Создание выделенного кластера и управление ими в журналах Azure Monitor
Связывание рабочей области Log Analytics с выделенным кластером в Azure Monitor обеспечивает расширенные возможности и более высокое использование запросов. Для кластеров требуется минимальное обязательство приема 100 ГБ в день. Вы можете связать и отменить связь рабочих областей из выделенного кластера без потери данных или прерывания работы службы.
Расширенные возможности
Ниже перечислены возможности, требующие использования выделенных кластеров.
- Управляемые клиентом ключи — шифрование данных кластера с помощью ключей, которые предоставляются и управляются.
- Блокировка — управление запросами на доступ инженера службы поддержки Майкрософт к вашим данным.
- Двойное шифрование — защита от сценария, в котором может быть скомпрометирован один из алгоритмов шифрования или ключей. В этом случае дополнительный уровень шифрования продолжает защищать данные.
- Оптимизация между запросами — запросы между рабочими областями выполняются быстрее, когда рабочие области находятся в одном кластере.
- Оптимизация затрат. Связывание рабочих областей в одном регионе с кластером, чтобы получить скидку уровня обязательств ко всем рабочим областям, даже с низким приемом, имеющим право на скидку уровня обязательств.
- Зоны доступности. Защита данных от сбоев центра обработки данных путем использования центров обработки данных в разных физических местах, оснащена независимой мощностью, охлаждением и сетями. Такое физическое разделение по зонам и независимая инфраструктура значительно снижает вероятность инцидентов, так как рабочая область может пользоваться ресурсами из любой зоны. Зоны доступности Azure Monitor охватывают более широкие части службы и, когда они доступны в вашем регионе, автоматически расширяют устойчивость Azure Monitor. Azure Monitor создает выделенные кластеры в качестве поддержки зон доступности (
isAvailabilityZonesEnabled
:true) по умолчанию в поддерживаемых регионах. Выделенные зоны доступности кластеров в настоящее время не поддерживаются во всех регионах. - Прием из Центры событий Azure— позволяет получать данные непосредственно из концентратора событий в рабочую область Log Analytics. Выделенный кластер позволяет использовать возможности при приеме из всех связанных рабочих областей в сочетании с уровнем обязательств.
Ценовая модель кластера
Выделенные кластеры Log Analytics используют модель ценовой категории обязательств не менее 100 ГБ в день. Любое использование, превышающее уровень уровня, взимается плата на основе ставки на ГБ этого уровня обязательств. Сведения о ценах на выделенные кластеры см. в сведениях о ценах на журналы Azure Monitor. Уровни обязательств имеют фиксированный 31-дневный период с момента их выбора.
Необходимые компоненты
- Для выделенных кластеров требуется минимальное обязательство приема 100 ГБ в день.
- При создании выделенного кластера его нельзя назвать тем же именем, что и кластер, удаленный за последние две недели.
Необходимые разрешения
Для выполнения действий, связанных с кластером, вам потребуется следующее:
Действие | Необходимые разрешения или роли |
---|---|
Создание кластера ценовой категории "Выделенный" | Microsoft.Resources/deployments/* и Microsoft.OperationalInsights/clusters/write разрешения, предоставляемые встроенной ролью Участника Log Analytics, например |
Изменение свойств кластера | Microsoft.OperationalInsights/clusters/write разрешения, предоставляемые встроенной ролью Участника Log Analytics, например |
Связывание рабочих областей с кластером | Microsoft.OperationalInsights/clusters/write , Microsoft.OperationalInsights/workspaces/write и Microsoft.OperationalInsights/workspaces/linkedservices/write разрешения, предоставляемые встроенной ролью Участника Log Analytics, например |
Проверка состояния связывания рабочей области | Microsoft.OperationalInsights/workspaces/read разрешения на рабочую область, предоставляемые встроенной ролью Log Analytics Reader, например |
Получение кластеров или проверка состояния подготовки кластера | Microsoft.OperationalInsights/clusters/read разрешения, предоставляемые встроенной ролью Log Analytics Reader, например |
Обновление уровня обязательств или выставления счетов в кластере | Microsoft.OperationalInsights/clusters/write разрешения, предоставляемые встроенной ролью Участника Log Analytics, например |
Предоставление необходимых разрешений | Роль владельца или участника с разрешениями или встроенной ролью Участника Log Analytics, которая имеет разрешения */write Microsoft.OperationalInsights/* |
Отсоединение рабочей области от кластера | Microsoft.OperationalInsights/workspaces/linkedServices/delete разрешения, предоставляемые встроенной ролью Участника Log Analytics, например |
Удаление кластера ценовой категории "Выделенный" | Microsoft.OperationalInsights/clusters/delete разрешения, предоставляемые встроенной ролью Участника Log Analytics, например |
Дополнительные сведения о разрешениях Log Analytics см. в статье Управление доступом к данным журнала и рабочей областью в Azure Monitor.
