Создание выделенного кластера и управление ими в журналах Azure Monitor

Связывание рабочей области Log Analytics с выделенным кластером в Azure Monitor обеспечивает расширенные возможности и более высокое использование запросов. Для кластеров требуется минимальное обязательство приема 100 ГБ в день. Вы можете связать и отменить связь рабочих областей из выделенного кластера без потери данных или прерывания работы службы.

Расширенные возможности

Ниже перечислены возможности, требующие использования выделенных кластеров.

  • Управляемые клиентом ключи — шифрование данных кластера с помощью ключей, которые предоставляются и управляются.
  • Блокировка — управление запросами на доступ инженера службы поддержки Майкрософт к вашим данным.
  • Двойное шифрование — защита от сценария, в котором может быть скомпрометирован один из алгоритмов шифрования или ключей. В этом случае дополнительный уровень шифрования продолжает защищать данные.
  • Оптимизация между запросами — запросы между рабочими областями выполняются быстрее, когда рабочие области находятся в одном кластере.
  • Оптимизация затрат. Связывание рабочих областей в одном регионе с кластером, чтобы получить скидку уровня обязательств ко всем рабочим областям, даже с низким приемом, имеющим право на скидку уровня обязательств.
  • Зоны доступности. Защита данных от сбоев центра обработки данных путем использования центров обработки данных в разных физических местах, оснащена независимой мощностью, охлаждением и сетями. Такое физическое разделение по зонам и независимая инфраструктура значительно снижает вероятность инцидентов, так как рабочая область может пользоваться ресурсами из любой зоны. Зоны доступности Azure Monitor охватывают более широкие части службы и, когда они доступны в вашем регионе, автоматически расширяют устойчивость Azure Monitor. Azure Monitor создает выделенные кластеры в качестве поддержки зон доступности (isAvailabilityZonesEnabled:true) по умолчанию в поддерживаемых регионах. Выделенные зоны доступности кластеров в настоящее время не поддерживаются во всех регионах.
  • Прием из Центры событий Azure— позволяет получать данные непосредственно из концентратора событий в рабочую область Log Analytics. Выделенный кластер позволяет использовать возможности при приеме из всех связанных рабочих областей в сочетании с уровнем обязательств.

Ценовая модель кластера

Выделенные кластеры Log Analytics используют модель ценовой категории обязательств не менее 100 ГБ в день. Любое использование, превышающее уровень уровня, взимается плата на основе ставки на ГБ этого уровня обязательств. Сведения о ценах на выделенные кластеры см. в сведениях о ценах на журналы Azure Monitor. Уровни обязательств имеют фиксированный 31-дневный период с момента их выбора.

Необходимые компоненты

  • Для выделенных кластеров требуется минимальное обязательство приема 100 ГБ в день.
  • При создании выделенного кластера его нельзя назвать тем же именем, что и кластер, удаленный за последние две недели.

Необходимые разрешения

Для выполнения действий, связанных с кластером, вам потребуется следующее:

Действие Необходимые разрешения или роли
Создание кластера ценовой категории "Выделенный" Microsoft.Resources/deployments/*и Microsoft.OperationalInsights/clusters/write разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Изменение свойств кластера Microsoft.OperationalInsights/clusters/writeразрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Связывание рабочих областей с кластером Microsoft.OperationalInsights/clusters/write, Microsoft.OperationalInsights/workspaces/writeи Microsoft.OperationalInsights/workspaces/linkedservices/write разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Проверка состояния связывания рабочей области Microsoft.OperationalInsights/workspaces/readразрешения на рабочую область, предоставляемые встроенной ролью Log Analytics Reader, например
Получение кластеров или проверка состояния подготовки кластера Microsoft.OperationalInsights/clusters/readразрешения, предоставляемые встроенной ролью Log Analytics Reader, например
Обновление уровня обязательств или выставления счетов в кластере Microsoft.OperationalInsights/clusters/writeразрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Предоставление необходимых разрешений Роль владельца или участника с разрешениями или встроенной ролью Участника Log Analytics, которая имеет разрешения */writeMicrosoft.OperationalInsights/*
Отсоединение рабочей области от кластера Microsoft.OperationalInsights/workspaces/linkedServices/deleteразрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Удаление кластера ценовой категории "Выделенный" Microsoft.OperationalInsights/clusters/deleteразрешения, предоставляемые встроенной ролью Участника Log Analytics, например

