Включение приватного канала для мониторинга Kubernetes в Azure Monitor

Приватный канал Azure позволяет получить доступ к ресурсам платформы Azure как услуга (PaaS) в виртуальной сети с помощью частных конечных точек. Область Приватный канал Azure Monitor (AMPLS) подключает частную конечную точку к набору ресурсов Azure Monitor для определения границ сети мониторинга. В этой статье описывается настройка аналитики контейнеров и Управляемого Prometheus для использования приватного канала для приема данных из кластера Служба Azure Kubernetes (AKS).

Примечание

• Сведения о настройке приватного канала для запроса данных из рабочей области Azure Monitor с помощью Grafana см. в статье "Подключение к источнику данных в частном порядке ".
• Дополнительные сведения о настройке приватного канала для запросов данных из рабочей области Azure Monitor с помощью книг см. в статье "Использование частных конечных точек" для управляемой рабочей области Prometheus и Azure Monitor.

Необходимые компоненты

• В этой статье описывается, как подключить кластер к существующей области Приватный канал Azure Monitor (AMPLS). Создайте AMPLS, следуя инструкциям в разделе "Настройка приватного канала".
• Azure CLI версии 2.61.0 или более поздней.

Managed Prometheus (рабочая область Azure Monitor)

Данные для Управляемого Prometheus хранятся в рабочей области Azure Monitor, поэтому эту рабочую область необходимо сделать доступной по закрытой ссылке.

Настройка контроллеров домена

Частные ссылки для приема данных для Managed Prometheus настраиваются на конечных точках сбора данных (DCE) рабочей области Azure Monitor, в которой хранятся данные. Чтобы определить контроллеры домена, связанные с рабочей областью Azure Monitor, выберите конечные точки сбора данных из рабочей области Azure Monitor в портал Azure.

В этом случае откройте правило сбора данных (DCR), созданное при включении Управляемого Prometheus. Этот DCR будет называться MSProm-clusterName-clusterRegion><><. Кластер будет указан на странице "Ресурсы ". В раскрывающемся списке конечной точки сбора данных выберите DCE в том же регионе, что и кластер AKS.

Примечание

Если кластер AKS не в том же регионе, что и рабочая область Azure Monitor, необходимо создать другой DCE в том же регионе, что и кластер AKS. Откройте правило сбора данных (DCR), созданное при создании рабочей области Azure Monitor. Этот DCR имеет то же имя, что и рабочая область Azure Monitor. В раскрывающемся списке конечной точки сбора данных выберите DCE, созданный в том же регионе, что и кластер AKS.

Прием из частного кластера AKS

Если вы решили использовать Брандмауэр Azure для ограничения исходящего трафика из кластера, можно реализовать одно из следующих действий:

• Откройте путь к общедоступной конечной точке приема. Обновите таблицу маршрутизации следующими двумя конечными точками:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Включите Брандмауэр Azure для доступа к области Приватный канал Azure Monitor и DCE, используемой для приема данных.

Прием приватного канала для удаленной записи

Выполните следующие действия, чтобы настроить удаленную запись для кластера Kubernetes через виртуальную сеть приватного канала и область Приватный канал Azure Monitor.

1. Создайте виртуальную сеть Azure.
2. Настройте локальный кластер для подключения к виртуальной сети Azure с помощью VPN-шлюза или ExpressRoutes с частным пирингом.
3. Создайте область Приватный канал Azure Monitor.
4. Подключите область Приватный канал Azure Monitor к частной конечной точке в виртуальной сети, используемой локальным кластером. Эта частная конечная точка используется для доступа к контроллерам домена.
5. В рабочей области Azure Monitor на портале выберите конечные точки сбора данных в меню рабочей области Azure Monitor.
6. У вас будет хотя бы один DCE, который будет иметь то же имя, что и ваша рабочая область. Щелкните DCE, чтобы открыть сведения.
7. Выберите страницу сетевой изоляции для DCE.
8. Нажмите кнопку "Добавить" и выберите область Приватный канал Azure Monitor. Для распространения параметров потребуется несколько минут. После завершения данные из частного кластера AKS будут приема в рабочую область Azure Monitor по приватной ссылке.

Аналитика контейнеров (рабочая область Log Analytics)

Данные для аналитики контейнеров хранятся в рабочей области Log Analytics, поэтому эту рабочую область необходимо сделать доступной по закрытой ссылке.

Примечание

В этом разделе описывается включение приватного канала для аналитики контейнеров с помощью интерфейса командной строки. Дополнительные сведения об использовании шаблона ARM см. в разделе "Включить аналитику контейнеров" и запишите параметры useAzureMonitorPrivateLinkScope и azureMonitorPrivateLinkScopeResourceId.

Кластер с использованием проверки подлинности управляемого удостоверения

Существующий кластер AKS с рабочей областью Log Analytics по умолчанию

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Пример:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Существующий кластер AKS с существующей рабочей областью Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Пример:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Новый кластер AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Пример:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Кластер с использованием устаревшей проверки подлинности

Используйте следующие процедуры, чтобы включить сетевую изоляцию, подключив кластер к рабочей области Log Analytics с помощью Приватный канал Azure если кластер не использует проверку подлинности с управляемым удостоверением. Для этого требуется частный кластер AKS.

1. Создайте частный кластер AKS после руководства по созданию частного Служба Azure Kubernetes кластера.

2. Отключите общедоступную приемку в рабочей области Log Analytics.

   Используйте следующую команду, чтобы отключить общедоступную приему в существующей рабочей области.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Используйте следующую команду, чтобы создать новую рабочую область с отключенным общедоступным приемом.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. Настройте приватную ссылку, выполнив инструкции по настройке приватного канала. Задайте для приема доступ к общедоступной, а затем задайте для закрытой после создания частной конечной точки, но перед включением мониторинга. Регион ресурса приватного канала должен совпадать с регионом кластера AKS.

4. Включите мониторинг для кластера AKS.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Следующие шаги

• Если при попытке подключить решение возникают проблемы, ознакомьтесь с руководством по устранению неполадок.
• После включения мониторинга, который собирает сведения о работоспособности и потребление кластера AKS и работающих в нем рабочих нагрузок, изучите принципы работы Container Insights.