Примеры шаблонов Resource Manager
В этой статье приведены примеры шаблонов Azure Resource Manager (ARM) для создания и настройки кластеров Log Analytics в Azure Monitor. Каждый пример включает файл шаблона и файл параметров с примерами значений для предоставления шаблона.
Примечание.
Примеры Azure Resource Manager для Azure Monitor см. в списке доступных примеров и рекомендаций по развертыванию их в подписке Azure.
Ссылки на шаблоны
Создание кластера ценовой категории "Выделенный"
При создании выделенного кластера укажите следующие свойства:
- ClusterName: должно быть уникальным для группы ресурсов.
- ResourceGroupName: используйте центральную ИТ-группу ресурсов, так как многие команды в организации обычно используют кластеры. Дополнительные рекомендации по проектированию см. в статье "Проектирование конфигурации рабочей области Log Analytics".
- Местонахождение
- SkuCapacity: Вы можете задать уровень обязательств 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 50000 ГБ в день. Минимальный уровень обязательств, поддерживаемый в CLI, составляет 500 в настоящее время. Используйте REST для настройки более низких уровней обязательств с минимальным количеством 100. Дополнительные сведения о стоимости кластеров см. в разделе Выделение кластеров.
- Управляемое удостоверение: кластеры поддерживают два типа управляемых удостоверений:
Управляемое удостоверение, назначаемое системой, создается автоматически при создании кластера, если для удостоверения
type
задано значение SystemAssigned. Это удостоверение можно использовать позже для предоставления доступа к хранилищу Key Vault для операций упаковки и распаковки.Удостоверение в вызове REST кластера
{ "identity": { "type": "SystemAssigned" } }
Управляемое удостоверение, назначаемое пользователем. Позволяет настроить управляемый клиентом ключ при создании кластера при предоставлении ему разрешений в Key Vault перед созданием кластера.
Удостоверение в вызове REST кластера
{ "identity": { "type": "UserAssigned", "userAssignedIdentities": { "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>" } } }
После создания ресурса кластера можно изменить такие свойства, как sku, *keyVaultProperties или billingType. Дополнительные сведения см. ниже.
Удаленные кластеры занимают две недели, чтобы полностью удалить их. Вы можете иметь до семи кластеров на одну подписку и регион, пять активных и два удаленных за последние две недели.
Примечание.
Создание кластера включает несколько ресурсов и операций, которые обычно выполняются в два часа. Плата за выделенный кластер взимается после подготовки к работе без учета принятых данных. Рекомендуется подготовить развертывание, чтобы ускорить подготовку к работе и связывание рабочих областей с кластером. Проверьте выполнение следующих условий.
- Определен список начальных рабочих областей, которые должны быть связаны с кластером
- У вас есть разрешения на подписку для кластера и рабочих областей, которые требуется привязать
Щелкните "Создать" в меню выделенных кластеров Log Analytics в портал Azure. Вам будет предложено получить подробные сведения, такие как имя кластера и уровень обязательств.
Проверка состояния подготовки кластера
Подготовка кластера Log Analytics занимает некоторое время. Чтобы проверить свойство ProvisioningState, используйте один из описанных ниже способов. Его значение должно быть равным ProvisioningAccount во время подготовки и Succeeded после завершения.
Портал предоставит состояние подготовки кластера.
Связывание рабочей области с кластером
Примечание.
- Связывание рабочей области может выполняться только после завершения подготовки кластера Log Analytics.
- Связывание рабочей области с кластером включает синхронизацию нескольких внутренних компонентов и гидратации кэша, которые обычно выполняются в два часа.
- При связывании рабочей области Log Analytics план выставления счетов рабочей области изменился на LACluster, и необходимо удалить номер SKU в шаблоне рабочей области, чтобы предотвратить конфликт во время развертывания рабочей области.
- Кроме аспектов выставления счетов, управляемых планом кластера, все конфигурации рабочей области и аспекты запросов остаются неизменными во время и после ссылки.