Дополнительные сведения о разрешениях Log Analytics см. в статье Управление доступом к данным журнала и рабочей областью в Azure Monitor.

Создание кластера ценовой категории "Выделенный"

При создании выделенного кластера укажите следующие свойства:

  • ClusterName: должно быть уникальным для группы ресурсов.
  • ResourceGroupName: используйте центральную ИТ-группу ресурсов, так как многие команды в организации обычно используют кластеры. Дополнительные рекомендации по проектированию см. в статье "Проектирование конфигурации рабочей области Log Analytics".
  • Местонахождение
  • SkuCapacity: Вы можете задать уровень обязательств 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 50000 ГБ в день. Дополнительные сведения о стоимости кластеров см. в разделе Выделение кластеров.
  • Управляемое удостоверение: кластеры поддерживают два типа управляемых удостоверений:
    • Управляемое удостоверение, назначаемое системой, создается автоматически при создании кластера, если для удостоверения type задано значение SystemAssigned. Это удостоверение можно использовать позже для предоставления доступа к хранилищу Key Vault для операций упаковки и распаковки.

      Удостоверение в вызове REST кластера

      {
        "identity": {
          "type": "SystemAssigned"
          }
      }
      
    • Управляемое удостоверение, назначаемое пользователем. Позволяет настроить управляемый клиентом ключ при создании кластера при предоставлении ему разрешений в Key Vault перед созданием кластера.

      Удостоверение в вызове REST кластера

      {
      "identity": {
        "type": "UserAssigned",
          "userAssignedIdentities": {
            "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>"
          }
        }  
      }
      

После создания ресурса кластера можно изменить такие свойства, как sku, *keyVaultProperties или billingType. Дополнительные сведения см. ниже.

Удаленные кластеры занимают две недели, чтобы полностью удалить их. Вы можете иметь до семи кластеров на одну подписку и регион, пять активных и два удаленных за последние две недели.

Примечание.

Создание кластера активирует выделение ресурсов и подготовку. Эта операция может занять некоторое время. Плата за выделенный кластер взимается после подготовки к работе без учета принятых данных. Рекомендуется подготовить развертывание, чтобы ускорить подготовку к работе и связывание рабочих областей с кластером. Проверьте выполнение следующих условий.

  • Определен список начальных рабочих областей, которые должны быть связаны с кластером
  • У вас есть разрешения на подписку для кластера и рабочих областей, которые требуется привязать

Неприменимо

Проверка состояния подготовки кластера

Подготовка кластера Log Analytics занимает некоторое время. Чтобы проверить свойство ProvisioningState, используйте один из описанных ниже способов. Его значение должно быть равным ProvisioningAccount во время подготовки и Succeeded после завершения.

Н/П

Примечание.

  • Связывание рабочей области может выполняться только после завершения подготовки кластера Log Analytics.
  • Связывание рабочей области с кластером включает синхронизацию нескольких внутренних компонентов и гидратации кэша, что может занять до двух часов.
  • При связывании рабочей области Log Analytics план выставления счетов рабочей области изменился на LACluster, и необходимо удалить sku в шаблоне рабочей области, чтобы предотвратить конфликт во время развертывания рабочей области.
  • Кроме аспектов выставления счетов, управляемых планом кластера, все конфигурации рабочей области и аспекты запросов остаются неизменными во время и после ссылки.

