada, o ID do recurso Log Analytics workspace e informações resumidas sobre o cluster.

az aks show --resource-group <resourceGroupofAKSCluster> --name <nameofAksCluster>

O comando devolve informação em formato JSON sobre a solução. A addonProfiles seção deve incluir informações sobre o omsagent como no exemplo a seguir:

"addonProfiles": {
    "omsagent": {
        "config": {
            "logAnalyticsWorkspaceResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace",
            "useAADAuth": "true"
        },
        "enabled": true,
        "identity": null
    },
}

Conteúdo relacionado

• Se tiver problemas ao tentar integrar, consulte o Guia de resolução de problemas.
• Aprenda a Analisar dados de monitorização do Kubernetes no portal do Azure Container insights.