Необходимы разрешения на запись как для рабочей области, так и для ресурса кластера для операции связывания рабочей области:
- В рабочей области: Microsoft.OperationalInsights/workspaces/write
- В ресурсе кластера: Microsoft.OperationalInsights/clusters/write
Когда рабочая область Log Analytics связана с выделенным кластером, новые данные, отправленные в рабочую область, передаются в выделенный кластер, а ранее прием данных остается в кластере Log Analytics. Связывание рабочей области не влияет на операцию рабочей области, включая прием и взаимодействие с запросами. Модуль запросов Log Analytics автоматически создает данные из старых и новых кластеров, а результаты запросов завершаются.
Кластеры являются региональными и могут быть связаны с 1000 рабочими областями, расположенными в том же регионе, что и кластер. Рабочая область не может быть связана с кластером более двух раз в месяц, чтобы предотвратить фрагментацию данных.
Связанные рабочие области могут находиться в разных подписках, отличных от подписки, в ней находится кластер. Рабочая область и кластер могут находиться в разных клиентах, если Azure Lighthouse используется для сопоставления обоих из них с одним клиентом.
При настройке выделенного кластера с помощью ключа, управляемого клиентом (CMK), вновь передаваемые данные шифруются с помощью ключа, а старые данные остаются зашифрованными с помощью управляемого корпорацией Майкрософт ключа (MMK). Конфигурация ключа абстрагируется Log Analytics, и запрос по старым и новым шифрованиям данных выполняется легко.
Чтобы связать рабочую область с кластером, выполните следующие действия. Вы можете использовать автоматизацию для связывания нескольких рабочих областей:
Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и выберите связанные рабочие области, чтобы просмотреть все рабочие области, связанные с выделенным кластером. Щелкните "Связать рабочие области" , чтобы связать дополнительные рабочие области.
Проверка состояния связывания рабочей области
Операция связывания рабочей области может занять до 90 минут. Состояние можно проверить как в связанных рабочих областях, так и в кластере. По завершении ресурсы рабочей области будут включать clusterResourceId
в себя свойство features
, и кластер будет включать связанные рабочие области в разделе associatedWorkspaces
.
Когда кластер настроен с помощью управляемого клиентом ключа, данные, передаваемые в рабочие области после завершения операции связывания, будут храниться в зашифрованном виде с помощью ключа.
На странице "Обзор" для выделенного кластера выберите представление JSON. В associatedWorkspaces
разделе перечислены рабочие области, связанные с кластером.
Изменение свойств кластера
После создания ресурса кластера и его полной подготовки можно изменить свойства кластера с помощью ИНТЕРФЕЙСА командной строки, PowerShell или REST API. Свойства, которые можно задать после подготовки кластера:
- keyVaultProperties: содержит ключ Azure Key Vault с параметрами KeyVaultUri, KeyName и KeyVersion. См. раздел Указание в кластере новых сведений об идентификаторе ключа.
- Identity: удостоверение, которое будет использоваться для проверки подлинности в Key Vault. Оно может быть назначено системой или пользователем.
- billingType: тип выставления счетов для кластерного ресурса и его данных. Включает следующие значения:
- Cluster (по умолчанию): затраты на кластер начисляются для кластерного ресурса.
- Workspaces: затраты на кластер начисляются пропорционально рабочим областям в кластере. При этом счет за использование кластерного ресурса выставляется, если общий объем принимаемых данных за день находится ниже уровня обязательств. Дополнительные сведения о модели ценообразования для кластеров см. в разделе Выделенные кластеры Log Analytics.
Внимание
В одной операции обновления кластера не должны содержаться сведения об удостоверении и идентификаторе ключа. Если необходимо обновить оба компонента, совершите две отдельные операции.
Получение всех кластеров в группе ресурсов
В меню выделенных кластеров Log Analytics в портал Azure выберите фильтр группы ресурсов.
Получение всех кластеров в подписке
В меню выделенных кластеров Log Analytics в портал Azure выберите фильтр подписки.
Обновление уровня обязательств в кластере
Когда объем данных для связанных рабочих областей изменяется с течением времени, вы можете соответствующим образом обновить уровень обязательств для оптимизации затрат. Уровень указан в единицах Гигабайт (ГБ) и может иметь значения 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 5000 ГБ в день. Вам не нужно предоставлять полный текст запроса REST, но необходимо включить номер SKU.