Необходимы разрешения на запись как для рабочей области, так и для ресурса кластера для операции связывания рабочей области:

  • В рабочей области: Microsoft.OperationalInsights/workspaces/write
  • В ресурсе кластера: Microsoft.Operational Аналитика/clusters/write

Когда рабочая область Log Analytics связана с выделенным кластером, новые данные, отправленные в рабочую область, передаются в выделенный кластер, а ранее прием данных остается в кластере Log Analytics. Связывание рабочей области не влияет на операцию рабочей области, включая прием и взаимодействие с запросами. Модуль запросов Log Analytics автоматически создает данные из старых и новых кластеров, а результаты запросов завершаются.

Если выделенный кластер настроен с помощью ключа, управляемого клиентом (CMK), новые приемные данные шифруются с помощью ключа, а старые данные остаются зашифрованными с помощью управляемого корпорацией Майкрософт ключа (MMK). Конфигурация ключа абстрагируется Log Analytics, и запрос по старым и новым шифрованиям данных выполняется легко.

Кластер может быть связан с 1000 рабочими областями, расположенными в одном регионе с кластером. Рабочая область не может быть связана с кластером более двух раз в месяц, чтобы предотвратить фрагментацию данных.

Рабочая область и кластер могут находиться в разных подписках. Рабочая область и кластер могут находиться в разных клиентах, если используется Azure Lighthouse для их параллельного отображения в один клиент.

Чтобы связать рабочую область с кластером, выполните следующие действия. Вы можете использовать автоматизацию для связывания нескольких рабочих областей:

Неприменимо

Если для кластера настроены ключи, управляемые клиентом, то данные, принимаемые рабочими областями после завершения связывания, хранятся в зашифрованном виде с использованием управляемого ключа. Связывание с рабочей областью может занимать до 90 минут, и для проверки состояния вы можете отправить запрос GET в рабочую область и проконтролировать, есть ли в ответе в разделе Функции свойство clusterResourceId.

  1. Откройте меню Рабочие области Log Analytics и выберите рабочую область.
  2. На странице обзора выберите представление JSON.

Изменение свойств кластера

После создания ресурса кластера и его полной подготовки можно изменить свойства кластера с помощью ИНТЕРФЕЙСА командной строки, PowerShell или REST API. Свойства, которые можно задать после подготовки кластера:

  • keyVaultProperties: содержит ключ Azure Key Vault с параметрами KeyVaultUri, KeyName и KeyVersion. См. раздел Указание в кластере новых сведений об идентификаторе ключа.
  • Identity: удостоверение, которое будет использоваться для проверки подлинности в Key Vault. Оно может быть назначено системой или пользователем.
  • billingType: тип выставления счетов для кластерного ресурса и его данных. Включает следующие значения:
    • Кластер (по умолчанию): затраты на кластер начисляются для кластерного ресурса.
    • Рабочие области: затраты на кластер начисляются пропорционально рабочим областям в кластере. При этом счет за использование кластерного ресурса выставляется, если общий объем принимаемых данных за день находится ниже уровня обязательств. Дополнительные сведения о модели ценообразования для кластеров см. в разделе Выделенные кластеры Log Analytics.

Внимание

В одной операции обновления кластера не должны содержаться сведения об удостоверении и идентификаторе ключа. Если необходимо обновить оба компонента, совершите две отдельные операции.

Примечание.

Свойство billingType не поддерживается в CLI.

Получение всех кластеров в группе ресурсов

Н/П

Получение всех кластеров в подписке

Н/П

Обновление уровня обязательств в кластере

Когда объем данных для связанных рабочих областей изменяется с течением времени, вы можете соответствующим образом обновить уровень обязательств для оптимизации затрат. Уровень указан в единицах Гигабайт (ГБ) и может иметь значения 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 5000 ГБ в день. Вам не нужно предоставлять полный текст запроса REST, но необходимо включить номер SKU.

В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.

Н/П

Обновление billingType в кластере

Свойство billingType определяет атрибуты выставления счетов для кластера и его данных:

  • Кластер (по умолчанию) — выставление счетов относится к ресурсу кластера
  • Рабочие области — выставление счетов связано с связанными рабочими областями пропорционально. Если объем данных из всех связанных рабочих областей ниже уровня обязательств, счет за оставшийся том относится к кластеру.

Н/П

Вы можете в любое время отменить связь рабочей области из кластера. Ценовая категория рабочей области изменяется на гб, данные, которые будут приема в кластер, прежде чем операция отмены связи остается в кластере, а новые данные для рабочей области получают прием в Log Analytics.

Предупреждение

Отмена связывания рабочей области не перемещает данные рабочей области из кластера. Все данные, собранные для рабочей области, связанные с кластером, остаются в кластере в течение периода хранения, определенного в рабочей области, и доступны до тех пор, пока кластер не удаляется.

Запросы не затрагиваются, если рабочая область не связана, и служба выполняет запросы между кластерами без проблем. Если кластер был настроен с помощью ключа, управляемого клиентом (CMK), данные, передаваемые в рабочую область во время связывания, остаются зашифрованными с помощью ключа и доступа, а ключ и разрешения для Key Vault остаются.

Примечание.

  • Существует ограничение двух операций связи для определенной рабочей области в течение месяца, чтобы предотвратить распределение данных между кластерами. Обратитесь в службу поддержки, если достигнут предел.
  • Несоединенные рабочие области перемещаются на ценовую категорию с оплатой по мере использования.

Используйте следующие команды для отсоединения рабочей области от кластера:

Н/П

Удаление кластера

Необходимы разрешения на запись в ресурс кластера.

Операция удаления кластера должна выполняться с осторожностью, так как операция не восстанавливается. Все полученные данные в кластер из связанных рабочих областей удаляются безвозвратно.

Выставление счетов кластера останавливается при удалении кластера независимо от уровня обязательств за 31 дней, определенного в кластере.

Если удалить кластер с связанными рабочими областями, рабочие области автоматически удаляются из кластера, рабочие области перемещаются в ценовую категорию с оплатой по мере использования, а новые данные для рабочих областей отправляются в кластеры Log Analytics. Вы можете запросить рабочую область для диапазона времени, прежде чем он был связан с кластером, и после отмены связи, а служба выполняет запросы между кластерами без проблем.

Примечание.

  • Существует ограничение в семь кластеров на подписку и регион, пять активных, а также два, которые были удалены за последние две недели.
  • Имя кластера остается зарезервированным через две недели после удаления и не может использоваться для создания нового кластера.

Используйте следующие команды для удаления кластера:

Н/П

Предельные значения и ограничения

  • Для каждого региона и каждой подписки можно создать до пяти активных кластеров.

  • Не более семи кластеров, разрешенных для каждой подписки и региона, пять активных, а также два, которые были удалены за последние 2 недели.

  • С кластером можно связать до 1000 рабочих областей Log Analytics.

  • За 30-дневный период в определенной рабочей области можно выполнить до двух операций связывания.

  • Перемещение кластера в другую группу ресурсов или подписку в настоящее время не поддерживается.

  • Перемещение кластера в другой регион не поддерживается.

  • Обновление кластера не должно включать сведения об идентификаторе и идентификаторе ключа в одной операции. Если необходимо обновить оба компонента, выполните две отдельные операции.

  • Защищенное хранилище в настоящее время недоступно в Китае.

  • Двойное шифрование настраивается автоматически для кластеров, созданных начиная с октября 2020 года в поддерживаемых регионах. Вы можете проверить, настроено ли для кластера двойное шифрование, отправив запрос GET в кластер и убедившись, что значение isDoubleEncryptionEnabled равно true для кластеров с включенным двойным шифрованием.