В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.
Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и нажмите кнопку "Изменить рядом с уровнем обязательств"
Отсоединение рабочей области от кластера
Вы можете в любое время отменить связь рабочей области из кластера. Ценовая категория рабочей области изменяется на гб, данные, которые будут приема в кластер, прежде чем операция отмены связи остается в кластере, а новые данные для рабочей области получают прием в Log Analytics.
Предупреждение
Отмена связывания рабочей области не перемещает данные рабочей области из кластера. Все данные, собранные для рабочей области, связанные с кластером, остаются в кластере в течение периода хранения, определенного в рабочей области, и доступны до тех пор, пока кластер не удаляется.
Запросы не затрагиваются, если рабочая область не связана, и служба выполняет запросы между кластерами без проблем. Если кластер был настроен с помощью ключа, управляемого клиентом (CMK), данные, передаваемые в рабочую область во время связывания, остаются зашифрованными с помощью ключа и доступа, а ключ и разрешения для Key Vault остаются.
Примечание.
- Существует ограничение двух операций связи для определенной рабочей области в течение месяца, чтобы предотвратить распределение данных между кластерами. Обратитесь в службу поддержки, если достигнут предел.
- Несоединенные рабочие области перемещаются на ценовую категорию с оплатой по мере использования.
Используйте следующие команды для отсоединения рабочей области от кластера:
Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и выберите связанные рабочие области, чтобы просмотреть все рабочие области, связанные с выделенным кластером. Выберите все рабочие области, которые вы хотите отменить связь, и нажмите кнопку "Отменить связь".
Удаление кластера
Необходимы разрешения на запись в ресурс кластера.
Операция удаления кластера должна выполняться с осторожностью, так как операция не восстанавливается. Все полученные данные в кластер из связанных рабочих областей удаляются безвозвратно.
Выставление счетов кластера останавливается при удалении кластера независимо от уровня обязательств за 31 дней, определенного в кластере.
Если удалить кластер с связанными рабочими областями, рабочие области автоматически удаляются из кластера, рабочие области перемещаются в ценовую категорию с оплатой по мере использования, а новые данные для рабочих областей отправляются в кластеры Log Analytics. Вы можете запросить рабочую область для диапазона времени, прежде чем он был связан с кластером, и после отмены связи, а служба выполняет запросы между кластерами без проблем.
Примечание.
- Существует ограничение в семь кластеров на подписку и регион, пять активных, а также два, которые были удалены за последние две недели.
- Имя кластера остается зарезервированным через две недели после удаления и не может использоваться для создания нового кластера.
Используйте следующие команды для удаления кластера:
Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и нажмите кнопку "Удалить".
Изменение типа управляемого удостоверения
Тип удостоверения можно изменить после создания кластера без прерывания приема или запросов со следующими рекомендациями.
- Обновление SystemAssigned до UserAssigned— предоставление удостоверения UserAssign в Key Vault, а затем обновление типа удостоверения в кластере
- Обновление UserAssigned до SystemAssigned— так как управляемое удостоверение, назначаемое системой, созданное после обновления типа удостоверения кластера с помощью SystemAssigned, необходимо выполнить следующие действия.
- Обновите кластер и удалите ключ— задайте keyVaultUri, keyName и keyVersion со значением ""
- Обновление типа удостоверения кластера до SystemAssigned
- Обновление Key Vault и предоставление разрешений для удостоверения
- Обновление ключа в кластере
Предельные значения и ограничения
Для каждого региона и каждой подписки можно создать до пяти активных кластеров.
Не более семи кластеров, разрешенных для каждой подписки и региона, пять активных, а также два, которые были удалены за последние 2 недели.
С кластером можно связать до 1000 рабочих областей Log Analytics.
За 30-дневный период в определенной рабочей области можно выполнить до двух операций связывания.
Перемещение кластера в другую группу ресурсов или подписку в настоящее время не поддерживается.
Перемещение кластера в другой регион не поддерживается.
Обновление кластера не должно включать сведения об идентификаторе и идентификаторе ключа в одной операции. Если необходимо обновить оба компонента, выполните две отдельные операции.
Защищенное хранилище в настоящее время недоступно в Китае.
В настоящее время блокировка не может применяться к таблицам с вспомогательным планом.