    • Если вы создаете кластер и получаете сообщение об ошибке "<имя_региона> не поддерживает двойное шифрование для кластеров", вы по-прежнему можете создать кластер с двойным шифрованием, добавив "properties": {"isDoubleEncryptionEnabled": false} в текст запроса REST.
    • Невозможно изменить параметр двойного шифрования после создания кластера.
  • Удаление рабочей области разрешено при связывании с кластером. Если вы решите восстановить рабочую область во время периода обратимого удаления , рабочая область возвращается в предыдущее состояние и остается связанной с кластером.

  • В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.

Устранение неполадок

  • Если при создании кластера возникает ошибка конфликта, возможно, она была удалена за последние 2 недели и в процессе удаления. Имя кластера остается зарезервированным в течение 2 недель, и вы не можете создать новый кластер с таким именем.

  • Если вы обновляете кластер, пока он находится в состоянии подготовки или обновления, обновление завершится ошибкой.

  • Некоторые операции являются продолжительными, и их выполнение может занять много времени. К примерам таких операций относятся создание кластера, обновление ключей кластера и удаление кластера. Состояние операции можно проверить, отправив запрос GET в кластер или рабочую область и проследив за ответом. Например, у несвязанной рабочей области не будет значения clusterResourceId в разделе features.

  • Если вы пытаетесь связать рабочую область Log Analytics, которая уже связана с другим кластером, операция завершится ошибкой.

Сообщения об ошибках

Создание кластера

  • Недопустимое имя 400---Cluster. Имя кластера может содержать от 3 до 63 символов: a — z, A — Z, 0–9.
  • 400 — текст запроса имеет значение NULL или неправильный формат.
  • 400 — недопустимое имя SKU. Задайте имя SKU capacityReservation.
  • 400---Емкость была предоставлена, но номер SKU не является емкостьюReservation. Задайте имя SKU capacityReservation.
  • 400 — отсутствие емкости в SKU. Задайте значение емкости 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 5000 ГБ в день.
  • 400 — емкость заблокирована на 30 дней. Уменьшение емкости разрешено через 30 дней после обновления.
  • 400 — номер SKU не задан. Задайте для имени SKU значение capacityReservation и Емкость равным 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 50000 ГБ в день.
  • 400 — параметр Identity имеет значение NULL или не указан. Задайте параметр Identity с типом systemAssigned.
  • 400 —свойства KeyVaultProperties не заданы при создании. Обновите свойства KeyVaultProperties после создания кластера.
  • 400---Operation не удается выполнить сейчас. Асинхронная операция находится в состоянии, отличном от "Выполнено". Перед выполнением операции обновления кластер должен завершить операцию.

Обновление кластера

  • 400 — кластер находится в состоянии удаления. Выполняется асинхронная операция. Перед выполнением операции обновления кластер должен завершить операцию.
  • 400--KeyVaultProperties не пуст, но имеет неправильный формат. См. раздел об обновлении идентификатора ключа.
  • 400 — не удалось проверить ключ в Key Vault. Это может быть связано с отсутствием разрешений или ключа. Убедитесь, что задали ключ и политику доступа в Key Vault.
  • 400---Key не может восстановиться. Для Key Vault должно быть задано обратимое удаление и защита от удаления. См. документацию по Key Vault.
  • 400---Operation не удается выполнить сейчас. Дождитесь завершения асинхронной операции и повторите попытку.
  • 400 — кластер находится в состоянии удаления. Дождитесь завершения асинхронной операции и повторите попытку.

Получение кластера

  • 404--Cluster не найден, кластер может быть удален. Если вы пытаетесь создать кластер с таким именем и получить конфликт, кластер находится в процессе удаления.

Удаление кластера:

  • 409 — нельзя удалить кластер в состоянии подготовки. Дождитесь завершения асинхронной операции и повторите попытку.
  • 404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
  • 409 — выполняется привязка или отмена привязки рабочей области.
  • 400 — кластер не найден, указанный кластер не существует или был удален.
  • 404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
  • 409 — выполняется привязка или отмена привязки рабочей области.

Следующие шаги