Двойное шифрование настраивается автоматически для кластеров, созданных начиная с октября 2020 года в поддерживаемых регионах. Вы можете проверить, настроено ли для кластера двойное шифрование, отправив запрос GET в кластер и убедившись, что значение
isDoubleEncryptionEnabled
равноtrue
для кластеров с включенным двойным шифрованием.- Если вы создаете кластер и получаете сообщение об ошибке "<имя_региона> не поддерживает двойное шифрование для кластеров", вы по-прежнему можете создать кластер с двойным шифрованием, добавив
"properties": {"isDoubleEncryptionEnabled": false}
в текст запроса REST. - Невозможно изменить параметр двойного шифрования после создания кластера.
- Если вы создаете кластер и получаете сообщение об ошибке "<имя_региона> не поддерживает двойное шифрование для кластеров", вы по-прежнему можете создать кластер с двойным шифрованием, добавив
Удаление рабочей области разрешено при связывании с кластером. Если вы решите восстановить рабочую область во время периода обратимого удаления , рабочая область возвращается в предыдущее состояние и остается связанной с кластером.
В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.
Устранение неполадок
Если при создании кластера возникает ошибка конфликта, возможно, она была удалена за последние 2 недели и в процессе удаления. Имя кластера остается зарезервированным в течение 2 недель, и вы не можете создать новый кластер с таким именем.
Если вы обновляете кластер, пока он находится в состоянии подготовки или обновления, обновление завершится ошибкой.
Некоторые операции являются продолжительными, и их выполнение может занять много времени. К примерам таких операций относятся создание кластера, обновление ключей кластера и удаление кластера. Состояние операции можно проверить, отправив запрос GET в кластер или рабочую область и проследив за ответом. Например, у несвязанной рабочей области не будет значения clusterResourceId в разделе features.
Если вы пытаетесь связать рабочую область Log Analytics, которая уже связана с другим кластером, операция завершится ошибкой.
Сообщения об ошибках
Создание кластера
- Недопустимое имя 400---Cluster. Имя кластера может содержать от 3 до 63 символов: a — z, A — Z, 0–9.
- 400 — текст запроса имеет значение NULL или неправильный формат.
- 400 — недопустимое имя SKU. Задайте имя SKU capacityReservation.
- 400---Емкость была предоставлена, но номер SKU не является емкостьюReservation. Задайте имя SKU capacityReservation.
- 400 — отсутствие емкости в SKU. Задайте значение емкости 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 5000 ГБ в день.
- 400 — емкость заблокирована на 30 дней. Уменьшение емкости разрешено через 30 дней после обновления.
- 400 — номер SKU не задан. Задайте для имени SKU значение capacityReservation и Емкость равным 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 50000 ГБ в день.
- 400---Operation не удается выполнить сейчас. Асинхронная операция находится в состоянии, отличном от "Выполнено". Перед выполнением операции обновления кластер должен завершить операцию.
Обновление кластера
- 400 — кластер находится в состоянии удаления. Выполняется асинхронная операция. Перед выполнением операции обновления кластер должен завершить операцию.
- 400--KeyVaultProperties не пуст, но имеет неправильный формат. См. раздел об обновлении идентификатора ключа.
- 400 — не удалось проверить ключ в Key Vault. Это может быть связано с отсутствием разрешений или ключа. Убедитесь, что задали ключ и политику доступа в Key Vault.
- 400---Key не может восстановиться. Для Key Vault должно быть задано обратимое удаление и защита от удаления. См. документацию по Key Vault.
- 400---Operation не удается выполнить сейчас. Дождитесь завершения асинхронной операции и повторите попытку.
- 400 — кластер находится в состоянии удаления. Дождитесь завершения асинхронной операции и повторите попытку.
Получение кластера
- 404--Cluster не найден, кластер может быть удален. Если вы пытаетесь создать кластер с таким именем и получить конфликт, кластер находится в процессе удаления.
Удаление кластера:
- 409 — нельзя удалить кластер в состоянии подготовки. Дождитесь завершения асинхронной операции и повторите попытку.
Связывание рабочей области
- 404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
- 409 — выполняется привязка или отмена привязки рабочей области.
- 400 — кластер не найден, указанный кластер не существует или был удален.
Отсоединение рабочей области
- 404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
- 409 — выполняется привязка или отмена привязки рабочей области.
Следующие шаги
- Сведения о выставлении счетов за выделенный кластер Log Analytics.
- Сведения о правильном проектировании рабочих областей Log Analytics.
- Получение других примеров шаблонов для Azure Monitor.